Cơ chế thu thập dữ liệu trong các cuộc tấn công lừa đảo
Các chuyên gia Kaspersky đã xem xét cách thức tên người dùng và mật khẩu bị rò rỉ trước đây, cũng như lý do tại sao tội phạm mạng có thể tận dụng ngay cả những vụ rò rỉ cũ để thực hiện các cuộc tấn công có mục tiêu, đôi khi nhiều năm sau khi dữ liệu bị rò rỉ ban đầu. Bằng cách phân tích các trang web lừa đảo thực tế, Kaspersky xác định các phương pháp truyền dữ liệu phổ biến nhất, bao gồm: Gửi đến một địa chỉ email; gửi đến bot Telegram; tải lên bảng quản trị.
Cũng cần lưu ý rằng, kẻ tấn công có thể sử dụng các dịch vụ hợp pháp để thu thập dữ liệu nhằm khiến máy chủ của chúng khó bị phát hiện hơn. Ví dụ bao gồm các dịch vụ biểu mẫu trực tuyến như Google Forms, Microsoft Forms,... các kho dữ liệu bị đánh cắp cũng có thể được thiết lập trên GitHub, máy chủ Discord và các trang web khác. Tuy nhiên, trong phạm vi phân tích này, chúng ta sẽ tập trung vào các phương pháp thu thập dữ liệu chính.
Gửi đến địa chỉ email
Dữ liệu được nhập vào biểu mẫu HTML trên trang web lừa đảo sẽ được gửi đến máy chủ của tội phạm mạng thông qua một script PHP, sau đó script này sẽ chuyển tiếp dữ liệu đến một địa chỉ email do kẻ tấn công kiểm soát. Tuy nhiên, phương pháp này đang trở nên ít phổ biến hơn do một số hạn chế của dịch vụ email, chẳng hạn như độ trễ khi gửi, nguy cơ nhà cung cấp dịch vụ lưu trữ chặn máy chủ gửi và sự bất tiện khi xử lý khối lượng dữ liệu lớn.
Ví dụ, hãy xem xét một bộ công cụ lừa đảo nhắm vào người dùng DHL.
.png)
Nội dung bộ công cụ lừa đảo
Tệp tin index.php này chứa mẫu đơn lừa đảo được thiết kế để thu thập dữ liệu người dùng, trong trường hợp này là địa chỉ email và mật khẩu.
.png)
Biểu mẫu lừa đảo giả mạo trang web của DHL
Dữ liệu mà nạn nhân nhập vào biểu mẫu này sau đó được gửi qua một đoạn mã trong tệp tin next.php đến địa chỉ email (được chỉ định trong tệp tin mail.php đó).
Bot Telegram
Khác với phương pháp trước đây, đoạn mã dùng để gửi dữ liệu bị đánh cắp chỉ định URL API của Telegram kèm theo bot token và ID cuộc trò chuyện tương ứng, thay vì địa chỉ email. Trong một số trường hợp, liên kết được mã hóa trực tiếp vào biểu mẫu HTML lừa đảo. Kẻ tấn công tạo ra một mẫu tin nhắn chi tiết được gửi đến bot sau khi cuộc tấn công thành công.
.png)
Đoạn mã dùng để gửi dữ liệu
So với việc gửi dữ liệu qua email, sử dụng bot Telegram cung cấp cho tin tặc nhiều chức năng nâng cao hơn, cụ thể dữ liệu được gửi đến bot theo thời gian thực, với thông báo tức thì cho kẻ điều hành. Tin tặc thường sử dụng các bot dùng một lần, khó theo dõi và ngăn chặn hơn. Hơn nữa, hiệu suất của chúng không phụ thuộc vào chất lượng của máy chủ lưu trữ trang web lừa đảo.
Bảng điều khiển quản trị tự động
Tội phạm mạng tinh vi hơn khi sử dụng phần mềm chuyên dụng, bao gồm các phần mềm thương mại như BulletProofLink và Caffeine, thường được cung cấp dưới dạng nền tảng như một dịch vụ (PaaS). Các khung phần mềm này cung cấp giao diện web (bảng điều khiển) để quản lý các chiến dịch lừa đảo trực tuyến.
