Phần mềm độc hại này có tên Cerberus – một banking trojan tương đối mới, được phát hiện lần đầu tiên vào năm 2019, chuyên “ký sinh” trên Android, và đặc biệt sở hữu một biệt tài làm nên sự nguy hiểm của nó: Khả năng đánh cắp OTP Authenticator.

So với phiên bản năm ngoái, biến thể hiện tại của Cerberus sở hữu một số khả năng tiên tiến hơn đáng kể. Sau khi xâm nhập thành công vào hệ thống nạn nhân, nó có thể lạm dụng các đặc quyền truy cập để đánh cắp mã 2FA, thu thập dữ liệu từ ứng dụng Authenticator và gửi về cho máy chủ do kẻ tấn công điều khiển.

Nếu bạn chưa biết thì Authenticator là một ứng dụng tạo mã xác minh 2 bước (2FA) trên điện thoại, được Google ra mắt vào năm 2010 như một giải pháp thay thế cho mã xác thực một lần dựa trên SMS truyền thống. Authenticator cung cấp lớp bảo mật tốt hơn cho tài khoản Google của người dùng bằng cách yêu cầu bước xác minh thứ hai khi đăng nhập. Ngoài mật khẩu, bạn sẽ cần mã được tạo bởi ứng dụng Google Authenticator trên điện thoại của mình. Sau các bước thiết lập và liên kết tài khoản, Authenticator sẽ tạo mã OTP dài từ 6-8 chữ số và cung cấp cho người dùng khi họ đăng nhập vào tài khoản tương ứng.

Mã độc Android có khả năng đánh cắp mã OTP

Vậy làm thế nào biến thể Cerberus mới này lại có thể đánh cắp thông tin từ Authenticator. Các chuyên gia đã tìm thấy một loạt tính năng điển hình của các trojan truy cập từ xa (RAT) tiên tiến tồn tại trên mã độc này.

• Nó có thể kết nối từ xa và tự động với một thiết bị bị lây nhiễm.
• Nó có thể thu thập và sử dụng thông tin, dữ liệu của nạn nhân để truy cập vào tài khoản trực tuyến của họ – mối đe dọa lớn đối với các dịch vụ ngân hàng trực tuyến, email, kho lưu trữ, tài khoản truyền thông xã hội, mạng nội bộ, v.v.

Tuy nhiên, tính năng đánh cắp mã 2FA vẫn chưa có mặt trong phiên bản Cerberus hiện đang được quảng cáo và rao bán trên các diễn đàn hack. Do đó các nhà nghiên cứu bảo mật tin rằng biến thể Cerberus mới này vẫn đang trong giai đoạn thử nghiệm, nhưng hoàn toàn có thể sẽ sớm được tung ra trong nay mai.

Google hiện chưa đưa ra bất cứ phản hồi nào về thông tin trên, tuy nhiên các bản vá bảo mật cho Android nói chung cũng như ứng dụng Authenticator trong thời gian tới chắc chắn phải chứa đựng giải pháp “dứt điểm” đối với mã độc này.

Nguồn quantrimang.com

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Nội dung tin nhắn và giao diện website lừa đảo​

Thời gian gần đây, tội phạm công nghệ cao liên tiếp dùng các thủ đoạn lừa đảo tinh vi lợi dụng thông tin lừa cung cấp mã OTP hoặc yêu cầu đăng nhập vào các trang web giả mạo để chiếm đoạt tài khoản của khách hàng và gây tổn hại đến uy tín của các ngân hàng.

Trong đó, một số thủ đoạn lừa đảo nổi lên gần đây như sau: Lừa khách hàng tự chuyển tiền: thông báo trúng thưởng, yêu cầu hoàn tất thủ tục nhận thưởng bằng cách nạp tiền vào số điện thoại chỉ định và chuyển trước một khoản phí nhận thưởng vào tài khoản của bọn tội phạm.

Yêu cầu khách hàng cung cấp thông tin bảo mật: Lập email giả mạo gửi từ các Tổ chức thẻ Quốc tế: Visa, Mastercard, Amex, JCB… với nội dung thông báo giao dịch bị từ chối, trong khi bạn không hề thực hiện giao dịch qua thẻ; hoặc email thông báo thẻ của Quý khách bị khóa và yêu cầu Quý khách cung cấp lại thông tin cá nhân, thông tin thẻ để kích hoạt, mở lại thẻ hoặc yêu cầu cung cấp bổ sung thông tin cá nhân, thông tin tài khoản thẻ vào link sẵn có.

