Các chuyên gia thuộc bộ phận bảo mật SpiderLabs của hãng Trustwave (có trụ sở ở nhiều nước) đã vạch trần âm mưu này trên trang blog của họ. Những bức thư được điện tử này được “ngụy trang” dưới danh nghĩa WHO hay Chính phủ Mexico, về những thông tin liên quan đến dịch Ebola. Khi người dùng mở tệp đính kèm trong thư, một phần mềm độc hại sẽ ngay lập tức được cài vào máy tính.  Phần mềm này là DarkComet – một công cụ điều khiển từ xa (Remote Access Trojan, viết tắt RAT), có thể qua mặt mọi phần mềm chống vi-rút. Một khi RAT được cài đặt, tin tặc có thể kiểm soát những bộ phận đã “nhiễm độc”, bao gồm : webcam, mật khẩu, thao tác bàn phím, và cả những thông tin nhạy cảm. Theo Trustwave, để đánh lừa nạn nhân bị “ám ảnh” Ebola, những bức thư này thường có tiêu đề như: “Bằng cách nào bạn bị nhiễm Ebola?”, Ebola, GMO, những gì họ không muốn bạn biết”, “Danh mục thức ăn bạn cần trong mùa Ebola.” Các chuyên gia của Trustwave cho rằng việc tấn công này là ngẫu nhiên và chưa nhằm vào đối tượng cụ thể, thông tin đánh cắp được sẽ bán đi hoặc giữ lại sử dụng. Việc ăn theo xu thế của hacker như vậy hoàn toàn không mới lạ. Hồi tháng ba, một số tin tặc đã chia sẻ một đoạn phim giả trên Facebook về chiếc máy bay Boeing MH370 mất tích để đánh cắp tài khoản của nạn nhân. Hãng Trustwave đã khuyên người dùng nên thận trọng trước những bức thư điện tử gắn mác Ebola và không nên mở những tệp đính kèm không đáng tin cậy. Vân Anh (Theo Russia Today) Thông báo của trình duyệt Internet "chứng chỉ bảo mật đã hết hạn hoặc chưa hợp lệ" có nghĩa là một trong hai điều khác nhau. Phần mềm bảo mật Trustwave giải thích rằng thông báo có thể có nghĩa là chứng chỉ bảo mật đã hết hạn và cần được cập nhật càng sớm càng tốt. Một nguyên nhân khác có thể là do đồng hồ trên máy tính có thể được đặt sai thời gian. Chứng chỉ bảo mật hết hạn có nghĩa là bảo mật của máy tính cần được cập nhật. Chứng chỉ
bảo mật được thiết lập bởi các máy chủ chuyển tiếp thông tin đến các máy tính qua Internet. Việc gia hạn chứng chỉ SSL có thể được thực hiện trực tuyến hoặc qua điện thoại. Nếu đồng hồ của máy tính tắt, đồng bộ hóa thời gian với một nguồn đáng tin cậy có thể giải quyết tình huống khó xử. Đồng hồ nên được đặt đúng múi giờ, năm và thời gian trong ngày. Thoát khỏi trình duyệt Web và sau đó cố gắng quay lại trang web sẽ xác định xem việc thay đổi đồng hồ có loại bỏ thông báo hay không. Trang trợ giúp AOL lưu ý rằng chứng chỉ SSL đảm bảo thông tin trao đổi giữa trình duyệt Internet và máy chủ là riêng tư và không thể tách rời. Loại phần mềm này chỉ hoạt động nếu máy chủ và trình duyệt đồng bộ với nhau. Thông báo lỗi xuất hiện khi chứng chỉ không được trình duyệt chấp nhận hoặc khi chứng chỉ hết hạn. Chatbot là một chương trình được sử dụng để tư vấn trả lời tự động các câu hỏi đơn giản hoặc phân loại các trường hợp hỗ trợ khách hàng trước khi chúng được giao cho một nhân viên trực tiếp. Trong một chiến dịch mới được Trustwave