Lừa đảo hiện đại hoạt động như thế nào?

Lừa đảo là một kỹ thuật lừa đảo xã hội lâu đời được tội phạm mạng sử dụng để lừa mọi người cung cấp thông tin nhạy cảm (ví dụ: chi tiết thẻ tín dụng, thông tin đăng nhập, số điện thoại, địa chỉ, v.v.) để thu lợi tài chính. Nạn nhân thậm chí còn không biết thông tin của họ đã bị xâm phạm vì không có sự đồng ý hoặc phê duyệt nào được cung cấp. Theo báo cáo của Nhóm công tác chống lừa đảo (APWG) , trong quý 4 năm 2022, số vụ tấn công lừa đảo trên toàn thế giới đã lập kỷ lục hơn 4,7 triệu vụ tấn công. Điều đó có nghĩa là tốc độ tăng trưởng hơn 150% mỗi năm kể từ năm 2019, trong đó lĩnh vực tài chính là mục tiêu được nhắm tới nhiều nhất.

Những kẻ tấn công sử dụng các phương tiện điện tử này để phân phối văn bản và hình ảnh thuyết phục nhằm chiếm được lòng tin của nạn nhân bằng cách thuyết phục họ về tính hợp pháp của giao tiếp. Loại lừa đảo này có nhiều hình thức, bao gồm lừa đảo qua điện thoại, lừa đảo (lừa đảo qua SMS), email lừa đảo và trang web lừa đảo.

Một cách phổ biến để tiếp cận các nạn nhân tiềm năng là gửi các liên kết lừa đảo (URL) có vẻ hợp pháp qua email dẫn đến các trang web độc hại. Ngay cả các tin nhắn được gửi trên các trang và ứng dụng mạng xã hội, như Facebook, WhatsApp và Instagram cũng có thể chứa các liên kết lừa đảo, cùng với lý do để nhấp vào chúng - đồng thời tuyên bố rằng nó sẽ chuyển hướng người dùng đến trang chính thức của nội dung mà họ nhận ra. Ngoài ra, việc tìm thấy các liên kết độc hại trong số các liên kết lành tính cũng là điều thường thấy trong kết quả của công cụ tìm kiếm.

Điều quan trọng cần lưu ý là các liên kết độc hại có thể rất giống với URL thực tế mà những kẻ tấn công đang cố gắng mạo danh. Một ví dụ phổ biến về các URL lừa đảo đó sẽ giống như www.faceb00k.com — phiên bản ngụy trang của www.facebook.com thật. Sự xuất hiện rất giống nhau giữa các URL mang lại một lỗ hổng bảo mật khác có thể bị kẻ tấn công lợi dụng vì người dùng có thể nhập sai các chữ cái khi họ nhập địa chỉ URL trong trình duyệt internet của họ. Những URL gần giống nhau này có thể bị một trang web lừa đảo chiếm lấy. Trong tự nhiên, chúng ta có thể tìm thấy các ví dụ về URL lừa đảo có giao diện hoàn toàn khác với URL thực và chúng dường như là phiên bản rút gọn của các URL rất dài, giống như các URL được tạo bởi công cụ rút ngắn URL của Google.

Các trang web lừa đảo có thể khó xác định. Với hy vọng lừa nạn nhân tiết lộ thông tin cá nhân, nhiều trang web trông rất giống những trang mà họ đang bắt chước. Trong một số trường hợp, những kẻ tấn công xây dựng các trang web giả mạo một cách kém cỏi và rõ ràng là trang trông bị méo mó. Giống như phiên bản được hiển thị kém của phiên bản gốc hoặc có các thành phần không mong muốn trên trang (chân trang, menu hoặc bảng điều khiển). Cũng có thể có một số thành phần văn bản bao gồm kiểu chữ và/hoặc ngôn ngữ không khớp.

Tuy nhiên, vì hầu hết mã nguồn của bất kỳ trang web nào đều có thể truy cập được thông qua trình duyệt internet nên khá dễ dàng để tạo các trang web lừa đảo trông giống hệt các trang hợp pháp, khiến việc xác định trang độc hại thông qua đánh giá trực quan hoặc “trực giác của người dùng” rất khó thực hiện chính xác.

Email lừa đảo thường ít thành công hơn nhờ những tiến bộ trong việc phân loại chúng là thư rác. Tuy nhiên, một số email và liên kết lừa đảo vẫn có thể lọt vào hộp thư đến. Tuy nhiên, những kẻ tấn công ngày càng trở nên sáng tạo hơn trong cách phát tán các URL độc hại. Ví dụ: những kẻ lừa đảo có thể chia sẻ chúng trong các cuộc gọi điện thoại hoặc bằng cách gửi số lượng lớn tin nhắn SMS — các thủ thuật để đánh vào các nhóm người cụ thể. Điều này có thể bao gồm từ việc đăng các URL độc hại trong video của các YouTuber phổ biến đến các ứng dụng lừa đảo để xác thực, hiển thị cho người dùng mã QR chứa trang web lừa đảo đã cài đặt trình đánh cắp thông tin xác thực. Dưới đây bạn có thể tìm thấy hai ví dụ về các chiến dịch lừa đảo gần đây.