Dữ liệu thu thập từ tất cả các trang web lừa đảo do kẻ tấn công kiểm soát sẽ được đưa vào một cơ sở dữ liệu thống nhất, có thể được xem và quản lý thông qua tài khoản của chúng.
.png)
Gửi dữ liệu đến bảng quản trị
Các bảng điều khiển quản trị này được sử dụng để phân tích và xử lý dữ liệu nạn nhân. Các tính năng của một bảng điều khiển cụ thể phụ thuộc vào các tùy chọn tùy chỉnh có sẵn, nhưng hầu hết các bảng điều khiển thường có các khả năng sau:
- Sắp xếp số liệu thống kê thời gian thực: Khả năng giám sát số lượng các cuộc tấn công thành công theo thời gian và quốc gia, cùng với các tùy chọn lọc dữ liệu.
- Xác minh tự động: Một số hệ thống có thể tự động kiểm tra tính hợp lệ của dữ liệu bị đánh cắp như thẻ tín dụng và thông tin đăng nhập.
- Xuất dữ liệu: Khả năng tải xuống dữ liệu ở nhiều định dạng khác nhau để sử dụng hoặc rao bán trong tương lai.
.png)
Ví dụ về một bảng quản trị
Bảng điều khiển quản trị là một công cụ thiết yếu đối với các nhóm tội phạm mạng có tổ chức. Một chiến dịch thường sử dụng đồng thời nhiều phương pháp thu thập dữ liệu này.
.png)
Gửi dữ liệu bị đánh cắp đến cả địa chỉ email và bot Telegram
Dữ liệu mà tội phạm mạng mong muốn
Dữ liệu thu thập được trong một cuộc tấn công lừa đảo có giá trị và mục đích rất khác nhau. Trong tay tội phạm mạng, nó trở thành phương thức kiếm lợi nhuận và công cụ cho các cuộc tấn công phức tạp với nhiều giai đoạn. Dữ liệu bị đánh cắp có thể được chia thành các loại sau, dựa trên mục đích sử dụng:
- Rao bán trực tiếp một lượng lớn dữ liệu thô hoặc rút tiền từ tài khoản ngân hàng hoặc ví điện tử của nạn nhân:
+ Thông tin ngân hàng: Số thẻ, ngày hết hạn, tên chủ thẻ và mã CVV/CVC.
+ Truy cập vào tài khoản ngân hàng trực tuyến và ví điện tử: Thông tin đăng nhập, mật khẩu và mã xác thực hai yếu tố (2FA) dùng một lần.
+ Tài khoản có liên kết thông tin ngân hàng: Tên đăng nhập và mật khẩu cho các tài khoản có chứa thông tin thẻ ngân hàng, chẳng hạn như cửa hàng trực tuyến, dịch vụ đăng ký hoặc hệ thống thanh toán như Apple Pay hoặc Google Pay.
- Sử dụng dữ liệu bị đánh cắp để thực hiện các cuộc tấn công mới và tạo ra thêm lợi nhuận:
+ Thông tin đăng nhập cho nhiều tài khoản trực tuyến khác nhau: Tên đăng nhập và mật khẩu. Điều quan trọng cần lưu ý là địa chỉ email hoặc số điện thoại, thường được sử dụng làm tên đăng nhập, có thể có giá trị đối với kẻ tấn công ngay cả khi không có mật khẩu đi kèm.
+ Số điện thoại được sử dụng cho các vụ lừa đảo qua điện thoại, bao gồm cả việc cố gắng lấy mã 2FA và lừa đảo qua ứng dụng nhắn tin.
+ Dữ liệu cá nhân: Họ tên đầy đủ, ngày sinh và địa chỉ, bị lạm dụng trong các cuộc tấn công kỹ nghệ xã hội.
- Các cuộc tấn công có chủ đích, tống tiền, đánh cắp danh tính và công nghệ deepfake:
+ Dữ liệu sinh trắc học: Giọng nói và hình chiếu khuôn mặt.
