Giả mạo logo Microsoft để tấn công lừa đảo

16:00 | 26/05/2021 | HACKER / MALWARE

Tội phạm mạng thực hiện các chiến dịch lừa đảo thường tìm ra các chiến thuật mới để đánh lừa các công cụ bảo mật truyền thống. Trong một chiến dịch gần đây được phát hiện bởi nhà cung cấp bảo mật email Inky (Mỹ), tin tặc đã mạo danh Microsoft và logo mới nhất của hãng phần mềm khổng lồ này.

Trong báo cáo của Inky "Lừa đảo mạo danh Logo Microsoft" đã mô tả cách thức hoạt động của phương pháp này. Inky cho biết, các email lừa đảo sử dụng biểu trưng của Microsoft trong một bảng HTML, biểu tượng này không có trong danh sách phân tích của các chương trình bảo mật.

Tin tặc đã lợi dụng mã HTML bằng cách kết hợp một bảng nhúng có chứa phiên bản giả mạo của biểu trưng Microsoft. Chúng thực hiện được điều này vì các chương trình bảo mật email không phân tích bảng, do không được sử dụng theo phương thức truyền thống trong email lừa đảo. Biểu trưng giả mạo trông giống như biểu trưng thực tế của Microsoft, vì vậy nội dung có thể vượt qua các bộ lọc bảo mật và có vẻ hợp pháp đối với các nạn nhân tiềm năng.

Trớ trêu thay, chính Microsoft lại vô tình góp phần vào kế hoạch này. Hình ảnh logo cũ của công ty hiển thị bốn màu quen thuộc theo phong cách ba chiều, đường viền. Vào năm 2012, Microsoft đã thay đổi và đơn giản hóa logo của mình bằng cách sử dụng cùng một màu sắc nhưng theo bố cục phẳng, hai chiều. Vì tính đơn giản, logo mới dễ bị giả mạo hơn vì bất kỳ ai cũng có thể tạo bốn ô trong bảng, mỗi ô có một trong bốn màu làm nền.

Trong báo cáo của mình, Inky đã trích dẫn ba chiến dịch lừa đảo trong đó logo giả mạo đóng một vai trò nào đó.

Email SharePoint giả mạo

Trong trường hợp này, biểu trưng HTML tùy chỉnh xuất hiện trong một thông báo fax giả. Hiển thị biểu trưng có nhãn hiệu SharePoint, email chứa liên kết cho thông báo bị cáo buộc có nội dung "xem trước hoặc tải xuống tại đây". Nhấp vào liên kết nhanh chóng sẽ đưa người dùng đến trang UNICEF Trung Quốc và sau đó chuyển hướng đến trang web công cụ phát triển web hợp pháp có tên là CodeSandbox, nơi phần mềm độc hại được cài đặt trên máy tính. Bảng và biểu trưng giả kết hợp với chuyển hướng đến các trang web hợp pháp có thể lừa người dùng mắc bẫy.

Office 365 giả mạo

Sử dụng Office 365 với logo giả mạo của Microsoft, chiến dịch này cảnh báo người nhận rằng mật khẩu của họ đã hết hạn. Email chứa một liên kết có nội dung "giữ mật khẩu hiện tại", việc nhấp vào liên kết sẽ đưa người dùng đến một nền tảng email tiếp thị hợp pháp nhưng bị xâm nhập và sau đó chuyển hướng đến trang CodeSandbox để cài đặt phần mềm độc hại. Một lần nữa, kẻ tấn công sử dụng logo giả mạo, bảng nhúng và chuyển hướng mở để đánh lừa các nạn nhân tiềm năng.

Thông báo thư thoại Bogus

Trong chiến dịch này, biểu trưng bảng HTML giả được đặt trong một thông báo thư thoại không có thật. Liên kết độc hại ẩn trong tệp đính kèm HTML được mã hóa bằng hệ thập lục phân để lén phát hiện bảo mật truyền thống. Bằng cách sử dụng logo Microsoft, một liên kết độc hại ẩn và các chuỗi thập lục phân, email có khả năng thoát khỏi sự phát hiện bảo mật và đánh lừa người nhận tốt hơn.

Khuyến nghị

Rất khó để phân biệt những loại email lừa đảo tinh vi này bằng phương pháp trực quan. Chúng không bị phát hiện bởi các sản phẩm bảo mật và lọc email truyền thống, bao gồm cả những sản phẩm của chính Microsoft.

Cách tốt nhất để phân tích các kiểu tấn công này là sử dụng cả con người và máy móc để so sánh kết quả. Ngay cả khi email được thiết kế chuyên nghiệp đến mức có vẻ hợp pháp đối với người nhận, một công cụ chống lừa đảo tốt có thể cho biết liệu nó có thực sự đến từ Microsoft thực sự hay không. Một công cụ như vậy sẽ sử dụng thị giác máy tính và trí tuệ nhân tạo để thấy rằng bảng HTML đang cố gắng sử dụng logo của Microsoft. Sau đó, hệ thống sẽ xác định xem người gửi có thực sự là Microsoft hay không.

