Cách thức lừa đảo email doanh nghiệp (Business email compromise - BEC) được sử dụng ngày nay hầu như không phát triển, mặc dù có những tiến bộ đáng kể trong công nghệ và kỹ thuật tấn công. Tuy nhiên, chúng vẫn có hiệu quả khi dựa vào một điểm yếu khó thay đổi được đó là “yếu tố con người”.
Trong các trò gian lận BEC ngày nay, tin tặc sử dụng các cuộc tấn công lừa đảo trực tuyến và đánh cắp thông tin đăng nhập để xâm nhập tài khoản email và giành quyền truy cập vào thông tin liên lạc nội bộ. Sau đó, chúng thao túng tâm lý con người và các chức năng kinh doanh để lừa nhân viên gửi những dữ liệu nhạy cảm hoặc tiền cho những tài khoản mà họ tin tưởng nhưng thực chất là những tài khoản giả mạo.
Người dùng có thể dễ dàng hiểu được cách thức tấn công của BEC, nhưng việc ngăn chặn chúng lại không hề đơn giản. Năm 2020, theo báo cáo của Barracuda Networks (một trong những công ty công nghệ hàng đầu của Mỹ về bảo mật hỗ trợ đám mây) thì chỉ có 12% các cuộc tấn công lừa đảo trực tuyến có liên quan đến BEC. Tuy nhiên, con số 12% này lại đem lại thiệt hại về tài chính vô cùng lớn và là một thách thức lớn đối với các doanh nghiệp. Dưới đây là 05 ví dụ về các cuộc tấn công BEC tiêu biểu để bạn đọc có thể hiểu rõ hơn về chúng.
Vụ lừa đảo của Tập đoàn Toyota Boshoku năm 2019 đã trở thành cuộc tấn công BEC nổi tiếng. Bởi nạn nhân là một tập đoàn lớn và khoản thanh toán cho thiệt hại này là một con số khổng lồ. Điều này cho thấy các kỹ thuật xã hội của BEC có thể vượt qua được cả những chương trình bảo mật phức tạp vì nó nhắm mục tiêu vào con người thay vì cơ sở hạ tầng.
Trong vụ việc này, tin tặc đã liên hệ với bộ phận tài chính kế toán của một công ty con thuộc Toyota Boshuku, chúng đóng giả là một đối tác kinh doanh của công ty và yêu cầu thanh toán. Nội dung email tạo cảm giác cấp bách với lý do giao dịch cần được hoàn thành càng sớm càng tốt, nếu không sẽ có nguy cơ làm chậm quá trình sản xuất của Toyota. Đây là một cách thức điển hình của BEC và thật không may nó đã có hiệu quả. Một nhân viên của công ty đã chuyển hơn 37 triệu USD trong một đơn đặt hàng linh kiện cho tin tặc. Đây là một trong những khoản tiền lừa đảo cao nhất của BEC từ trước đến nay.
Cách thức tấn công BEC
Giáo xứ Công giáo Saint Ambrose ở Brunswick, Ohio đã mất 1,75 triệu USD trong một cuộc tấn công BEC vào năm 2019. Theo điều tra của FBI, tin tặc đã xâm nhập hai tài khoản email của giáo xứ và mạo danh một nhà thầu xây dựng (công ty Marous Brothers) để thực hiện lừa đảo.
Khi xâm nhập hai tài khoản email của giáo xứ, tin tặc đã tìm ra cuộc trò chuyện liên quan đến người nhận thanh toán, ngày đến hạn và số tiền. Sau đó, chúng sử dụng thông tin này để gọi điện đến giáo xứ và giải thích rằng thông tin thanh toán của họ gần đây đã thay đổi và họ đã không nhận được thanh toán cho các chi phí xây dựng trong hai tháng trước đó. Đây là một cách thức lừa đảo điển hình của BEC, chúng nhắm đến những mục tiêu có sự tin tưởng cao và dựa trên niềm tin của nạn nhân để đạt được mục đích.
Trung tâm khiếu nại tội phạm Internet của FBI đã ban hành một cảnh báo về trò gian lận thẻ quà tặng, sau khi số lượng đơn khiếu nại nhận được từ tháng 1/2017 đến tháng 9/2018 tăng 240%. Các nạn nhân nhận được một email từ tin tặc giả mạo là người có thẩm quyền yêu cầu họ mua thẻ quà tặng với lý do cá nhân hoặc kinh doanh.
