Các nhà nghiên cứu tại Group-IB đã phát hiện một framework phishing tinh vi, minh chứng cách tội phạm mạng đang công nghiệp hóa các tấn công mạng nhằm đánh cắp thông tin đăng nhập thông qua tự động hóa, kỹ thuật né tránh và cơ chế rò rỉ dữ liệu dựa trên Telegram. Bộ công cụ này nhắm mục tiêu cụ thể vào Aruba S.p.A., một nhà cung cấp dịch vụ IT của Ý phục vụ hơn 5.4 triệu khách hàng.

Phát hiện này làm nổi bật các rủi ro tài chính và vận hành đáng kể mà các hoạt động phishing-as-a-service hiện đại gây ra.

Phân tích Framework Phishing Tinh vi nhắm mục tiêu Aruba S.p.A.

Bộ công cụ phishing được phân tích, chi tiết trong báo cáo của Group-IB, vượt xa các trang web giả mạo truyền thống. Nó đại diện cho một nền tảng đa giai đoạn, hoàn toàn tự động, được thiết kế để hoạt động hiệu quả và tàng hình.

Điểm đáng lo ngại của framework này là cách tiếp cận nhiều lớp để né tránh các biện pháp phát hiện bảo mật. Đồng thời, nó tối đa hóa việc thu thập thông tin đăng nhập.

Thay vì triển khai một trang độc hại duy nhất, bộ công cụ hoạt động như một ứng dụng hoàn chỉnh với các mẫu chuyên biệt cho từng giai đoạn tấn công mạng. Điều này thể hiện mức độ tinh vi cao trong các hệ sinh thái phishing ngầm.

Để biết thêm chi tiết kỹ thuật, độc giả có thể tham khảo báo cáo gốc của Group-IB: Uncover Phishing in Italy.

Các Kỹ thuật Né tránh Phát hiện trong Phishing Hiện đại

Bộ công cụ bắt đầu bằng một thách thức CAPTCHA, được thiết kế để lọc bỏ các bot bảo mật và trình quét tự động. Mục tiêu chính là đảm bảo rằng các trang phishing chỉ được gửi đến mục tiêu là con người.

Cổng chống bot này là một chiến lược có chủ ý để vượt qua các công cụ giám sát bảo mật truyền thống. Nó khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các đội ngũ phòng thủ.

Kỹ thuật này giúp kéo dài thời gian hoạt động của chiến dịch tấn công mạng, gia tăng khả năng thành công của cuộc tấn công.

Quy trình Tấn công Đa giai đoạn và Đánh cắp Dữ liệu

Chuỗi tấn công mạng này diễn ra một cách có hệ thống qua bốn giai đoạn riêng biệt. Mỗi giai đoạn được thiết kế đặc biệt để tối đa hóa khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân.

Giai đoạn 1: Đánh cắp Thông tin Đăng nhập

Sau khi vượt qua bộ lọc CAPTCHA, nạn nhân sẽ gặp một bản sao chất lượng cao của cổng đăng nhập khách hàng Aruba.it. Đây là nơi thông tin đăng nhập được thu thập.

Bộ công cụ sử dụng một kỹ thuật kỹ thuật xã hội đặc biệt hiệu quả: tự động điền địa chỉ email của nạn nhân vào URL đăng nhập.

Điều này tạo ra cảm giác giả mạo về tính hợp pháp, làm tăng đáng kể khả năng nạn nhân gửi thông tin đăng nhập thành công. Đây là bước đầu tiên trong quá trình đánh cắp dữ liệu cá nhân.

Giai đoạn 2: Thu thập Thông tin Thẻ tín dụng

Sau khi thông tin đăng nhập được thu giữ, nạn nhân sẽ được đưa đến một trang thanh toán giả mạo. Trang này yêu cầu một khoản phí nhỏ, hợp lý (khoảng €4.37) với lý do gia hạn hoặc xác thực dịch vụ.

Chiến thuật tâm lý này nhằm mục đích trích xuất toàn bộ thông tin thẻ tín dụng, bao gồm tên chủ thẻ, số thẻ, ngày hết hạn và mã CVV. Đây là một bước quan trọng trong quá trình đánh cắp dữ liệu tài chính của nạn nhân.

