Một chiến dịch tấn công phishing tinh vi đã được phát hiện, nhắm mục tiêu vào khách hàng của công ty bảo hiểm PNB MetLife. Chiến dịch này lừa đảo nạn nhân thông qua các trang cổng thanh toán giả mạo, đánh cắp thông tin cá nhân và chuyển hướng họ đến các giao dịch UPI gian lận.
Kẻ tấn công khai thác danh tiếng đáng tin cậy của PNB MetLife bằng cách tạo ra các cổng thanh toán được tối ưu hóa cho thiết bị di động, mô phỏng chân thực các dịch vụ thanh toán phí bảo hiểm hợp pháp.
Các trang web độc hại này chấp nhận số hợp đồng và chi tiết khách hàng mà không thực hiện bất kỳ xác thực nào. Dữ liệu bị thu thập được chuyển tiếp ngay lập tức đến kẻ tấn công thông qua các kênh tự động.
Hoạt động tấn công phishing này chủ yếu lan truyền qua tin nhắn SMS, mặc dù email và các nền tảng mạng xã hội cũng có thể được sử dụng làm kênh phân phối.
Chiến dịch Tấn công Phishing và Cơ chế Lừa đảo
Khi nạn nhân truy cập vào các cổng thanh toán giả mạo này, họ gặp phải các giao diện được thiết kế chuyên nghiệp, yêu cầu các thông tin cơ bản như tên, số hợp đồng và số điện thoại di động.
Các trang web này cố tình không thực hiện xác minh backend, chấp nhận các giá trị tùy ý để duy trì ảo ảnh về tính hợp pháp, đồng thời giữ nạn nhân tiếp tục trong quy trình thanh toán gian lận.
Nhà nghiên cứu bảo mật Anurag Gawande đã xác định nhiều biến thể của kế hoạch tấn công phishing này trong quá trình hoạt động săn tìm mối đe dọa. Nghiên cứu của ông đã tiết lộ rằng kẻ tấn công triển khai các trang này trên các nền tảng lưu trữ miễn phí, đặc biệt là EdgeOne Pages.
Việc sử dụng các nền tảng này cho phép triển khai và xoay vòng nhanh chóng các trang web độc hại. Thông tin chi tiết về phát hiện này có thể được tìm thấy tại bài phân tích về mã độc.
Chiến dịch này thể hiện sự tiến hóa rõ rệt trong các chiến thuật gian lận tài chính, không chỉ dừng lại ở việc đánh cắp dữ liệu thông tin đăng nhập đơn giản mà còn chuyển sang các hoạt động đa giai đoạn, kết hợp đánh cắp dữ liệu với thao túng thanh toán trực tiếp.
Cuộc tấn công bắt đầu một cách không đáng ngờ nhưng nhanh chóng leo thang khi nạn nhân tiến hành các bước thanh toán dường như hợp pháp. Sau khi các chi tiết ban đầu được thu thập, trang phishing chuyển sang giai đoạn thu thập số tiền thanh toán trước khi giới thiệu các cơ chế thanh toán dựa trên UPI.
Sự tiến triển từng bước này xây dựng niềm tin giả tạo đồng thời thu thập có hệ thống các lớp thông tin khác nhau từ những khách hàng không nghi ngờ.
Điểm đặc biệt nguy hiểm của mối đe dọa tấn công phishing này là việc sử dụng các ứng dụng thanh toán thực để hoàn tất các giao dịch gian lận.
Thay vì chỉ dựa vào các bộ xử lý thanh toán giả mạo, kế hoạch này tận dụng các ứng dụng UPI hợp pháp như PhonePe, Paytm và Google Pay. Điều này làm giảm đáng kể sự nghi ngờ của nạn nhân, đồng thời tăng khả năng thành công của hành vi trộm cắp tài chính.
Cơ chế Rò rỉ Dữ liệu qua Telegram
Đằng sau giao diện bóng bẩy là một cơ chế rò rỉ dữ liệu tinh vi được cung cấp bởi Telegram Bot API.
