Tổng quan về Mạng lưới Baiting News Sites (BNS)
Hãng an ninh mạng CTM360 đã phát hiện một mạng lưới rộng lớn gồm hơn 17.000 Baiting News Sites (BNS), được tội phạm mạng thiết kế để phát tán các vụ lừa đảo đầu tư trên phạm vi toàn cầu. Các nền tảng lừa đảo này, được xác định thông qua hệ thống giám sát độc quyền WebHunt của CTM360, mạo danh các tổ chức tin tức có thẩm quyền như CNN, BBC, CNBC, và các đối tác khu vực. Chúng tạo ra những câu chuyện giả mạo, liên kết sai lệch các nhân vật công chúng nổi bật, ngân hàng trung ương và các tổ chức tài chính thương mại với các cơ hội đầu tư lợi nhuận cao nhưng không hề tồn tại.
Mục tiêu cuối cùng của hoạt động này là tạo dựng sự tín nhiệm giả mạo, thu thập thông tin nhận dạng cá nhân (PII) của nạn nhân và chiếm đoạt tiền thông qua các kế hoạch lợi nhuận cao ảo.
Chiến thuật và Kỹ thuật Tấn công
Kẻ lừa đảo sử dụng các chiến thuật kỹ thuật xã hội tinh vi để phân tán các trang BNS này. Chúng được quảng bá thông qua quảng cáo nhắm mục tiêu trên các nền tảng phổ biến như Google Ads và Meta. Người dùng không nghi ngờ sẽ bị chuyển hướng đến các hệ sinh thái lừa đảo phức tạp, bao gồm các hệ thống lừa đảo giao dịch tiền điện tử tự động và các nền tảng như Trap10.
Các trường hợp BNS này trải rộng tại 50 quốc gia và được bản địa hóa một cách tỉ mỉ. Nội dung được điều chỉnh để phù hợp với ngôn ngữ bản địa, tích hợp các nhân vật có ảnh hưởng trong khu vực dễ nhận biết và các thương hiệu ngân hàng quen thuộc. Điều này nhằm mục đích tăng cường tính hợp pháp cảm nhận và tỷ lệ tương tác của nạn nhân.
Về mặt kỹ thuật, các tên miền được sử dụng cho BNS thường là các phần mở rộng cấp cao (TLD) có chi phí thấp như .xyz, .shop, hoặc .click. Ngoài ra, tội phạm mạng đôi khi còn chiếm quyền điều khiển các máy chủ hợp pháp để né tránh phát hiện và gây khó khăn cho các nỗ lực gỡ bỏ của các đội ngũ tình báo mối đe dọa.
Quy trình Lừa đảo
BNS chủ yếu hoạt động như một vector phân phối trong giai đoạn ban đầu của cuộc tấn công. Chúng khởi tạo liên hệ với nạn nhân thông qua các quảng cáo được tài trợ, bắt chước các tiêu đề tin tức đáng tin cậy. Ví dụ, các quảng cáo này có thể tuyên bố về những tiết lộ vô tình của các thống đốc ngân hàng trung ương về “phương pháp làm giàu bằng tiền điện tử bí mật”.
Những quảng cáo này thường được đặt trên các hồ sơ mạng xã hội giả mạo, có sự xác nhận bịa đặt từ các nhân vật nổi tiếng, nhằm dẫn dụ lưu lượng truy cập đến các bài báo tin tức giả mạo. Khi người dùng tương tác với các bài viết này, họ sẽ được chuyển hướng liền mạch đến các nền tảng đầu tư giả mạo như Eclipse Earn hoặc Solara Vynex. Tại đây, các biểu mẫu đăng ký yêu cầu PII bao gồm tên, chi tiết liên hệ và ID quốc gia, dưới chiêu bài xác minh tài khoản.
Các giai đoạn tiếp theo của quy trình lừa đảo bao gồm các tương tác theo kịch bản với những “chuyên gia đầu tư” được cho là qua điện thoại. Mục đích của các cuộc gọi này là trích xuất dữ liệu nhạy cảm hơn như thông tin đăng nhập ngân hàng và yêu cầu tải lên tài liệu. Việc này được ngụy tạo là tuân thủ các quy định KYC (Know Your Customer), nhưng trên thực tế lại tạo điều kiện cho hành vi trộm cắp danh tính và các chiến dịch lừa đảo thứ cấp trên các thị trường dark web.
