Thông báo điện tử của Cơ quan An sinh Xã hội (eStatement) đã có sẵn. (Lừa đảo qua email)

Tội phạm mạng thường sử dụng các chiến dịch email lừa đảo để dụ người nhận mở các tập tin độc hại, tiết lộ thông tin nhạy cảm hoặc cài đặt phần mềm độc hại. Vì lý do này, điều cần thiết là phải luôn cảnh giác mỗi khi nhận được email bất ngờ, đặc biệt là khi email đó tuyên bố chứa các tài liệu quan trọng hoặc thông báo khẩn cấp. Email "Thông báo sao kê điện tử của Cơ quan An sinh Xã hội đã có sẵn" là một ví dụ điển hình của thủ đoạn này. Những tin nhắn này là giả mạo và không liên quan đến bất kỳ công ty, tổ chức, cơ quan chính phủ hoặc thực thể hợp pháp nào. Mục đích duy nhất của chúng là lây nhiễm vào thiết bị của nạn nhân và cung cấp cho kẻ tấn công quyền truy cập trái phép.

Phân tích kỹ hơn về vụ lừa đảo

Phân tích các email có nội dung "Bảng sao kê điện tử của Cơ quan An sinh Xã hội đã có sẵn" cho thấy chúng là một phần của chiến dịch thư rác độc hại được thiết kế để mạo danh Cơ quan An sinh Xã hội (SSA). Các email này thông báo sai cho người nhận rằng Bảng sao kê An sinh Xã hội năm 2026 của họ đã có sẵn để tải xuống.

Để làm cho tin nhắn trông có vẻ xác thực, những kẻ lừa đảo đã thêm vào các chi tiết như mã số tham chiếu, ngày tháng và nút "Tải xuống sao kê điện tử" được hiển thị nổi bật. Những yếu tố này nhằm tạo cảm giác hợp pháp và khuyến khích người nhận tin tưởng vào email. Tuy nhiên, Cơ quan An sinh Xã hội thực sự không hề liên quan gì đến những tin nhắn này.

Mục tiêu của chiến dịch này là dụ người nhận nhấp vào nút được cung cấp, từ đó khởi động giai đoạn tiếp theo của cuộc tấn công.

Cổng xác minh giả mạo

Những người nhận thư nhấp vào nút tải xuống sẽ được chuyển hướng đến một trang web giả mạo được thiết kế cẩn thận để giống với trang web chính thức của SSA (Cơ quan An sinh Xã hội Hoa Kỳ). Khi đến trang web này, người truy cập sẽ thấy thông báo "Yêu cầu xác minh danh tính" và được hướng dẫn tương tác với thanh trượt để bắt đầu quá trình tải xuống tài liệu.

Thay vì cung cấp bản sao kê An sinh Xã hội, trang web tự động gửi một tệp có tên 'ScreenConnect.ClientSetup.msi' đến thiết bị của người truy cập. Trang web cũng hiển thị thông báo cho biết chỉ có thể truy cập tài liệu thông qua máy tính chạy hệ điều hành Windows. Hạn chế này là có chủ ý, vì nó giúp kẻ tấn công nhắm mục tiêu vào người dùng Windows và tăng khả năng trình cài đặt độc hại hoạt động chính xác.

Quá trình xác minh không phục vụ mục đích hợp pháp nào và chỉ tồn tại để làm cho việc tải xuống trông có vẻ đáng tin cậy.

Cách thức hoạt động của trình cài đặt độc hại

Tệp tin đã tải xuống chứa phiên bản sửa đổi của ScreenConnect, còn được gọi là ConnectWise Control. Trong điều kiện bình thường, ScreenConnect là một công cụ hỗ trợ và điều khiển máy tính từ xa hợp pháp được các chuyên gia CNTT và các tổ chức sử dụng rộng rãi.

Tuy nhiên, trong chiến dịch này, phần mềm đã được sửa đổi và cấu hình để âm thầm thiết lập kết nối với các máy chủ do kẻ tấn công kiểm soát. Sau khi được cài đặt và thực thi, ứng dụng bị nhiễm mã độc sẽ cho phép kẻ tấn công truy cập từ xa mà không cần sự giám sát vào hệ thống bị xâm nhập.

Mức độ truy cập này cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại mà nạn nhân không hề hay biết.