Giả danh người thân, bạn bè nhờ nhận tiền từ nước ngoài chuyển về. Qua đó, yêu cầu khách hàng đăng nhập vào đường dẫn trang web được cung cấp sẵn bằng tên đăng nhập (username) và mật khẩu tài khoản Internet banking của khách hàng, và sau đó nhập tiếp mã OTP được ngân hàng gửi vào số điện thoại hoặc email của khách hàng.

Giả danh là nhân viên VPBank yêu cầu khách hàng cung cấp số thẻ, mật khẩu và mã xác thực OTP đã được gửi vào điện thoại của Khách hàng do có khoản tiền treo cần chuyển về tài khoản.

Giả danh nhân viên VPBank thông báo tài khoản bị tội phạm xâm nhập và yêu cầu cung cấp số tài khoản, mật khẩu, OTP giao dịch.

Trên thực tế các Ngân hàng, tổ chức tín dụng không bao giờ yêu cầu Khách hàng cung cấp các thông tin cá nhân hoặc thông tin bảo mật như số tài khoản ngân hàng, số PIN thẻ ATM, mã truy cập, mã OTP và mật khẩu Internet Banking qua email hay điện thoại. Vì vậy, nếu nhận được những yêu cầu dạng này đồng nghĩa với việc kẻ gian đang tìm cách chiếm đoạt tài sản của khách hàng gửi tại ngân hàng.

Để tránh rủi ro, VPBank khuyến cáo khách hàng: Tuyệt đối không thực hiện các hành vi sau: Không cho người khác mượn, sử dụng, và quản lý thẻ ngân hàng mình đang sở hữu. Không nhập thông tin tên truy cập, mật khẩu đăng nhập Internet Banking/Mobile Banking, mã OTP, số tài khoản… của mình vào một trang web hoặc liên kết khác với trang web của VPBank hay ứng dụng khác VPBank Online.Không cung cấp các thông tin gồm tài khoản đăng nhập, mật khẩu, mã OTP vì đây là thông tin riêng tư, bí mật và mã OTP chỉ sử dụng duy nhất cho mục đích xác nhận các thanh toán. Không nạp hay chuyển tiền, cung cấp thông tin thẻ, mã OTP theo yêu cầu từ các cuộc gọi lạ xưng danh là nhân viên ngân hàng hoặc đối tác ngân hàng, hoặc yêu cầu truy cập vào một trang web lạ. Đặt mật khẩu đủ mạnh, không sử dụng những thông tin gần gũi như số điện thoại, ngày tháng năm sinh của bản thân và của người thân…

Nguồn whitehat.vn

Một người dùng Facebook tại TP.HCM chia sẻ, tài khoản Facebook của anh bị yêu cầu đổi mật khẩu vì có hoạt động đáng ngờ. Nhưng sau khi đổi mật khẩu, anh không nhận được mã xác thực OTP gửi về số điện thoại liên kết với tài khoản.

Một người dùng Facebook khác cho biết, anh bị khóa tài khoản Facebook một tuần trước và đã yêu cầu mạng xã hội này gửi mã OTP về điện thoại. Sau 10 phút không nhận được mã từ Facebook báo về, người này đã yêu cầu gửi lại một lần nữa trong khi chờ đợi. Sau 20 phút, anh nhận được hai mã nhưng đều không dùng được. Anh lại tiếp tục gửi yêu cầu lần thứ 3 nhưng sau hơn 1 ngày vẫn chưa nhận được.

Lợi dụng sự cố xảy ra với nhiều người, một số bên làm dịch vụ Facebook nhận mở khóa checkpoint với chi phí từ 500.000 đến 2.000.000 đồng.

Nhiều người dùng Việt Nam không nhận được mã OTP từ Facebook

Theo người làm dịch vụ Facebook tại TP.HCM, người dùng nên kiên nhẫn chờ đợi sau khi gửi yêu cầu lần đầu tiên, không nên gửi yêu cầu quá nhiều lần để tránh bị tính là spam.

Theo thông tin rò rỉ, sự cố này xảy ra xuất phát từ việc đối tác SMS của Facebook gian lận thương mại. Khi người dùng gửi yêu cầu OTP, Facebook sẽ nhận và chuyển nội dung sang các đối tác phân phối SMS để gửi đến người dùng dưới dạng tin nhắn quốc tế.

Để trục lợi 200-300 đồng/một tin nhắn, nhiều đại lý phân phối SMS đã dùng thủ thuật để gian lận cước SMS quốc tế sang nội địa. Khi phát hiện ra sự gian lận, các nhà mạng sẽ chặn những tin nhắn này.

Nguồn quantriamang.com