Chiến dịch lừa đảo AccountDumpling

Một chiến dịch tội phạm mạng quy mô lớn, được cho là do một nhóm tội phạm có liên hệ với Việt Nam thực hiện và được đặt tên là AccountDumpling, đã được xác định sử dụng Google AppSheet làm cơ chế chuyển tiếp lừa đảo. Chiến dịch này phát tán các email lừa đảo với mục tiêu chính là chiếm đoạt tài khoản Facebook, đặc biệt là các tài khoản liên quan đến người dùng doanh nghiệp.

Khác với các chiến dịch lừa đảo trực tuyến thông thường, đây không phải là một bộ công cụ tĩnh mà là một hệ sinh thái năng động và liên tục phát triển. Nó tích hợp bảng điều khiển hoạt động theo thời gian thực, các kỹ thuật né tránh nâng cao và một quy trình kiếm tiền có cấu trúc. Các tài khoản bị đánh cắp được chuyển trở lại một thị trường ngầm do những kẻ tấn công kiểm soát, tạo ra một vòng luẩn quẩn tội phạm tự duy trì. Khoảng 30.000 tài khoản Facebook đã bị xâm phạm trong chiến dịch này.

Lòng tin bị lợi dụng: Khai thác Google AppSheet để gửi email

Chuỗi tấn công bắt đầu bằng những email lừa đảo được soạn thảo kỹ lưỡng, giả mạo bộ phận hỗ trợ của Meta. Những tin nhắn này nhắm mục tiêu vào người dùng tài khoản Facebook Business, cảnh báo họ về việc tài khoản sắp bị xóa nếu không có hành động ngay lập tức. Nạn nhân được khuyến khích gửi đơn kháng nghị thông qua các liên kết được nhúng trong email.

Một yếu tố quan trọng góp phần vào hiệu quả của chiến dịch là việc sử dụng cơ sở hạ tầng hợp pháp. Email được gửi từ địa chỉ Google AppSheet ('noreply@appsheet.com'), cho phép chúng vượt qua nhiều bộ lọc thư rác và bảo mật truyền thống. Chiến thuật này tăng cường độ tin cậy và khả năng thu hút người dùng.

Sự khẩn cấp được truyền tải trong những tin nhắn này hướng người nhận đến các trang web lừa đảo được thiết kế để thu thập thông tin đăng nhập nhạy cảm. Các mô hình tấn công tương tự đã được quan sát thấy trong các chiến dịch trước đó, cho thấy sự tinh chỉnh và tái sử dụng liên tục các kỹ thuật thành công.

Thao túng tâm lý: Kỹ thuật tạo ra 'Sự hoảng loạn siêu cấp'

Kẻ tấn công sử dụng nhiều chiêu trò kỹ thuật xã hội để gây hoang mang và buộc người dùng phản hồi nhanh chóng. Những chiêu trò này được thiết kế một cách chiến lược để bắt chước các thông tin liên lạc hợp pháp của Meta và khai thác các tình huống dựa trên nỗi sợ hãi.

Các loại mồi câu chính bao gồm:

Các mối đe dọa liên quan đến tài khoản : Các cáo buộc về việc đình chỉ tài khoản, vi phạm bản quyền hoặc yêu cầu xác minh khẩn cấp.
Cảnh báo bảo mật : Thông báo về các lần đăng nhập đáng ngờ hoặc các bước kiểm tra bảo mật bắt buộc.
Ưu đãi về kinh doanh và địa vị : Các chương trình xác minh thẻ xanh hoặc cơ hội tuyển dụng cấp quản lý.
Mạo danh doanh nghiệp : Giả mạo các lời mời làm việc từ các thương hiệu nổi tiếng để xây dựng lòng tin và bắt đầu tương tác.

Mỗi chiêu trò đều được thiết kế để thao túng hành vi người dùng, làm tăng khả năng tiết lộ thông tin đăng nhập.