+ Bản scan và số hiệu các giấy tờ cá nhân: Hộ chiếu, bằng lái xe, thẻ an sinh xã hội và mã số thuế.
+ Ảnh tự chụp kèm giấy tờ, được sử dụng cho các đơn xin vay trực tuyến và xác minh danh tính.
+ Các tài khoản doanh nghiệp, được sử dụng để thực hiện các cuộc tấn công có chủ đích vào các doanh nghiệp.
Theo dữ liệu của Kaspersky đã phân tích các cuộc tấn công lừa đảo và giả mạo danh tính được thực hiện từ tháng 1 đến tháng 9/2025, nhằm xác định dữ liệu nào thường xuyên bị tội phạm mạng nhắm mục tiêu nhất. Theo đó, 88,5% các cuộc tấn công nhằm mục đích đánh cắp thông tin đăng nhập cho các tài khoản trực tuyến khác nhau, 9,5% nhắm vào dữ liệu cá nhân (tên, địa chỉ và ngày sinh) và 2% tập trung vào việc đánh cắp thông tin thẻ ngân hàng.
Rao bán dữ liệu trên các diễn đàn dark web trực tuyến
Ngoại trừ các cuộc tấn công theo thời gian thực, dữ liệu bị đánh cắp thường không được sử dụng ngay lập tức. Chúng tay hãy cùng xem xét kỹ hơn "con đường" mà nó đi qua.
1. Rao bán các bản sao dữ liệu
Dữ liệu được tập hợp và rao bán trên các diễn đàn dark web trực tuyến dưới dạng các bản sao: Các kho lưu trữ chứa hàng triệu bản ghi thu được từ nhiều cuộc tấn công lừa đảo và vi phạm dữ liệu khác nhau. Một bản sao có thể được bán với giá chỉ 50 USD. Người mua chính thường không phải là những kẻ lừa đảo mà là các tác nhân phân tích dark web, mắt xích tiếp theo trong chuỗi cung ứng.
2. Phân loại và xác minh
Những tác nhân đe dọa này lọc dữ liệu theo loại (tài khoản email, số điện thoại, thông tin ngân hàng,...) và sau đó chạy các script tự động để xác minh. Điều này kiểm tra tính hợp lệ và khả năng tái sử dụng, ví dụ liệu tên đăng nhập và mật khẩu Facebook có thể được sử dụng để đăng nhập vào Steam hoặc Gmail hay không. Dữ liệu bị đánh cắp từ một dịch vụ cách đây vài năm vẫn có thể liên quan đến một dịch vụ khác ngày nay, vì mọi người có xu hướng sử dụng cùng một mật khẩu trên nhiều trang web. Các tài khoản đã được xác minh với tên đăng nhập và mật khẩu đang hoạt động có giá cao hơn khi bán.
Bên cạnh đó, các tác nhân đe dọa cũng tập trung vào việc kết hợp dữ liệu người dùng từ các cuộc tấn công khác nhau. Do đó, một mật khẩu cũ từ một trang mạng xã hội bị xâm phạm, một tên đăng nhập và mật khẩu từ một biểu mẫu lừa đảo giả mạo cổng thông tin chính phủ điện tử và một số điện thoại còn sót lại trên một trang web lừa đảo đều có thể được tổng hợp thành một hồ sơ kỹ thuật số duy nhất về một người dùng cụ thể.
3. Rao bán trên các diễn đàn chuyên biệt
Dữ liệu bị đánh cắp thường được bán trên các diễn đàn dark web và qua Telegram. Ứng dụng nhắn tin tức thời này thường được sử dụng như một cửa hàng để hiển thị giá cả, đánh giá của người mua và các chi tiết khác. Giá của các tài khoản có thể thay đổi đáng kể và phụ thuộc vào nhiều yếu tố, chẳng hạn như tuổi đời tài khoản, số dư, phương thức thanh toán được liên kết (thẻ ngân hàng, ví điện tử), mã 2FA và mức độ phổ biến của dịch vụ. Do đó, một tài khoản cửa hàng trực tuyến có thể đắt hơn nếu nó được liên kết với email, đã bật 2FA và có lịch sử giao dịch lâu dài, với số lượng đơn hàng hoàn tất lớn. Đối với các tài khoản game, chẳng hạn như Steam, việc mua các trò chơi đắt tiền là một yếu tố cần xem xét. Dữ liệu ngân hàng trực tuyến được bán với giá cao nếu nạn nhân có số dư tài khoản lớn và ngân hàng đó có uy tín tốt.
