Phương thức đóng giả những dịch vụ hoặc đối tượng đáng tin cậy để đánh cắp tài khoản trực tuyến và mật khẩu đang được triển khai dưới nhiều hình thức và ngày càng tinh vi. Trong khi các chuyên gia bảo mật đang phát triển những biện pháp ngăn chặn hình thức lừa đảo này thì tin tặc cũng chạy đua tìm cách vượt qua hàng rào phòng vệ.

“Tin tặc không đột nhập, chúng đăng nhập”. Theo các chuyên gia bảo mật, đa số những vụ tấn công mạng không phải do tội phạm có công cụ hack công nghệ cao mà vì người dùng quá dễ bị lừa tiết lộ tài khoản trực tuyến và mật khẩu. Những vụ tấn công dạng này đang tăng nhanh độ biến. Tin tặc thường giả làm một đối tượng đáng tin cậy, lừa người dùng tiết lộ thông tin cá nhân, tài khoản ngân hàng và thực hiện hành vi lừa đảo, đánh cắp tài khoản.

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Theo báo cáo của FBI, đây là loại tội phạm mạng phổ biến nhất năm ngoái. Cụ thể, tính riêng trong năm 2019, 114.000 nạn nhân Mỹ đã bị lừa mất hơn 57,8 triệu USD. Theo Tanmay Ganacharya, Giám đốc chính nhóm Nghiên cứu Bảo mật (Security Research) của Microsoft, vì hình thức lừa đảo này dễ thực hiện, lại đạt hiệu quả cao nên tin tặc ngày càng tập trung phát triển những thủ thuật tinh vi hơn để thuyết phục người dùng cung cấp tài khoản cá nhân.

Ganacharya và các cộng sự đã nghiên cứu nhiều chiến thuật lừa đảo, từ đó xây dựng những hệ thống học máy chuyên phát hiện phương thức dẫn dụ người dùng tiết lộ thông tin trên các dịch vụ của Microsoft như Windows, Outlook và Azure. Dưới đây là một số xu hướng phổ biến mà nhóm nghiên cứu của ông tìm thấy. Nhiều chiến thuật trong đó rất quen thuộc, nhưng tin tặc liên tục tìm ra những cách mới để vượt qua các hàng rào phòng thủ.

Nhắm mục tiêu vào các nhân viên cấp thấp, sau đó tiếp tục tấn công vào tài khoản cấp quản lý trở lên

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Đầu tiên, những kẻ tấn công sẽ gửi một email trông có vẻ đáng tin cậy đến nhân viên thông thường, trong đó đính kèm đường dẫn đến trang web lừa đảo, yêu cầu người dùng nhập tên tài khoản và mật khẩu. Sau khi có được quyền truy cập vào tài khoản nạn nhân, tin tặc sẽ tiếp tục sử dụng tài khoản đó gửi những email lừa đảo khác đến những người quản lý cấp cao trong công ty. Ngoài ra, kẻ tấn công còn dùng những tài khoản bị đánh cắp gửi email đến các đối tác của một số công ty khác. Trong trường hợp giành được quyền của quản trị viên, tin tặc hoàn toàn có thể chiếm luôn tên miền của công ty đó.

Tấn công vào doanh nghiệp nhỏ, tận dụng uy tín của công ty để lừa đảo đối tác kinh doanh

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Ví dụ, email đến từ địa chỉ [email protected] sẽ không thuyết phục bằng email được gửi từ một doanh nghiệp nào đó. Tin tặc sẽ làm mọi cách để chiếm lòng tin cua người dùng, để họ mở email và nhấp vào liên kết độc hại đính kèm trong đó.

Nhắm vào từng đối tượng cụ thể, tạo nhiều trang mạng xã hội giả mạo để lừa người dùng

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Đôi khi tin tặc sẽ tạo các trang web giả mạo mạng xã hội hoặc blog cá nhân, cố tình thêm tên bạn bè của nạn nhân vào đó để trông có vẻ đáng tin cậy và lừa họ nhấp vào.

Lợi dụng việc người dùng gõ sai tên trang web để điều hướng đến những liên kết độc hại

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Tin tặc sẽ mua những tên miền sai chính tả một chút so với những trang web phổ biến, ví dụ goggle.com hoặc yuube.com. Chỉ cần người dùng vô tình gõ sai tên trang cần truy cập là có thể bị điều hướng đến những trang web độc hại. Cách lừa đảo này tuy không mới nhưng gần đây đã “hồi sinh” trở lại với quy mô lớn và tinh vi hơn.

Lập trang web giả mạo những dịch vụ đáng tin cậy

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Tin tặc thường xuyên tạo ra những trang web có giao diện giống hệt màn hình đăng nhập của những dịch vụ đáng tin cậy, ví dụ như Outlook. Ganacharya cho biết ông và cộng sự thường xuyên xây dựng những hệ thống học máy chuyên phát hiện các trang web giả mạo và gắn cờ lừa đảo. Tuy nhiên tin tặc cũng liên tục tìm ra cách khắc phục vấn đề.

Ngành công nghiệp lừa đảo đang bùng nổ

Các chiêu trò tinh vi nhằm đánh cắp tài khoản trực tuyến và mật khẩu

Hiện nay, có rất nhiều nhóm tin tặc chuyên bán dịch vụ cho các tổ chức, cá nhân, cơ quan chính phủ… Ví dụ, cần đánh cắp tài khoản của những nhóm đối tượng cụ thể. Một số nhà cung cấp dịch vụ lừa đảo chuyên nghiệp cung cấp mạng lưới botnet phát tán đường dẫn đến các trang web giả mạo phổ biến, trong khi nhiều tổ chức khác chuyên bán bộ công cụ lừa đảo cho những nhóm tội phạm tội phạm mạng quy mô nhỏ hơn.

“Nếu có tiền, bạn hoàn toàn có thể mua một bộ công cụ hoặc đăng ký dịch vụ lừa đảo. Sẽ có những nhóm tin tặc chuyên xây dựng hệ thống đầy đủ cho bạn, chỉ cần tính toán mức lợi nhuận thu về cao hơn số tiền chi ra cho dịch vụ”, Ganacharya nói.

Góc quảng cáo