Mùa lễ hội cuối năm đã chứng kiến sự gia tăng đáng kể của các chiến dịch tấn công mạng tinh vi. Các chiến dịch này kết hợp hai chiến thuật nguy hiểm: thu thập thông tin đăng nhập (credential harvesting) thông qua các thông báo Docusign giả mạo và đánh cắp danh tính (identity theft) bằng cách sử dụng các biểu mẫu đơn vay tiền giả.
Những chiến dịch phối hợp này tận dụng sự hỗn loạn đặc trưng của mùa lễ, khi hộp thư đến của người dùng trở nên quá tải và áp lực tài chính gia tăng trong giai đoạn Giáng sinh và Năm mới. Kẻ tấn công khai thác tâm lý và môi trường bận rộn này để giảm khả năng cảnh giác của nạn nhân.
Các tác nhân đe dọa đã lợi dụng lòng tin mà người dùng đặt vào các quy trình làm việc kinh doanh quen thuộc, đặc biệt là quy trình xem xét tài liệu. Mục tiêu là để đánh cắp dữ liệu cá nhân và doanh nghiệp trên quy mô chưa từng có, qua đó thực hiện các cuộc tấn công mạng có chủ đích.
Phân Tích Kỹ Thuật Các Chiến Dịch Tấn Công Phishing Mùa Lễ Hội
Nghiên cứu của Forcepoint X-Labs vào cuối tháng 12 đã xác định một chuỗi đe dọa phức tạp. Chuỗi tấn công này bao gồm nhiều giai đoạn, từ việc mạo danh các dịch vụ uy tín đến việc chuyển hướng người dùng qua nhiều nền tảng trung gian nhằm che giấu nguồn gốc.
Chiến dịch được thiết kế để thuyết phục người dùng rằng họ cần xem xét các tài liệu đã hoàn thành trong thời gian bận rộn của mùa lễ. Điều này tạo ra một cảm giác cấp bách và chính đáng, khuyến khích nhấp chuột nhanh chóng mà không cần xác minh kỹ lưỡng.
Các nhà phân tích đã theo dõi cấu trúc của các cuộc tấn công và khám phá cơ sở hạ tầng hỗ trợ. Chúng được thiết lập để thực hiện các hành vi gian lận, bao gồm việc sử dụng nhiều tên miền và dịch vụ lưu trữ khác nhau để duy trì hoạt động và tránh bị phát hiện. Việc sử dụng các kỹ thuật như vậy làm tăng rủi ro bảo mật cho người dùng.
Chiến Dịch Docusign Phishing: Đánh Cắp Thông Tin Đăng Nhập Doanh Nghiệp
Cơ Chế Tấn Công Email Phishing Ban Đầu
Kẻ lừa đảo gửi email mạo danh Docusign với thương hiệu và chân trang (footer) trông xác thực. Tuy nhiên, những tin nhắn này có nguồn gốc từ các tên miền đáng ngờ như jritech.shop, chứ không phải từ các máy chủ Docusign hợp pháp. Việc này là một phương pháp tấn công mạng phổ biến.
Các email thường đề cập đến các tài liệu giả mạo theo chủ đề Giáng sinh, ví dụ như đơn đặt hàng rượu. Điều này tạo ra một cảm giác hợp lệ và khuyến khích người dùng nhấp chuột nhanh chóng mà không kiểm tra kỹ lưỡng nguồn gốc email.
Chuỗi Chuyển Hướng Phức Tạp và Thu Thập Thông Tin Đăng Nhập
Khi người dùng nhấp vào nút “Xem tài liệu” (Review Document), họ sẽ được chuyển hướng qua nhiều nền tảng lưu trữ khác nhau. Chuỗi chuyển hướng này bao gồm Fastly, Glitch và Surge.sh.
Mục đích của việc chuyển hướng qua nhiều máy chủ trung gian là để che giấu nguồn gốc cuối cùng của cuộc tấn công, gây khó khăn cho việc theo dõi và phân tích bảo mật. Đây là một kỹ thuật thường thấy trong các chiến dịch tấn công mạng phức tạp nhằm né tránh các hệ thống phát hiện.
Sau khi hoàn thành chuỗi chuyển hướng, nạn nhân sẽ được đưa đến các trang thu thập thông tin đăng nhập. Các trang này được thiết kế để đánh cắp thông tin đăng nhập email công ty, vốn là mục tiêu chính của các cuộc tấn công này.
