Trong một thế giới ảo ngày càng phát triển, nơi mà lòng tin vừa phổ biến lại vừa là điểm yếu, các tác nhân đe dọa tìm cách thao túng hành vi con người và lợi dụng xu hướng muốn giúp đỡ của mọi người. Trong đồ họa thông tin này, chúng ta sẽ khám phá hành vi lừa đảo phi kỹ thuật, trong đó có lý do tại sao các tác nhân đe dọa coi trọng danh tính chuyên môn hơn tất cả, đồng thời cho bạn biết một số cách thức thao túng bản chất con người mà các tác nhân này sử dụng để đạt được mục tiêu.
Nền kinh tế vận hành nhờ lòng tin: gian lận lừa đảo phi kỹ thuật
Lừa đảo phi kỹ thuật và mánh lới lừa đảo qua mạng tinh vi
Khoảng 90%1 các cuộc tấn công lừa đảo qua mạng đều sử dụng tới các chiến thuật lừa đảo phi kỹ thuật nhằm thao túng nạn nhân tiết lộ thông tin nhạy cảm, bấm vào các đường liên kết độc hại hoặc mở tệp chứa mã độc. Các chiến thuật này thường được thực hiện qua email. Cuộc tấn công lừa đảo qua mạng là phương thức tiết kiệm chi phí cho kẻ tấn công, dễ thích ứng để né tránh các biện pháp phòng ngừa và có tỷ lệ thành công cao.
Đòn bẩy hành vi con người
Mấu chốt của kỹ thuật lừa đảo phi kỹ thuật là kẻ tấn công biết sử dụng sự tự tin và khả năng thuyết phục để khiến đối tượng mục tiêu thực hiện những hành động đi ngược với tính cách của họ. Ba đòn bẩy hiệu quả là tính cấp bách, cảm xúc và thói quen.2 Tính cấp bách Không ai muốn bỏ lỡ một cơ hội ngàn năm có một hay không kịp đáp ứng một hạn chót quan trọng. Cảm giác cấp bách thường đánh lừa những người vốn dĩ tỉnh táo, khiến họ tiết lộ thông tin cá nhân.
Ví dụ: Tình huống cấp bách giả
“Một dấu hiệu để nhận biết email lừa đảo qua mạng là thường kèm theo một loại khung thời gian nào đó. Kẻ gian muốn thúc ép bạn đưa ra quyết định trong thời gian ngắn.”
Jack Mott – Microsoft Threat Intelligence
Cảm xúc
Kẻ tấn công qua mạng thường thao túng cảm xúc để nắm thế thượng phong, bởi lẽ con người dễ thực hiện những hành động rủi ro khi ở trạng thái cảm xúc mạnh, nhất là khi cảm thấy sợ hãi, tội lỗi hoặc tức giận.
Ví dụ: Thao túng cảm xúc
“Mồi nhử tinh vi nhất mà tôi từng thấy là một email rất ngắn cho biết chúng tôi được vợ/chồng bạn thuê để chuẩn bị thủ tục ly hôn. Hãy bấm vào đường liên kết để tải bản sao xuống.”
Sherrod DeGrippo – Microsoft Threat Intelligence
Thói quen
Tội phạm là những kẻ rất giỏi quan sát hành vi. Chúng đặc biệt chú ý đến các loại thói quen và hoạt động thường nhật mà mọi người làm trong vô thức, không suy nghĩ quá nhiều.
Ví dụ: Thói quen phổ biến
“Các tác nhân đe dọa điều chỉnh phương thức tấn công theo nhịp điệu hoạt động của doanh nghiệp. Chúng biết cách tạo ra mồi nhử có nội dung phù hợp với hoàn cảnh mà chúng ta thường tiếp nhận.”
Jack Mott – Microsoft Threat Intelligence
Đôi khi, nhân viên không rạch ròi giữa khía cạnh cá nhân và công việc. Nhân viên có thể sử dụng email công việc cho các tài khoản cá nhân mà họ sử dụng cho công việc. Các tác nhân đe dọa sẽ đôi lúc cố gắng lợi dụng điều đó bằng cách tiếp cận với tư cách là một trong những chương trình này để có quyền truy nhập vào thông tin của nhân viên trong công ty.