Kỹ nghệ xã hội là chìa khóa để lừa đảo BEC liên quan đến thẻ quà tặng hiệu quả. Một chuỗi các cuộc tấn công tương tự nhắm vào các đền thờ và giáo đường Do Thái vào năm 2019. Các giáo sĩ Do Thái ở Virginia, Tennessee, California và Michigan đã bị mạo danh trong email và gửi yêu cầu đến các thành viên trong giáo hội yêu cầu mua thẻ quà tặng cho một cuộc gây quỹ.
Hình thức lừa đảo BEC này hiện đang gia tăng, đặc biệt là trong các ngày lễ và Black Friday. Theo báo cáo từ Anti-Phishing Working Group, 66% các cuộc tấn công BEC có yêu cầu thanh toán bằng thẻ quà tặng trong Quý II/2020.
Khi nhu cầu về thông tin đại dịch COVID-19 tăng cao trong năm qua, thì số lượng các cuộc tấn công lừa đảo có chủ đề liên quan đến đại dịch này cũng tăng theo. Những tin tặc BEC tận dụng cơ hội này để tạo ra các email lừa đảo với những nội dung liên quan đến sự lây truyền của dịch bênh, các thiết bị bảo vệ, chính sách tiêm chủng,… Các email thường mạo danh các nguồn đáng tin cậy như Tổ chức Y tế Thế giới, nội dung email chứa nhiều phần mềm độc hại và thông tin sai lệch (ví dụ như cung cấp các mặt hàng liên quan đến máy thở, PPE và các vật tư hạn chế khác). Chúng cũng có thể giả mạo và yêu cầu thông tin thẻ tín dụng của nạn nhân để mua một liều vắc xin COVID-19 hạn chế.
Cứ vào mỗi dịp quyết toán thuế trong năm, thì các vụ lừa đảo W-2 BEC lại gia tăng. Các cuộc tấn công BEC này thường sử dụng kỹ nghệ xã hội như mạo danh một Giám đốc điều hành để gửi email yêu cầu đến bên nhân sự cung cấp bản sao W-2 (báo cáo thu nhập hàng năm của nhân viên và khoản khấu trừ thuế) của nhân viên. Khi đó, các thông tin như số an sinh xã hội, tên địa chỉ, thu nhập,… sẽ bị tin tặc thu thập và sử dụng để khai thuế gian lận hoặc bán các thông tin đó trên darkweb.
Sau một đợt tấn công gia tăng đột biến vào năm 2017, các cơ quan thuế và các cơ quan liên quan đã đưa ra những cảnh báo về xu hướng này. Chính vì vậy tình trạng lừa đảo W-2 BEC đến năm 2019 đã giảm xuống còn 2,5% trong tổng số các cuộc tấn công BEC.
Một email mạo danh Giám đốc điều hành trong tấn công BEC
- Yêu cầu thông tin nhận dạng cá nhân qua email.
- Yêu cầu thanh toán đột ngột hoặc thay đổi thông tin cá nhân.
- Sử dụng các ngôn ngữ thúc giục, khẩn cấp yêu cầu về các vấn đề quan trọng như: thanh toán hóa đơn điện nước, đáo hạn thẻ,…
- Yêu cầu các khoản phí ứng trước.
- Nội dung email gửi tới người nhận chung chung. Ví dụ như: Kính gửi khách hàng.
- Các giao dịch tài chính cần được xác nhận trực tiếp hoặc thông qua điện thoại.
- Người dùng cần hiểu được các rủi ro bảo mật email đối với doanh nghiệp và vai trò của họ trong việc giảm thiếu tấn công BEC.
- Thực hiện các kiểm thử xâm nhập để giúp các tổ chức xác định được hành vi của các nhân viên có nguy cơ cao dẫn đến bị tấn công BEC để thực hiện đào tạo nâng cao nhận thức về bảo mật.
- Xây dựng văn hóa an ninh mạng lành mạnh, nhân viên có thể đặt câu hỏi và báo cáo các sự cố an ninh mạng mà ko sợ bị kỷ luật.
- Nắm bắt những yếu tố cơ bản về bảo mật như xác thực đa yếu tố (có thể áp dụng khung an ninh mạng NIST).
- Lập kế hoạch phòng ngừa và ứng phó khi xảy ra tấn công BEC.
- Triển khai các sản phẩm bảo mật email.
- Hạn chế số lượng nhân viên xử lý các giao dịch thanh toán và đảm bảo họ hiểu cách nắm bắt được các yêu cầu và hóa đơn bất thường, cũng như các quy trình phải làm nếu phát hiện ra một cuộc tấn công BEC.
Quốc Trường
(theo searchsecurity)
16:00 | 13/01/2021
14:00 | 17/08/2020
10:00 | 27/04/2021
08:40 | 22/01/2016
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024