Các tin nhắn văn bản về “gói hàng bị kẹt” từ USPS hoặc thông báo “phí đường bộ chưa thanh toán” không chỉ là thư rác ngẫu nhiên. Đây đã trở thành dấu hiệu đặc trưng của một tổ chức tội phạm quốc tế đã lừa đảo hàng triệu người dùng thông qua mô hình Phishing-as-a-Service.

Ngày nay, Google đang phát động một chiến dịch lớn nhằm đảo ngược tình thế. Google đã đệ đơn kiện để vô hiệu hóa hoạt động Phishing-as-a-Service “Lighthouse”. Đồng thời, họ ủng hộ các dự luật lưỡng đảng đột phá tại Quốc hội nhằm chống lại làn sóng lừa đảo kỹ thuật số ngày càng gia tăng.

“Lighthouse”: Nền tảng Phishing-as-a-Service Quy mô lớn

“Lighthouse” không phải là một hoạt động tội phạm thông thường. Được quảng bá là một bộ công cụ Phishing-as-a-Service (PhaaS), Lighthouse cung cấp cho các tác nhân độc hại các công cụ sẵn có. Điều này cho phép chúng triển khai các chiến dịch “smishing” (phishing qua tin nhắn SMS) tinh vi trên quy mô lớn.

Cơ chế hoạt động của các cuộc tấn công Smishing

Các chiến dịch tấn công smishing này thường mạo danh các thương hiệu đáng tin cậy như E-Z Pass. Nạn nhân được thúc giục nhấp vào các liên kết giả mạo và nhập các chi tiết nhạy cảm. Các thông tin này bao gồm mật khẩu và thông tin đăng nhập ngân hàng trên các trang web giả mạo một cách chuyên nghiệp.

Google đã xác định ít nhất 107 mẫu trang web hấp dẫn có tính năng nhãn hiệu của Google một cách bất hợp pháp. Các mẫu này mô phỏng màn hình đăng nhập Google hợp pháp để đánh lừa người dùng. Bạn có thể tìm hiểu thêm tại blog.google.

Phạm vi và tác động của chiến dịch Lighthouse

Quy mô của hoạt động Lighthouse là đáng kinh ngạc. Bộ công cụ của Lighthouse đã đóng vai trò trong việc nhắm mục tiêu vào hơn 1 triệu nạn nhân trên hơn 120 quốc gia.

Chỉ riêng tại Hoa Kỳ, thiệt hại ước tính là từ 12,7 triệu đến 115 triệu thẻ tín dụng bị đánh cắp dữ liệu. Kể từ năm 2020, các trường hợp tấn công này đã tăng gấp 5 lần. Điều này cho thấy sự tăng trưởng bùng nổ của các hoạt động Phishing-as-a-Service.

Phản ứng pháp lý và công nghệ của Google đối phó mối đe dọa mạng

Hành động pháp lý chống lại Phishing-as-a-Service

Vụ kiện của Google nhắm vào cốt lõi của cơ sở hạ tầng này. Mục tiêu là vô hiệu hóa Lighthouse bằng cách viện dẫn một loạt các đạo luật. Bao gồm Đạo luật Tổ chức Xã hội có Ảnh hưởng đến Kẻ cướp và Tham nhũng (RICO), Đạo luật Lanham và Đạo luật Gian lận và Lạm dụng Máy tính.

Các biện pháp này nhằm mục đích chấm dứt vĩnh viễn các hoạt động lừa đảo. Điều này giúp hạn chế thiệt hại tài chính cho cả người dùng thông thường và các tổ chức.

Chính sách công và biện pháp bảo vệ mới

Trong khi hành động pháp lý ngăn chặn các tác nhân độc hại cá nhân, cuộc chiến rộng lớn hơn chống lại các cuộc tấn công mạng đòi hỏi các chính sách công mạnh mẽ hơn. Google hiện đang công khai ủng hộ một số dự luật lưỡng đảng quan trọng đang được Quốc hội xem xét.

Các biện pháp này nhằm mục đích vượt qua cảnh quan mối đe dọa mạng đang phát triển nhanh chóng. Google nhấn mạnh rằng luật pháp mạnh mẽ là một vũ khí thiết yếu chống lại làn sóng gian lận mạng toàn cầu.

Google không chỉ dừng lại ở kiện tụng và chính sách. Các tính năng bảo vệ mới đang được triển khai trên các dịch vụ của Google. Bao gồm tính năng phát hiện lừa đảo dựa trên AI trong Google Messages để gắn cờ các liên kết đáng ngờ theo thời gian thực. Trọng tâm đặc biệt là các chiêu trò phổ biến như phí cầu đường giả mạo hoặc lừa đảo giao hàng.

Các công cụ như tùy chọn khôi phục tài khoản mở rộng và thông báo an toàn trong ứng dụng đang được triển khai. Điều này giúp người dùng dễ dàng khôi phục các tài khoản bị xâm nhập và nhận biết các dấu hiệu cảnh báo. Ngoài ra, Google tiếp tục tăng cường giáo dục công chúng, trang bị cho người dùng trên toàn thế giới kiến thức cần thiết để phát hiện và tránh các trò lừa đảo.

Đặc điểm kỹ thuật của Phishing-as-a-Service Lighthouse

Mặc dù không có danh sách chi tiết các chỉ số IOC (Indicators of Compromise) cụ thể như địa chỉ IP hoặc miền độc hại, hoạt động Phishing-as-a-Service Lighthouse đã được xác định qua các đặc điểm sau:

• Tên hoạt động: Lighthouse Phishing-as-a-Service (PhaaS)
• Mục tiêu chính: Triển khai các chiến dịch tấn công smishing (phishing qua tin nhắn SMS) quy mô lớn.
• Phương thức mạo danh: Sử dụng các thương hiệu đáng tin cậy như USPS, E-Z Pass, Google để lừa đảo người dùng.
• Cung cấp công cụ: Cung cấp bộ công cụ “turnkey” cho các tác nhân độc hại để tạo trang lừa đảo và gửi tin nhắn.
• Số lượng mẫu lừa đảo: Ít nhất 107 mẫu trang web giả mạo thương hiệu của Google.
• Phạm vi ảnh hưởng: Hơn 1 triệu nạn nhân trên hơn 120 quốc gia.
• Dữ liệu bị đánh cắp: Ước tính từ 12,7 triệu đến 115 triệu dữ liệu thẻ tín dụng bị đánh cắp tại Hoa Kỳ.

Từ các cuộc chiến pháp lý đến vận động hành lang và triển khai công nghệ thế hệ mới, Google đang chiến đấu chống lại tội phạm kỹ thuật số trên mọi mặt trận. Tuy nhiên, đây không phải là cuộc chiến mà bất kỳ thực thể nào có thể giành chiến thắng một mình. Khi Google củng cố hệ thống của mình và kêu gọi bảo vệ pháp lý mạnh mẽ hơn, thông điệp rõ ràng: bảo vệ thế giới kỹ thuật số là trách nhiệm chung. Với các công cụ thông minh hơn và cộng đồng cảnh giác, chúng ta có thể biến không gian mạng trở thành một nơi ít thân thiện hơn với tội phạm.