Lừa đảo tiếp tục là phương thức tấn công hàng đầu vì nó cho phép tội phạm mạng nhắm mục tiêu vào mọi người trên quy mô lớn. Thông thường, họ phát tán các trò lừa đảo dưới danh nghĩa là đại diện từ các công ty lớn nơi mục tiêu có tài khoản. Các ngân hàng, tổ chức chính phủ, cửa hàng điện tử, nhà cung cấp dịch vụ email và công ty viễn thông là những doanh nghiệp hấp dẫn nhất đối với các cuộc tấn công lừa đảo — do số lượng khách hàng cao và dữ liệu nhạy cảm liên quan.

Một trang web lừa đảo trông như thế nào?

Một số trang web lừa đảo hiện đại rất dễ bị phát hiện một cách tự nhiên do có sự khác biệt rõ ràng so với các trang web hợp pháp. Ngày nay, tội phạm mạng sử dụng các bộ công cụ để tạo các trang lừa đảo trong thời gian ngắn mà không cần phải có kiến thức chuyên môn về xây dựng website. Dưới đây bạn có thể tìm thấy một ví dụ về cuộc tấn công như vậy, trong đó sự khác biệt về hình ảnh cho thấy tính giả mạo của trang web.

Trong các trang đăng nhập Facebook trước đây, chúng ta có thể thấy một số thay đổi khiến chúng ta nghi ngờ tính xác thực của trang web, chẳng hạn như logo lớn hơn, sự khác biệt về kiểu chữ, sự vắng mặt của văn bản chân trang, nút “Tạo tài khoản mới” có màu xanh lục hơi khác giai điệu, và trong số những người khác.

Tuy nhiên, có những trang web lừa đảo cực kỳ lừa đảo. Trong những trường hợp đó, những kẻ tấn công đã nỗ lực rất nhiều để khiến chúng trông giống như thật. Trong các ví dụ bên dưới, bạn có thể thấy một trang web lừa đảo trông giống nhau như thế nào so với trang web đích thực của nó.

Trong các trang đăng nhập được hiển thị ở trên, chúng tôi có thể phát hiện các chi tiết nhỏ giúp phân biệt trang web lừa đảo với trang đăng nhập thực tế. Phiên bản lừa đảo gần như trùng lặp với phiên bản gốc, trong đó các thay đổi rất tinh vi và rời rạc được cố ý để nạn nhân không chú ý, tức là văn bản chân trang có căn chỉnh khác, thiếu các thành phần trong đó hoặc chúng không được hiển thị một cách chính xác.

Các trang web lừa đảo đã phát triển vượt bậc trong những năm qua để trở thành những trang giả mạo có sức thuyết phục. Một số thậm chí còn sử dụng HTTPS, khiến người dùng có cảm giác an toàn sai lầm khi nhìn thấy ổ khóa màu xanh lá cây.

Những sai sót nhỏ trong trang web lừa đảo có thể xuất hiện rõ ràng khi được đặt bên cạnh một trang hợp pháp, nhưng riêng chúng thì không quá đáng chú ý. Nhưng hãy nghĩ về lần cuối cùng bạn nhìn thấy trang đăng nhập của một dịch vụ mà bạn thường xuyên sử dụng. Rất có thể, bạn sẽ gặp khó khăn khi nhớ lại tất cả các chi tiết, đó chính xác là điều mà những kẻ lừa đảo lừa đảo đang hy vọng khi chúng thiết kế trang của mình.

Các mối đe dọa lừa đảo đang lan rộng như thế nào?

Trong lịch sử, cách phổ biến nhất để phát tán các trang web lừa đảo là qua email lừa đảo, nhưng chúng cũng lây lan qua các quảng cáo trả phí xuất hiện trong kết quả tìm kiếm. Các vectơ tấn công khác bao gồm một kỹ thuật gọi là clickbait. Tội phạm mạng thường sử dụng chiêu dụ nhấp chuột trên mạng xã hội bằng cách hứa hẹn điều gì đó, chẳng hạn như điện thoại miễn phí, để khuyến khích người dùng nhấp vào các liên kết độc hại.

Điều gì xảy ra khi một kẻ lừa đảo bắt được?

Giống như hầu hết các cuộc tấn công mạng hiện đại, lừa đảo được sử dụng để thu lợi tài chính. Khi người dùng từ bỏ thông tin đăng nhập vào một trang web lừa đảo, tội phạm mạng có thể lạm dụng chúng theo nhiều cách khác nhau, tùy thuộc vào loại trang web được sử dụng để lừa đảo. Nhiều cuộc tấn công lừa đảo bắt chước các tổ chức tài chính, chẳng hạn như ngân hàng hoặc công ty như PayPal và nhằm mục đích mang lại phần thưởng tài chính đáng kể cho tội phạm mạng.