Chiến Dịch Đánh Cắp Danh Tính Qua Đơn Vay Tiền Giả Mạo
Làn sóng thứ hai của chiến dịch giới thiệu một vector tấn công riêng biệt nhưng bổ sung. Mục tiêu là thông tin tài chính cá nhân thay vì thông tin đăng nhập doanh nghiệp. Điều này cho thấy kẻ tấn công tìm cách tối đa hóa việc đánh cắp dữ liệu từ các nạn nhân.
Kỹ Thuật Lừa Đảo Qua Email Vay Tiền
Các email spam về khoản vay trong mùa lễ hứa hẹn tiền mặt nhanh chóng, lãi suất thấp và phê duyệt khẩn cấp. Những lời đề nghị hấp dẫn này được thiết kế để thu hút sự chú ý của những người đang chịu áp lực tài chính, từ đó thu thập dữ liệu cá nhân nhạy cảm.
Cơ chế tấn công cốt lõi liên quan đến một bảng câu hỏi đánh cắp danh tính đa giai đoạn. Bảng câu hỏi này được lưu trữ trên tên miền christmasscheercash.com, dẫn dắt nạn nhân qua một quy trình thu thập dữ liệu lừa đảo tinh vi.
Quy Trình Thu Thập Dữ Liệu Đa Giai Đoạn
Biểu mẫu bắt đầu một cách vô hại bằng cách hỏi nạn nhân cần bao nhiêu tiền, với các tùy chọn từ 100 đến 50.000 đô la. Giai đoạn này nhằm tạo sự tin tưởng ban đầu và giảm nghi ngờ.
Sau đó, biểu mẫu dần dần yêu cầu các thông tin cơ bản như tên, email và số điện thoại. Đây là những thông tin thường thấy trong bất kỳ đơn xin vay tiền nào, duy trì vỏ bọc hợp pháp.
Bảng câu hỏi tiếp tục bằng cách hỏi về quyền sở hữu nhà, quyền sở hữu xe, chi tiết nhà tuyển dụng và thông tin thu nhập. Giai đoạn này tiếp tục duy trì vẻ ngoài hợp pháp, khiến nạn nhân ít cảnh giác hơn về mục đích thực sự của việc thu thập thông tin cá nhân. Những cuộc tấn công mạng này được lên kế hoạch rất cẩn thận.
Tuy nhiên, mục tiêu thực sự trở nên rõ ràng ở các giai đoạn cuối cùng. Biểu mẫu yêu cầu thông tin ngân hàng đầy đủ, bao gồm số định tuyến, số tài khoản và các chi tiết nhạy cảm khác, với lý do giả mạo là để gửi tiền vay. Điều này trực tiếp dẫn đến việc đánh cắp dữ liệu tài chính nghiêm trọng.
Mẫu Chuyển Giao Dữ Liệu Lừa Đảo và Rủi Ro Tiếp Theo
Sau khi gửi thông tin, người dùng sẽ được chuyển hướng đến các trang web lừa đảo bổ sung, chẳng hạn như thepersonalfinanceguide.com. Các trang này tiếp tục yêu cầu cung cấp cùng một thông tin lần nữa, phơi bày nạn nhân trước nguy cơ bị spam các đề nghị vay tiền không ngừng.
Mẫu chuyển giao này là tiêu chuẩn trong các hệ sinh thái đánh cắp danh tính. Chúng được thiết kế để tối đa hóa việc thu thập dữ liệu và kiếm tiền trên nhiều nền tảng lừa đảo. Điều này cũng làm tăng tính phức tạp trong việc ngăn chặn các cuộc tấn công mạng này.
Để biết thêm thông tin về các mối đe dọa tương tự, bạn có thể tham khảo các cảnh báo từ các tổ chức bảo mật uy tín. Chẳng hạn, CISA thường xuyên phát hành các cảnh báo về sự gia tăng của các cuộc tấn công lừa đảo. CISA Issues Alert on Rise in Phishing Attacks.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Các tên miền sau đây đã được xác định liên quan đến các chiến dịch lừa đảo này và nên được xem xét là chỉ số thỏa hiệp (IOCs) trong quá trình phòng thủ và phân tích:
jritech.shopchristmasscheercash.comthepersonalfinanceguide.com
Việc theo dõi và chặn truy cập đến các tên miền này là một biện pháp quan trọng để giảm thiểu rủi ro từ các chiến dịch tấn công mạng tương tự. Người dùng và tổ chức cần nâng cao cảnh giác, đặc biệt trong các giai đoạn mà kẻ tấn công thường xuyên lợi dụng các yếu tố xã hội để thực hiện đánh cắp dữ liệu.
