Từ tháng 1 năm nay, các chiến dịch tấn công mạng đã ghi nhận sự gia tăng đáng kể trong việc lạm dụng các nền tảng phát triển ứng dụng được hỗ trợ bởi AI như Lovable, Netlify và Vercel. Mục tiêu là để lưu trữ các trang xác thực captcha giả mạo, dẫn dụ nạn nhân đến các website lừa đảo (phishing) thu thập thông tin.

Chiến thuật này không chỉ đánh lừa người dùng mà còn qua mặt hiệu quả nhiều công cụ bảo mật tự động. Việc che giấu mục đích thật sự của trang web đằng sau một yêu cầu captcha thông thường đã tạo ra một lớp ngụy trang tinh vi.

Chiến Dịch Tấn Công Lừa Đảo Qua Captcha Giả

Các chuyên gia bảo mật từ Trend Micro đã theo dõi chặt chẽ sự bùng nổ của các chiến dịch lừa đảo sử dụng hình thức captcha giả. Các nền tảng phát triển AI đã trở thành công cụ đắc lực cho những kẻ tấn công.

Mục đích chính là xây dựng các trang web giả mạo có giao diện chuyên nghiệp một cách dễ dàng. Chúng được sử dụng làm điểm khởi đầu cho các chiến dịch tấn công mạng lừa đảo tinh vi.

Lợi Dụng Lòng Tin và Cơ Chế Né Tránh Phát Hiện

Khi một nạn nhân truy cập trang web lừa đảo, họ sẽ thấy một yêu cầu xác thực captcha thông thường. Điều này giúp giảm thiểu sự nghi ngờ của người dùng về tính hợp pháp của trang web.

Đồng thời, các hệ thống quét bảo mật tự động chỉ phát hiện trang captcha, bỏ qua cơ chế chuyển hướng ẩn đến trang thu thập thông tin đăng nhập.

Kẻ tấn công khai thác sự dễ dàng trong việc triển khai, khả năng lưu trữ miễn phí và thương hiệu đáng tin cậy của các nền tảng này.

Quy Trình Phishing Hai Giai Đoạn

Các chiến dịch lừa đảo này thường bắt đầu bằng các email spam với nội dung khẩn cấp. Ví dụ như: “Yêu cầu đặt lại mật khẩu” hoặc “Thông báo thay đổi địa chỉ USPS”.

Các email này sử dụng mẫu quen thuộc để thu hút mục tiêu. Khi nạn nhân nhấp vào liên kết nhúng, họ được chuyển hướng đến một trang xác minh captcha.

Giai đoạn lừa đảo này phục vụ hai mục đích quan trọng: trì hoãn sự nghi ngờ và né tránh sự phát hiện.

Đầu tiên, bằng cách trình bày một thử thách captcha, nạn nhân tin rằng họ đang hoàn thành một bước xác minh hợp pháp. Do đó, họ ít có khả năng nghi ngờ tính xác thực của trang.

Thứ hai, các công cụ quét tự động chỉ phát hiện biểu mẫu captcha, không phải cơ chế thu thập thông tin đăng nhập thực sự nằm bên dưới.

Kết quả là, các công cụ quét thường không gắn cờ các trang này là độc hại. Sau khi captcha được giải đúng, nạn nhân sẽ được chuyển hướng một cách âm thầm đến trang lừa đảo thực sự, nơi thông tin đăng nhập và dữ liệu nhạy cảm khác của họ bị thu thập.

Các Nền Tảng Phát Triển AI Bị Lạm Dụng Trong Tấn Công Mạng

Các nền tảng như Lovable, Netlify và Vercel được thiết kế để đơn giản hóa quá trình phát triển web. Chúng giúp giảm bớt rào cản cho người dùng, kể cả những người không có kinh nghiệm lập trình.

Tuy nhiên, những ưu điểm này cũng chính là điểm yếu có thể bị kẻ tấn công khai thác để tạo ra các trang web lừa đảo. Sự dễ dàng trong việc tạo và lưu trữ trang web chuyên nghiệp đã biến chúng thành công cụ nguy hiểm.

Theo phân tích của Trend Micro, Vercel là nền tảng lưu trữ số lượng trang captcha giả mạo cao nhất. Theo sau là Lovable và Netlify. Điều này phản ánh sự phổ biến của nền tảng Vercel và mức độ quen thuộc của kẻ tấn công với nó.

Trong khi Proofpoint trước đây đã chỉ ra Lovable là nạn nhân chính của việc lạm dụng, dữ liệu của Trend Micro cho thấy Vercel chiếm phần lớn các triển khai độc hại này.

Bạn có thể tham khảo thêm chi tiết về vấn đề này tại báo cáo của Trend Micro: AI Development Platforms Enable Fake Captcha Pages.

Chiến Lược Giảm Thiểu Rủi Ro Bảo Mật

Sự gia tăng của các cuộc tấn công phishing bằng captcha giả cho thấy cách kẻ tấn công có thể vũ khí hóa các nền tảng tạo website dựa trên AI. Để giảm thiểu rủi ro bảo mật này, các tổ chức cần triển khai kết hợp đào tạo, công nghệ và giám sát.

Đào Tạo Nhận Thức Cho Nhân Viên

Đầu tiên, giáo dục nhân viên phải tập trung vào cách phát hiện các nỗ lực lừa đảo dựa trên captcha. Nhân viên cần được đào tạo để xác minh URL trước khi tương tác với bất kỳ captcha nào.

Họ cũng nên được khuyến khích sử dụng các trình quản lý mật khẩu. Các công cụ này sẽ không tự động điền thông tin trên các trang web không được ủy quyền.

Triển Khai Phòng Thủ Đa Lớp

Thứ hai, các tổ chức nên triển khai các biện pháp phòng thủ đa lớp. Các giải pháp này có khả năng phân tích chuỗi chuyển hướng và đánh giá các kết nối bên ngoài.

Các giải pháp bảo vệ AI dựa trên hành vi có thể phát hiện và chặn các tên miền được biết là bị lạm dụng, ngay cả khi chúng xuất hiện hợp pháp ngay từ cái nhìn đầu tiên.

Giám Sát và Phản Ứng Chủ Động

Thứ ba, các nhóm bảo mật phải giám sát các tên miền lưu trữ đáng tin cậy. Bằng cách thiết lập cảnh báo tự động cho các đợt tăng đột biến lưu lượng truy cập subdomain.

Ngoài ra, cần đối chiếu nhật ký web với các nguồn thông tin tình báo về mối đe dọa (threat intelligence). Đồng thời, báo cáo các trường hợp độc hại cho nhà cung cấp dịch vụ lưu trữ để gỡ bỏ.

Giải Pháp Bảo Mật Email Toàn Diện

Cuối cùng, một giải pháp bảo mật email mạnh mẽ có thể chủ động quét và chặn các tin nhắn đáng ngờ. Điều này ngăn chặn các email lừa đảo không đến được hộp thư của nhân viên, giúp nâng cao an ninh mạng cho toàn hệ thống.

Sự cảnh giác và chiến lược phòng thủ đa lớp là điều cần thiết để đi trước các đối thủ. Đặc biệt là những kẻ lợi dụng các nền tảng hỗ trợ AI cho các mục đích độc hại, gây ra các tấn công mạng tinh vi.