“Trong các vụ lừa đảo qua email, tội phạm mạng sẽ kiểm tra “mồi nhử” của chúng để tìm địa chỉ email công ty. Địa chỉ email cá nhân không đáng để chúng mất thời gian. Địa chỉ email công ty có giá trị hơn, vì vậy chúng sẽ đầu tư nhiều nguồn lực hơn và tập trung tấn công kiểm soát trực tiếp để tùy chỉnh các cuộc tấn công vào các tài khoản đó.”
Jack Mott – Microsoft Threat Intelligence
Mánh khóe “dài hơi”
Các cuộc tấn công lừa đảo phi kỹ thuật thường không diễn ra nhanh chóng. Kẻ lừa đảo thường từ từ xây dựng lòng tin ở nạn nhân bằng các kỹ thuật hao tâm tổn sức, bắt đầu bằng việc nghiên cứu. Quá trình thao túng kiểu này thường diễn ra theo các bước như sau:
- Điều tra: Kẻ lừa đảo xác định đối tượng mục tiêu và thu thập thông tin cơ bản, như các giao thức bảo mật hoặc điểm tấn công tiềm năng.
- Xâm nhập: Kẻ lừa đảo tập trung vào việc xây dựng lòng tin với đối tượng mục tiêu. Chúng thêu dệt một câu chuyện, thu hút sự chú ý của đối tượng mục tiêu và kiểm soát cuộc trao đổi để dẫn dắt theo hướng có lợi cho kẻ lừa đảo.
- Khai thác: Kẻ lừa đảo dần dà thu thập thông tin của đối tượng mục tiêu. Thông thường, đối tượng mục tiêu sẽ tự nguyện cung cấp thông tin này và kẻ lừa đảo có thể tận dụng để truy nhập vào các thông tin bí mật hơn.
- Rút lui: Kẻ lừa đảo sẽ khéo léo kết thúc cuộc trò chuyện một cách tự nhiên. Một kẻ lừa đảo điêu luyện sẽ làm được việc này mà không hề khiến đối tượng mục tiêu nghi ngờ
Các cuộc tấn công BEC nổi bật trong ngành tội phạm mạng vì chúng tập trung vào lừa đảo phi kỹ thuật và nghệ thuật lừa dối. Các cuộc tấn công BEC thành công khiến các tổ chức thiệt hại hàng trăm triệu đô la mỗi năm. Vào năm 2022, Trung tâm Khiếu nại Tội phạm trên Internet của Cục Điều tra Liên bang Mỹ (FBI) đã ghi nhận 21.832 đơn khiếu nại BEC với giá trị tổn thất sau khi điều chỉnh lên tới hơn 2,7 tỷ USD.4
Mục tiêu hàng đầu của BEC là các giám đốc điều hành và lãnh đạo cấp cao khác, quản lý tài chính, nhân viên nhân sự có quyền truy nhập vào hồ sơ nhân viên như số An sinh xã hội, báo cáo thuế hoặc thông tin định danh cá nhân khác. Nhân viên mới (có lẽ ít có khả năng xác minh các yêu cầu email lạ) cũng là mục tiêu.
Gần như mọi hình thức tấn công BEC đều đang gia tăng. Các kiểu tấn công BEC phổ biến bao gồm:5
- Hành vi xâm phạm email trực tiếp (DEC): Kẻ tấn công sử dụng các tài khoản email bị xâm nhập để thực hiện hành vi lừa đảo phi kỹ thuật, lừa nhân viên kế toán nội bộ hoặc của bên thứ ba chuyển tiền đến tài khoản ngân hàng của chúng, hoặc thay đổi thông tin thanh toán của một tài khoản hiện tại.
- Hành vi xâm phạm email của nhà cung cấp (VEC): Kẻ lừa đảo lợi dụng lòng tin của nhà cung cấp hiện tại, chiếm đoạt email liên quan đến thanh toán rồi giả dạng nhân viên công ty để yêu cầu nhà cung cấp chuyển hướng khoản chưa thanh toán sang tài khoản ngân hàng bất hợp pháp.
- Hành vi lừa đảo bằng hóa đơn giả: Chiêu trò lừa đảo phi kỹ thuật quy mô lớn, lợi dụng thương hiệu của các doanh nghiệp nổi tiếng để thuyết phục các công ty thanh toán hóa đơn giả mạo.
