Phishing Kit Lighthouse: Phân Tích Chiến Dịch Smishing Lừa Đảo DMV

Các chiến dịch tấn công lừa đảo qua tin nhắn (smishing) tiếp tục là một mối đe dọa dai dẳng và tinh vi, nhắm mục tiêu vào người dùng bằng các thông báo giả mạo được thiết kế để đánh cắp thông tin nhạy cảm. Một chiến dịch đáng chú ý đang diễn ra đã được xác định là sử dụng Phishing Kit Lighthouse, chuyên biệt hóa trong việc mô phỏng các trang web của Cục Quản lý Phương tiện Cơ giới (DMV) để thu thập dữ liệu cá nhân và tài chính.

Phân tích Chiến dịch Smishing Lighthouse

Chiến dịch này được thiết kế để khai thác sự tin cậy của nạn nhân vào các thông báo chính thức, bằng cách giả mạo các cảnh báo về vi phạm giao thông chưa thanh toán hoặc đình chỉ giấy phép lái xe. Kỹ thuật lừa đảo được triển khai thông qua tin nhắn SMS, sử dụng các số điện thoại cục bộ giả mạo của DMV và địa chỉ email từ các tên miền không rõ ràng để tăng tính hợp pháp giả định.

Khi nạn nhân nhấp vào liên kết độc hại trong tin nhắn SMS, họ sẽ được chuyển hướng đến các trang web DMV giả mạo, được sao chép một cách tinh vi. Mục tiêu chính của các trang này là thu thập một loạt thông tin cá nhân và tài chính. Các dữ liệu được yêu cầu từ nạn nhân bao gồm:

• Tên đầy đủ
• Địa chỉ
• Địa chỉ email
• Số điện thoại
• Thông tin thẻ tín dụng

Đáng chú ý, các trang web lừa đảo này yêu cầu một khoản thanh toán nhỏ, cụ thể là $6.99, nhằm mục đích làm cho yêu cầu có vẻ hợp lý và ít gây nghi ngờ hơn, đồng thời thu thập chi tiết thẻ tín dụng của nạn nhân.

Để tăng cường tính thuyết phục, những kẻ tấn công còn chèn thêm các đoạn mã luật pháp giả mạo vào tin nhắn. Ví dụ về mã luật được ngụy tạo là “[State-Name] Administrative Code 15C-16.003“. Việc này nhằm mục đích tạo ra một cảm giác cấp bách và đáng tin cậy, khiến nạn nhân tin rằng họ đang đối phó với một vấn đề pháp lý chính thức.

Mục tiêu và Phạm vi Tấn công

Chiến dịch này đã nhắm mục tiêu cụ thể đến các bang lớn của Hoa Kỳ, với các trang web giả mạo được sao chép cho từng khu vực. Các bang được đề cập đã bị nhắm mục tiêu bao gồm:

• California
• Texas
• New York

Sự lựa chọn các bang này cho thấy ý đồ của kẻ tấn công nhằm vào các khu vực đông dân cư, tối đa hóa khả năng thành công của chiến dịch. Các trang web được tùy chỉnh để khớp với quy định và giao diện của DMV tại từng bang, gây khó khăn cho nạn nhân trong việc phân biệt đâu là trang thật và đâu là giả.

Dấu hiệu Nhận biết Nguy hiểm (IOCs)

Để giúp các chuyên gia bảo mật, quản trị viên hệ thống và SOC Analyst trong việc phát hiện và ứng phó với các cuộc tấn công của chiến dịch Lighthouse, dưới đây là các chỉ số thỏa hiệp (IOCs) đã được biết đến:

• Quy ước đặt tên miền độc hại: https://[state_ID]dmv.gov-[4-letter-string].cfd/pay. Các tên miền này thường sử dụng phần mở rộng .cfd và kết hợp ID bang cùng một chuỗi ký tự ngẫu nhiên để tạo ra sự đa dạng, né tránh bị phát hiện.
• Địa chỉ IP độc hại được biết đến: 49.51.75.162. Đây là địa chỉ IP được sử dụng để lưu trữ các tên miền lừa đảo. Việc chặn địa chỉ IP này ở cấp độ tường lửa hoặc IDS/IPS có thể giúp giảm thiểu rủi ro.
• Nguồn gốc SMS giả mạo được truy vết đến: Philippines. Thông tin này có thể hỗ trợ các hoạt động tình báo đe dọa và thiết lập các quy tắc lọc dựa trên nguồn gốc lưu lượng.

