Các nhà nghiên cứu an ninh mạng đã phát hiện ra một kế hoạch lừa đảo đang diễn ra trên quy mô lớn nhằm thu hút những người dùng Internet Nga không nghi ngờ bằng những lời hứa về phần thưởng tài chính để đánh cắp thông tin thẻ thanh toán của họ.
Theo các nhà nghiên cứu tại Nhóm-IB, cuộc tấn công lừa đảo nhiều giai đoạn đã khai thác uy tín của cổng thông tin Internet Rambler của Nga để lừa người dùng tham gia vào một cuộc thi “Giống như của năm 2020” giả tưởng.
Sự phát triển là một lời nhắc nhở rằng các chiến dịch kỹ thuật xã hội dựa trên phần thưởng tiếp tục là một phương tiện hiệu quả để lừa đảo người dùng, chưa kể đến việc tận dụng dữ liệu thu thập được thành lợi thế tài chính của họ.
Theo chương trình “Thích của năm”, người dùng được mời giành giải thưởng tiền mặt lớn, nói với họ rằng họ đã được chọn ngẫu nhiên sau khi thích một bài đăng trên các nền tảng truyền thông xã hội như VKontakte.
Lời mời đã được gửi qua một vụ nổ email bằng cách hack các máy chủ thư của nhà điều hành dữ liệu tài chính, trong đó đề cập đến một thực thể pháp lý được tạo ra để tổng hợp, lưu trữ và xử lý dữ liệu tài chính để phục vụ Dịch vụ Thuế Liên bang của Nga.
Ngoài việc gửi email, những kẻ lừa đảo còn gửi tin nhắn lừa đảo bằng cách gửi thông báo giải thưởng tiền mặt như lịch Google sự kiện, một xu hướng mới trong kỹ thuật xã hội.
“Với các cài đặt lịch mặc định, dữ liệu lời mời sẽ tự động được thêm vào nó cùng với lời nhắc”, các nhà nghiên cứu của Group-IB nhấn mạnh. “Bằng cách đó, bất kỳ người dùng Lịch Google nào cũng có thể gửi lời mời sự kiện đến những người dùng Gmail khác, ngay cả khi họ không có trong sổ địa chỉ của họ. Do đó, nạn nhân sẽ nhận được thông báo về việc tạo sự kiện mới qua thư.”
Khi liên hệ với người dùng Runet thay mặt cho cổng thông tin trực tuyến theo một trong hai cách, những người nhận không nghi ngờ đã nhấp vào liên kết đã được chuyển hướng đến một trang web mồi.
Trang web này không chỉ chúc mừng nạn nhân chiến thắng trong cuộc thi giả mạo và giải thưởng tiền mặt từ $ 100 đến $ 2.000 mà còn cung cấp cho họ để đổi tiền trực tuyến.
Tuy nhiên, khi người dùng cố gắng tiếp tục, trang web sẽ thông báo cho người dùng rằng họ không thể nhận được tiền bằng đô la Mỹ và đề nghị họ chuyển đổi thành Rúp thông qua dịch vụ trao đổi tiền tệ trực tuyến và vì vậy, họ cần phải trả một khoản phí nhỏ, khoảng 270 rúp.
Khi người dùng đồng ý trả tiền hoa hồng và rơi vào mồi, trang web sẽ chuyển hướng họ đến một trang lừa đảo do kẻ tấn công khác kiểm soát để trở thành một cổng thanh toán, nơi họ được yêu cầu nhập chi tiết như số thẻ, ngày hết hạn và số CVV , dẫn đến việc đánh cắp dữ liệu thẻ.
“Những kẻ lừa đảo thực sự viết ra” hoa hồng “, nhưng mục tiêu chính của chúng là dữ liệu thẻ,” các nhà nghiên cứu kết luận.
Group-IB cho biết “Giống như của năm” chỉ là một trong sáu chiến dịch lừa đảo khác nhau hoạt động theo cùng một phương thức hoạt động, bao gồm các khoản thanh toán từ “Quỹ viết blog video” không tồn tại và các trung tâm bảo vệ tài chính.
Mỗi chương trình này được tìm thấy để vận hành 100 đến 350 tên miền, chỉ riêng chiến dịch Like đã chiếm hơn 1.000 tên miền, hầu hết trong số đó đã bị chặn.
Về phần mình, Rambler được cho là đã cảnh báo các dịch vụ email công cộng ở nước này về vụ tấn công, chủ động yêu cầu họ đánh dấu những email lừa đảo đó là thư rác.
Có một thực tế được biết rằng bọn tội phạm liên tục tìm ra những cách mới để lừa người dùng tiết lộ thông tin của họ. Nếu bất cứ điều gì, cuộc tấn công nhấn mạnh sự cần thiết phải thận trọng khi mở email và tệp đính kèm từ những người gửi không xác định.
Hơn nữa, bật xác thực hai bước, vô hiệu hóa tùy chọn để tự động thêm các sự kiện từ Gmail vào Lịch Google và xem xét kỹ các địa chỉ trong các liên kết có thể giúp cải thiện vệ sinh mạng.
