Phishing đa kênh đang thay đổi cách các chiến dịch phishing đánh cắp dữ liệu tài chính, khi tin nhắn lừa đảo không còn phụ thuộc chủ yếu vào SMS truyền thống. Thay vào đó, các kênh nhắn tin mã hóa như RCS và Apple iMessage được dùng để gửi liên kết độc hại trực tiếp đến thiết bị của nạn nhân.
Phishing qua RCS và iMessage vượt qua lọc SMS
Các bộ lọc ở cấp nhà mạng có thể phát hiện và chặn nhiều nội dung SMS đáng ngờ. Tuy nhiên, với RCS và iMessage, nội dung được truyền qua cơ chế mã hóa đầu cuối, khiến công cụ giám sát mạng khó kiểm tra hoặc ngăn chặn liên kết độc hại.
Hướng chuyển dịch này cho thấy phishing đã vượt khỏi mô hình gửi tin nhắn văn bản đơn giản. Kẻ tấn công tận dụng giao diện giàu tính tương tác của các ứng dụng nhắn tin để tăng độ tin cậy của thông điệp lừa đảo.
Tham khảo báo cáo gốc từ Google Threat Intelligence Group.
Cơ chế khiến chiến dịch khó bị phát hiện
So với SMS, các nền tảng nhắn tin hiện đại hiển thị tin nhắn giống như giao tiếp hợp lệ. Chúng hỗ trợ read receipts, typing indicators, hình ảnh độ phân giải cao và nhóm trò chuyện.
Điều này làm cho thông điệp phishing trông tự nhiên hơn, từ đó tăng khả năng nạn nhân tương tác với liên kết giả mạo. Lớp ngụy trang kỹ thuật và tính hợp lệ về mặt giao diện là điểm khác biệt chính của chiến dịch.
Mô hình Phishing-as-a-Service đang trưởng thành
Báo cáo cho biết có khoảng một chục nền tảng phishing-as-a-service (PhaaS) đang hoạt động trong hệ sinh thái ngầm sử dụng tiếng Trung. Các nền tảng này được mô tả là có tổ chức, vận hành bài bản và hạ thấp rào cản tham gia cho các đối tượng thực hiện lừa đảo.
Đây là dấu hiệu cho thấy phishing không còn là hoạt động thủ công đơn lẻ, mà đã được đóng gói thành dịch vụ có thể mở rộng. Mục tiêu không chỉ là thu thập tên đăng nhập và mật khẩu, mà là chiếm quyền truy cập để khai thác giao dịch tài chính theo thời gian thực.
Điểm khác biệt giữa các nền tảng
Nhóm nền tảng này không chỉ sao chép mô hình của các dịch vụ tương tự trước đó. Chúng có cấu trúc, mục tiêu và cách thức vận hành riêng, bao gồm cả việc công khai lợi nhuận trên các kênh nhắn tin nội bộ.
Điều đáng chú ý là phần lớn quy trình được tối ưu cho real-time credential theft. Khi nạn nhân nhập thông tin, dữ liệu lập tức xuất hiện trên bảng điều khiển của kẻ tấn công.
Chuỗi tấn công: từ liên kết lừa đảo đến chiếm quyền giao dịch
Khi nạn nhân nhấp vào liên kết trong tin nhắn phishing, họ được đưa tới một trang giả mạo để nhập thông tin xác thực. Dữ liệu này được chuyển ngay đến bảng quản trị của kẻ tấn công.
Ngay sau đó, kẻ tấn công kích hoạt yêu cầu OTP trên thiết bị của mình cùng lúc nạn nhân nhận mã xác thực. Nạn nhân nhập mã, và mã bị thu thập trong vài giây, làm vô hiệu hóa lớp multifactor authentication theo thời gian thực.
Chuỗi này cho thấy mục tiêu đã mở rộng từ đánh cắp thông tin đăng nhập sang chiếm quyền điều khiển phiên giao dịch và tài khoản tài chính.
