Tin tặc đã sử dụng khoảng 20 trình giả lập để bắt chước hơn 16.000 điện thoại của những khách hàng có tài khoản ngân hàng di động bị xâm nhập. Trong một trường hợp riêng biệt, một trình giả lập duy nhất có thể giả mạo hơn 8.100 thiết bị, như thể hiện trong hình ảnh sau:
Sau đó, tin tặc nhập tên người dùng và mật khẩu vào các ứng dụng ngân hàng chạy trên trình giả lập đó và khởi tạo các lệnh chuyển tiền gian lận lấy tiền từ các tài khoản bị xâm nhập. Trình giả lập được các nhà phát triển và nhà nghiên cứu hợp pháp sử dụng để kiểm tra cách ứng dụng chạy trên nhiều loại thiết bị di động khác nhau.
Để vượt qua các biện pháp bảo vệ mà các ngân hàng sử dụng để chặn các cuộc tấn công, tin tặc đã sử dụng số nhận dạng thiết bị tương ứng với từng chủ tài khoản bị xâm phạm và các vị trí GPS giả mạo mà thiết bị được biết là sử dụng. ID thiết bị có thể được lấy từ các thiết bị bị tấn công của chủ sở hữu, mặc dù trong một số trường hợp, những kẻ lừa đảo giả vờ là khách hàng đang truy cập tài khoản của họ từ điện thoại mới. Những kẻ tấn công cũng có thể vượt qua xác thực đa yếu tố bằng cách truy cập tin nhắn SMS.
“Hoạt động gian lận trên thiết bị di động này được quản lý để tự động hóa quá trình truy cập tài khoản, bắt đầu giao dịch, nhận và đánh cắp yếu tố xác thực bằng SMS. Trong nhiều trường hợp, các mã đó được sử dụng để hoàn thành các giao dịch bất hợp pháp,” Shachar Gritzman, nhà nghiên cứu của IBM Trusteer và Limor Kessem chia sẻ.
“Các nguồn dữ liệu, tập lệnh và các ứng dụng tùy chỉnh mà băng nhóm này tạo ra được lưu chuyển trong một quy trình tự động với tốc độ cho phép chúng có thể cướp hàng triệu USD từ mỗi ngân hàng trong vòng vài ngày”.
Mỗi khi tin tặc lấy sạch tiền từ một tài khoản, chúng sẽ gỡ bỏ thiết bị giả mạo đã truy cập vào tài khoản và thay thế nó bằng một thiết bị mới. Tin tặc cũng thay đổi thiết bị trong trường hợp chúng bị hệ thống chống gian lận của ngân hàng từ chối. IBM Trusteer đã có bằng chứng về việc tin tặc khởi động một cuộc tấn công riêng biệt, sau khi kết thúc, tin tặc sẽ tắt hoạt động, xóa sạch dấu vết dữ liệu và bắt đầu một hoạt động mới.
Các nhà nghiên cứu cho rằng, các tài khoản ngân hàng đã bị xâm nhập bằng cách sử dụng phần mềm độc hại hoặc các cuộc tấn công lừa đảo. Báo cáo của IBM Trusteer không giải thích cách kẻ gian lấy cắp tin nhắn SMS và ID thiết bị. Các ngân hàng bị tấn công taaph trung ở khu vực châu Âu và Mỹ.
Để theo dõi tiến trình hoạt động trong thời gian thực, tin tặc đã chặn liên lạc giữa các thiết bị giả mạo và máy chủ ứng dụng của ngân hàng. Chúng cũng sử dụng nhật ký, ảnh chụp màn hình để theo dõi hoạt động theo thời gian và cũng cải tiến các kỹ thuật tấn công từ những sai lầm trước đó.
Vụ việc này một lần nữa cho thấy tầm quan trọng của việc nâng cao cảnh giác, dùng mật khẩu mạnh, phát hiện các thủ đoạn lừa đảo, sử dụng các biện pháp xác thực mạnh và thường xuyên kiểm tra các giao dịch có dấu hiện gian lận từ cả hai phía: các ngân hàng và khách hàng của họ.
Nguyễn Anh Tuấn (theo Ars Technica)
15:00 | 23/03/2020
16:00 | 03/09/2021
14:00 | 16/07/2020
07:00 | 04/02/2021
13:00 | 05/02/2021
15:00 | 18/03/2020
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024