Lừa đảo qua email yêu cầu xác thực lại quyền sở hữu tên miền

Những email bất ngờ yêu cầu hành động khẩn cấp luôn cần được xử lý cẩn trọng. Tội phạm mạng thường giả mạo các tổ chức đáng tin cậy và các cơ quan quản lý để tạo ra cảm giác khẩn cấp giả tạo và gây áp lực buộc người nhận phải đưa ra quyết định vội vàng. Email "Yêu cầu xác thực lại quyền sở hữu tên miền" là một ví dụ điển hình của chiến thuật này. Các nhà nghiên cứu bảo mật đã xác định những tin nhắn này là một phần của chiến dịch lừa đảo nhằm đánh cắp thông tin đăng nhập tài khoản email. Điều quan trọng cần lưu ý là những email này không liên quan đến bất kỳ công ty, tổ chức, nhà đăng ký tên miền hoặc cơ quan quản lý hợp pháp nào.

Được ngụy trang dưới dạng Thông báo Tuân thủ Chính thức

Các email lừa đảo được soạn thảo giống hệt như các thông báo chính thức về việc tuân thủ quy định tên miền. Người nhận được thông báo rằng quyền sở hữu tên miền của họ chưa được xác thực lại trong vòng 90 ngày qua và cần phải thực hiện hành động để tuân thủ các quy định được cho là đúng. Các tin nhắn này đề cập đến "Quy định 3.18 của ICANN" và cảnh báo rằng việc không hoàn tất quá trình xác minh sẽ dẫn đến việc đình chỉ cả dịch vụ email đến và đi trong vòng bảy ngày.

Ngôn ngữ được sử dụng xuyên suốt email nhằm mục đích tạo ra sự lo ngại và tính cấp bách. Bằng cách đe dọa gián đoạn dịch vụ, những kẻ lừa đảo cố gắng thuyết phục người nhận hành động ngay lập tức mà không cần xác minh tính xác thực của tin nhắn.

Quy trình xác thực lại giả mạo

Mấu chốt của chiêu trò lừa đảo là một nút thường được ghi nhãn là 'Xác thực lại tên miền ngay bây giờ'. Nhấp vào nút này sẽ chuyển hướng người dùng đến một trang đăng nhập webmail giả mạo, mạo danh là cổng dịch vụ email hợp pháp.

Trang web lừa đảo này bắt chước màn hình đăng nhập Roundcube Webmail và được lưu trữ trên nền tảng Firebase Storage của Google. Để trang web trông đáng tin cậy hơn, địa chỉ email của nạn nhân có thể đã được điền sẵn tự động. Sau đó, người dùng được yêu cầu nhập mật khẩu để tiếp tục quá trình xác minh giả mạo.

Trên thực tế, trang web này chỉ phục vụ một mục đích duy nhất: thu thập thông tin đăng nhập và chuyển trực tiếp cho kẻ tấn công.

Điều gì xảy ra khi thông tin đăng nhập bị đánh cắp?

Các tài khoản email bị xâm phạm có thể cung cấp cho tội phạm mạng quyền truy cập vào một lượng lớn thông tin cá nhân và thông tin kinh doanh. Vì các tài khoản email thường được liên kết với nhiều dịch vụ trực tuyến, kẻ tấn công có thể tận dụng thông tin đăng nhập bị đánh cắp để mở rộng quyền truy cập của chúng hơn nữa.

Sau khi chiếm quyền kiểm soát tài khoản email, tội phạm có thể:

• Đọc các tin nhắn mật và thông tin liên lạc nhạy cảm.
• Đặt lại mật khẩu cho các tài khoản trực tuyến đã liên kết.
• Giả mạo danh tính nạn nhân khi giao tiếp với đồng nghiệp, khách hàng, bạn bè hoặc thành viên gia đình.

• Phát tán thêm các email lừa đảo từ một tài khoản đáng tin cậy.

• Thu thập thông tin cá nhân để thực hiện hành vi đánh cắp danh tính hoặc gian lận tài chính.

Vì tài khoản email thường được sử dụng làm phương thức khôi phục chính cho các dịch vụ khác, nên chỉ một hộp thư bị xâm phạm cũng có thể dẫn đến việc nhiều tài khoản bị chiếm đoạt.

