MinhSec
Writer
Các chuyên gia an ninh mạng đang cảnh báo về một làn sóng lừa đảo trực tuyến mới nguy hiểm hơn nhiều so với các hình thức giả mạo tin nhắn SMS truyền thống. Thay vì gửi đường link độc hại qua tin nhắn văn bản thông thường, tội phạm mạng giờ đây chuyển sang sử dụng các nền tảng nhắn tin mã hóa như RCS và iMessage để vượt qua hệ thống lọc của nhà mạng và tiếp cận trực tiếp người dùng.
Theo Nhóm Tình báo Mối đe dọa của Google, các nền tảng “lừa đảo dưới dạng dịch vụ” (PhaaS) nói tiếng Trung đang phát triển rất nhanh trong thế giới ngầm mạng. Những hệ thống này cung cấp sẵn công cụ tạo trang web giả mạo, bảng điều khiển theo dõi nạn nhân và cả hệ thống đánh cắp mã OTP theo thời gian thực, giúp ngay cả những kẻ không có nhiều kỹ năng kỹ thuật cũng có thể triển khai chiến dịch lừa đảo quy mô lớn.
Điểm đáng lo ngại là các tin nhắn gửi qua RCS hoặc iMessage trông chân thực hơn nhiều so với SMS thông thường. Chúng có thể hiển thị hình ảnh chất lượng cao, thông báo đã đọc, giao diện trò chuyện hiện đại và thậm chí mô phỏng giống hệt tin nhắn từ ngân hàng hoặc công ty vận chuyển. Vì các nền tảng này sử dụng mã hóa đầu cuối nên nhà mạng cũng khó kiểm tra hoặc chặn nội dung độc hại hơn.
Ngay sau đó, tin tặc sẽ kích hoạt yêu cầu xác thực từ ngân hàng để nạn nhân nhận mã OTP. Người dùng tưởng mình đang hoàn tất bước xác minh thông thường nên nhập mã vào trang web giả. Chỉ trong vài giây, mã OTP đã nằm trong tay kẻ gian, giúp chúng vượt qua lớp bảo mật hai yếu tố.
Theo các nhà nghiên cứu, mục tiêu lớn hơn của những chiến dịch này là thêm thẻ ngân hàng của nạn nhân vào ví điện tử trên thiết bị do tin tặc kiểm soát. Sau khi thẻ được mã hóa trong ví điện tử, chúng có thể dùng để thanh toán không tiếp xúc, mua hàng giá trị cao hoặc thậm chí rút tiền ATM mà không cần tới thẻ vật lý.
Một nền tảng lừa đảo có tên “YY Lai Yu” được cho là đã hoạt động từ năm 2024, cung cấp hơn 400 mẫu giả mạo nhắm mục tiêu người dùng tại 119 quốc gia.
Các chuyên gia khuyến cáo người dùng không nên nhấn vào liên kết nhận qua tin nhắn, kể cả khi tin nhắn đó xuất hiện trên iMessage hay RCS và trông giống như được gửi từ tổ chức đáng tin cậy. Người dùng cũng nên kiểm tra kỹ địa chỉ website trước khi đăng nhập và tránh nhập mã OTP vào bất kỳ trang nào được mở từ liên kết lạ.
Trong khi đó, giới bảo mật cho rằng các ngân hàng cần sớm áp dụng các chuẩn xác thực mạnh hơn như FIDO2/WebAuthn, đồng thời tăng cường nhận diện thiết bị và phân tích hành vi bất thường khi thêm thẻ vào ví điện tử.
Sự chuyển dịch từ SMS sang các nền tảng nhắn tin mã hóa cho thấy tội phạm mạng đang thay đổi chiến thuật rất nhanh. Và trong nhiều trường hợp, chỉ một cú nhấp vào đường link giả mạo cũng có thể khiến toàn bộ tài khoản tài chính của người dùng bị kiểm soát.
