Một chiến dịch smishing tinh vi và quy mô lớn đang gây ra mối đe dọa mạng đáng kể cho người dùng toàn cầu, khởi phát từ Trung Quốc. Các nhà nghiên cứu đã xác định nhóm đứng sau cuộc tấn công này là Smishing Triad, vốn đã thể hiện khả năng hoạt động ở quy mô chưa từng có và độ phức tạp cao thông qua một hạ tầng phi tập trung, có khả năng đăng ký và thay đổi hàng nghìn tên miền độc hại mỗi ngày.

Quy mô và Mục tiêu của Chiến dịch Smishing Triad

Kể từ tháng 1 năm 2024, các nhà phân tích bảo mật đã phát hiện hơn 194.000 tên miền độc hại liên quan đến chiến dịch này. Cuộc tấn công đã và đang nhắm mục tiêu tích cực vào cư dân Hoa Kỳ kể từ tháng 4 năm 2024, đồng thời nhanh chóng mở rộng phạm vi tiếp cận toàn cầu và số lượng nạn nhân.

Kênh tấn công đã phát triển mạnh mẽ trong sáu tháng qua, từ một thị trường chuyên cung cấp bộ công cụ phishing thành một cộng đồng cực kỳ năng động. Cộng đồng này tập hợp nhiều tác nhân đe dọa đa dạng trong hệ sinh thái Phishing-as-a-Service (PhaaS).

Phương thức Tấn công và Kỹ thuật Xã hội

Cuộc tấn công hoạt động thông qua các thông báo giả mạo về vi phạm giao thông hoặc giao hàng sai địa chỉ, được gửi qua SMS. Mục tiêu là tạo ra cảm giác khẩn cấp giả mạo nhằm thao túng nạn nhân hành động ngay lập tức.

Những kẻ tấn công mạo danh các dịch vụ quốc tế hợp pháp trong nhiều lĩnh vực quan trọng, bao gồm ngân hàng, nền tảng tiền điện tử, thương mại điện tử, y tế, cơ quan thực thi pháp luật và mạng xã hội.

Các chiến thuật kỹ thuật xã hội được sử dụng đã phát triển đáng kể, kết hợp thông tin cá nhân hóa, thuật ngữ kỹ thuật và các trang phishing rất chân thực. Chúng được thiết kế để trích xuất dữ liệu nhạy cảm như Số nhận dạng quốc gia, địa chỉ nhà, chi tiết thanh toán và thông tin đăng nhập.

Trang web độc hại thường chứa một trang CAPTCHA giả mạo được thiết kế để thao túng người dùng thực thi các tập lệnh độc hại trên máy tính của họ.

Cơ sở hạ tầng và Hoạt động phi tập trung

Cơ sở hạ tầng hỗ trợ chiến dịch smishing này cho thấy một hoạt động được tổ chức rất chặt chẽ. Mặc dù các tên miền được đăng ký thông qua một nhà đăng ký có trụ sở tại Hồng Kông và sử dụng máy chủ tên miền của Trung Quốc, nhưng cơ sở hạ tầng tấn công thực tế lại chủ yếu được lưu trữ trên các dịch vụ đám mây của Hoa Kỳ, đặc biệt là trong mạng lưới Cloudflare.

Chiến dịch này thể hiện sự phi tập trung đáng kể, không có một điểm kiểm soát duy nhất và một loạt các nhà cung cấp dịch vụ lưu trữ luôn thay đổi.

Mô hình Đăng ký Tên miền và Thời gian tồn tại

Những kẻ tấn công chủ yếu đăng ký tên miền thông qua Dominet Limited, một nhà đăng ký có trụ sở tại Hồng Kông, chiếm khoảng 68% các tên miền gốc được xác định. Các tên miền còn lại được phân bổ trên Namesilo và Gname, cho phép xoay vòng tên miền nhanh chóng để né tránh các cơ chế phát hiện và chặn.

