Tin tặc đã sử dụng khoảng 20 trình giả lập để bắt chước hơn 16.000 điện thoại của những khách hàng có tài khoản ngân hàng di động bị xâm nhập. Trong một trường hợp riêng biệt, một trình giả lập duy nhất có thể giả mạo hơn 8.100 thiết bị, như thể hiện trong hình ảnh sau:
Sau đó, tin tặc nhập tên người dùng và mật khẩu vào các ứng dụng ngân hàng chạy trên trình giả lập đó và khởi tạo các lệnh chuyển tiền gian lận lấy tiền từ các tài khoản bị xâm nhập. Trình giả lập được các nhà phát triển và nhà nghiên cứu hợp pháp sử dụng để kiểm tra cách ứng dụng chạy trên nhiều loại thiết bị di động khác nhau.
Để vượt qua các biện pháp bảo vệ mà các ngân hàng sử dụng để chặn các cuộc tấn công, tin tặc đã sử dụng số nhận dạng thiết bị tương ứng với từng chủ tài khoản bị xâm phạm và các vị trí GPS giả mạo mà thiết bị được biết là sử dụng. ID thiết bị có thể được lấy từ các thiết bị bị tấn công của chủ sở hữu, mặc dù trong một số trường hợp, những kẻ lừa đảo giả vờ là khách hàng đang truy cập tài khoản của họ từ điện thoại mới. Những kẻ tấn công cũng có thể vượt qua xác thực đa yếu tố bằng cách truy cập tin nhắn SMS.
“Hoạt động gian lận trên thiết bị di động này được quản lý để tự động hóa quá trình truy cập tài khoản, bắt đầu giao dịch, nhận và đánh cắp yếu tố xác thực bằng SMS. Trong nhiều trường hợp, các mã đó được sử dụng để hoàn thành các giao dịch bất hợp pháp,” Shachar Gritzman, nhà nghiên cứu của IBM Trusteer và Limor Kessem chia sẻ.
“Các nguồn dữ liệu, tập lệnh và các ứng dụng tùy chỉnh mà băng nhóm này tạo ra được lưu chuyển trong một quy trình tự động với tốc độ cho phép chúng có thể cướp hàng triệu USD từ mỗi ngân hàng trong vòng vài ngày”.
Mỗi khi tin tặc lấy sạch tiền từ một tài khoản, chúng sẽ gỡ bỏ thiết bị giả mạo đã truy cập vào tài khoản và thay thế nó bằng một thiết bị mới. Tin tặc cũng thay đổi thiết bị trong trường hợp chúng bị hệ thống chống gian lận của ngân hàng từ chối. IBM Trusteer đã có bằng chứng về việc tin tặc khởi động một cuộc tấn công riêng biệt, sau khi kết thúc, tin tặc sẽ tắt hoạt động, xóa sạch dấu vết dữ liệu và bắt đầu một hoạt động mới.
Các nhà nghiên cứu cho rằng, các tài khoản ngân hàng đã bị xâm nhập bằng cách sử dụng phần mềm độc hại hoặc các cuộc tấn công lừa đảo. Báo cáo của IBM Trusteer không giải thích cách kẻ gian lấy cắp tin nhắn SMS và ID thiết bị. Các ngân hàng bị tấn công taaph trung ở khu vực châu Âu và Mỹ.
Để theo dõi tiến trình hoạt động trong thời gian thực, tin tặc đã chặn liên lạc giữa các thiết bị giả mạo và máy chủ ứng dụng của ngân hàng. Chúng cũng sử dụng nhật ký, ảnh chụp màn hình để theo dõi hoạt động theo thời gian và cũng cải tiến các kỹ thuật tấn công từ những sai lầm trước đó.
Vụ việc này một lần nữa cho thấy tầm quan trọng của việc nâng cao cảnh giác, dùng mật khẩu mạnh, phát hiện các thủ đoạn lừa đảo, sử dụng các biện pháp xác thực mạnh và thường xuyên kiểm tra các giao dịch có dấu hiện gian lận từ cả hai phía: các ngân hàng và khách hàng của họ.
Nguyễn Anh Tuấn (theo Ars Technica)
15:00 | 23/03/2020
16:00 | 03/09/2021
14:00 | 16/07/2020
07:00 | 04/02/2021
13:00 | 05/02/2021
15:00 | 18/03/2020
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
16:00 | 12/05/2023
Cho đến đầu năm nay, ứng dụng phần mềm mã nguồn mở Apache Superset vẫn xuất xưởng với cấu hình mặc định không an toàn mà kẻ xấu có thể khai thác để đăng nhập và chiếm lấy ứng dụng trực quan hóa dữ liệu, đánh cắp dữ liệu và thực thi mã độc.
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
07:00 | 07/11/2024