Chiến dịch lừa đảo đã nhắm mục tiêu hàng trăm công ty,

[ad_1]

Sửa máy tính tại nhà TPHCM

Fotomay / Shutterstock.com

Các nhà nghiên cứu bảo mật đang điều tra một cuộc tấn công lừa đảo quy mô lớn nhắm vào hơn 130 công ty, bao gồm các tổ chức tài chính, dịch vụ nhắn tin và nhà khai thác viễn thông. Phạm vi của chiến dịch tấn công này, được gọi là “0ktapus”, có thể mất vài năm để làm sáng tỏ hoàn toàn.

Để rõ ràng, chiến dịch lừa đảo này không liên quan gì đến vụ vi phạm dữ liệu gần đây của LastPass. Nhưng nó có liên quan đến các cuộc tấn công Twilio và DoorDash đã được báo cáo vào ngày 8 tháng 8 và ngày 25 tháng 8.

0ktapus đã đánh cắp gần 10.000 thông tin đăng nhập

Chiến dịch lừa đảo 0ktapus tập trung vào các tập đoàn lớn của Hoa Kỳ, trừ một số trường hợp ngoại lệ có trụ sở tại các quốc gia khác trên toàn cầu. Và đáng ngạc nhiên, danh sách các mục tiêu của 0ktapus bao gồm Microsoft, AT&T, Verizon, Coinbase và Twitter — một lần nữa, các công ty này mục tiêuvà chúng tôi không biết liệu họ có bị tấn công thành công hay không.

Tính đến ngày 26 tháng 8, Twilio và DoorDash là những công ty lớn duy nhất đã thông báo về vi phạm dữ liệu 0ktapus. Cả hai công ty đều nói rằng dữ liệu người dùng đã bị tin tặc truy cập, mặc dù Twilio nói rằng thông tin đăng nhập là an toàn. DoorDash cảnh báo rằng một nhóm nhỏ khách hàng đã bị đánh cắp thông tin đăng nhập và thanh toán của họ.

Báo cáo Cloudflare giải thích cách thức hoạt động của lược đồ 0ktapus. Về cơ bản, rất nhiều nhân viên tại các công ty mục tiêu (bao gồm cả nhân viên cũ) được gửi tin nhắn văn bản “tự động” cảnh báo rằng thông tin đăng nhập của họ đã hết hạn. Một liên kết được nhúng trong tin nhắn văn bản dẫn đến một phiên bản giả mạo của trang web của nhà tuyển dụng, khiến người dùng phải cập nhật mật khẩu của họ.

Mọi công ty được nhắm mục tiêu trong chiến dịch này đều sử dụng dịch vụ Quản lý Danh tính và Truy cập Okta. Và tất cả chúng đều bảo vệ tài khoản của nhân viên bằng xác thực hai yếu tố (2FA). Nếu một thiết bị không xác định cố gắng đăng nhập vào tài khoản của nhân viên, nhân viên đó sẽ nhận được mã xác minh trên điện thoại của họ.

Vì vậy, các trang web của 0ktapus bắt chước hệ thống nhận dạng Okta. Khi một nhân viên nhập tên người dùng và mật khẩu của họ vào trang web 0ktapus, nó sẽ tự động được chuyển tiếp đến một kênh Telegram bí mật. Tin tặc lấy thông tin này và cố gắng đăng nhập vào tài khoản của nhân viên, kích hoạt quá trình xác minh 2FA. Nạn nhân được yêu cầu chia sẻ mã xác minh 2FA từ điện thoại của họ, cấp cho tin tặc quyền truy cập vào chương trình phụ trợ của công ty.

Chúng tôi không biết lý do đằng sau những cuộc tấn công này

Phòng thí nghiệm tội phạm mạng đầy máy tính
Rawpixel.com / Shutterstock.com

Chiến dịch lừa đảo này có một tường thuật tương đối rõ ràng. Group-IB báo cáo rằng 0ktapus ban đầu nhắm mục tiêu vào các công ty viễn thông, có thể đã cung cấp số điện thoại cho các nỗ lực lừa đảo 2FA tiếp theo.

Phần lớn các nỗ lực lừa đảo này nhằm vào các nhân viên của công ty. Về lý thuyết, nhóm đứng sau 0ktapus có thể đã đánh cắp bất cứ thứ gì từ các tập đoàn, mặc dù các báo cáo hiện tại cho thấy nhóm này đang theo dõi dữ liệu khách hàng. Thông tin này có thể được sử dụng trong các cuộc tấn công nhằm vào các doanh nghiệp hoặc cá nhân trong tương lai, nhưng thật không may, chúng tôi không chắc nhóm 0ktapus thu được những gì.

Và đây là lúc mọi thứ trở nên khó chịu; chiến dịch 0ktapus hơi phức tạp. Các nhà nghiên cứu tại Group-IB gọi nó là “nghiệp dư”, lưu ý rằng nhóm 0ktapus đã không thể định cấu hình đúng bộ công cụ lừa đảo của mình.