Đặc điểm của Tác nhân Đe dọa

Các chỉ số mạnh mẽ cho thấy rằng tác nhân đe dọa đứng sau chiến dịch Lighthouse có nguồn gốc từ Trung Quốc. Mặc dù chi tiết cụ thể về nhóm APT hoặc cá nhân chưa được công bố, nhưng việc xác định nguồn gốc này cung cấp một cái nhìn quan trọng về động cơ, kỹ năng và quy mô tiềm năng của chiến dịch. Các tác nhân đe dọa có nguồn gốc từ Trung Quốc thường nổi tiếng với khả năng thực hiện các chiến dịch lừa đảo quy mô lớn và tinh vi, thu thập dữ liệu nhạy cảm cho các mục đích khác nhau, từ tình báo đến lợi ích tài chính.

Dòng thời gian Tấn công

Chiến dịch smishing sử dụng Phishing Kit Lighthouse lần đầu tiên được xác định vào tháng 5 năm 2025 và vẫn đang tiếp diễn tính đến tháng 6 năm 2025. Dòng thời gian liên tục này nhấn mạnh sự cần thiết phải cảnh giác và thực hiện các biện pháp phòng ngừa liên tục để bảo vệ người dùng và tổ chức khỏi các mối đe dọa đang phát triển này.

Biện pháp Phòng ngừa và Khuyến nghị

Để bảo vệ bản thân và tổ chức khỏi các chiến dịch smishing như Lighthouse, các chuyên gia bảo mật và người dùng cuối cần áp dụng các biện pháp phòng ngừa sau:

• Kiểm tra kỹ URL: Luôn kiểm tra kỹ các liên kết trong tin nhắn SMS hoặc email trước khi nhấp vào. Đặc biệt chú ý đến tên miền. Các tên miền hợp pháp của chính phủ thường kết thúc bằng .gov và không chứa các ký tự lạ hoặc phần mở rộng tên miền không phổ biến như .cfd.
• Xác minh thông báo qua kênh chính thức: Nếu nhận được thông báo yêu cầu thanh toán hoặc thông tin cá nhân từ DMV hoặc bất kỳ cơ quan chính phủ nào, hãy truy cập trang web chính thức của họ bằng cách nhập URL trực tiếp vào trình duyệt hoặc gọi điện đến số điện thoại công khai của họ để xác minh. Tuyệt đối không sử dụng các thông tin liên hệ được cung cấp trong tin nhắn đáng ngờ.
• Cảnh giác với các yêu cầu thông tin cá nhân: Các cơ quan chính phủ thường không yêu cầu thông tin nhạy cảm như số thẻ tín dụng qua tin nhắn SMS hoặc email không được mã hóa. Hãy luôn nghi ngờ những yêu cầu như vậy.
• Báo cáo tin nhắn đáng ngờ: Báo cáo các tin nhắn smishing hoặc email lừa đảo cho nhà cung cấp dịch vụ di động hoặc cơ quan có thẩm quyền.
• Cập nhật hệ thống bảo mật: Đảm bảo rằng các giải pháp bảo mật email và điểm cuối được cập nhật liên tục với các chữ ký và quy tắc phát hiện mới nhất để chống lại các tên miền và IP độc hại đã biết.
• Đào tạo nhận thức về bảo mật: Thường xuyên đào tạo người dùng về các mối đe dọa lừa đảo và smishing, giúp họ nhận biết các dấu hiệu của một cuộc tấn công và cách phản ứng phù hợp.

Việc hiểu rõ các kỹ thuật tấn công và các chỉ số liên quan là rất quan trọng để xây dựng một tư thế an ninh mạng vững chắc trong bối cảnh các mối đe dọa đang ngày càng phức tạp.