Hàng tỷ người tiêu dùng trên toàn cầu hàng ngày tin tưởng vào các dịch vụ bưu chính và chuyển phát nhanh, từ thư cá nhân đến các đơn hàng trực tuyến. Sự phụ thuộc này đã tăng lên đáng kể cùng với sự phát triển của thương mại điện tử. Theo báo cáo của Liên minh Bưu chính Thế giới năm 2024, các dịch vụ bưu chính hiện phục vụ 7.3 tỷ người, và Statista ghi nhận khoảng 161 tỷ gói hàng được vận chuyển chỉ riêng trong năm 2022. Sự gia tăng niềm tin này cũng đồng thời kéo theo sự bùng nổ của các hình thức tội phạm mạng, đặc biệt là các cuộc tấn công phishing vận chuyển.
Tội phạm mạng đã biến niềm tin này thành vũ khí thông qua một chiến thuật lừa đảo lan rộng nhanh chóng được gọi là lừa đảo theo dõi vận chuyển giả mạo. Các nạn nhân nhận được tin nhắn SMS khẩn cấp khẳng định gói hàng của họ không thể giao được. Tin nhắn này thúc đẩy họ nhấp vào một liên kết để cập nhật địa chỉ hoặc thanh toán một khoản phí nhỏ.
Bản chất của Tấn công Phishing Vận chuyển
Liên kết giả mạo dẫn đến một trang web chuyển phát nhanh được thiết kế tinh vi để trông như thật. Sau khi nạn nhân nhập thông tin chi tiết, kẻ lừa đảo thu thập thông tin cá nhân, thông tin đăng nhập ngân hàng, số thẻ và mã xác thực một lần (OTP). Nạn nhân thường không có đủ thời gian để nhận ra điều gì đang xảy ra.
Các nhà phân tích của Group-IB đã xác định một sự gia tăng mạnh mẽ các chiến dịch lừa đảo này ở Trung Đông và Châu Phi (MEA). Hoạt động được theo dõi từ đầu năm 2024 cho thấy sự phát triển bùng nổ đến năm 2025.
Dữ liệu thu thập từ tháng 12 năm 2025 đến tháng 2 năm 2026 cho thấy Ai Cập là quốc gia bị nhắm mục tiêu nhiều nhất với 119 sự cố. Tiếp theo là Nam Phi với 20 vụ, Ghana với 7 vụ và Kenya với 5 vụ. Các dịch vụ bưu chính là lĩnh vực bị lạm dụng nhiều nhất với 115 trường hợp được xác nhận. Trong khi đó, các dịch vụ tài chính, viễn thông và nền tảng di động cũng phải đối mặt với các mục tiêu lặp lại.
Kỹ thuật Đánh cắp Dữ liệu và Mối đe dọa Mạng
Các chiến dịch này phụ thuộc nhiều vào áp lực tâm lý hơn là sự phức tạp về kỹ thuật. Do thông báo giao hàng đã trở nên thường xuyên, hầu hết mọi người không dừng lại để đặt câu hỏi về một tin nhắn liên quan đến một gói hàng bị trì hoãn.
Kẻ lừa đảo dựa vào hành vi này, biết rằng ai đó đang mong đợi một gói hàng có nhiều khả năng nhấp mà không suy nghĩ. Các trang giả mạo được xây dựng cho màn hình di động, khiến chúng khó phân biệt với trang web của một công ty chuyển phát nhanh thực sự.
Hạ tầng Tội phạm Phía sau Chiến dịch
Đằng sau kế hoạch tấn công phishing vận chuyển này là một hạ tầng tội phạm rộng lớn trải dài nhiều quốc gia. Các đối tượng sử dụng các tên miền giá rẻ, dùng một lần như .xyz, .sbs, .shop, và .click. Phân tích đã tiết lộ các địa chỉ IP dùng chung và các mẫu lưu trữ chồng chéo, cho thấy hoạt động có sự phối hợp. (Nguồn Group-IB)
Các nhà nghiên cứu của Group-IB cũng ghi nhận các đặc điểm liên quan chặt chẽ đến Darcula, một nền tảng Phishing-as-a-Service (PaaS) tiếng Trung Quốc. Nền tảng này cung cấp hơn 20.000 tên miền giả mạo và hơn 200 mẫu phishing sẵn sàng sử dụng cho các nhà điều hành tội phạm.
