Tin tặc đã sử dụng khoảng 20 trình giả lập để bắt chước hơn 16.000 điện thoại của những khách hàng có tài khoản ngân hàng di động bị xâm nhập. Trong một trường hợp riêng biệt, một trình giả lập duy nhất có thể giả mạo hơn 8.100 thiết bị, như thể hiện trong hình ảnh sau:
Sau đó, tin tặc nhập tên người dùng và mật khẩu vào các ứng dụng ngân hàng chạy trên trình giả lập đó và khởi tạo các lệnh chuyển tiền gian lận lấy tiền từ các tài khoản bị xâm nhập. Trình giả lập được các nhà phát triển và nhà nghiên cứu hợp pháp sử dụng để kiểm tra cách ứng dụng chạy trên nhiều loại thiết bị di động khác nhau.
Để vượt qua các biện pháp bảo vệ mà các ngân hàng sử dụng để chặn các cuộc tấn công, tin tặc đã sử dụng số nhận dạng thiết bị tương ứng với từng chủ tài khoản bị xâm phạm và các vị trí GPS giả mạo mà thiết bị được biết là sử dụng. ID thiết bị có thể được lấy từ các thiết bị bị tấn công của chủ sở hữu, mặc dù trong một số trường hợp, những kẻ lừa đảo giả vờ là khách hàng đang truy cập tài khoản của họ từ điện thoại mới. Những kẻ tấn công cũng có thể vượt qua xác thực đa yếu tố bằng cách truy cập tin nhắn SMS.
“Hoạt động gian lận trên thiết bị di động này được quản lý để tự động hóa quá trình truy cập tài khoản, bắt đầu giao dịch, nhận và đánh cắp yếu tố xác thực bằng SMS. Trong nhiều trường hợp, các mã đó được sử dụng để hoàn thành các giao dịch bất hợp pháp,” Shachar Gritzman, nhà nghiên cứu của IBM Trusteer và Limor Kessem chia sẻ.
“Các nguồn dữ liệu, tập lệnh và các ứng dụng tùy chỉnh mà băng nhóm này tạo ra được lưu chuyển trong một quy trình tự động với tốc độ cho phép chúng có thể cướp hàng triệu USD từ mỗi ngân hàng trong vòng vài ngày”.
Mỗi khi tin tặc lấy sạch tiền từ một tài khoản, chúng sẽ gỡ bỏ thiết bị giả mạo đã truy cập vào tài khoản và thay thế nó bằng một thiết bị mới. Tin tặc cũng thay đổi thiết bị trong trường hợp chúng bị hệ thống chống gian lận của ngân hàng từ chối. IBM Trusteer đã có bằng chứng về việc tin tặc khởi động một cuộc tấn công riêng biệt, sau khi kết thúc, tin tặc sẽ tắt hoạt động, xóa sạch dấu vết dữ liệu và bắt đầu một hoạt động mới.
Các nhà nghiên cứu cho rằng, các tài khoản ngân hàng đã bị xâm nhập bằng cách sử dụng phần mềm độc hại hoặc các cuộc tấn công lừa đảo. Báo cáo của IBM Trusteer không giải thích cách kẻ gian lấy cắp tin nhắn SMS và ID thiết bị. Các ngân hàng bị tấn công taaph trung ở khu vực châu Âu và Mỹ.
Để theo dõi tiến trình hoạt động trong thời gian thực, tin tặc đã chặn liên lạc giữa các thiết bị giả mạo và máy chủ ứng dụng của ngân hàng. Chúng cũng sử dụng nhật ký, ảnh chụp màn hình để theo dõi hoạt động theo thời gian và cũng cải tiến các kỹ thuật tấn công từ những sai lầm trước đó.
Vụ việc này một lần nữa cho thấy tầm quan trọng của việc nâng cao cảnh giác, dùng mật khẩu mạnh, phát hiện các thủ đoạn lừa đảo, sử dụng các biện pháp xác thực mạnh và thường xuyên kiểm tra các giao dịch có dấu hiện gian lận từ cả hai phía: các ngân hàng và khách hàng của họ.
Nguyễn Anh Tuấn (theo Ars Technica)
15:00 | 23/03/2020
16:00 | 03/09/2021
14:00 | 16/07/2020
07:00 | 04/02/2021
13:00 | 05/02/2021
15:00 | 18/03/2020
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
14:00 | 23/11/2023
Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024