Giả danh Start-up, Hacker lừa được 30 tỷ tiền đầu tư

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Gần đây hacker đã tạo một cuộc tấn công email BEC (Business email compromise) và lừa được ba quỹ đầu tư tư nhân của Anh chuyển tổng cộng 1,3 triệu đô la (gần 30,5 tỷ VNĐ) vào tài khoản ngân hàng của chúng. Kẻ xấu lừa các công ty rằng đây là một vụ đầu tư vào một số công ty khởi nghiệp.

Theo công ty an ninh mạng Check Point, gần 700.000 đô la (khoảng 16,4 tỷ VNĐ) trong tổng số tiền đã được chuyển cho những kẻ tấn công, phần còn lại lấy lại được sau khi các nhà nghiên cứu cảnh báo kịp thời cho các công ty bị lừa.

Băng đảng đứng sau vụ tấn công này được gọi là ‘The Florentine Banker’. Các nhà nghiên cứu cho biết “dường như những kẻ này đã mài giũa kỹ thuật của mình qua nhiều cuộc tấn công. Chúng đã hoạt động ít nhất vài năm, nhiều thủ đoạn và nhanh chóng thích ứng với các tình huống mới”.

“Các kỹ thuật mà những kẻ này sử dụng, đặc biệt là kỹ thuật tạo tên miền gần giống nhau, gây ra mối đe dọa nghiêm trọng với tổ chức bị tấn công và các bên thứ ba mà họ liên lạc qua những tên miền đó”

Các nhà nghiên cứu an ninh mạng cho biết các chiến dịch tấn công giả mạo trước đây được thực hiện bởi cùng một nhóm tin tặc. Những tên này chủ yếu nhắm vào các công ty và tổ chức thuộc lĩnh vực sản xuất, xây dựng, pháp lý và tài chính ở Hoa Kỳ, Canada, Thụy Sĩ, Ý, Đức và Ấn Độ và một số nơi khác.

Cách thức lừa đảo của hacker

Một báo cáo vào tháng 12 năm ngoái của Check Point đã mô tả cuộc tấn công BEC tương tự dẫn đến vụ trộm 1 triệu đô la (khoảng 23,5 tỷ VNĐ) từ một công ty đầu tư mạo hiểm Trung Quốc.

Số tiền trên vốn là tiền hạt giống dành cho một công ty khởi nghiệp ở Israel. Tuy nhiên nó đã không đến được tay đúng người, mà được chuyển đến một tài khoản ngân hàng dưới sự kiểm soát của kẻ tấn công thông qua một cuộc tấn công xen giữa (MITM – man-in-the-middle) được lên kế hoạch cẩn thận.

Kế hoạch lừa đảo ba công ty tài chính có trụ sở ở Anh và Israel bắt đầu bằng việc gửi email lừa đảo cho những nhân vật cấp cao trong tổ chức để giành quyền kiểm soát tài khoản. Từ đó thực hiện thăm dò sâu để hiểu bản chất của hoạt động kinh doanh và các vai trò chính của những người này trong công ty.

How does business email compromise work?

Trong giai đoạn tiếp theo, những kẻ tấn công giả mạo hộp thư Outlook của nạn nhân bằng cách tạo các quy tắc mới để chuyển hướng email có liên quan đến một thư mục khác mà nạn nhân ít khi sử dụng như thư mục RSS Feeds (tập tin XML tạo kênh tóm tắt thông tin).

Ngoài việc xâm nhập vào tài khoản email của công ty và tin nhắn giám sát, hacker còn đăng ký các tên miền gần giống các domain hợp pháp của các đối tác liên quan đến email tương ứng mà chúng muốn chặn. Từ đó cho phép chúng thực hiện một cuộc tấn công MITM bằng cách gửi email từ các tên miền giả hai bên.

Nhóm nghiên cứu cho biết “Nếu ‘finance-firm.com’ và ‘bank-service.com’ có tương tác với nhau thì những kẻ tấn công có thể đăng ký các tên miền như ‘finance-firms.com’ và ‘bank-service.com’ và giả làm miền hợp pháp”

Florentine Banker sẽ gửi thư từ miền giả mạo cho đối tác, xen vào cuộc trò chuyện và lừa người nhận rằng đây là email chính chủ.

Trong một bài đăng về lừa đảo BEC, Check Point cho biết “Email của 2 bên trong thực tế được gửi cho kẻ tấn công, chúng sẽ xem lại email, quyết định xem có cần chỉnh sửa nội dung nào không và sau đó chuyển tiếp email từ tên miền giả về cho người nhận thật sự”.

Được cách làm này này, những kẻ tấn công sau đó sẽ chèn thông tin tài khoản ngân hàng lừa đảo (liên kết với các tài khoản ở Hồng Kông và Vương quốc Anh) vào các email để ngăn chặn chuyển tiền và thực hiện các yêu cầu chuyển khoản mới.

FBI lên tiếng chống lại các cuộc tấn công BEC

Trong những năm gần đây, các cuộc tấn công BEC đã gia tăng khi các nhóm tội phạm mạng có tổ chức cố gắng kiếm lợi từ các vụ lừa đảo qua email nhằm vào các doanh nghiệp lớn.

Tháng trước, nhóm tình báo mối đe dọa Đơn vị 42 của Palo Alto Networks đã kiểm tra các hoạt động của BEC hoạt động ở Nigeria và phát hiện ra một nhóm tấn công tên ‘SilverTerrier’ đã thực hiện trung bình mỗi tháng 92.739 cuộc tấn công vào năm 2019.

Theo Báo cáo về Tội phạm mạng năm 2019 của Cục Điều tra Liên bang Mỹ, chỉ riêng các vụ lừa đảo liên quan đến BEC đã chiếm tới 23.775 đơn khiếu nại với số tiền thiệt hại hơn 1,7 tỷ USD (gần 40.000 tỷ VNĐ).

BEC Attacks

Trong một bài đăng của FBI vào đầu tháng 4, cơ quan này đã cảnh báo việc tội phạm mạng tiến hành các cuộc tấn công BEC thông qua các dịch vụ email trên nền tảng điện toán đám mây, gây thiệt hại hơn 2,1 tỷ đô la (gần 50.000 tỷ) cho các doanh nghiệp Mỹ trong giai đoạn 2014-2019.

FBI cảnh báo “Tội phạm mạng phân tích nội dung của các tài khoản email bị xâm nhập để tìm bằng chứng về các giao dịch tài chính. Thông thường, kẻ xấu sẽ định lại quy tắc hộp thư của tài khoản bị xâm nhập để xóa các tin nhắn chính. Chúng cũng cài đặt cho phép tự động chuyển tiếp thư đến một tài khoản email ngoài”.

FBI cũng đưa ra một cảnh báo riêng nhấn mạnh việc hacker đang cập nhật kỹ thuật lừa đảo để lợi dụng đại dịch COVID-19 nhằm chuyển số tiền đã lừa được.

Trước các mối đe dọa này, người dùng nên bật xác thực hai bước để bảo mật tài khoản và đảm bảo yêu cầu chuyển tiền và thanh toán sẽ được xác minh thông qua các cuộc gọi xác nhận giao dịch.

Để được hướng dẫn thêm về cách giảm thiểu rủi ro, đọc cảnh báo của FBI tại đây.