Nguyễn Chân

‹ › ×

Tin liên quan

Trí tuệ nhân tạo và học máy bị lợi dụng để tấn công mạng

11:00 | 09/04/2021

Các mã nguồn và hướng dẫn để phát triển học máy và trí tuệ nhân tạo đang ngày càng nhiều, nên việc tiếp cận đến chúng trở nên dễ dàng hơn bao giờ hết. Nhưng đi kèm với lợi ích tốt của học máy và trí tuệ nhân tạo, chúng cũng bị lạm dụng bởi những hacker mũ đen để trục lợi. Bài viết này sẽ nêu lên các kịch bản sử dụng trí tuệ nhân tạo để thực hiện các mục đích xấu.

Thủ đoạn giả tin nhắn thương hiệu và những vấn đề cần xem xét

09:00 | 18/06/2021

Trong thời gian gần đây xuất hiện tình trạng tội phạm giả tin nhắn thương hiệu (SMS Brandname) của các ngân hàng để lừa đảo khách hàng. Sau Sacombank khách hàng của nhiều ngân hàng khác cũng bị tin tặc tấn công bằng thủ đoạn tương tự.

Mã hóa dữ liệu trên Windows với Bitlocker

10:00 | 31/05/2022

Những dữ liệu quan trọng thường được lưu trữ trên máy tính như ổ đĩa, tệp hay các thư mục. Vì vậy, giải pháp an toàn, bảo mật đầu tiên người dùng hướng tới thường là mã hóa, điều này giúp đảm bảo rằng những người người dùng khác sẽ không thể truy cập được vào nội dung bên trong, ngoại trừ người có khóa phù hợp để giải mã. Bài báo này sẽ gửi đến quý độc giả hướng dẫn cơ bản về mã hóa dữ liệu trên hệ điều hành Windows với công cụ Bitlocker.

Phát hiện nền tảng WordPress bị khai thác tấn công lừa đảo

16:00 | 18/04/2019

Vượt qua cơ chế bảo vệ của Wordfence (tường lửa của WordPress), các tin tặc có thể thực hiện tấn công thay đổi giao diện, chuyển hướng truy cập tới website độc hại nhằm mục tiêu lừa đảo người dùng.

Trang web giả mạo Báo Điện tử Công an nhân dân để lừa đảo

15:00 | 25/06/2021

Các đối tượng tội phạm mạng đã tạo ra một trang web giả mạo Báo điện tử Công an nhân dân nhằm đánh cắp thông tin cá nhân quan trọng của người dùng như tài khoản ngân hàng… hoặc sử dụng vào các mục đích phạm tội khác.

Giải mã mã độc WhisperGate

10:00 | 04/02/2022

Tiêu điểm của tình hình an ninh mạng trên thế giới thời gian qua là làn sóng tấn công hướng đến các cơ quan, tổ chức, chính phủ tại Ukraine. WhisperGate - mã độc được sử dụng trong chiến dịch tấn công này đã thu hút sự chú ý lớn của dư luận. Bài báo này giới thiệu tới quý độc giả góc nhìn kỹ thuật về WhisperGate và những khuyến nghị của Microsoft dành cho người dùng.

Chuyển tiền nhầm: Xuất hiện thủ đoạn lừa đảo mới

15:00 | 02/07/2021

Một ngày nọ, tài khoản ngân hàng của bạn bỗng dưng nhận được một khoản tiền từ vài triệu đồng đến cả trăm triệu đồng mà không rõ người gửi. Bạn sẽ làm gì với số tiền đó? Nên để kệ hay là rút ra tiêu? Đa phần các chủ tài khoản đều có chung những câu hỏi như trên.

ChongLuaDao - Tiện ích mở rộng trình duyệt của người Việt chống lại tấn công lừa đảo

08:00 | 01/03/2021

Mới đây, các chuyên gia bảo mật mạng tại Việt Nam (trong đó có HieuPC) đã cho ra mắt tiện ích mở rộng trên trình duyệt để giúp người dùng chống lại tấn công lừa đảo, sử dụng thuật toán học máy.

Cách để doanh nghiệp vừa và nhỏ tự bảo vệ khỏi tấn công lừa đảo

08:00 | 26/06/2020

Đại dịch COVID-19 chưa hoàn toàn chấm dứt, nhưng nhiều quốc gia ở Đông Nam Á đang dần nới lỏng các hình thức giãn cách xã hội. Một số công ty đã sẵn sàng quay trở lại làm việc sau thời gian giãn cách. Tuy nhiên, các doanh nghiệp vừa và nhỏ (SMB) đang đối mặt với một loạt khó khăn, trong đó có thách thức đến từ nguy cơ an ninh mạng.

Tin cùng chuyên mục

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.