Hạ tầng tấn công lừa đảo đa kênh: Các cơ chế phân phối đa dạng

Chiến dịch này được đặc trưng bởi việc sử dụng nhiều nền tảng lưu trữ và phương thức phân phối khác nhau, mỗi nền tảng đóng một vai trò cụ thể trong việc thu thập và đánh cắp dữ liệu. Bốn cụm tấn công chính bao gồm:

• Các trang web lừa đảo do Netlify lưu trữ: Các cổng thông tin Trung tâm Trợ giúp Facebook giả mạo được thiết kế để đánh cắp thông tin đăng nhập, dữ liệu cá nhân và giấy tờ tùy thân do chính phủ cấp. Dữ liệu thu thập được sẽ được truyền đến các kênh Telegram do kẻ tấn công kiểm soát.
• Các trang 'Kiểm tra bảo mật' do Vercel lưu trữ: Những trang này mô phỏng các cổng thông tin bảo mật hoặc quyền riêng tư của Meta và bao gồm các thử thách CAPTCHA giả mạo. Nạn nhân được yêu cầu nhập lại thông tin đăng nhập và cung cấp mã xác thực hai yếu tố (2FA), tất cả đều bị đánh cắp trong thời gian thực.
• Các chiêu trò lừa đảo PDF được lưu trữ trên Google Drive: Được ngụy trang dưới dạng hướng dẫn xác minh chính thức, các tài liệu này chuyển hướng người dùng đến các trang web lừa đảo nhằm thu thập mật khẩu, mã xác thực hai yếu tố (2FA), ảnh chứng minh thư và thậm chí cả ảnh chụp màn hình trình duyệt bằng các đoạn mã nhúng.
• Các quy trình tuyển dụng giả mạo: Giả mạo các công ty lớn để tạo dựng uy tín, sau đó chuyển hướng người dùng đến các nền tảng độc hại để tương tác và thu thập dữ liệu.

Tổng cộng, các kênh Telegram liên kết với các nhóm này chứa khoảng 30.000 hồ sơ nạn nhân. Các cá nhân bị ảnh hưởng chủ yếu ở Bắc Mỹ, Châu Âu, Châu Á và Úc, nhiều người trong số họ đã mất quyền truy cập vào tài khoản của mình.

Phân tích nguồn gốc: Truy tìm những người đứng sau chiến dịch

Bằng chứng xác định thủ phạm quan trọng đã xuất hiện từ siêu dữ liệu được nhúng trong các tệp PDF lừa đảo được tạo ra thông qua tài khoản Canva miễn phí. Các tệp này liệt kê 'PHẠM TÀI TÂN' là tác giả, cung cấp liên kết trực tiếp đến cá nhân có khả năng chịu trách nhiệm cho hoạt động này.

Các thông tin tình báo nguồn mở khác đã tiết lộ một trang web tương ứng, 'phamtaitan.vn,' chuyên quảng bá các dịch vụ tiếp thị kỹ thuật số. Các tuyên bố công khai liên quan đến thực thể này cho thấy sự tập trung vào các nguồn lực tiếp thị và tư vấn chiến lược, cho thấy một bộ kỹ năng đa dụng có thể được sử dụng cho cả mục đích hợp pháp và bất chính.

Nền kinh tế ngầm: Kiếm tiền từ danh tính kỹ thuật số bị xâm phạm

Chiến dịch này minh họa một xu hướng rộng hơn trong tội phạm mạng: sự thương mại hóa danh tính kỹ thuật số. Các tài khoản Facebook bị xâm phạm không chỉ đơn thuần là các điểm cuối mà còn là những tài sản có giá trị trong một thị trường ngầm đang phát triển mạnh.

Kẻ tấn công mua bán quyền truy cập vào các tài khoản dựa trên các yếu tố như mối quan hệ kinh doanh, lịch sử quảng cáo và khả năng khôi phục. Chiến dịch này cho thấy các nền tảng đáng tin cậy như Google AppSheet, Netlify, Vercel và các nền tảng khác đang bị lợi dụng để trở thành các lớp cơ sở hạ tầng phục vụ việc phân phối, lưu trữ và kiếm tiền.

Chiến dịch AccountDumpling là một ví dụ rõ ràng về cách các tác nhân đe dọa hiện đại kết hợp kỹ thuật xã hội, dịch vụ đám mây và kinh tế ngầm thành một tổ chức tội phạm mạng mạch lạc và có khả năng mở rộng.