Những nguy hiểm của việc xâm nhập hệ thống từ xa

Khi tin tặc giành được quyền truy cập từ xa thông qua phần mềm độc hại, hậu quả có thể rất nghiêm trọng. Chúng có thể:

• Theo dõi hoạt động của nạn nhân và xem mọi thứ hiển thị trên màn hình.
• Đánh cắp tài liệu, thông tin đăng nhập, thông tin ngân hàng và các dữ liệu nhạy cảm khác.
• Cài đặt thêm phần mềm độc hại, bao gồm ransomware, spyware hoặc các mối đe dọa đánh cắp thông tin.
• Thao tác với các tập tin và cài đặt hệ thống.
• Thực hiện các giao dịch tài chính trái phép hoặc lạm dụng các tài khoản trực tuyến bị xâm phạm.

Bất kỳ máy tính nào đã bị cài đặt phần mềm độc hại ScreenConnect đều nên được coi là đã bị xâm nhập hoàn toàn. Cần có các biện pháp ứng phó sự cố ngay lập tức để ngăn chặn mối đe dọa và tránh thiệt hại thêm.

Cách email rác phát tán phần mềm độc hại

Chiến dịch "Thông báo điện tử của Cơ quan An sinh Xã hội đã có sẵn" thể hiện một chiến lược phát tán phần mềm độc hại phổ biến được tội phạm mạng sử dụng. Email spam độc hại thường phát tán phần mềm độc hại thông qua tệp đính kèm hoặc liên kết nhúng.

Tệp đính kèm có thể đến dưới nhiều định dạng khác nhau, bao gồm tài liệu Microsoft Office, tệp PDF, tệp lưu trữ ZIP, tệp thực thi và tập lệnh. Một số phần mềm độc hại bắt đầu lây nhiễm ngay khi tệp được mở, trong khi những phần mềm khác yêu cầu người nhận phải bật macro hoặc thực hiện các thao tác bổ sung.

Tương tự, các liên kết độc hại thường hướng người dùng đến các trang web được ngụy trang dưới dạng cổng thông tin tài liệu an toàn, dịch vụ xác minh hoặc trang tải xuống. Những trang web này được thiết kế để thuyết phục người truy cập tải xuống và chạy các tệp độc hại. Trong một số trường hợp, quá trình tải xuống bắt đầu tự động, trong khi ở những trường hợp khác, các kỹ thuật lừa đảo xã hội được sử dụng để thuyết phục nạn nhân tự khởi chạy phần mềm độc hại.

Nhận biết các dấu hiệu cảnh báo

Có một số đặc điểm giúp nhận diện các vụ lừa đảo kiểu này:

• Nhận được những email bất ngờ thông báo rằng các tài liệu quan trọng của chính phủ, tài chính hoặc pháp luật có thể được tải xuống ngay lập tức.

• Những thông điệp tạo ra sự khẩn cấp hoặc khuyến khích hành động nhanh chóng mà không có sự xác minh độc lập.

• Các liên kết dẫn đến trang xác minh trước khi cho phép truy cập vào tài liệu được cho là hợp lệ.

• Yêu cầu tải xuống phần mềm để xem tài liệu hoặc hoàn tất các thủ tục xác minh.

• Những hạn chế bất thường, chẳng hạn như tuyên bố rằng nội dung chỉ có thể được truy cập từ các hệ điều hành hoặc thiết bị cụ thể.

Nhận biết các dấu hiệu này có thể giúp ngăn ngừa việc vô tình bị nhiễm phần mềm độc hại và các mối đe dọa mạng khác.

Đánh giá cuối kỳ

Chiến dịch email "Báo cáo điện tử của Cơ quan An sinh Xã hội đã có sẵn" là một chiêu trò phát tán phần mềm độc hại nguy hiểm, giả mạo Cơ quan An sinh Xã hội để chiếm được lòng tin của nạn nhân. Thay vì cung cấp báo cáo hàng năm, trò lừa đảo này chuyển hướng người nhận đến một cổng xác minh giả mạo, nơi tải xuống trình cài đặt ScreenConnect bị nhiễm mã độc Trojan.

Sau khi được thực thi, phần mềm độc hại sẽ cho phép kẻ tấn công truy cập từ xa vào hệ thống bị ảnh hưởng, có khả năng dẫn đến đánh cắp dữ liệu, xâm phạm tài khoản, thiệt hại tài chính và lây nhiễm thêm phần mềm độc hại khác. Người nhận khi gặp phải những email này nên xóa chúng ngay lập tức và tránh nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp nào có trong tin nhắn.