Trong bối cảnh mùa mua sắm cuối năm đang vào mùa cao điểm, một tấn công mạng quy mô lớn đã nổi lên, đặt người mua sắm trực tuyến vào rủi ro đáng kể. Đây là một mối đe dọa mạng phức tạp nhắm vào thông tin cá nhân và tài chính của người dùng.

Chiến Dịch Tấn Công Mạng Hàng Loạt Với Hơn 2.000 Cửa Hàng Giả Mạo

Một chiến dịch phối hợp đã được phát hiện, liên quan đến việc đăng ký hơn 2.000 cửa hàng trực tuyến giả mạo theo chủ đề ngày lễ. Các trang web độc hại này được thiết kế để dụ dỗ người tiêu dùng bằng các chương trình giảm giá hấp dẫn, nhằm mục đích đánh cắp dữ liệu thanh toán và thông tin cá nhân của họ.

Quy mô của chiến dịch này rất lớn, với hai nhóm cửa hàng gian lận riêng biệt được xác định. Cả hai nhóm đều sử dụng các chiến thuật tinh vi để trông hợp pháp và lừa đảo người mua sắm. Đây là một chiến dịch tấn công mạng có tổ chức, đặt ra thách thức lớn cho an ninh mạng.

Phân Loại và Mục Tiêu của Các Trang Web Giả Mạo

Nhóm đầu tiên chủ yếu bao gồm các tên miền typosquatting, bắt chước Amazon. Nhóm thứ hai bao gồm nhiều tên miền “.shop” giả mạo các thương hiệu nổi tiếng như Apple, Samsung và Ray-Ban.

Những cửa hàng giả mạo này không phải là các sự cố riêng lẻ mà là một phần của chiến dịch tự động, quy mô lớn. Các tác nhân đe dọa đã lên kế hoạch tấn công mạng này trùng với các thời điểm mua sắm cao điểm như Black Friday và Cyber Monday.

Vào những dịp này, người tiêu dùng thường tích cực tìm kiếm ưu đãi và có thể ít thận trọng hơn với các trang web không quen thuộc. Sự tinh vi trong các phương pháp tấn công mạng này đòi hỏi người dùng phải nâng cao nhận thức bảo mật.

Kỹ Thuật Lừa Đảo và Cơ Sở Hạ Tầng Xâm Nhập

Các nhà nghiên cứu bảo mật CloudSEK đã ghi nhận tính chất phối hợp của các vụ lừa đảo này, xác định việc sử dụng các bộ công cụ phishing giống hệt nhau, các mẫu trang web lặp lại và cơ sở hạ tầng được chia sẻ trên mạng lưới các cửa hàng giả mạo. Mức độ phối hợp này cho thấy một hoạt động có tổ chức và nguồn lực tốt. Nghiên cứu chi tiết của CloudSEK cung cấp cái nhìn sâu sắc về chiến dịch này.

Chiến Thuật Social Engineering

Phương thức hoạt động của các cửa hàng giả mạo này đơn giản nhưng hiệu quả. Chúng kết hợp kỹ thuật social engineering và các biện pháp né tránh kỹ thuật để lừa người dùng và tránh bị phát hiện.

Các trang web được thiết kế trông giống như các nền tảng thương mại điện tử chuyên nghiệp, hoàn chỉnh với các biểu ngữ theo chủ đề ngày lễ, bộ đếm ngược tạo cảm giác cấp bách giả và “huy hiệu tin cậy” giả để xây dựng uy tín.

Các cửa sổ pop-up “mua hàng gần đây” bịa đặt cũng được sử dụng để tạo bằng chứng xã hội và gây áp lực cho khách truy cập để thực hiện giao dịch mua hàng.

Kỹ Thuật Thu Thập Dữ Liệu Thanh Toán

Khi người dùng cố gắng mua một sản phẩm, họ sẽ được chuyển hướng đến một trang thanh toán “shell” được thiết kế để thu thập chi tiết thanh toán và thông tin hóa đơn của họ.

Các trang web “shell” này thường sử dụng các tên miền không bị gắn cờ để xử lý giao dịch, cho phép những kẻ tấn công vượt qua các hệ thống phát hiện gian lận. Đây là một thách thức đáng kể trong phòng chống tấn công mạng đối với người dùng trực tuyến.

Cơ Sở Hạ Tầng Kỹ Thuật Được Chia Sẻ

Cuộc điều tra cũng tiết lộ rằng một Mạng lưới phân phối nội dung (CDN) chung, cụ thể là cdn.cloud360.top, đã được sử dụng để phục vụ tài nguyên cho hơn 750 cửa hàng giả mạo, làm nổi bật thêm tính chất tập trung của chiến dịch.

Một tệp JavaScript lặp lại, được xác định bằng hàm băm SHA-256 duy nhất của nó (chi tiết hàm băm cụ thể không được cung cấp trong nguồn), cũng được tìm thấy trên nhiều tên miền “.shop” độc hại, kiểm soát quá trình thanh toán gian lận.

Tác Động Nghiêm Trọng Đối Với Người Tiêu Dùng và Hệ Sinh Thái E-commerce

Tác động đối với người tiêu dùng là nghiêm trọng, từ thiệt hại tài chính trực tiếp đến rủi ro dài hạn về đánh cắp dữ liệu danh tính. Phát hiện và ngăn chặn các chiến dịch tấn công mạng quy mô lớn này là ưu tiên hàng đầu.

Hơn nữa, các vụ lừa đảo này làm xói mòn lòng tin vào các nhà bán lẻ trực tuyến hợp pháp và toàn bộ hệ sinh thái thương mại điện tử. Người dùng cần hết sức cảnh giác để tránh trở thành nạn nhân của những chiến dịch tấn công mạng tinh vi này.

Việc nhận biết và phòng tránh những chiến dịch tấn công mạng như vậy là yếu tố then chốt để bảo vệ thông tin cá nhân. Luôn xác minh tính hợp lệ của các trang web và ưu đãi trước khi cung cấp bất kỳ thông tin nhạy cảm nào.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch lừa đảo cửa hàng trực tuyến giả mạo này bao gồm:

• Tên miền giả mạo (Typosquatting/Impersonation): Các tên miền bắt chước Amazon và các thương hiệu lớn như Apple, Samsung, Ray-Ban, thường kết thúc bằng “.shop”.
• CDN độc hại:cdn.cloud360.top
• Tệp JavaScript độc hại: Một tệp JavaScript lặp lại với hàm băm SHA-256 duy nhất (chi tiết cụ thể không được cung cấp trong nguồn gốc, nhưng sự hiện diện của nó là một IOC).
• Mẫu trang web: Các mẫu trang web và bộ công cụ phishing giống hệt nhau được sử dụng trên nhiều cửa hàng giả mạo, cho thấy sự phối hợp của chiến dịch.