- Hành vi mạo danh luật sư: Kẻ gian lợi dụng mối quan hệ tin cậy của các hãng luật lớn để tăng độ uy tín với giám đốc điều hành các công ty nhỏ và công ty khởi nghiệp. Mục đích là khiến họ thanh toán các hóa đơn chưa thanh toán, đặc biệt là trước các sự kiện quan trọng như phát hành cổ phiếu lần đầu ra công chúng. Sau khi đạt được thỏa thuận về điều khoản thanh toán, kẻ gian sẽ chuyển hướng khoản thanh toán sang tài khoản ngân hàng bất hợp pháp.
Octo Tempest
Octo Tempest là một nhóm tác nhân đe dọa nói tiếng Anh, hoạt động với mục đích kiếm tiền. Nhóm này nổi tiếng với các chiến dịch tấn công quy mô lớn, thường sử dụng các kỹ thuật giữa chừng (adversary-in-the-middle, AiTM), có khả năng lừa đảo phi kỹ thuật và đánh tráo SIM.
Octo Tempest là một nhóm tác nhân đe dọa nói tiếng Anh, hoạt động với mục đích kiếm tiền. Nhóm này nổi tiếng với các chiến dịch tấn công quy mô lớn, thường sử dụng các kỹ thuật giữa chừng (adversary-in-the-middle, AiTM), có khả năng lừa đảo phi kỹ thuật và đánh tráo SIM.
Diamond Sleet
Vào tháng 8 2023, Diamond Sleet thực hiện hành vi xâm phạm chuỗi cung ứng phần mềm của nhà cung cấp phần mềm JetBrains của Đức, từ đó xâm phạm các máy chủ dùng trong quá trình xây dựng, thử nghiệm và triển khai phần mềm. Do Diamond Sleet trước đây từng xâm nhập thành công các môi trường bản dựng, Microsoft đánh giá rằng hoạt động này gây ra rủi ro đặc biệt cao cho các tổ chức bị ảnh hưởng.
Vào tháng 8 2023, Diamond Sleet thực hiện hành vi xâm phạm chuỗi cung ứng phần mềm của nhà cung cấp phần mềm JetBrains của Đức, từ đó xâm phạm các máy chủ dùng trong quá trình xây dựng, thử nghiệm và triển khai phần mềm. Do Diamond Sleet trước đây từng xâm nhập thành công các môi trường bản dựng, Microsoft đánh giá rằng hoạt động này gây ra rủi ro đặc biệt cao cho các tổ chức bị ảnh hưởng.
Sangria Tempest6
Sangria Tempest (còn được gọi là FIN) nổi tiếng vì thường nhắm mục tiêu vào ngành nhà hàng để đánh cắp dữ liệu thẻ thanh toán. Một trong những mồi nhử hiệu quả nhất của chúng là cáo buộc ngộ độc thực phẩm. Để xem chi tiết về sự việc, nạn nhân phải mở tệp đính kèm chứa mã độc.
Sangria Tempest (còn được gọi là FIN) nổi tiếng vì thường nhắm mục tiêu vào ngành nhà hàng để đánh cắp dữ liệu thẻ thanh toán. Một trong những mồi nhử hiệu quả nhất của chúng là cáo buộc ngộ độc thực phẩm. Để xem chi tiết về sự việc, nạn nhân phải mở tệp đính kèm chứa mã độc.
Sangria Tempest, một nhóm tội phạm với phần lớn là người Đông Âu, đã sử dụng các diễn đàn ngầm để thu nạp người nói tiếng Anh bản ngữ. Những người này sẽ được đào tạo cách gọi điện đến các cửa hàng được nêu trong email mồi nhử. Nhóm này đã đánh cắp hàng chục triệu dữ liệu thẻ thanh toán thông qua quá trình này.
Midnight Blizzard
Midnight Blizzard là một tác nhân đe dọa có trụ sở tại Nga, nổi tiếng vì chủ yếu nhắm mục tiêu vào các cơ quan chính phủ, tổ chức ngoại giao, tổ chức phi chính phủ (NGO) và nhà cung cấp dịch vụ CNTT phần lớn ở Hoa Kỳ và châu Âu.
Midnight Blizzard là một tác nhân đe dọa có trụ sở tại Nga, nổi tiếng vì chủ yếu nhắm mục tiêu vào các cơ quan chính phủ, tổ chức ngoại giao, tổ chức phi chính phủ (NGO) và nhà cung cấp dịch vụ CNTT phần lớn ở Hoa Kỳ và châu Âu.