Nếu tội phạm mạng lừa người dùng cung cấp thông tin đăng nhập của họ cho một trang web vận chuyển, chẳng hạn như UPS hoặc FedEx, thì họ khó có thể kiếm được lợi nhuận từ việc truy cập vào tài khoản. Thay vào đó, họ có thể cố gắng sử dụng cùng thông tin xác thực để truy cập vào các tài khoản khác có thông tin có giá trị hơn, chẳng hạn như tài khoản email, vì biết rằng mọi người thường sử dụng cùng một mật khẩu trên nhiều dịch vụ. Một cách khác để tội phạm mạng kiếm lợi là bán thông tin đăng nhập bị đánh cắp trên web đen, một phần sâu hơn của Internet, nơi các mạng riêng hoạt động kinh doanh ẩn danh mà không tiết lộ thông tin nhận dạng.

Đây là phương pháp tấn công “phun và cầu nguyện”. Nhiều trang web WordPress lỗi thời trên web có thể bị hack và sử dụng cho các chiến dịch lừa đảo với chi phí rất thấp. Nhìn chung, giá để triển khai một bộ công cụ lừa đảo là khoảng 25 USD, khiến nó có giá rất phải chăng và vẫn mang lại lợi nhuận cho những kẻ tấn công. Một nhược điểm khác của lừa đảo – đối với nạn nhân tiềm năng – là các cuộc tấn công có thời gian tồn tại ngắn (TTL) và các URL thường xuyên thay đổi trong một chiến dịch, tạo ra các phương pháp phát hiện tiêu chuẩn, như tạo danh sách chặn các URL đáng ngờ, không hiệu quả trước các cuộc tấn công 0 ngày .

Làm thế nào để bảo vệ chính mình

Thời gian thường khác nhau giữa một cuộc tấn công lừa đảo thành công – khi tội phạm mạng lấy được thông tin đăng nhập và khi chúng sử dụng chúng. Chúng ta có thể giảm thiểu mối đe dọa càng nhanh thì chúng ta càng có thể bảo vệ được nhiều nạn nhân tiềm năng hơn. Khi thông tin xác thực của người dùng bị đánh cắp, họ không thể làm gì khác ngoài việc thay đổi thông tin xác thực đó càng sớm càng tốt.

Vào năm 2024, các nhà nghiên cứu an ninh mạng đã tìm thấy bằng chứng cho thấy cũng có những kỹ thuật mới để vượt qua nhiều bộ lọc thư rác khác nhau, ngay cả những bộ lọc tốt nhất trên Google. Ví dụ: tệp đính kèm được gửi dưới dạng tệp PDF, không chứa bất kỳ văn bản nào, để chuyển hướng người dùng đến các dịch vụ khác của Google, chẳng hạn như Google Documents. Ngoài ra, các tệp đính kèm lừa đảo không chuẩn khác cũng được sử dụng, chẳng hạn như lời mời theo lịch, trong đó các URL liên kết đến các trang web lừa đảo cũng được đưa vào mô tả sự kiện.

Dưới đây là danh sách kiểm tra để giúp bạn tránh trở thành nạn nhân của một trong những hình thức tấn công mạng thành công nhất:

• Trước hết, hãy cài đặt giải pháp chống vi-rút trên tất cả các thiết bị của bạn, cho dù là PC, thiết bị di động hay Mac. Phần mềm chống vi-rút hoạt động như một mạng lưới an toàn, bảo vệ người dùng trực tuyến.
• Không nhấp vào liên kết hoặc tải xuống tệp từ các email đáng ngờ. Tránh trả lời họ, ngay cả khi họ được cho là đến từ . Thay vào đó, hãy liên hệ với những thực thể đó thông qua một kênh riêng và đảm bảo rằng tin nhắn thực sự đến từ họ.
• Nhập trực tiếp URL của trang web vào trình duyệt của bạn bất cứ khi nào có thể để cuối cùng bạn truy cập trang web bạn muốn truy cập chứ không phải là phiên bản giả mạo.
• Đừng chỉ dựa vào ổ khóa HTTPS màu xanh lá cây. Mặc dù điều này biểu thị rằng kết nối đã được mã hóa nhưng trang web vẫn có thể là giả mạo. Tội phạm mạng mã hóa các trang web lừa đảo của chúng để tiếp tục đánh lừa người dùng, vì vậy điều quan trọng là phải kiểm tra kỹ xem trang web bạn đang truy cập có phải là trang web thật hay không.
• Lướt web an toàn thông qua trình duyệt internet có khả năng phát hiện các trang web lừa đảo mà mắt thường không thể nhận ra. Giống như Norton Secure Browser , được trang bị các tính năng bảo mật tiên tiến được phân phối trên nhiều lớp bảo vệ, đánh giá tính hợp pháp của URL từ các thành phần kỹ thuật chạy ẩn cho đến nội dung trực quan hiển thị cho người dùng. Dẫn đến việc giảm thiểu hiệu quả các mối đe dọa này trong các chiến dịch lớn.

Tác giả : Javier Aldana Iuit, Tiến sĩ . Nhà nghiên cứu AI/ML về phát hiện các mối đe dọa mạng và lừa đảo trực quan, GEN