Thủ thuật lừa đảo tinh vi với spearphishing e-mail
Các nhà nghiên cứu đã phát hiện một nhóm tin tặc tại phố Wall đã thâm nhập vào các tài khoản e-mail của hơn 100 công ty, đánh cắp những thông tin rất có giá trị liên quan đến kế hoạch mua bán của công ty và nhiều thông tin nội bộ khác. Theo một báo cáo từ hãng bảo mật FireEye, nhóm có tên là ...
Các nhà nghiên cứu đã phát hiện một nhóm tin tặc tại phố Wall đã thâm nhập vào các tài khoản e-mail của hơn 100 công ty, đánh cắp những thông tin rất có giá trị liên quan đến kế hoạch mua bán của công ty và nhiều thông tin nội bộ khác.
Theo một báo cáo từ hãng bảo mật FireEye, nhóm có tên là FIN4 đã sử dụng tập hợp các chiến thuật cực kỳ đơn giản mà vẫn không bị phát hiện, ít nhất là từ giữa năm 2013.
Người dùng sẽ nhận được một yêu cầu bằng tiếng Anh với những hiểu biết về tài chính của doanh nghiệp và văn hóa Fortune 500. Sau đó FIN4 sẽ sử dụng những thông tin đó để gửi spearphishing e-mail để lấy thông tin đăng nhập vào tài khoản Microsoft Outlook. Và nhóm sẽ sử dụng các tài khoản bị xâm nhập của một nhân viên, một khách hàng, hay đối tác để gửi spearphishing e-mail cho người khác trong công ty. Đôi khi, kẻ tấn công sẽ gửi một thông điệp độc hại vào phần e-mail thảo luận giữa nhiều người nhằm tăng khả năng tấn công thành công.
E-mail được gửi từ các tài khoản mà nạn nhân biết, và họ sẽ không nghi ngờ gì mà thảo luận việc sáp nhập, mua lại hoặc các chủ đề khác liên quan đến công ty. Những kẻ tấn công thường để “bcc” cho nhiều người nhận khác để các e-mail độc hại không bị phát hiện. Các thông điệp đều được viết bằng tiếng Anh chuẩn và thường chứa nội dung tài liệu Microsoft Office trao đổi trước đây và có chứa các macro ẩn nguy hiểm. Điều này dẫn đến những e-mail gian lận mà lại rất khó để phát hiện, thậm chí một số người đã được đào tạo để phát tán chiến dịch lừa đảo như vậy.
Các nhà nghiên cứu FireEye cho biết FIN4 đã xâm nhập vào tài khoản của giám đốc điều hành C-level, luật sư, nhân viên quản lý, các nhà khoa học và các cố vấn của hơn 100 công ty. Khoảng 80 trong số đó là các công ty giao dịch công khai, trong khi 20 công ty còn lại là các công ty tư vấn cho công ty Wall Street về các vấn đề pháp lý, chứng khoán hoặc sáp nhập và mua lại có thể hoặc đang chờ. Kết quả là, nhóm có thể sử dụng các thông tin nội bộ đó để mua bán chứng khoán trước khi chúng được công bố rộng rãi.
Các nhà nghiên cứu FireEye gồm Barry Vengerik, Kristen Dennesen, Jordan Berry, và Jonathan Wrolstad cho biết: “Chúng tôi chỉ có thể phỏng đoán làm thế nào họ có thể sử dụng và hưởng lợi từ những thông tin giá trị mà họ có được. Tuy nhiên vẫn tồn tại một thực tế rõ ràng: truy cập vào thông tin nội bộ có thể làm tăng hoặc phá vỡ giá cổ phiếu của hàng chục công ty giao dịch công khai chắc chắn có thể giúp FIN4 có một lợi thế thương mại đáng kể”.
Ẩn bên trong các tài liệu bị đánh cắp trước đó là macro Visual Basic Applications (VBA) yêu cầu nhập tên người dùng và mật khẩu Outlook. Sau đó những kẻ tấn công sẽ điều khiển chuyển các thông tin đến máy chủ. Trong một số trường hợp khác trước đó, spearphishing e-mail chứa các liên kết đến trang đăng nhập Outlook Web App giả, nhắc nhở người dùng nhập mật khẩu của mình. Một số cuộc tấn công mà theo FireEye là nhắm mục tiêu vào bên trong các công ty luật, công ty tư vấn và các tập đoàn khi họ thảo luận cụ thể về các giao dịch kinh doanh đang chờ giải quyết.
Trong một trường hợp trước đó, tin tặc đã truy cập vào tài khoản e-mail tại một công ty tư vấn để lấy thông tin trao đổi về một vụ mua lại công ty, được xem là có liên quan đến một trong những khách hàng của công ty. Những kẻ tấn công sử dụng một tài khoản bị xâm nhập thuộc công ty tư vấn để truy cập mà FireEye gọi là Công ty Public A. Sau khi tin tức về việc mua lại được công bố, giá cổ phiếu của Công ty A đã thay đổi đáng kể. Có khả năng FIN4 đã sử dụng các thông tin có được để tác động vào những biến động sàn chứng khoán.
Nhiều chiến dịch lừa đảo tương đối dễ dàng phát hiện vì e-mail lừa đảo được gửi tới thường chứa lỗi ngữ pháp hoặc các tập tin độc hại kèm theo dễ bị phát hiện bởi hầu hết các phần mềm antivirus. Nhưng với FIN4 thì ngược lại. FireEye khuyến cáo các doanh nghiệp tự bảo vệ mình bằng cách vô hiệu hóa việc thực hiện VBA script trừ khi thực sự cần thiết. FireEye cũng khuyến cáo các quản trị viên giám sát mạng cho các máy tính có kết nối với các máy chủ Tor, vì đó là một cách khác để tin tặc tấn công. Ngoài ra, các quản trị viên có thể kiểm tra xem nếu nhân viên có kết nối với bất kỳ một trong 9 domains Internet nổi tiếng được sử dụng để thu thập thông tin nội bộ. Tuy nhiên, tốt nhất mỗi công ty nên tổ chức đào tạo cho nhân viên các phương pháp và cách phát hiện những cuộc tấn công lừa đảo.