Như chúng tôi đã đề cập trước đó, 0ktapus đã lừa mọi người chia sẻ mã xác minh 2FA (và dữ liệu đăng nhập) với tin tặc. Nhưng những mã xác minh này sẽ hết hạn chỉ sau vài phút, vì vậy tin tặc không thể đột nhập vào tài khoản nếu họ không đủ nhanh. Và rõ ràng, nhóm 0ktapus đã ngồi trước máy tính của họ cả ngày để thủ công nhập mã 2FA, thay vì sử dụng bot để tự động nhập thông tin và chiếm đoạt tài khoản.

Ngoài ra, các nạn nhân của âm mưu lừa đảo này đã bị buộc (bởi các miền lừa đảo) phải tải xuống phiên bản đích thực của AnyDesk. Bạn biết đấy, một phần mềm máy tính từ xa dành cho PC. Phần mềm này hoàn toàn vô dụng khi nhắm mục tiêu mọi người qua tin nhắn văn bản.

Chúng tôi thất vọng khi các công ty rơi vào một kế hoạch lừa đảo “nghiệp dư”. Đặc biệt là một với một dấu vết giấy rõ ràng như vậy.

Các nhà nghiên cứu bảo mật có thể đã xác định được hacker

một hình ảnh của "Chủ đề X của" Tài khoản Telegram, sử dụng ảnh đại diện của Kermit the Frog mặc áo choàng.
Nhóm-IB

Các nhà nghiên cứu tại Group-IB đã phát hiện ra 169 miền duy nhất được liên kết với 0ktapus. Phần lớn các tên miền này là các bản sao che đậy mỏng của các trang web công ty và sử dụng các URL như http://att-mfa.com/. (Đừng truy cập URL này, nhưng hãy lưu ý rằng nó sử dụng HTTP thay vì HTTPS — một dấu hiệu rõ ràng của lừa đảo.)

Group-IB không cần phải săn đuổi ngỗng để tìm ra những miền này. Nhóm đứng sau 0ktapus đã sử dụng lại các phông chữ, tệp hình ảnh và tập lệnh độc đáo giống nhau trên các trang web giả mạo của mình. Khi bạn phát hiện ra một miền 0ktapus duy nhất, việc tìm thấy phần còn lại là một miếng bánh.

Quan trọng hơn, Group-IB đã phân tích bộ công cụ lừa đảo 0ktapus để tìm ra kênh Telegram liên quan của nó. Và một người dùng trong kênh này, một lập trình viên 22 tuổi có biệt danh là “Chủ đề X”, đã được theo dõi và xác định. Các bình luận mà “Chủ đề X” để lại trong các nhóm Telegram khác đã tiết lộ tài khoản Twitter và vị trí bị cáo buộc của họ.

Mặc dù thành công tương đối của 0ktapus, nhưng rõ ràng đây là một hoạt động nghiệp dư. Đó là một tin tuyệt vời đối với các nhà chức trách, nhưng đó cũng là một dấu hiệu cho thấy các tập đoàn không coi trọng vấn đề bảo mật.

Những gì bạn nên làm?

Yubico FIDO Khóa bảo mật C NFC
Yubico

Chúng tôi vẫn chưa biết đủ về chiến dịch 0ktapus. Có lẽ, một số công ty cần đến và thông báo rằng họ đã bị tấn công. Với bề rộng của âm mưu lừa đảo này, có thể mất nhiều năm để tất cả các chi tiết được đưa ra ánh sáng.

Điều đó nói rằng, chúng tôi chỉ có thể cung cấp cho bạn lời khuyên thông thường:

  1. Kiểm tra bất kỳ URL nào được gửi qua email hoặc tin nhắn văn bản.
  2. Không tương tác với các trang web sử dụng HTTP thay vì HTTPS.
  3. Nếu ai đó gửi cho bạn một URL hoặc yêu cầu liên quan đến công việc, hãy xác minh rằng URL đó xác thực với chủ nhân của bạn.
  4. Bật xác thực hai yếu tố khi có thể.
  5. Sử dụng trình quản lý mật khẩu để tạo thông tin đăng nhập duy nhất cho mọi trang web.
  6. Nếu công việc của bạn liên quan đến dữ liệu nhạy cảm, hãy hỏi nhóm bảo mật của công ty bạn về các giải pháp FIDO2, chẳng hạn như YubiKey.
  7. Thêm cảnh báo gian lận vào báo cáo tín dụng của bạn để giảm tác động tài chính của hành vi trộm cắp danh tính.

Các bước này sẽ cải thiện đáng kể khả năng bảo mật của bạn. Họ cũng sẽ đảm bảo rằng, trong trường hợp có vi phạm dữ liệu, bạn có thể nhanh chóng phản hồi và (hy vọng) tự bảo vệ mình.

Một lần nữa, đây là một câu chuyện đang phát triển. Chúng tôi sẽ cập nhật bài viết này khi chúng tôi tìm hiểu thông tin mới về chiến dịch 0ktapus. Để có tin tức công nghệ cập nhật, hãy tham gia bản tin miễn phí của chúng tôi.

dịch vụ cài win online từ xa

[ad_2]

Vui lòng đánh giá về dịch vụ tại nhà