phát hiện, tin tặc đã sử dụng chatbot để lấy cắp thông tin đăng nhập của người quản lý các trang Facebook nổi tiếng. Email lừa đảo được gửi đến các mục tiêu ngẫu nhiên. (Ảnh: Trustwave) Cụ thể, cuộc tấn công lừa đảo bắt đầu bằng một email thông báo cho người dùng biết rằng trang Facebook của họ đã vi phạm Tiêu chuẩn cộng đồng và họ có 48 giờ để khiếu nại quyết định hoặc trang của họ sẽ bị xóa. Người dùng được cho là có thể giải quyết vấn đề này bằng cách nhắn tin với trung tâm hỗ trợ của Facebook thông qua một trang được gọi là Page Support. Chatbot lừa đảo trên Messenger. (Ảnh: Trustwave) Để truy cập, họ được yêu cầu nhấp vào nút "Appeal Now". Sau khi nhấp vào biểu tượng này, người dùng sẽ được đưa tới một cuộc trò chuyện trên Messenger với chatbot mạo danh nhân viên hỗ trợ khách hàng của Facebook. Trong cửa sổ chat, chatbot sẽ cung cấp cho nạn nhân một nút "Appeal Now" mới. Nhấn nút này sẽ đưa nạn nhân tới một trang web được thiết kế giống hệt với trang hỗ trợ của Facebook, nhưng nếu để ý kỹ người dùng sẽ thấy URL của trang web không liên quan gì tới tên miền của Facebook. Tại trang này, người dùng sẽ được yêu cầu nhập các thông tin nhạy cảm như email, họ và tên, tên Facebook, số điện thoại đăng nhập. Sau khi dữ liệu này được nhập vào các trường và nhấn vào nút Submit, một cửa sổ bật lên sẽ xuất hiện yêu cầu nhập mật khẩu của tài khoản. Sau đó, tất cả thông tin người dùng sẽ được gửi đến cơ sở dữ liệu của tin tặc. Nhấn vào nút "Appeal Now" sẽ đưa nạn nhân tới một trang web được thiết kế giống hệt với trang hỗ trợ của Facebook yêu cầu nhập các thông tin nhạy cảm. Cuối cùng, người dùng được chuyển hướng đến một trang xác thực hai yếu tố giả mạo. Tại đây, nạn nhân được yêu cầu nhập OTP mà họ nhận được qua tin nhắn SMS. Trang này chấp nhận mọi loại dữ liệu nhập vào nên nhiệm vụ của nó chỉ là để mọi quy trình trông có vẻ uy tín hơn. Chiến dịch lừa đảo này được thực hiện hoàn toàn tự động nên việc khai thác các thông tin đăng nhập có thể được tiến hành sau. Do đó, quá trình thường được diễn ra tương đối tinh vi khiến nạn nhân hoàn toàn tin tưởng, không có bất cứ sự nghi ngờ nào để không có những hành động đảo ngược tình hình, khắc phục sự cố như đổi mật khẩu, thay đổi thông tin... Với tính chất dễ dàng cài đặt, không tốn tài nguyên hoặc thời gian và khó bị phát hiện, chatbot ngày càng được tin tặc ưa chuộng và sử dụng nhiều trong các chiến dịch tấn công lừa đảo để lấy cắp thông tin đăng nhập. Lừa đảo trên Facebook đang gia tăng trong thời gian gần đây. Theo công ty an ninh mạng Vade, Facebook là thương hiệu bị mạo danh nhiều nhất trong các cuộc tấn công lừa đảo, chiếm 14% tổng số các trang lừa đảo. Tuyến phòng thủ tốt nhất để ngăn ngừa các cuộc tấn công lừa đảo là chính bản thân người dùng. Do đó, các chuyên gia cũng khuyến nghị người dùng trước khi nhập các thông tin cá nhân nhạy cảm hãy cẩn thận kiểm tra xem trang đang truy cập liệu có đúng là trang chính chủ hay không./. |