Kỹ thuật Đánh cắp Dữ liệu Thời gian thực
Điểm đáng ngại về mặt kỹ thuật của chiến dịch này là cách nó đánh cắp dữ liệu ngay khi nạn nhân bắt đầu nhập liệu. Phân tích HTML của Group-IB về các trang phishing đã phát hiện các script nhúng mở kết nối WebSocket tới một máy chủ do kẻ tấn công kiểm soát ngay khi nạn nhân tải trang.
Kết nối này hoạt động như một luồng dữ liệu trực tiếp, truyền mọi lần gõ phím – bao gồm số thẻ, mã CVV và OTP – trực tiếp đến kẻ tấn công theo thời gian thực. Nạn nhân không có bất kỳ dấu hiệu nào cho thấy thông tin của họ đang rời khỏi thiết bị.
Script này cũng tạo ra một mã UUID (Universally Unique Identifier) duy nhất cho mỗi phiên của nạn nhân. Điều này có nghĩa là kẻ tấn công theo dõi từng cá nhân riêng biệt, cho thấy đây là một hoạt động có tổ chức trên quy mô lớn, tiềm ẩn nhiều rủi ro bảo mật nghiêm trọng.
Các trang phishing cũng được thiết kế để chỉ hiển thị đầy đủ nội dung cho trình duyệt di động, vì hầu hết các liên kết SMS được mở trên điện thoại. Kẻ tấn công còn thêm các mặt nạ URL như index.html để làm cho các liên kết trông hợp pháp hơn, đồng thời đảm bảo trang độc hại tải đúng cách trên thiết bị di động.
Các Chỉ số IOC và Dấu hiệu Nhận biết
Để nhận diện các cuộc tấn công phishing vận chuyển này, các tổ chức và cá nhân cần chú ý đến các chỉ số sau:
- Tên miền độc hại: Thường sử dụng các tên miền cấp thấp, giá rẻ và dùng một lần như
.xyz,.sbs,.shop,.click. - Mẫu lưu trữ: Các trang lừa đảo có thể chia sẻ địa chỉ IP hoặc mẫu lưu trữ (hosting patterns) tương tự, cho thấy một hạ tầng chung.
- Nền tảng Darcula: Các đặc điểm của trang phishing có thể liên kết đến nền tảng Phishing-as-a-Service Darcula, nổi tiếng với khả năng tạo hàng ngàn tên miền giả mạo và mẫu phishing sẵn có.
- Kết nối WebSocket bất thường: Sự hiện diện của script mở kết nối WebSocket tới một máy chủ không xác định để truyền dữ liệu nhập liệu theo thời gian thực.
- Giao diện chỉ dành cho thiết bị di động: Trang web có thể hiển thị không đầy đủ hoặc bị lỗi trên trình duyệt máy tính để bàn.
Biện pháp Phòng ngừa và Nâng cao An toàn Thông tin
Đối với Cá nhân
Để bảo vệ bản thân khỏi mối đe dọa mạng này, mỗi cá nhân cần thực hiện các biện pháp sau:
- Tuyệt đối không nhấp vào các liên kết theo dõi gửi qua SMS hoặc ứng dụng nhắn tin.
- Luôn truy cập trực tiếp trang web chính thức của công ty chuyển phát và nhập số theo dõi thủ công.
- Cảnh giác với các tin nhắn yêu cầu thanh toán ngay lập tức hoặc cập nhật địa chỉ. Các công ty chuyển phát nhanh thực sự thường không tính phí giao lại.
- Báo cáo các tin nhắn đáng ngờ cho cơ quan an ninh mạng hoặc dịch vụ bưu chính địa phương.
Đối với Doanh nghiệp và Tổ chức
Các doanh nghiệp cần chủ động bảo vệ khách hàng và thương hiệu của mình nhằm tăng cường an toàn thông tin:
- Thường xuyên công bố các cảnh báo về các chiến dịch phishing mạo danh thương hiệu của họ để thông báo cho khách hàng.
- Áp dụng các giao thức xác thực email như DMARC, DKIM và SPF để giúp ngăn chặn các tin nhắn giả mạo đến tay khách hàng.
- Hợp tác với các nhà mạng di động để lọc các mẫu SMS lừa đảo và cung cấp một công cụ xác minh công khai cho các tin nhắn theo dõi. Điều này có thể giảm đáng kể số lượng khách hàng trở thành nạn nhân của các vụ lừa đảo.
Việc nâng cao nhận thức và triển khai các biện pháp bảo mật chủ động là chìa khóa để đối phó hiệu quả với các chiến thuật tấn công tinh vi này, góp phần xây dựng một không gian trực tuyến an toàn hơn cho tất cả mọi người.
