infoblox hỗ trợ ngăn chặn một chiến dịch lừa đảo qua SMS tại Pháp

Kể từ cuối tháng 8, Infoblox đã theo dõi một tài khoản lừa đảo (smishing)   đã gửi một số lượng lớn tin nhắn SMS lừa đảo nhắm vào các số điện thoại ở Pháp. Cuộc tấn công này đã diễn ra và lan rộng đến mức nó thường xuyên được đề cập trong tin tức tại đài truyền hình quốc gia. Các tin nhắn có nội dung yêu cầu người nhận điền vào biểu mẫu để nhận Thẻ An sinh Xã hội mới để gia hạn chương trình chăm sóc sức khỏe. Sau đó, những kẻ lừa đảo dùng thông tin này để tính phí hoạt động của tài khoản ngân hàng từ nạn nhân cùng các gian lận về thuế.

2. Tác động xấu đến người dùng

Chiến dịch này lần đầu tiên được phát hiện liên quan đến Ameli: cổng thông tin an sinh xã hội của chính phủ Pháp và là một trong những điểm đăng nhập chuyển tiếp cho các trang web khác của các dịch vụ chính phủ. Chiến dịch tập trung vào những người nói tiếng Pháp và công dân Pháp sử dụng các dịch vụ của chính phủ và ngân hàng. 

Khi trang đích được truy cập, nạn nhân sẽ được cung cấp một biểu mẫu yêu cầu điền thông tin cá nhân, chẳng hạn như địa chỉ email và mật khẩu. Các trang web lừa đảo cũng yêu cầu điền thông tin tài chính, nhằm mục đích cho phép thanh toán thuế hoặc phí trả chậm. Nếu nạn nhân điền vào các biểu mẫu đó, tài khoản ngân hàng của họ sẽ bị trừ tiền ngay lập tức. Một thời gian sau, đến lúc thanh toán thuế, thông tin đăng nhập Ameli của nạn nhân sẽ được sử dụng để khai gian lận thuế và nhận các khoản giảm thuế trên tài khoản ngân hàng do kẻ tấn công kiểm soát.

4. Phân tích cơ sở hạ tầng

Những kẻ tấn công đã sử dụng một mạng lưới rộng lớn các email, số điện thoại và danh tính giả để che dấu vết của chúng, cũng như sử dụng nhiều máy chủ để thoát khỏi hệ thống kiểm tra tự động. Sau vài ngày, những kẻ tấn công đã tắt các trang lừa đảo để tránh bị các công cụ tự động. Infoblox đã có thể phát hiện và xác định khoảng 200 địa chỉ IP phục vụ hơn 7.000 tên miền lừa đảo duy nhất, được minh họa trong bản đồ trong bên dưới. Mặc dù những kẻ tấn công đã sử dụng Amazon, Google và các nhà cung cấp dịch vụ đám mây khác, nhưng chúng cũng phụ thuộc rất nhiều vào các máy chủ chuyên dụng.

Các trang đích có chất lượng tốt, nếu bằng mắt thường, không thể phân biệt với các trang đăng nhập hợp pháp. Một số trang lừa đảo yêu cầu thông tin thẻ tín dụng, mục đích là để trả thuế hoặc giải quyết một khoản thanh toán cho một dịch vụ hợp pháp. Sử dụng Ameli, người ta có thể đăng nhập vào nhiều cổng thông tin của chính phủ, bao gồm cơ quan thuế và cổng thông tin trợ cấp của chính phủ. Điều này đã khiến chính phủ Pháp tạm thời cắt quyền truy cập vào các trang chính thống. Tuy nhiên, infoblox cho rằng cuộc tấn công này mang động cơ tài chính hơn là chính trị, bởi vì nó đã nhắm vào nhiều lĩnh vực – chính phủ, tài chính, năng lượng và truyền thông tại một số Quốc gia.

5. Lỗ hổng và biện pháp giảm thiểu

Infoblox đặc biệt khuyến nghị các doanh nghiệp xem xét các biện pháp bảo mật sau:

• Không bao giờ nhấp vào URL trong email hoặc văn bản từ các nguồn không xác định.
• Hãy cảnh giác với các liên kết trong email và tin nhắn đến. Một liên kết trong tin nhắn từ một công ty hợp pháp thường sẽ trỏ đến miền của công ty; ví dụ: một liên kết trong thư từ FedEx sẽ trỏ tới http://fedex[.]com. Tạm dừng con trỏ trên liên kết để xác minh đích thực của nó.
• Nếu nghi ngờ, đừng nhấp vào liên kết trong tin nhắn. Thay vào đó, hãy điều hướng đến các trang web bằng cách nhập URL của chúng vào thanh địa chỉ web của trình duyệt của bạn.

Xem thêm các bài viết về cách phòng chống tấn công bằng tin nhắn tại Exclusive Networks Vietnam