Hãy cẩn thận! Các cuộc tấn công lừa đảo trở nên thông minh hơn với xác thực email theo thời gian thực
Tội phạm mạng đang nâng cao tiêu chuẩn với một bước ngoặt mới đáng lo ngại về hành vi trộm cắp thông tin xác thực, sử dụng xác thực email theo thời gian thực để khiến các cuộc tấn công lừa đảo hiệu quả hơn và khó phát hiện hơn. Các nhà nghiên cứu tại Cofense đã xác định được chiến thuật đang phát triển này và gọi nó là "lừa đảo xác thực chính xác" — một phương pháp thu hẹp danh sách mục tiêu chỉ còn những địa chỉ email được xác nhận là đang hoạt động và có giá trị.
Không giống như các chiến dịch lừa đảo truyền thống vốn giăng lưới rộng và hy vọng sẽ có một vài cú cắn, cách tiếp cận mới này chính xác và có chủ đích. Thay vì gửi các trang đăng nhập gian lận cho người dùng ngẫu nhiên, trước tiên kẻ tấn công sẽ xác minh xem địa chỉ email đã nhập trên trang lừa đảo có tồn tại trong cơ sở dữ liệu các mục tiêu đã thu thập trước của chúng hay không. Nếu đúng, nạn nhân sẽ thấy màn hình đăng nhập giả được thiết kế để đánh cắp thông tin đăng nhập. Nếu không, họ sẽ được chuyển hướng đến một trang web lành tính như Wikipedia, giúp trang web lừa đảo tránh bị phát hiện bởi các máy quét bảo mật tự động.
Xác minh thời gian thực này có thể thực hiện được bằng cách nhúng một API hoặc công cụ xác thực email dựa trên JavaScript vào bộ công cụ lừa đảo. Kết quả là gì? Dữ liệu bị đánh cắp chất lượng cao hơn, ít lãng phí công sức hơn và một chiến dịch lừa đảo khó bị các công cụ an ninh mạng phát hiện và ngăn chặn hơn.
Mục lục
Lọc Nạn nhân để có Tác động Tối đa
Cofense cảnh báo rằng kỹ thuật này không chỉ làm tăng khả năng đánh cắp thông tin đăng nhập từ các tài khoản thực đang sử dụng mà còn làm phức tạp công việc của các hộp cát tự động và công cụ thu thập thông tin được thiết kế để bắt các trang web độc hại. Các hệ thống này thường không vượt qua được kiểm tra xác thực, cho phép trang lừa đảo vẫn hoạt động lâu hơn và tránh bị gắn cờ là đáng ngờ.
Mức độ lọc này mang lại cho các tác nhân đe dọa một lợi thế lớn. Bằng cách tập trung vào các mục tiêu đã được xác minh, chúng giảm nguy cơ bị lộ và tăng lợi tức đầu tư. Chiến thuật này cũng giúp kéo dài tuổi thọ của các chiến dịch lừa đảo, khiến những người bảo vệ khó theo kịp.
Thủ thuật lừa đảo xóa tệp sử dụng tấn công hai hướng
Thêm vào mối nguy hiểm, những kẻ tấn công đang xếp lớp các chiến thuật tiên tiến này với các chiến lược kỹ thuật xã hội. Một chiến dịch gần đây được quan sát thấy sử dụng lời nhắc xóa tệp làm mồi nhử. Nạn nhân nhận được một email có vẻ như liên kết đến một tệp PDF được lên lịch xóa từ một nền tảng lưu trữ tệp hợp pháp, files.fm. Việc nhấp vào liên kết thực sự đưa họ đến dịch vụ lưu trữ thực sự, nơi họ có thể truy cập vào thứ trông giống như một tệp PDF.
Đây là vấn đề: người dùng được cung cấp hai tùy chọn—xem trước hoặc tải xuống. Xem trước sẽ mở một trang đăng nhập Microsoft giả mạo nhằm mục đích thu thập thông tin đăng nhập, trong khi tải xuống sẽ kích hoạt cài đặt một tệp thực thi ngụy trang thành Microsoft OneDrive. Chương trình thực chất là ScreenConnect, một công cụ máy tính từ xa hợp pháp từ ConnectWise, thường bị các tác nhân đe dọa lợi dụng để truy cập trái phép.
Theo Cofense, cuộc tấn công được thiết kế khéo léo để thao túng hành vi của người dùng. Nạn nhân buộc phải lựa chọn giữa hai tùy chọn nguy hiểm như nhau, mỗi tùy chọn dẫn đến việc xâm phạm hệ thống của họ theo những cách khác nhau. Thiết lập hai hướng này đảm bảo rằng kẻ tấn công đạt được mục tiêu của chúng, cho dù đó là đánh cắp thông tin xác thực hay triển khai phần mềm độc hại.
Lừa đảo kết hợp với truy cập từ xa và chiến thuật lừa đảo trực tuyến
Trong một diễn biến đáng báo động khác, các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công nhiều giai đoạn kết hợp lừa đảo qua điện thoại (vishing), công cụ truy cập từ xa và các kỹ thuật "sống ngoài đất liền". Hoạt động tinh vi này liên quan đến nhóm tác nhân đe dọa Storm-1811 (còn được gọi là STAC5777).
Cuộc tấn công bắt đầu bằng một tin nhắn Microsoft Teams chứa một payload PowerShell độc hại. Sau khi có được quyền truy cập ban đầu, kẻ tấn công sử dụng tính năng Quick Assist của Microsoft để điều khiển hệ thống từ xa. Từ đó, chúng cài đặt phần mềm hợp pháp như TeamViewer cùng với một DLL độc hại được tải bên ngoài và cuối cùng triển khai một backdoor lệnh và điều khiển dựa trên JavaScript bằng Node.js.
Những sự cố này làm nổi bật sự phức tạp và tính sáng tạo ngày càng tăng của các mối đe dọa lừa đảo ngày nay. Với các chiến thuật kết hợp sự tinh vi về mặt kỹ thuật và thao túng tâm lý, kẻ tấn công đang thành công trong việc vượt qua các biện pháp phòng thủ truyền thống và lừa cả những người dùng thận trọng.
Biện pháp phòng thủ tốt nhất vẫn là cảnh giác. Các tổ chức phải luôn cập nhật về những mối đe dọa mới nổi này và người dùng cần suy nghĩ kỹ trước khi nhấp vào liên kết, nhập thông tin đăng nhập hoặc tải xuống tệp—bất kể chúng có vẻ hợp pháp đến mức nào.