Tin tặc sử dụng mạng lưới các trình giả lập thiết bị di động để rút tiền ngân hàng

22:00 | 01/01/2021 | LỖ HỔNG ATTT

Mới đây, các nhà nghiên cứu của IBM Trusteer đã phát hiện ra một hoạt động gian lận lớn sử dụng mạng lưới các trình giả lập thiết bị di động để rút hàng triệu USD từ các tài khoản ngân hàng trực tuyến chỉ trong vài ngày.

Tin tặc đã sử dụng khoảng 20 trình giả lập để bắt chước hơn 16.000 điện thoại của những khách hàng có tài khoản ngân hàng di động bị xâm nhập. Trong một trường hợp riêng biệt, một trình giả lập duy nhất có thể giả mạo hơn 8.100 thiết bị, như thể hiện trong hình ảnh sau:

Tin tặc sử dụng mạng lưới các trình giả lập thiết bị di động để rút tiền ngân hàng

Sau đó, tin tặc nhập tên người dùng và mật khẩu vào các ứng dụng ngân hàng chạy trên trình giả lập đó và khởi tạo các lệnh chuyển tiền gian lận lấy tiền từ các tài khoản bị xâm nhập. Trình giả lập được các nhà phát triển và nhà nghiên cứu hợp pháp sử dụng để kiểm tra cách ứng dụng chạy trên nhiều loại thiết bị di động khác nhau.

Để vượt qua các biện pháp bảo vệ mà các ngân hàng sử dụng để chặn các cuộc tấn công, tin tặc đã sử dụng số nhận dạng thiết bị tương ứng với từng chủ tài khoản bị xâm phạm và các vị trí GPS giả mạo mà thiết bị được biết là sử dụng. ID thiết bị có thể được lấy từ các thiết bị bị tấn công của chủ sở hữu, mặc dù trong một số trường hợp, những kẻ lừa đảo giả vờ là khách hàng đang truy cập tài khoản của họ từ điện thoại mới. Những kẻ tấn công cũng có thể vượt qua xác thực đa yếu tố bằng cách truy cập tin nhắn SMS.

“Hoạt động gian lận trên thiết bị di động này được quản lý để tự động hóa quá trình truy cập tài khoản, bắt đầu giao dịch, nhận và đánh cắp yếu tố xác thực bằng SMS. Trong nhiều trường hợp, các mã đó được sử dụng để hoàn thành các giao dịch bất hợp pháp,” Shachar Gritzman, nhà nghiên cứu của IBM Trusteer và Limor Kessem chia sẻ.

“Các nguồn dữ liệu, tập lệnh và các ứng dụng tùy chỉnh mà băng nhóm này tạo ra được lưu chuyển trong một quy trình tự động với tốc độ cho phép chúng có thể cướp hàng triệu USD từ mỗi ngân hàng trong vòng vài ngày”.

Mỗi khi tin tặc lấy sạch tiền từ một tài khoản, chúng sẽ gỡ bỏ thiết bị giả mạo đã truy cập vào tài khoản và thay thế nó bằng một thiết bị mới. Tin tặc cũng thay đổi thiết bị trong trường hợp chúng bị hệ thống chống gian lận của ngân hàng từ chối. IBM Trusteer đã có bằng chứng về việc tin tặc khởi động một cuộc tấn công riêng biệt, sau khi kết thúc, tin tặc sẽ tắt hoạt động, xóa sạch dấu vết dữ liệu và bắt đầu một hoạt động mới.

Các nhà nghiên cứu cho rằng, các tài khoản ngân hàng đã bị xâm nhập bằng cách sử dụng phần mềm độc hại hoặc các cuộc tấn công lừa đảo. Báo cáo của IBM Trusteer không giải thích cách kẻ gian lấy cắp tin nhắn SMS và ID thiết bị. Các ngân hàng bị tấn công taaph trung ở khu vực châu Âu và Mỹ.

Để theo dõi tiến trình hoạt động trong thời gian thực, tin tặc đã chặn liên lạc giữa các thiết bị giả mạo và máy chủ ứng dụng của ngân hàng. Chúng cũng sử dụng nhật ký, ảnh chụp màn hình để theo dõi hoạt động theo thời gian và cũng cải tiến các kỹ thuật tấn công từ những sai lầm trước đó.

Vụ việc này một lần nữa cho thấy tầm quan trọng của việc nâng cao cảnh giác, dùng mật khẩu mạnh, phát hiện các thủ đoạn lừa đảo, sử dụng các biện pháp xác thực mạnh và thường xuyên kiểm tra các giao dịch có dấu hiện gian lận từ cả hai phía: các ngân hàng và khách hàng của họ.

Nguyễn Anh Tuấn (theo Ars Technica)

‹ › ×

Tin liên quan

Bổ sung tính năng mặc định trên trình duyệt Firefox cho người dùng tại Hoa Kỳ

15:00 | 23/03/2020

Mozilla đã xây dựng kế hoạch biến một công nghệ bảo mật có tên DNS-over-HTTPS (DoH) thành cài đặt mặc định cho người dùng Firefox tại Hoa Kỳ trong vòng vài tuần tới.

Gia tăng mã độc di động khu vực Đông Nam Á trong bối cảnh làm việc từ xa

16:00 | 03/09/2021

Trong tình hình diễn biến phức tạp của đại dịch COVID-19 tiếp tục lan rộng ở các quốc gia Đông Nam Á, nhiều người phải làm việc từ xa, học sinh, sinh viên phải học trực tuyến qua mạng, xu hướng này đảm bảo cho việc giãn cách xã hội. Tuy nhiên, điều này lại tạo ra các điểm yếu bảo mật cho tổ chức/doanh nghiệp

Hoa Kỳ đứng đầu trong danh sách bị tấn công mạng nghiêm trọng của CSIS

14:00 | 16/07/2020

Tính đến tháng 6/2020, theo dữ liệu mới ghi lại những vụ tấn công mạng nghiêm trọng từ Trung tâm Nghiên cứu Chiến lược và Quốc tế (Center for Strategic and International Studies - CSIS), có trụ sở tại Hoa Kỳ cho biết: Hoa Kỳ cho đến nay đã bị ảnh hưởng nặng nề hơn bất kỳ buốc gia nào khác trên thế giới với 156 cuộc tấn công mạng nghiêm trọng.

Tin tặc Trung Quốc đánh cắp dữ liệu các hãng hàng không

07:00 | 04/02/2021

Năm 2020, hãng nghiên cứu bảo mật CyCraft (Đài Loan) đã phát hiện thấy dấu hiệu hoạt động của nhóm tin tặc có tên Chimera, được cho là có nguồn gốc Trung Quốc. Những dấu hiệu ban đầu cho thấy nhóm tin tặc này thực hiện các vụ tấn công mạng nhằm vào ngành công nghiệp bán dẫn của Đài Loan để lấy cắp các bí mật công nghệ.

Trao thưởng 200.000 USD cho khai thác Zoom và Microsoft Teams

13:00 | 05/02/2021

Cuộc thi Pwn2Own Vancouver 2021 hứa hẹn sẽ mang tới cho tin tặc mũ trắng nhiều giải thưởng có giá trị cho những khai thác mới.

Bộ Quốc phòng Hoa Kỳ công bố tiêu chuẩn an ninh mạng mới

15:00 | 18/03/2020

Mới đây, Bộ Quốc phòng Hoa Kỳ đã xuất bản một hướng dẫn mới về các tiêu chuẩn an ninh mạng, được gọi là Chứng nhận mô hình trưởng thành an ninh mạng (CMMC) phiên bản 1.0.

Tin cùng chuyên mục

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.