Khi nạn nhân gửi thông tin của họ, trang tấn công phishing âm thầm truyền các chi tiết đã thu thập trực tiếp đến các kênh Telegram do kẻ tấn công kiểm soát, thay vì bất kỳ backend thanh toán hợp pháp nào.
Hành vi đánh cắp dữ liệu theo thời gian thực này diễn ra vô hình, với các bot token và chat ID được mã hóa cứng trong mã JavaScript của trang.
Điều tra về cơ sở hạ tầng của chiến dịch tấn công phishing này đã phát hiện ra nhiều bot Telegram và tài khoản điều hành đang phối hợp hành vi gian lận. Tham khảo thêm về việc sử dụng Telegram bot trong các cuộc tấn công tại Cyber Security News.
Chỉ số Nhận dạng Sự cố (IOCs)
Các chỉ số liên quan đến cơ sở hạ tầng rò rỉ dữ liệu này bao gồm:
- Tên Bot Telegram:
pnbmetlifesbotgoldenxspy_bot
- Tài khoản Điều hành Telegram:
darkdevil_pnbprabhatspy
Dữ liệu bị đánh cắp bao gồm tên, số hợp đồng và số điện thoại di động, tất cả đều được truyền đi ngay lập tức khi nạn nhân hoàn thành mỗi trường biểu mẫu.
Sau khi thu thập dữ liệu ban đầu, trang web yêu cầu số tiền thanh toán mà không thực hiện bất kỳ xác thực hợp đồng nào, chấp nhận bất kỳ giá trị nào được nhập trước khi chuyển tiếp thông tin này đến cùng các kênh Telegram.
Kỹ thuật Lạm dụng Clipboard và Thu hoạch Thông tin Ngân hàng
Luồng tấn công phishing sau đó tạo ra sự khẩn cấp thông qua các bộ đếm thời gian ngược và hiển thị mã QR, thúc đẩy nạn nhân hoàn tất thanh toán UPI nhanh chóng. Tìm hiểu thêm về bảo mật mã QR tại bài viết này.
Mã JavaScript tạo ra các URI thanh toán UPI một cách động, hiển thị chúng dưới dạng mã QR có thể quét được, hướng tiền đến các tài khoản do kẻ tấn công kiểm soát.
Điều đáng lo ngại hơn là kỹ thuật lạm dụng clipboard được sử dụng khi nạn nhân chọn các nút ứng dụng thanh toán. Thông tin về các ứng dụng giao dịch lừa đảo khác có thể được tìm thấy tại đây.
Nhấp vào các nút PhonePe hoặc Paytm sẽ sao chép ID UPI gian lận vào clipboard của thiết bị một cách âm thầm trước khi chuyển hướng đến ứng dụng thanh toán hợp pháp. Điều này đảm bảo chi tiết thanh toán của kẻ tấn công sẵn sàng để dán ngay cả khi nạn nhân bỏ qua mã QR.
Biến thể Nâng cao: Đánh cắp Thông tin Đăng nhập Ngân hàng
Các biến thể nâng cao của chiến dịch tấn công phishing này leo thang vượt ra ngoài gian lận thanh toán đơn giản, trở thành việc thu hoạch thông tin đăng nhập ngân hàng toàn diện.
Các mẫu tinh vi này cung cấp nhiều tùy chọn bao gồm “Cập nhật số tiền” (Update Amount), “Hoàn lại số tiền của bạn” (Refund Your Amount) và “Thêm hệ thống ghi nợ tự động” (Add AutoDebit System). Điều này tạo ra ảo giác về một dịch vụ hợp đồng hợp pháp.
Khi nạn nhân chọn các tùy chọn này, cuối cùng họ sẽ gặp các trang yêu cầu chi tiết tài khoản ngân hàng đầy đủ và thông tin thẻ ghi nợ, bao gồm số thẻ, ngày hết hạn và mã CVV.
Tất cả các thông tin tài chính đã gửi đều được rò rỉ dữ liệu thông qua cùng một cơ sở hạ tầng Telegram. Điều này biến hoạt động từ gian lận thanh toán thành hành vi trộm cắp danh tính và dữ liệu tài chính quy mô lớn. Xem thêm về các trang web lừa đảo tại Cyber Security News.
