Một kỹ thuật lừa đảo mới đã được phát hiện, thay vì gửi email phishing truyền thống, kẻ tấn công đã chèn hóa đơn giả trực tiếp vào lịch sử đặt hàng của các ứng dụng mua sắm, tạo cảm giác đáng tin cậy hơn cho người dùng. Kỹ thuật này đánh vào tâm lý tin tưởng vào không gian mua sắm quen thuộc, làm tăng nguy cơ xâm nhập mạng.
Chi tiết về Kỹ thuật Lừa đảo Hóa đơn Giả
Các nhà nghiên cứu đã quan sát thấy các biên nhận gian lận xuất hiện trong ứng dụng Shop, một ứng dụng theo dõi đơn hàng phổ biến của Shopify. Kẻ tấn công lợi dụng không gian này để nhắm vào người dùng khi họ đang ở trong một môi trường mà họ tin tưởng, làm giảm sự cảnh giác.
Phương thức hoạt động
Kẻ lừa đảo tạo ra các khoản phí giả mạo cho các mặt hàng có giá trị cao hoặc các gói đăng ký. Người dùng nhìn thấy một biên nhận trông giống thật bên trong một ứng dụng mà họ thường xuyên sử dụng cho các giao dịch mua sắm thông thường. Điều này tạo ra sự hoang mang và khiến họ tin rằng đây là một giao dịch thực tế.
Biên nhận giả mạo thường bao gồm một số điện thoại và lời kêu gọi người dùng liên hệ bộ phận hỗ trợ nếu họ không thực hiện đơn hàng. Đây chính là lúc mối đe dọa thực sự bắt đầu, vì cuộc gọi này sẽ dẫn đến những tổn thất.
Mối đe dọa này nhắm vào người tiêu dùng hàng ngày bằng cách tạo ra các khoản phí không xác định cho các mặt hàng hoặc dịch vụ có giá trị cao. Nạn nhân thấy một biên nhận trông có vẻ hợp pháp bên trong một ứng dụng mua sắm quen thuộc.
Số điện thoại được kẻ lừa đảo đặt một cách tinh vi trong mô tả sản phẩm, nội dung biên nhận, hoặc thậm chí trong trường địa chỉ giao hàng. Mặc dù vị trí này có vẻ bất thường, nhưng việc xuất hiện trong một ứng dụng đáng tin cậy khiến người dùng ít nghi ngờ.
Vai trò của ứng dụng Shop
Ứng dụng Shop có chức năng tổng hợp các xác nhận đơn hàng, thông tin vận chuyển và biên nhận tại một nơi. Ứng dụng có thể truy xuất dữ liệu đơn hàng từ các hộp thư Gmail hoặc Outlook đã kết nối bằng cách quét các từ khóa như “mã vận chuyển” hoặc “theo dõi gói hàng”.
Điều này làm cho ứng dụng trở nên hữu ích cho người mua sắm thực tế, nhưng cũng tạo ra một bề mặt mà kẻ tấn công đã tìm ra cách để khai thác.
Chiến thuật kỹ thuật và xã hội
Các nhà phân tích tại GenDigital đã xác định và ghi nhận kỹ thuật này sau khi nhận được báo cáo từ người dùng phát hiện các đơn hàng giả trong ứng dụng Shop. Kẻ lừa đảo đang chèn các yêu cầu mua hàng giả vào trải nghiệm đặt hàng của các ứng dụng mua sắm, nơi người dùng quen thuộc với việc xem các biên nhận và cập nhật thực tế.
Các thương hiệu bị mạo danh bao gồm các tên tuổi nổi tiếng trong lĩnh vực công nghệ và bảo mật. Các báo cáo chỉ ra các khoản phí hư cấu cho các gói đăng ký bảo mật, thẻ quà tặng Apple, iPhone và các yêu cầu thanh toán kiểu PayPal. Tên thương hiệu có thể thay đổi tùy theo nạn nhân, nhưng mục tiêu không đổi: tạo ra sự hoang mang, sau đó cung cấp cho nạn nhân một số điện thoại.
Các báo cáo công khai trên diễn đàn cho thấy đây không phải là một sự cố đơn lẻ. Các chủ đề trên Reddit cho thấy người dùng gặp phải các đơn hàng không xác định trong ứng dụng Shop mà không có phí ngân hàng tương ứng và không có email theo dõi nào từ bất kỳ người bán thực tế nào. Mẫu hình này cho thấy sự lạm dụng có chủ đích và liên tục cơ sở hạ tầng ứng dụng đáng tin cậy.