Theo Nhóm Tình báo Mối đe dọa của Google, các nền tảng “lừa đảo dưới dạng dịch vụ” (PhaaS) nói tiếng Trung đang phát triển rất nhanh trong thế giới ngầm mạng. Những hệ thống này cung cấp sẵn công cụ tạo trang web giả mạo, bảng điều khiển theo dõi nạn nhân và cả hệ thống đánh cắp mã OTP theo thời gian thực, giúp ngay cả những kẻ không có nhiều kỹ năng kỹ thuật cũng có thể triển khai chiến dịch lừa đảo quy mô lớn.
Điểm đáng lo ngại là các tin nhắn gửi qua RCS hoặc iMessage trông chân thực hơn nhiều so với SMS thông thường. Chúng có thể hiển thị hình ảnh chất lượng cao, thông báo đã đọc, giao diện trò chuyện hiện đại và thậm chí mô phỏng giống hệt tin nhắn từ ngân hàng hoặc công ty vận chuyển. Vì các nền tảng này sử dụng mã hóa đầu cuối nên nhà mạng cũng khó kiểm tra hoặc chặn nội dung độc hại hơn.
Từ đánh cắp OTP đến chiếm quyền ví điện tử
Các cuộc tấn công hiện nay không chỉ dừng lại ở việc lấy tên đăng nhập và mật khẩu ngân hàng. Khi nạn nhân nhấn vào liên kết giả mạo và nhập thông tin đăng nhập, dữ liệu sẽ lập tức xuất hiện trên hệ thống điều khiển của kẻ tấn công.
Ngay sau đó, tin tặc sẽ kích hoạt yêu cầu xác thực từ ngân hàng để nạn nhân nhận mã OTP. Người dùng tưởng mình đang hoàn tất bước xác minh thông thường nên nhập mã vào trang web giả. Chỉ trong vài giây, mã OTP đã nằm trong tay kẻ gian, giúp chúng vượt qua lớp bảo mật hai yếu tố.
Theo các nhà nghiên cứu, mục tiêu lớn hơn của những chiến dịch này là thêm thẻ ngân hàng của nạn nhân vào ví điện tử trên thiết bị do tin tặc kiểm soát. Sau khi thẻ được mã hóa trong ví điện tử, chúng có thể dùng để thanh toán không tiếp xúc, mua hàng giá trị cao hoặc thậm chí rút tiền ATM mà không cần tới thẻ vật lý.
Một nền tảng lừa đảo có tên “YY Lai Yu” được cho là đã hoạt động từ năm 2024, cung cấp hơn 400 mẫu giả mạo nhắm mục tiêu người dùng tại 119 quốc gia.
Vì sao các cuộc tấn công này nguy hiểm hơn trước?
Trước đây, nhiều chiến dịch lừa đảo hoạt động khá đơn giản và dễ bị phát hiện. Nhưng các nền tảng PhaaS mới đang biến lừa đảo mạng thành một “dịch vụ hoàn chỉnh”, nơi mọi công cụ đều được tự động hóa và tối ưu hóa cho việc đánh cắp tiền nhanh nhất có thể.Các chuyên gia khuyến cáo người dùng không nên nhấn vào liên kết nhận qua tin nhắn, kể cả khi tin nhắn đó xuất hiện trên iMessage hay RCS và trông giống như được gửi từ tổ chức đáng tin cậy. Người dùng cũng nên kiểm tra kỹ địa chỉ website trước khi đăng nhập và tránh nhập mã OTP vào bất kỳ trang nào được mở từ liên kết lạ.
Trong khi đó, giới bảo mật cho rằng các ngân hàng cần sớm áp dụng các chuẩn xác thực mạnh hơn như FIDO2/WebAuthn, đồng thời tăng cường nhận diện thiết bị và phân tích hành vi bất thường khi thêm thẻ vào ví điện tử.
Sự chuyển dịch từ SMS sang các nền tảng nhắn tin mã hóa cho thấy tội phạm mạng đang thay đổi chiến thuật rất nhanh. Và trong nhiều trường hợp, chỉ một cú nhấp vào đường link giả mạo cũng có thể khiến toàn bộ tài khoản tài chính của người dùng bị kiểm soát.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