Hậu khai thác và provisioning ví số
Sau khi lấy được thông tin, các nền tảng này tập trung mạnh vào digital wallet provisioning. Đây là quá trình thêm thẻ thanh toán của nạn nhân vào thiết bị do kẻ tấn công kiểm soát.
Khi thẻ đã được tokenized trong ví số, nó có thể được dùng cho thanh toán giá trị cao, giao dịch tap-to-pay và rút tiền mặt mà không cần mang theo thẻ vật lý. Mô hình này làm cho phishing trở thành công cụ trực tiếp phục vụ gian lận tài chính.
Ví dụ nền tảng PhaaS và quy mô hoạt động
Một ví dụ được nêu trong nghiên cứu là nền tảng YY Lai Yu, hoạt động từ tháng 8/2024 và cung cấp hơn 400 mẫu phishing nhắm tới người dùng tại 119 quốc gia.
Quy mô template lớn cho thấy các chiến dịch được chuẩn hóa theo ngành hàng, dịch vụ tài chính hoặc bối cảnh xác thực khác nhau. Điều này giúp kẻ tấn công tái sử dụng hạ tầng với chi phí vận hành thấp hơn.
Rủi ro bảo mật và điểm yếu bị khai thác
Rủi ro chính không nằm ở giao thức nhắn tin đơn lẻ, mà ở việc phishing chuyển sang lớp truyền thông ít bị giám sát hơn. Khi nội dung đi qua kênh mã hóa, bộ lọc dựa trên mạng không còn đủ hiệu quả.
Việc mô phỏng giao diện nhắn tin hợp lệ cũng làm tăng khả năng bỏ qua cảnh giác của người dùng. Kết hợp với OTP thời gian thực, kẻ tấn công có thể vượt qua cơ chế xác thực nếu nạn nhân tự nhập mã vào trang giả.
IOC
- YY Lai Yu – Nền tảng PhaaS được nhắc tới trong nghiên cứu.
- RCS – Kênh phân phối tin nhắn lừa đảo qua Rich Communication Services.
- Apple iMessage – Kênh nhắn tin mã hóa được lạm dụng để phát tán liên kết độc hại.
Biện pháp giảm thiểu theo hướng kỹ thuật
Đối với lớp xác thực, nên ưu tiên FIDO2/WebAuthn để chống lại việc chặn và chuyển tiếp OTP theo thời gian thực. Cơ chế này giảm rủi ro từ việc người dùng vô tình cung cấp mã xác thực cho trang giả mạo.
Đối với tổ chức tài chính, cần kết hợp xác thực mạnh với risk-based verification và device fingerprinting trong quy trình provisioning ví số. Cách này giúp phát hiện thiết bị bất thường và làm khó việc đưa thông tin bị đánh cắp vào ví.
Ở lớp phòng thủ người dùng, các chiến dịch phishing qua RCS và iMessage cho thấy không thể chỉ dựa vào lọc SMS truyền thống. Việc kiểm soát liên kết, xác minh miền đích và giám sát bất thường trong đăng nhập vẫn là các điểm kiểm tra quan trọng.
Điểm cần lưu ý cho phát hiện xâm nhập
Các hệ thống IDS hoặc bộ lọc mạng có thể khó quan sát trực tiếp nội dung trong kênh mã hóa đầu cuối. Vì vậy, phát hiện cần chuyển trọng tâm sang hành vi: truy cập bất thường, yêu cầu OTP dồn dập, thay đổi thiết bị đăng nhập và dấu hiệu provisioning ví không hợp lệ.
Trong bối cảnh phishing ngày càng được thương mại hóa, việc theo dõi chuỗi sự kiện từ tin nhắn, phiên đăng nhập đến giao dịch tài chính là cần thiết. Đây là hướng phân tích hiệu quả hơn so với chỉ dựa vào danh sách chặn URL.
