Công ty an ninh mạng Group-IB vừa phát hiện một “làn sóng” lừa đảo toàn cầu nhắm vào người dùng ở hơn 90 quốc gia, trong đó có Mỹ, Canada, Hàn Quốc và Ý. Những kẻ lừa đảo đã tiến hành các cuộc khảo sát và chương trình quay số trúng thưởng giả mạo danh nghĩa của các nhãn hiệu nổi tiếng, để ăn cắp dữ liệu thanh toán và cá nhân của người dùng, với tổng số công ty nổi tiếng bị giả danh đã lên đến con số trên 120.

Làn sóng lừa đảo mới khai thác việc tặng quà.

Số lượng nạn nhân tiềm năng của một mạng lừa đảo được dự báo khoảng 10 triệu người, trong khi thiệt hại tổng cộng vào khoảng 80 triệu USD/tháng. Các nội dung của các chương trình khảo sát, và chương trình quay số trúng thưởng thường rất sát với cuộc sống, mùa lễ hội nên khá dễ lừa người dùng “sập bẫy” được tặng quà.   

“Làn sóng” lừa đảo mới này cũng đáng lo ngại vì nó sử dụng một sáng kiến trong bộ công cụ của những kẻ lừa đảo - các liên kết có chủ đích, làm cho việc điều tra và ứng phó các cuộc tấn công này ngày càng khó khăn.

Hoạt động toàn cầu

Cũng theo Group-IB, hiện có 60 mạng lừa đảo được ghi nhận, đã sử dụng các liên kết có chủ đích trong các chiến dịch của họ, mạo danh 121 thương hiệu nổi tiếng trong các chương trình tặng quà miễn phí.   

Mỗi mạng lừa đảo sử dụng trung bình 70 tên miền Internet khác nhau. Tuy nhiên, một số mạng lừa đảo nhận thấy thành công lớn với số tên miền ít hơn, cho thấy chất lượng đánh bại số lượng trong các vụ lừa đảo.

Đối với mỗi trang web chứa nội dung lừa đảo, Group-IB có thể phân tích vị trí của người truy cập. Theo đó, các nguồn truy cập chính là Ấn Độ (42,2%), Thái Lan (7%), Indonesia (4,4%), châu Âu (17%), và các vị trí khác (29,4%).

Dữ liệu làn sóng lừa đảo mới.

Thu thập thông tin

Những kẻ lừa đảo tiếp cận nạn nhân thông qua quảng cáo theo ngữ cảnh, quảng cáo trên các trang web giả mạo, các đầu tin mạng xã hội, các đầu tin trên diễn đàn, tin nhắn SMS, các email, và các thông báo cửa sổ nổi. Mục đích là chuyển hướng nạn nhân đến các trang web lừa đảo, trang web giả dạng trang web chính thức của các thương hiệu nổi tiếng.

Mặc dù Group-IB không tiết lộ toàn bộ danh sách thương hiệu nổi tiếng bị giả danh, trang tin BleepingComputer cũng đã ghi nhận các khảo sát và chương trình quay số trúng thưởng, giả danh Google, Target, Amazon, Microsoft, Apple, và Samsung.

Khi người dùng nhấp vào địa chỉ URL đầu tiên, nó sẽ kích hoạt một loạt các chuyển hướng, mà trong đó các tác nhân gây hại sẽ thu thập thông tin về nạn nhân, như ngôn ngữ, địa chỉ IP, trình duyệt web, vị trí… Quá trình này là để phục vụ cho việc cung cấp một trang web phù hợp với sở thích và hoàn cảnh của từng nạn nhân. 

Song song đó, quá trình này cũng ngăn chặn việc điều tra và đánh sập các trang web lừa đảo, nhất là khi các mạng lừa đảo quá lớn và sử dụng nhiều trang web.

Trong hầu hết trường hợp, nạn nhân sẽ bị dụ dỗ bằng một cơ hội trúng thưởng, và chỉ cần làm một thao tác nữa để được nhận quà.

Tuy nhiên, ở bước cuối cùng này, các tác nhân gây hại sẽ yêu cầu cung cấp thông tin cá nhân chi tiết và đầy đủ, dữ liệu thẻ ngân hàng (kể cả ngày hết hạn), và đôi khi yêu cầu các nạn nhân thực hiện một thao tác “thanh toán thử” để xác thực.

Sau đó, những thông tin chi tiết này sẽ được sử dụng cho các vụ mua hàng trực tuyến lừa đảo, đăng ký các tài khoản giả, và xác thực các tài khoản giả. Trong hầu hết trường hợp, chúng sẽ được bán cho nhiều tác nhân gây hại trên web đen.

Cách ngăn chặn lừa đảo

Những thương hiệu lớn đang cung cấp quà Giáng sinh, và họ cũng tiến hành các chương trình quay số trúng thưởng (giveaway) hay khảo sát có giải thưởng. Đó cũng chính là những gì mà các kẻ lừa đảo muốn khai thác.

Để kiểm tra một chương trình quay số trúng thưởng là thực, bạn cần kiểm tra tài khoản email, và xác nhận địa chỉ trang web là tên miền chính thức của thương hiệu đó.

Nếu một thương hiệu nổi tiếng chạy một chương trình, bạn cũng sẽ dễ dàng tìm thấy một đầu tin giống nhau trên các kênh mạng xã hội chính thức của họ. Và thậm chí, tại đó, bạn cũng cần kiểm tra chắc chắn các tài khoản được xác thực.

Cuối cùng, bạn cần kiểm tra tên miền của trang quay số trúng thưởng và phải chắc chắn rằng nó là của thương hiệu chính thống.

Trong bất kỳ trường hợp nào, bạn cũng không được chia sẻ thông tin ngân hàng chi tiết của bạn hay bất kỳ dữ liệu cá nhân nào khác, ngoài tên và địa chỉ của bạn.

LÊ PHI (Theo BleepingComputer)