Vì sao những tuyên bố đó là sai sự thật

Một số dấu hiệu cho thấy bản chất lừa đảo của những email này. Các tin nhắn này cố gắng lợi dụng uy tín của Tổ chức Internet về Tên miền và Số hiệu được Chỉ định (ICANN) bằng cách đưa ra thông tin sai lệch rằng việc xác thực lại tên miền đang được thực thi thông qua các thông báo email trực tiếp.

Trên thực tế, ICANN không liên hệ với người dùng cá nhân thông qua các tin nhắn không được yêu cầu để đòi xác thực lại tên miền. Hơn nữa, không có cơ quan quản lý tên miền hợp pháp hoặc nhà cung cấp dịch vụ uy tín nào yêu cầu người dùng xác minh thông tin đăng nhập thông qua một liên kết được nhúng trong email không mong muốn.

Tên người gửi thường hiển thị trong những tin nhắn này, "Trung tâm Xác thực Tên miền Toàn cầu", không có bất kỳ mối liên hệ nào được công nhận với ICANN, các nhà đăng ký được công nhận, hoặc bất kỳ tổ chức quản lý tên miền hợp pháp nào. Toàn bộ kịch bản được dàn dựng để tạo sự tin tưởng và đánh lừa người nhận.

Mối đe dọa rộng lớn hơn ngoài việc đánh cắp thông tin đăng nhập

Mặc dù mục tiêu chính của chiến dịch này là thu thập thông tin đăng nhập, nhưng các email lừa đảo tương tự cũng thường được sử dụng để phát tán phần mềm độc hại. Các đối tượng tấn công thường sử dụng các cuộc tấn công qua email để phát tán phần mềm độc hại đến các nạn nhân tiềm năng.

Các email chứa phần mềm độc hại có thể bao gồm các tệp đính kèm bị nhiễm hoặc các liên kết dẫn đến các trang web nguy hiểm. Các loại tệp thường được sử dụng trong các cuộc tấn công này bao gồm các tệp thực thi, tài liệu PDF, các tệp lưu trữ như ZIP hoặc RAR, các tập lệnh và tài liệu Office chứa mã độc hại. Trong một số trường hợp, người dùng được yêu cầu bật macro hoặc các tính năng khác kích hoạt quá trình lây nhiễm.

Hầu hết các phần mềm độc hại lây lan qua email đều yêu cầu người dùng tương tác ở một mức độ nào đó, chẳng hạn như mở tệp đính kèm, khởi chạy tệp đã tải xuống, nhấp vào liên kết độc hại hoặc kích hoạt nội dung nhúng. Đó là lý do tại sao sự thận trọng và xác minh vẫn rất quan trọng khi xử lý các tin nhắn không mong muốn.

Cách trả lời những email này

Người nhận email có nội dung "Yêu cầu xác thực lại quyền sở hữu tên miền" nên tránh tương tác với nội dung email bằng bất kỳ cách nào. Không nên nhấp vào các liên kết, không nên mở tệp đính kèm và không bao giờ gửi thông tin cá nhân thông qua các trang web được truy cập từ email không mong muốn.

Cách an toàn nhất là xóa email đó ngay lập tức. Những người đã nhập thông tin đăng nhập của mình vào trang web lừa đảo nên đổi mật khẩu email ngay lập tức, cập nhật mật khẩu cho bất kỳ tài khoản nào có thể dùng chung thông tin đăng nhập và bật xác thực đa yếu tố ở mọi nơi có thể.

Lời kết

Chiến dịch email "Yêu cầu xác thực lại quyền sở hữu tên miền" là một trò lừa đảo giả mạo thông báo tuân thủ quy định của ICANN. Mục đích của nó là lừa người nhận cung cấp thông tin đăng nhập tài khoản email của họ thông qua một trang đăng nhập webmail giả mạo. Các tin nhắn này dựa vào nỗi sợ hãi, sự khẩn cấp và các tuyên bố sai lệch về quy định để thao túng nạn nhân hành động mà không xác minh đúng cách.

Hiểu rõ cách thức hoạt động của các chiêu trò lừa đảo này là điều cần thiết để bảo vệ thông tin nhạy cảm. Bằng cách luôn cảnh giác với những yêu cầu bất ngờ, xác minh thông tin qua các kênh chính thức và tránh các liên kết trong email không mong muốn, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của việc đánh cắp thông tin đăng nhập và các mối đe dọa mạng khác.