Thêm một chiến thắng vang dội của Microsoft trước các nhóm tin tặc được bảo trợ. Tòa án Quận Đông Virginia mới đây đã ban hành quyết định đồng ý cho phép Microsoft tịch thu 50 tên miền từ nhóm tin tặc khét tiếng Thallium.
Thallium là một tổ chức hacker lớn có liên hệ chặt chẽ với chính phủ Triều Tiên. Nhóm này đã thiết kế nhiều hệ thống mạng độc hại, được sử dụng để nhắm mục tiêu đến các nạn nhân xác định và sau đó xâm phạm tài khoản trực tuyến, lây nhiễm mã độc vào hệ thống máy tính, xâm phạm bảo mật mạng và đánh cắp thông tin nhạy cảm của nạn nhân. Mục tiêu Thallium nhắm tới chủ yếu là các nhân viên chính phủ, nhân viên của các trường đại học, viện nghiên cứu, thành viên của các tổ chức tập trung vào hòa bình và nhân quyền thế giới, và các cá nhân đang làm việc trong lĩnh vực hạt nhân. Hầu hết mục tiêu đều ở Hoa Kỳ, Nhật Bản và Hàn Quốc.
Thallium thường cố gắng lừa nạn nhân thông qua một kỹ thuật được gọi là spear phishing. Bằng cách thu thập thông tin về cá nhân đã nhắm mục tiêu thông qua tài khoản mạng xã hội, trong hệ thống mạng từ các tổ chức có liên quan và nhiều nguồn công khai khác, Thallium có thể tạo một email lừa đảo cực kỳ chuyên nghiệp để đánh lừa nạn nhân làm theo yêu cầu được nêu ra trong email. Nội dung email nếu mới nhìn qua sẽ có vẻ hợp pháp, nhưng đánh giá kỹ hơn cho thấy rằng Thallium đã giả mạo Microsoft bằng cách kết hợp các chữ cái “r” và “n” để khi đặt cạnh nhau sẽ nhìn giống chữ “m”, chẳng hạn như “rnicrosoft.com”.
Liên kết trong email giả mạo của Thallium sẽ chuyển hướng người dùng đến một trang web yêu cầu thông tin đăng nhập tài khoản xác thực, sau đó chúng sẽ sử dụng các thông tin này để đăng nhập vào tài khoản nạn nhân. Sau khi thâm nhập thành công tài khoản nạn nhân, Thallium có thể xem lại email, danh sách liên lạc, cuộc hẹn trên lịch và bất kỳ điều gì khác mà chúng quan tâm trong tài khoản. Ngoài ra, chúng thường tạo một quy tắc chuyển tiếp thư mới trong cài đặt tài khoản nạn nhân. Quy tắc chuyển tiếp thư này sẽ chuyển tiếp tất cả các email mới mà nạn nhân nhận được đến các tài khoản do Thallium kiểm soát. Bằng cách sử dụng các quy tắc chuyển tiếp, Thallium có thể tiếp tục truy cập vào bất cứ email nào mà nạn nhân nhận được, ngay cả sau khi mật khẩu tài khoản này được cập nhật.
Ngoài việc chiếm đoạt thông tin đăng nhập trái phép, Thallium cũng sử dụng phần mềm độc hại để lây nhiễm các hệ thống và đánh cắp dữ liệu. 2 loại mã độc thường được nhóm này sử dụng có tên gọi “BabyShark” và “KimJongRAT.”
Để bảo vệ chống lại các mối đe dọa này, Microsoft đề nghị người dùng kích hoạt xác thực 2 yếu tố trên tất cả các tài khoản email cá nhân và doanh nghiệp mà mình đang nắm giữ. Thứ hai, người dùng cần học cách phát hiện các âm mưu lừa đảo và bảo vệ bản thân khỏi chúng. Cuối cùng, bật cảnh báo bảo mật về các liên kết, tệp tin từ những trang web đáng ngờ và kiểm tra cẩn thận các quy tắc chuyển tiếp email trên tài khoản.