Mục tiêu và Chiến lược Tiền tệ hóa
Việc kiếm tiền từ hoạt động lừa đảo này xoay quanh các khoản tiền gửi ban đầu, thường bắt đầu từ 240 USD. Số tiền này được chuyển qua các ví tiền điện tử, tài khoản trung gian (mule accounts) hoặc thẻ quà tặng. Các nền tảng lừa đảo hiển thị bảng điều khiển lợi nhuận mô phỏng để tạo ảo giác về lợi nhuận cao và khuyến khích các khoản đầu tư tiếp theo từ nạn nhân.
Khi nạn nhân cố gắng rút tiền, các cơ chế giam giữ sẽ được kích hoạt. Kẻ lừa đảo đưa ra các lý do bịa đặt như yêu cầu phí xác minh hoặc chậm trễ hệ thống, đảm bảo rằng tiền vẫn không thể truy cập được. Trong khi đó, kẻ lừa đảo sẽ chiếm đoạt số tiền thu được.
Động cơ tài chính này nhấn mạnh mục tiêu trộm cắp tài sản trực tiếp, bổ sung bằng việc thu thập PII để bán lại hoặc phục vụ các hoạt động lừa đảo (phishing) phụ trợ, bao gồm cả việc chiếm quyền điều khiển ví tiền điện tử.
Phạm vi Toàn cầu và Phân tích Mục tiêu
Phân tích bản đồ địa lý của CTM360 cho thấy sự nhắm mục tiêu tập trung vào các khu vực như Trung Đông, Châu Á – Thái Bình Dương, Châu Âu, Châu Đại Dương, Châu Mỹ và Châu Phi. Các quốc gia bị nhắm mục tiêu hàng đầu bao gồm:
- Châu Á: Trung Quốc, Ấn Độ, Nhật Bản, Indonesia
- Châu Âu: Đức, Vương quốc Anh, Pháp, Nga, Ý
- Châu Mỹ: Brazil, Canada
- Châu Phi: Nam Phi
- Trung Đông: Ả Rập Xê Út
- Châu Đại Dương: Úc
Sự điều chỉnh nội dung theo từng khu vực này làm tăng hiệu quả của các chiến dịch lừa đảo. Kẻ lừa đảo tích hợp các yếu tố văn hóa phù hợp, chẳng hạn như các câu chuyện bịa đặt liên kết các nhà lãnh đạo địa phương hoặc ngân hàng quốc gia với các kế hoạch hứa hẹn lợi nhuận tự động. Mục đích là khai thác các yếu tố tin cậy và thiên lệch nhận thức của nạn nhân.
Phát hiện và Phân tích của CTM360
Phân tích của CTM360, được xây dựng trong công cụ Scam Navigator của họ và lấy cảm hứng từ khuôn khổ MITRE ATT&CK, đã phác thảo chu kỳ sống của các vụ lừa đảo này. Chu kỳ này được phân chia thành sáu giai đoạn chính:
- Resource Development (Phát triển Tài nguyên): Giai đoạn chuẩn bị các công cụ và cơ sở hạ tầng cần thiết cho vụ lừa đảo.
- Trigger (Kích hoạt): Các yếu tố hoặc sự kiện được sử dụng để thu hút sự chú ý của nạn nhân.
- Distribution (Phân phối): Phương pháp lan truyền các trang BNS và nội dung lừa đảo đến đối tượng mục tiêu.
- Target Interaction (Tương tác Mục tiêu): Cách nạn nhân tương tác với các trang lừa đảo và bị dẫn dắt vào quy trình.
- Motive (Động cơ): Mục đích cuối cùng của kẻ tấn công, thường là thu thập thông tin hoặc tiền.
- Monetization (Kiếm tiền): Các cơ chế được sử dụng để chuyển đổi sự lừa đảo thành lợi ích tài chính.
Hoạt động giám sát liên tục của CTM360 đã phát hiện các mô hình trong cơ sở hạ tầng lưu trữ chia sẻ và lạm dụng nền tảng quảng cáo. Điều này chỉ ra một số điểm yếu mà kẻ lừa đảo đang khai thác.
Các Biện pháp Đối phó và Khuyến nghị
Sự gia tăng nhanh chóng của các BNS này không chỉ làm xói mòn niềm tin của công chúng vào truyền thông trực tuyến mà còn gây ra rủi ro hệ thống đối với an ninh tài chính. CTM360 đặc biệt nhấn mạnh nhu cầu tăng cường kiểm duyệt nội dung và phát hiện bất thường dựa trên AI trong các mạng lưới quảng cáo kỹ thuật số. Ngoài ra, CTM360 ủng hộ việc săn lùng mối đe dọa chủ động (proactive threat hunting) và phối hợp gỡ bỏ các trang web độc hại (collaborative takedowns) để phá vỡ mạng lưới lừa đảo tinh vi này.