Bảng 1. Giá của các loại tài khoản khác nhau được tìm thấy trên các diễn đàn dark web tính đến năm 2025
.png)
4. Lựa chọn mục tiêu có giá trị cao và các cuộc tấn công có chủ đích
Tội phạm mạng đặc biệt quan tâm đến các mục tiêu có giá trị. Đó là những người dùng có quyền truy cập vào thông tin quan trọng, ví dụ như các giám đốc điều hành cấp cao, kế toán hoặc quản trị viên hệ thống công nghệ thông tin. Điều quan trọng cần lưu ý là các cuộc tấn công này không chỉ giới hạn trong lĩnh vực doanh nghiệp, kẻ tấn công cũng có thể nhắm đến những cá nhân có số dư tài khoản ngân hàng lớn hoặc những người sở hữu các giấy tờ cá nhân quan trọng.
Kết luận
Quá trình đánh cắp dữ liệu diễn ra như một dây chuyền vận chuyển được vận hành có tổ chức, nơi mỗi mẩu thông tin đều trở thành một mặt hàng với một mức giá cụ thể. Ngày nay, các cuộc tấn công lừa đảo (phishing) tận dụng nhiều hệ thống khác nhau để thu thập và phân tích thông tin mật. Dữ liệu được chuyển ngay lập tức vào các bot Telegram và bảng điều khiển quản trị của kẻ tấn công, nơi chúng được phân loại, xác minh và kiếm tiền từ đó.
Điều quan trọng cần hiểu là dữ liệu, một khi bị mất, không đơn giản là biến mất. Nó được tích lũy, củng cố và có thể được sử dụng chống lại nạn nhân nhiều tháng hoặc thậm chí nhiều năm sau đó, biến thành công cụ cho các cuộc tấn công có chủ đích, tống tiền hoặc đánh cắp danh tính. Trong môi trường mạng hiện đại, sự thận trọng, việc sử dụng mật khẩu độc đáo, xác thực đa yếu tố và thường xuyên giám sát dấu vết kỹ thuật số của bạn trở nên cần thiết.
Một số khuyến cáo khi trở thành nạn nhân của lừa đảo trực tuyến?
Để bảo vệ trước mối đe dọa lừa đảo trực tuyến, người dùng cần trang bị những kỹ năng cần thiết như sau:
1. Nếu thẻ ngân hàng bị xâm phạm, hãy gọi cho ngân hàng càng sớm càng tốt và yêu cầu khóa thẻ.
2. Trong trường hợp thông tin đăng nhập bị đánh cắp, lập tức thay đổi mật khẩu tài khoản và bất kỳ dịch vụ trực tuyến nào mà bạn có thể đã sử dụng cùng một mật khẩu hoặc mật khẩu tương tự. Hãy đặt mật khẩu mạnh, có độ phức tạp riêng biệt cho mỗi tài khoản.
3. Kích hoạt xác thực đa yếu tố (MFA) cho tất cả các tài khoản.
4. Kiểm tra lịch sử đăng nhập của các tài khoản và chấm dứt bất kỳ phiên đăng nhập nào đáng ngờ.
5. Nếu tài khoản nhắn tin hoặc mạng xã hội bị xâm phạm, hãy cảnh báo gia đình và bạn bè về những tin nhắn giả mạo có thể được gửi dưới tên bạn.
6. Sử dụng các dịch vụ chuyên biệt để kiểm tra xem dữ liệu của bạn có nằm trong các vụ rò rỉ dữ liệu đã biết hay không.
7. Hết sức cảnh giác với bất kỳ email, cuộc gọi hoặc lời đề nghị bất ngờ nào, chúng có thể trông đáng tin cậy vì kẻ tấn công đang sử dụng dữ liệu bị đánh cắp của bạn.