Giai đoạn 3: Đánh cắp Mã Xác thực (OTP)

Giai đoạn cuối cùng liên quan đến một trang xác minh 3D Secure hoặc mã OTP giả mạo. Trang này sẽ thu thập mã OTP được ngân hàng của nạn nhân gửi đến.

Thông tin này cung cấp cho kẻ tấn công mọi thứ cần thiết để ủy quyền các giao dịch gian lận trong thời gian thực. Nạn nhân vẫn không hề hay biết về việc dữ liệu đã bị xâm phạm hoàn toàn sau cuộc tấn công mạng này.

Sau đó, nạn nhân được chuyển hướng đến một màn hình tải trước khi truy cập trang web hợp pháp của Aruba.it, nhằm giảm thiểu sự nghi ngờ và tránh bị phát hiện.

Hạ tầng Điều khiển và Chỉ huy (C2) qua Telegram

Telegram đóng vai trò là xương sống hoạt động cho cơ sở hạ tầng tội phạm này. Nó đồng thời là kênh phân phối, diễn đàn cộng đồng và điểm cuối rò rỉ dữ liệu quan trọng.

Kiến trúc của bộ công cụ bao gồm nhiều bot Telegram được cấu hình để nhận thông tin đăng nhập và thông tin thanh toán bị đánh cắp ngay lập tức. Cách tiếp cận này tỏ ra lén lút hơn đáng kể so với cơ sở hạ tầng truyền thống.

Lưu lượng tin nhắn trên Telegram hòa trộn liền mạch với hoạt động nền tảng thông thường, làm cho việc phát hiện các tấn công mạng trở nên khó khăn hơn.

Các nhà phân tích của Group-IB đã xác định các kênh rò rỉ dữ liệu kép được mã hóa cứng vào bộ công cụ. Một hệ thống dự phòng đảm bảo dữ liệu đến tay kẻ tấn công ngay cả khi các kênh chính bị lỗi.

Ngoài ra, các nhà nghiên cứu đã ghi lại các cộng đồng Telegram dành riêng cho việc phân phối, bán hàng và hỗ trợ kỹ thuật bộ công cụ. Những cộng đồng này hoạt động như các hệ sinh thái phần mềm dưới dạng dịch vụ (SaaS) của tội phạm mạng đầy đủ chức năng.

Phishing-as-a-Service: Một Mối đe dọa Mạng Đang Phát triển

Sự xuất hiện của phishing-as-a-service thể hiện một sự tiến hóa quan trọng trong các hoạt động tội phạm mạng. Các framework được xây dựng sẵn này giảm đáng kể các rào cản kỹ thuật.

Điều này cho phép các tác nhân ít tinh vi hơn triển khai các chiến dịch thuyết phục ở quy mô lớn. Phishing-as-a-service là một mối đe dọa mạng cần được quan tâm sâu sắc.

Sự tự động hóa được quan sát trong bộ công cụ cụ thể này cho thấy phishing đã biến đổi từ các vụ lừa đảo riêng lẻ thành một chuỗi cung ứng được hệ thống hóa. Điều này làm tăng nguy cơ và mức độ nghiêm trọng của các tấn công mạng.

Sự công nghiệp hóa này đòi hỏi một sự thay đổi cơ bản trong các chiến lược phòng thủ. Các tổ chức không còn có thể coi phishing là những sự cố riêng lẻ.

Thay vào đó, phải nhận ra chúng là các thành phần của một hệ sinh thái linh hoạt, định hướng thị trường. Hệ sinh thái này được thiết kế để triển khai nhanh chóng và đổi mới liên tục các phương thức tấn công mạng.

Các biện pháp phòng thủ dựa trên tình báo và hợp tác là cần thiết để chống lại bối cảnh mối đe dọa mạng đang phát triển này. Việc chủ động phát hiện và ngăn chặn các tấn công mạng như vậy là vô cùng quan trọng để bảo vệ hệ thống và ngăn chặn đánh cắp dữ liệu.