Các nhà nghiên cứu bảo mật đã phát hiện một mạng lưới phức tạp gồm các nhóm tội phạm mạng nói tiếng Trung, những kẻ đang tiến hành các tấn công smishing tinh vi. Các cuộc tấn công này khai thác cơ chế token hóa ví kỹ thuật số, có khả năng xâm phạm đến 115 triệu thẻ thanh toán chỉ riêng tại Hoa Kỳ.
Những hoạt động này, đã phát triển đáng kể kể từ tháng 8 năm 2023, tận dụng các nền tảng phishing-as-a-service (PaaS) chuyên biệt. Mục tiêu của chúng là thu thập thông tin xác thực và vượt qua các cơ chế xác thực đa yếu tố (MFA) vốn là rào cản phòng thủ quan trọng.
Điểm đáng chú ý là dữ liệu thẻ bị đánh cắp sau đó không được sử dụng trực tiếp mà được chuyển đổi thành tài sản token hóa. Việc này diễn ra trong các hệ sinh thái ví kỹ thuật số phổ biến như Apple Pay và Google Wallet.
Không giống như gian lận thẻ không có mặt (CNP) truyền thống, phương pháp này có khả năng bỏ qua các hệ thống phát hiện gian lận cũ. Điều này được thực hiện thông qua việc cấp phép các thẻ token hóa trên các thiết bị do kẻ tấn công kiểm soát.
Cơ chế này cho phép thực hiện các khoản thanh toán không tiếp xúc liền mạch, giao dịch trực tuyến, và thậm chí cả các cuộc tấn công chuyển tiếp NFC. Điều này giúp chúng kiếm tiền trên toàn cầu mà không trực tiếp kích hoạt cảnh báo dựa trên mẫu sử dụng thẻ vật lý.
Phân Tích Các Chiến Dịch Tấn Công Smishing và Công Cụ Sử Dụng
Các nhóm tội phạm này, do các đối tượng như “Lao Wang” (bí danh Wang Duo Yu) cầm đầu, đã phát triển các bộ công cụ lừa đảo (phishing kits) có khả năng chống lại sự phát hiện cao. Đây là một bước tiến đáng lo ngại trong các chiến dịch tấn công smishing.
Các bộ công cụ này tích hợp tính năng định vị địa lý (geofencing), bắt buộc sử dụng tác nhân người dùng di động (mobile user-agent enforcement) và chặn địa chỉ IP. Các tính năng này được thiết kế để né tránh hiệu quả sự phát hiện từ các nhà cung cấp bảo mật và mạng Tor, giúp chúng duy trì hoạt động trong thời gian dài.
Các mồi nhử ban đầu được gửi đến nạn nhân thông qua tin nhắn SMS, iMessage hoặc RCS, mạo danh các dịch vụ uy tín như USPS hoặc các thông báo thanh toán phí cầu đường. Nạn nhân sau đó được hướng dẫn qua một quy trình thu thập dữ liệu nhiều giai đoạn.
Quy trình này không chỉ thu giữ thông tin nhận dạng cá nhân (PII) mà còn cả chi tiết thẻ tín dụng, được làm phong phú thông qua cơ sở dữ liệu số nhận dạng ngân hàng (BIN) tích hợp. Đặc biệt, chúng còn thu thập mã OTP (One-Time Password) theo thời gian thực để hoàn tất việc cấp phép ví kỹ thuật số.
Nền Tảng “Lighthouse” và Quy Mô Mở Rộng Mục Tiêu
Đến tháng 8 năm 2024, nền tảng “Lighthouse” của Lao Wang đã chứng kiến sự nâng cấp đáng kể. Nền tảng này giới thiệu các giao diện người dùng mô-đun (modular frontends), kiểm soát truy cập dựa trên vai trò (RBAC) và tính năng thu thập ký tự gõ dựa trên AJAX.
Sự nâng cấp này đã giúp nền tảng mở rộng phạm vi hoạt động, hỗ trợ hơn 80 quốc gia và tăng số lượng thương hiệu được nhắm mục tiêu từ 17 lên hàng trăm. Đây thực sự là một mối đe dọa mạng toàn cầu.
Theo một báo cáo chuyên sâu từ SEC Alliance, hạ tầng dạng SaaS này còn bao gồm tích hợp với WordPress và WooCommerce cho các trang thương mại điện tử giả mạo. Tại đó, nạn nhân được lừa nhập thông tin xác thực trong quá trình thanh toán tưởng chừng hợp lệ.
Hoạt động này càng trở nên nguy hiểm hơn khi được tăng cường bởi các mô-đun chiếm quyền tài khoản PayPal, cho phép kẻ tấn công kiểm soát hoàn toàn tài khoản thanh toán của nạn nhân.
Để tìm hiểu thêm về sự tiến hóa của các nhóm này và cách thức chúng thực hiện các tấn công smishing, bạn có thể tham khảo báo cáo chi tiết tại: SEC Alliance – The Evolution of Chinese Smishing Syndicates.