Midnight Blizzard tận dụng các tin nhắn Teams để gửi mồi nhử nhằm đánh cắp thông tin xác thực từ tổ chức mục tiêu bằng cách tương tác với người dùng và yêu cầu chấp thuận xác thực đa yếu tố (MFA).
Bạn có biết?
Chiến lược đặt tên tác nhân đe dọa của Microsoft đã chuyển sang nguyên tắc phân loại đặt tên mới dành cho các tác nhân đe dọa. Nguyên tắc này lấy cảm hứng từ các chủ đề liên quan đến thời tiết.
Chiến lược đặt tên tác nhân đe dọa của Microsoft đã chuyển sang nguyên tắc phân loại đặt tên mới dành cho các tác nhân đe dọa. Nguyên tắc này lấy cảm hứng từ các chủ đề liên quan đến thời tiết.
Mặc dù các cuộc tấn công lừa đảo phi kỹ thuật rất tinh vi nhưng bạn có thể làm một số việc để ngăn chặn.7 Nếu hiểu rõ về quyền riêng tư và trạng thái bảo mật của mình, bạn có thể lật ngược thế cờ trước kẻ tấn công.
Đầu tiên, hãy hướng dẫn người dùng chỉ sử dụng tài khoản cá nhân cho mục đích cá nhân và không lẫn lộn với email công việc hay các tác vụ liên quan đến công việc.
Ngoài ra, phải luôn sử dụng tính năng xác thực đa yếu tố. Kẻ lừa đảo thường tìm kiếm những thông tin như thông tin xác thực đăng nhập. Bằng cách bật xác thực đa yếu tố, ngay cả khi kẻ tấn công lấy được tên người dùng và mật khẩu, chúng vẫn không thể truy nhập vào tài khoản và thông tin cá nhân của bạn.8
Không mở email hoặc tệp đính kèm từ các nguồn đáng ngờ. Nếu một người bạn gửi cho bạn một đường liên kết mà bạn cần phải bấm vào ngay, hãy xác nhận với người bạn đó xem tin nhắn có đúng là của họ hay không. Trước khi bấm vào bất cứ thứ gì, hãy tạm dừng và tự hỏi liệu người gửi có đúng là người mà họ tự xưng hay không.
Tạm dừng và xác minh
Hãy cảnh giác trước những lời đề nghị quá lý tưởng. Bạn không thể trúng thưởng ở một cuộc rút thăm mà bạn không tham gia và cũng không có hoàng thân nước ngoài nào sắp để lại cho bạn một số tiền lớn. Nếu nghe có vẻ quá hấp dẫn, hãy tìm kiếm nhanh để xác định xem đó là một lời đề nghị có thực hay là một cái bẫy.
Đừng chia sẻ quá mức trên mạng. Kẻ lừa đảo cần chiếm được lòng tin của đối tượng mục tiêu thì trò lừa đảo của chúng mới phát huy tác dụng. Nếu tìm được thông tin cá nhân trên hồ sơ mạng xã hội của bạn, chúng có thể sử dụng thông tin đó để khiến trò lừa đảo có vẻ xác thực hơn.
Bảo mật máy tính và các thiết bị của bạn. Sử dụng phần mềm chống vi-rút, tường lửa và bộ lọc email. Trong trường hợp mối đe dọa cố gắng xâm nhập vào thiết bị, bạn sẽ có sẵn biện pháp bảo vệ để bảo vệ thông tin của mình.
“Khi bạn nhận được một cuộc gọi điện thoại hoặc email đáng ngờ, điều quan trọng là hãy thao tác chậm lại và xác minh. Mọi người thường mắc sai lầm khi hành động vội vã, vì vậy, bạn cần phải nhắc nhở nhân viên rằng họ không cần phải phản ứng ngay trong những tình huống như vậy.”
Jack Mott – Microsoft Threat Intelligence
Tìm hiểu thêm về cách giúp bảo vệ tổ chức bằng cách xem Nguy cơ từ lòng tin: Các mối đe dọa lừa đảo phi kỹ thuật và phòng thủ trên mạng.
- [2]
Nội dung trong phần này được lấy từ nguồn https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Khoảng 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Lưu ý: Nội dung lấy từ https://go.microsoft.com/fwlink/?linkid=2263229