Darcula lần đầu được phát hiện vào giữa năm ngoái, tuy nhiên các nhà nghiên cứu phân tích rằng nền tảng này dần trở nên phổ biến hơn trong không gian mạng khi gây ra một số vụ tấn công lớn.
Không giống như các phương thức lừa đảo truyền thống, Darcula sử dụng các công nghệ hiện đại như JavaScript, React, Docker và Harbor, cho phép cập nhật liên tục và bổ sung tính năng mới mà không cần khách hàng phải cài đặt lại.
Dịch vụ lừa đảo này cung cấp 200 mẫu lừa đảo mạo danh các thương hiệu và tổ chức ở hơn 100 quốc gia. Kẻ tấn công chọn một thương hiệu để mạo danh, sau đó cấu hình cài đặt trang web lừa đảo tương ứng và quản lý trực tiếp giao diện thông qua Docker. Hệ thống sử dụng mã nguồn mở Harbor để lưu trữ hình ảnh trên Docker và các trang web lừa đảo được phát triển bằng React.
Các nhà nghiên cứu cho biết dịch vụ Darcula thường sử dụng các tên miền uy tín như ".top" và ".com" để đăng ký phục vụ cho các cuộc tấn công lừa đảo, khoảng 1/3 trong số đó được hỗ trợ bởi Cloudflare.
Tin nhắn RCS được gửi từ Darcula
Darcula khác với các chiến thuật dựa trên SMS truyền thống, thay vào đó sử dụng RCS (Android) và iMessage (iOS) để gửi tin nhắn cho nạn nhân có chứa liên kết đến URL lừa đảo khiến người nhận tin tưởng và coi là hợp pháp trên hệ điều hành. Hơn nữa, vì RCS và iMessage hỗ trợ mã hóa đầu cuối nên không thể ngăn chặn các tin nhắn lừa đảo của chúng.
Tin nhắn lừa đảo được gửi qua iMessage
Những nỗ lực pháp lý toàn cầu gần đây nhằm hạn chế tội phạm mạng dựa trên SMS bằng cách chặn các tin nhắn đáng ngờ có khả năng gây ra dịch vụ lừa đảo, hướng tới sử dụng các giao thức thay thế RCS và iMessage. Tuy nhiên, các giao thức này vẫn còn những hạn chế mà tin tặc có thể lợi dụng.
Hiện các hãng công nghệ lớn như Apple cấm các tài khoản gửi số lượng lớn tin nhắn đến nhiều người nhận. Còn Google thì hạn chế các thiết bị Android đã root gửi hoặc nhận tin nhắn RCS. Tuy nhiên, tội phạm mạng cố gắng vượt qua những giải pháp này bằng cách tạo nhiều ID Apple và sử dụng cụm thiết bị để gửi một số lượng nhỏ tin nhắn từ mỗi thiết bị.
Biện pháp bảo vệ trong iMessage là chỉ cho phép người nhận nhấp vào liên kết URL nếu họ đã trả lời tin nhắn. Để thực hiện hình thức này, khi muốn nhấp vào liên kết URL người nhận sẽ được hướng dẫn trả lời bằng "Y" hoặc "1", sau đó mới mở lại tin nhắn có liên kết. Quá trình này có thể giảm thiểu hiệu quả của cuộc tấn công lừa đảo.
Các nhà nghiên cứu khuyến cáo người dùng nên cảnh giác một vài dấu hiệu lừa đảo như ngữ pháp không đúng, lỗi chính tả, những lời đề nghị hấp dẫn hoặc những lời kêu gọi hành động khẩn trong tin nhắn được nhận.
P.T
15:00 | 16/04/2024
10:00 | 25/10/2021
10:00 | 04/12/2024
13:00 | 20/05/2021
10:00 | 20/11/2024
10:00 | 25/11/2024
15:00 | 26/06/2024
13:00 | 12/08/2020
07:00 | 02/12/2024
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các thủ đoạn lừa đảo tài chính trực tuyến đang gia tăng tại Việt Nam, nhất là chiêu trò giả mạo tổ chức tài chính để mời chào người dân vay tiền, từ đó chiếm đoạt thông tin và tài sản.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
07:00 | 17/11/2024
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC (Cục An toàn thông tin, Bộ TT&TT) vừa tiếp tục cảnh báo về mã độc Pygmy Goat, xuất hiện trên các thiết bị SOPHOS FIREWALL nhắm vào các chuyên gia kinh tế số.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024