Các Chiến Lược Kiếm Tiền và Rửa Tiền Đầy Tinh Vi
Các chiến lược kiếm tiền của các nhóm tội phạm này cho thấy sự hiểu biết kỹ thuật sâu sắc về hệ thống tài chính và bảo mật. Các đối tượng đã cấp phép từ 4-7 thẻ mỗi thiết bị cho nạn nhân ở Hoa Kỳ và từ 7-10 thẻ cho các mục tiêu ở Vương quốc Anh, đặc biệt trên các mẫu iPhone cũ hơn để khai thác các tính năng bảo mật yếu hơn.
Các hoạt động gian lận bao gồm các giao dịch tốc độ cao được thực hiện sau một thời gian không hoạt động từ 2-10 ngày, nhằm tránh bị phát hiện bởi các hệ thống giám sát giao dịch ban đầu.
Ngoài ra, chúng còn thực hiện rửa tiền qua các điểm bán hàng vật lý (POS) bằng cách sử dụng các tài khoản thương gia độc hại trên các nền tảng thanh toán hợp pháp như Stripe hoặc Flutterwave. Điều này giúp chúng hợp pháp hóa nguồn tiền bất chính.
Việc bán buôn các thiết bị đã được tải sẵn thông tin thẻ và được vận chuyển qua đường hàng không cũng là một phần quan trọng của chiến lược này. Đây là cách để chúng phân phối tài sản gian lận một cách hiệu quả và quy mô lớn.
Hệ Sinh Thái Các Nhóm Đối Thủ và Mở Rộng Hoạt Động
Hệ sinh thái tội phạm mạng này không chỉ có một nhóm duy nhất mà còn sản sinh ra nhiều đối thủ cạnh tranh. Các nhóm nổi bật bao gồm Chen Lun, PepsiDog, Darcula (được biết đến là xử lý 80-90% các URL smishing được quan sát), XinXin, Panda Shop, và Mouse.
Mỗi nhóm thường chuyên về các mục tiêu khu vực cụ thể và sử dụng việc quản lý phiên bản dựa trên Git để chuyển đổi thương hiệu nhanh chóng, giúp chúng thích nghi và né tránh các biện pháp đối phó.
Các mở rộng gần đây vào lừa đảo môi giới (brokerage phishing) cho việc chiếm quyền tài khoản đã mở ra một hướng mới. Điều này cho phép kẻ tấn công thực hiện rút tiền qua chuyển khoản ngân hàng hoặc các kế hoạch pump-and-dump sử dụng các tài khoản bị xâm nhập để thao túng cổ phiếu giá thấp, gây ra thiệt hại tài chính nghiêm trọng.
Đánh Giá Tác Động và Quy Mô Rò Rỉ Dữ Liệu
Các đánh giá tác động sâu rộng, dựa trên phân tích tên miền của 32.094 trang web theo chủ đề USPS hoạt động từ tháng 7 năm 2023 đến tháng 10 năm 2024, đã đưa ra con số ước tính đáng báo động.
Ước tính có từ 12.7 đến 115 triệu thẻ bị xâm phạm, tính toán dựa trên mức trung bình 387-3.485 thẻ mỗi tên miền từ các nghiên cứu độc lập. Đây là một quy mô rò rỉ dữ liệu chưa từng có, cho thấy mức độ nghiêm trọng của các tấn công smishing này.
Quy mô thiệt hại chưa từng có này gây ra chi phí lớn cho các tổ chức tài chính. Họ phải chịu gánh nặng trong việc phát hành lại thẻ, tiến hành điều tra phức tạp và thực hiện các biện pháp khắc phục hậu quả.
Tình hình trở nên trầm trọng hơn do các nhóm tội phạm chuyển sang sử dụng các cửa hàng điện tử giả mạo được quảng cáo rộng rãi trên các nền tảng lớn như Meta, TikTok và Google. Điều này làm suy yếu nghiêm trọng hiệu quả của các chương trình đào tạo nâng cao nhận thức người dùng truyền thống.
Các Biện Pháp Giảm Thiểu và Khuyến Nghị Nâng Cao An Toàn Thông Tin
Để chống lại những tấn công smishing tinh vi này, các chuyên gia bảo mật khuyến nghị cải tổ toàn diện quy trình cấp phép ví kỹ thuật số. Các biện pháp bao gồm sử dụng xác thực dựa trên ứng dụng, liên kết thiết bị với ứng dụng ngân hàng và triển khai cảnh báo cấp phép theo thời gian thực.
Ngoài ra, cần cung cấp cho khách hàng các kiểm soát tự chủ hơn, như khả năng đóng băng cấp phép thẻ để ngăn chặn hành vi gian lận ngay lập tức.
Sự hợp tác liên ngành giữa các ngân hàng, các gã khổng lồ công nghệ như Apple và Google, cùng các nhà cung cấp viễn thông là yếu tố cốt lõi. Việc này nhằm mục đích chia sẻ thông tin về mối đe dọa (threat intelligence) và phát hiện các mẫu tấn công một cách hiệu quả hơn.
Nếu không có những cải cách đồng bộ và quyết liệt này, bản chất thích nghi cao của các nhóm tội phạm này – thể hiện qua sự phát triển từ các chiêu trò lừa đảo cơ bản đến các đế chế PaaS toàn cầu – sẽ tiếp tục đặt ra rủi ro hiện hữu đối với an toàn thông tin thanh toán kỹ thuật số. Điều này đòi hỏi hành động phối hợp ngay lập tức để giảm thiểu các tổn thất hiện tại và trong tương lai.