Phân tích tên miền cho thấy các mẫu thiết kế có chủ ý nhằm đánh lừa nạn nhân. Nhiều tên miền tuân theo cấu trúc đặt tên có dấu gạch ngang với các tiền tố bắt chước các dịch vụ hợp pháp.

Ví dụ, các tên miền như irs.gov-addpayment[.]info được tạo ra để trông giống các trang web chính phủ chính thức khi kiểm tra lướt qua.

Dịch vụ bị mạo danh phổ biến nhất là U.S. Postal Service, với gần 28.000 tên miền phishing chuyên dụng. Trong khi đó, các dịch vụ thu phí đường bộ đại diện cho danh mục lớn nhất với khoảng 90.000 FQDN chuyên dụng.

Hầu hết các tên miền đã đăng ký đều có tuổi thọ rất ngắn. Khoảng 29% vẫn hoạt động trong hai ngày hoặc ít hơn, và hơn 82% hết hạn trong vòng hai tuần.

Hệ sinh thái Phishing-as-a-Service (PhaaS)

Hoạt động này chức năng như một hệ sinh thái phishing-as-a-service tinh vi, với các tác nhân đe dọa chuyên biệt quản lý các giai đoạn khác nhau của chuỗi cung ứng tấn công.

• Thành phần thượng nguồn (Upstream): Bao gồm các nhà môi giới dữ liệu bán số điện thoại mục tiêu, người bán tên miền đăng ký các tên miền dùng một lần và nhà cung cấp dịch vụ lưu trữ cung cấp hạ tầng.
• Thành phần trung nguồn (Midstream): Liên quan đến các nhà phát triển bộ công cụ phishing tạo ra các trang web phishing và duy trì bảng điều khiển để thu thập thông tin đăng nhập bị đánh cắp.
• Thành phần hạ nguồn (Downstream): Xử lý việc gửi SMS và RCS ở quy mô lớn, trong khi các chuyên gia hỗ trợ xác minh số điện thoại đang hoạt động và giám sát hiệu quả của danh sách chặn.

Sự phân chia công việc này cho phép mở rộng quy mô hiệu quả và giảm thiểu rủi ro bị lộ cho từng nhà điều hành trong chiến dịch smishing này.

Sự Tiến hóa trong Chiến lược Nhắm mục tiêu

Nghiên cứu chỉ ra rằng chiến dịch smishing này liên tục phát triển các chiến lược nhắm mục tiêu của mình. Cho đến khoảng tháng 5 năm 2024, việc đăng ký tên miền thường ưu tiên các tiền tố “com-“. Tuy nhiên, những tháng gần đây cho thấy sự gia tăng đáng kể trong việc đăng ký tên miền có tiền tố “gov-“, cho thấy sự thích nghi chiến thuật để mạo danh các dịch vụ chính phủ tốt hơn.

Các tin nhắn ban đầu thường có nguồn gốc từ các số điện thoại bắt đầu bằng mã quốc gia Philippines. Tuy nhiên, các số điện thoại Hoa Kỳ ngày càng được sử dụng nhiều hơn, làm phức tạp việc quy kết và nhận thức của nạn nhân.

Khuyến nghị Bảo mật để Chống lại Mối đe dọa Smishing

Các chuyên gia bảo mật khuyến nghị người dùng cần hết sức thận trọng với các tin nhắn không mong muốn từ những người gửi không xác định.

Để bảo vệ bản thân khỏi rò rỉ dữ liệu nhạy cảm và các hậu quả khác, người dùng nên xác minh độc lập bất kỳ yêu cầu nào đòi hỏi hành động khẩn cấp thông qua các trang web hoặc ứng dụng chính thức của nhà cung cấp dịch vụ.

Tuyệt đối tránh nhấp vào các liên kết hoặc gọi đến các số điện thoại có trong các tin nhắn đáng ngờ. Nhận thức về các chiến thuật của Smishing Triad là bước đầu để phòng tránh trở thành nạn nhân của mối đe dọa mạng này.