GenDigital lưu ý rằng con đường khai thác chính xác vẫn cần được xác nhận. Đơn hàng giả có thể được nhập thông qua quy trình làm việc của người bán, phân tích email hoặc một cơ chế khác mà kẻ tấn công đã tìm ra cách để lạm dụng. Điều rõ ràng là nội dung gian lận đang xuất hiện trong một không gian nơi người dùng mong đợi xem các giao dịch mua thực tế.
Các biên nhận giả xuất hiện dưới các tên người bán chung chung như “My Store”, với các hóa đơn tuyên bố một gói đăng ký đã được gia hạn với chi phí vài trăm đô la.
Mục tiêu và Kỹ thuật Tấn công
Mục tiêu chính của kỹ thuật này là tạo ra sự hoảng loạn và ép buộc nạn nhân gọi vào số điện thoại được cung cấp. Số điện thoại này thường được đặt ở những vị trí bất ngờ trên biên nhận giả, nhưng do tính chất của ứng dụng, người dùng có thể không nhận ra ngay sự bất thường.
Sau khi nạn nhân gọi vào số điện thoại, kẻ lừa đảo sẽ đóng vai các nhân viên hỗ trợ khách hàng, bộ phận hủy dịch vụ hoặc bộ phận hỗ trợ thương hiệu chính thức. Kịch bản sau đó sẽ chuyển sang thu thập thông tin thanh toán, mật khẩu, mã dùng một lần hoặc yêu cầu quyền truy cập từ xa vào thiết bị.
Trước khi nạn nhân nhận ra mình đang bị lừa, kẻ tấn công đã chuyển hướng cuộc tương tác ra khỏi ứng dụng và vào một kênh mà chúng hoàn toàn kiểm soát. Biên nhận giả đóng vai trò là yếu tố tạo động lực, tạo đủ sự cấp bách để nạn nhân thực hiện cuộc gọi.
Các nhà nghiên cứu GenDigital lưu ý rằng điều này tuân theo logic tương tự như các vụ lừa đảo qua lời mời lịch, nơi kênh phân phối thay đổi cách mọi người đánh giá một thông điệp hơn nhiều so với nội dung thực tế của nó. Kỹ thuật này tương tự như các vụ tấn công Social Engineering, nhưng sử dụng một bề mặt phân phối mới và khó bị nghi ngờ hơn.
Tác động và Rủi ro
Nếu một nạn nhân gọi đến số điện thoại trong biên nhận giả, cuộc trò chuyện sẽ nhanh chóng trở nên nguy hiểm. Người nghe máy có thể tự nhận là đại diện bộ phận thanh toán, nhóm hủy dịch vụ hoặc bộ phận hỗ trợ thương hiệu chính thức.
Kịch bản phổ biến là yêu cầu thu thập chi tiết thanh toán, mật khẩu, mã dùng một lần hoặc quyền truy cập từ xa vào thiết bị. Đến khi nạn nhân nhận ra có điều gì đó không ổn, kẻ lừa đảo đã di chuyển tương tác ra khỏi ứng dụng và vào một không gian mà chúng kiểm soát hoàn toàn.
Biên nhận giả chỉ phục vụ một mục đích: tạo đủ sự khẩn cấp để bắt đầu cuộc gọi. Kỹ thuật lừa đảo qua tin nhắn này tuy quen thuộc nhưng phương thức phân phối mới và khó bị nghi ngờ ngay lập tức hơn. Một hóa đơn giả bên trong biên nhận của ứng dụng mua sắm có thể có cảm giác gần gũi với một khoản phí thực tế hơn là một tin nhắn nằm trong hộp thư đến đông đúc.
Biện pháp Phòng ngừa
Nếu bạn thấy một đơn hàng đáng ngờ bên trong ứng dụng mua sắm, tuyệt đối không gọi bất kỳ số điện thoại nào được liệt kê trong biên nhận.
Hãy mở trực tiếp ứng dụng ngân hàng hoặc thẻ của bạn để kiểm tra xem có thực sự tồn tại khoản phí nào không. Truy cập trang web chính thức của thương hiệu để xác minh và báo cáo các cửa hàng đáng ngờ thông qua tùy chọn có sẵn trong ứng dụng.
Việc nâng cao nhận thức về các phương thức lừa đảo mới và cách chúng khai thác các nền tảng quen thuộc là rất quan trọng để bảo vệ bản thân khỏi các mối đe dọa an ninh mạng ngày càng tinh vi.
