Trong một cuộc tấn công BEC được nhắm mục tiêu gần đây, tin tặc đã lừa được ba công ty cổ phần tư nhân của Anh chuyển khoản tổng cộng 1,3 triệu đô la cho các tài khoản ngân hàng của những kẻ lừa đảo – trong khi các nạn nhân nghĩ rằng họ đã chuyển tiền theo hợp đồng đầu tư với một số công ty khởi nghiệp.
Hacker lừa 3 công ty của Anh gửi cho chúng 1,3 triệu đô la
Theo các nhà nghiên cứu, 700.000 USD trong tổng số tiền chuyển khoản đã bị mất vĩnh viễn cho những kẻ tấn công, phần còn lại của số tiền được phục hồi sau khi các nhà nghiên cứu cảnh báo các công ty mục tiêu kịp thời.
Được mệnh danh là ‘The Florentine Banker‘, băng đảng tội phạm mạng tinh vi đứng sau vụ tấn công này, “dường như đã mài giũa kỹ thuật của họ qua nhiều cuộc tấn công, từ ít nhất vài năm hoạt động và rất linh hoạt, nhanh chóng thích nghi với các tình huống mới”, các nhà nghiên cứu nói.
‘Các kỹ thuật họ sử dụng, đặc biệt là kỹ thuật miền trông giống nhau, gây ra mối đe dọa nghiêm trọng – không chỉ đối với tổ chức bị tấn công ban đầu mà còn đối với các bên thứ ba mà họ liên lạc bằng cách sử dụng tên miền giống nhau’.
Công ty bảo mật cho biết các chiến dịch lừa đảo trước đây được thực hiện bởi cùng một nhóm tin tặc chủ yếu nhắm vào các lĩnh vực sản xuất, xây dựng, pháp lý và tài chính ở Hoa Kỳ, Canada, Thụy Sĩ, Ý, Đức và Ấn Độ.
Làm thế nào tin tặc làm điều đó?
Cuộc điều tra theo báo cáo trước đây của Check Point được công bố vào tháng 12 năm ngoái, trong đó mô tả một sự cố BEC (business email compromise) tương tự dẫn đến vụ trộm 1 triệu đô la từ một công ty đầu tư mạo hiểm Trung Quốc.
Số tiền, vốn là nguồn tài trợ dành cho một công ty khởi nghiệp ở Israel, thay vào đó, được chuyển đến một tài khoản ngân hàng dưới sự kiểm soát của hacker thông qua một cuộc tấn công man-in-the-middle được lên kế hoạch cẩn thận.
Kế hoạch lừa đảo đó đã bắt được ba công ty tài chính có trụ sở ở Anh và Israel, hoạt động bằng cách gửi email lừa đảo cho các cá nhân cao cấp trong tổ chức mục tiêu để giành quyền kiểm soát tài khoản và thực hiện trinh sát sâu rộng để hiểu bản chất của hoạt động kinh doanh và các vai trò chính trong công ty.
Phương thức tấn công của các hacker
Trong giai đoạn tiếp theo, những kẻ tấn công giả mạo hộp thư Outlook của nạn nhân bằng cách tạo các quy tắc mới sẽ chuyển hướng email có liên quan đến một thư mục khác, chẳng hạn như thư mục RSS Feeds, nó thường không được sử dụng bởi nạn nhân.
Ngoài việc xâm nhập vào tài khoản email cấp cao của công ty và tin nhắn giám sát, tin tặc đăng ký các tên miền trông giống nhau bắt chước các miền hợp pháp của các thực thể liên quan đến thư điện tử mà chúng muốn chặn, do đó cho phép chúng thực hiện một cuộc tấn công MITM bằng cách gửi email gian lận thay mặt cho hai bên.
Ví dụ: nếu có thư giữa’ finance-firm.com ‘và’ bank-service.com, ‘những kẻ tấn công có thể đăng ký các tên miền tương tự như’ finance-firms.com ‘và’ bank-services.com’.
Nói cách khác, nhóm Florentine Banker đã gửi một thư từ mỗi tên miền giả mạo cho đối tác, do đó tự chèn vào cuộc trò chuyện và lừa dối người nhận nghĩ rằng nguồn email là hợp pháp.
‘Mỗi email được gửi bởi mỗi bên trong thực tế được gửi cho kẻ tấn công, người sau đó đã xem lại email, quyết định xem có cần chỉnh sửa nội dung nào không, và sau đó chuyển tiếp email từ tên miền có vẻ giống nhau đến đích ban đầu’, các nhà nghiên cứu cho biết.
Được trang bị thiết lập này, những kẻ tấn công sau đó bắt đầu tiêm thông tin tài khoản ngân hàng lừa đảo (liên kết với các tài khoản ở Hồng Kông và Vương quốc Anh) trong các email để chặn chuyển tiền và thực hiện các yêu cầu chuyển khoản mới.
Cảnh báo của FBI về các cuộc tấn công BEC
Các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC) đã gia tăng trong những năm gần đây khi các nhóm tội phạm mạng có tổ chức cố gắng kiếm lợi từ các vụ lừa đảo qua email nhắm vào các doanh nghiệp lớn.
Tháng trước, nhóm tình báo mối đe dọa Unit 42 của Palo Alto Networks đã kiểm tra các hoạt động BEC ở Nigeria, phát hiện ra rằng nhóm – được đặt tên là ‘SilverTerrier‘ – đã thực hiện trung bình 92.739 cuộc tấn công mỗi tháng vào năm 2019.
Theo Báo cáo Tội phạm Internet năm 2019 của Cục Điều tra Liên bang, chỉ riêng các vụ lừa đảo liên quan đến BEC đã chiếm tới 23.775 đơn khiếu nại với số tiền thiệt hại hơn 1,7 tỷ USD.
Báo cáo Tội phạm Internet năm 2019 của Cục Điều tra Liên bang
Trong một lời khuyên được FBI công bố vào đầu tháng này, cơ quan này đã cảnh báo tội phạm mạng tiến hành các cuộc tấn công BEC thông qua các dịch vụ email dựa trên đám mây, gây thiệt hại cho các doanh nghiệp Mỹ hơn 2,1 tỷ đô la trong giai đoạn 2014-2019.
‘Tội phạm mạng phân tích nội dung của các tài khoản email bị xâm nhập để tìm bằng chứng về các giao dịch tài chính’, FBI cảnh báo. ‘Thông thường, các tác nhân định cấu hình quy tắc hộp thư của tài khoản bị xâm nhập để xóa các thông điệp chính. Họ cũng có thể cho phép tự động chuyển tiếp đến một tài khoản email bên ngoài.’
Văn phòng cũng đưa ra một cảnh báo riêng nhấn mạnh cách kẻ gian đang cập nhật kỹ thuật lừa đảo để tận dụng đại dịch COVID 19 đang diễn ra và thực hiện chuyển tiền gian lận.
Trước các mối đe dọa đang diễn ra, người dùng nên bật xác thực hai yếu tố để bảo mật tài khoản của họ và đảm bảo yêu cầu chuyển tiền và thanh toán được xác minh thông qua các cuộc gọi điện thoại xác nhận giao dịch.
Để được hướng dẫn thêm về cách giảm thiểu rủi ro, xem thêm cảnh báo của FBI tại đây.
