Các nhóm tội phạm mạng chuyên về bộ công cụ lừa đảo di động (phishing kits) tiên tiến đã phát triển hoạt động của chúng, không chỉ dừng lại ở việc đánh cắp dữ liệu thẻ thanh toán để đăng ký ví di động. Hiện tại, chúng đang chuyển hướng khai thác các tài khoản môi giới chứng khoán trong các kế hoạch lừa đảo ‘ramp and dump’ tinh vi, đặt ra một rủi ro bảo mật đáng kể cho các nhà đầu tư và thị trường tài chính.

Mục Tiêu Mới: Thao Túng Tài Khoản Môi Giới Chứng Khoán

Sự thay đổi trọng tâm này, được các chuyên gia bảo mật chi tiết hóa trong nghiên cứu gần đây, cho thấy việc sử dụng thông tin đăng nhập của người dùng bị đánh cắp để thao túng giá cổ phiếu nước ngoài. Phương thức này cho phép bỏ qua các kiểm soát bảo mật truyền thống ngăn chặn việc chuyển tiền trực tiếp.

Không giống như các hoạt động lừa đảo pump-and-dump thông thường, vốn dựa vào sự cường điệu hóa trên mạng xã hội để thổi phồng giá trị các cổ phiếu nhỏ (penny stock), các hoạt động ramp-and-dump sử dụng giao dịch phối hợp trên nhiều tài khoản bị chiếm đoạt để đẩy giá cổ phiếu lên một cách giả tạo mà không cần quảng bá bên ngoài.

Theo Krebson Security, khi cổ phiếu mục tiêu đạt đến ngưỡng định trước, những kẻ thực hiện sẽ bán ra lượng cổ phiếu đang nắm giữ, khiến các nhà đầu tư hợp pháp phải chịu tài sản bị mất giá và các khoản lỗ đáng kể. Đây là một mối đe dọa mạng đang phát triển, đòi hỏi sự chú ý từ cả cá nhân và tổ chức.

Cảnh Báo Từ Cơ Quan Quản Lý Tài Chính

Tổ chức Quản lý Ngành Tài chính (FINRA) đã đưa ra các cảnh báo làm nổi bật việc thao túng này xuất phát từ giao dịch được kiểm soát bởi các tác nhân độc hại. Điều này dẫn đến sự sụp đổ giá cổ phiếu thảm khốc, phản ánh các vụ lừa đảo truyền thống nhưng lại hoạt động thông qua động lực thị trường nội bộ.

Kỹ Thuật Tấn Công Mạng và Công Cụ Lừa Đảo

Ford Merrill, một nhà nghiên cứu bảo mật tại SecAlliance, đã theo dõi hoạt động này đến các cộng đồng Telegram nói tiếng Trung Quốc, nơi công khai bán các công cụ lừa đảo (phishing tools) này. Các bộ công cụ này, được tinh chỉnh trong ba năm qua, cho phép những kẻ tấn công định vị trước trong các cổ phiếu có tính thanh khoản thấp.

Ví dụ, các cổ phiếu chào bán công khai lần đầu (IPO) của Trung Quốc hoặc các cổ phiếu nhỏ là mục tiêu chính. Kẻ tấn công thực hiện bằng cách thanh lý các vị thế hiện có của nạn nhân và phân bổ lại quỹ.

Những kẻ thực hiện phối hợp các giao dịch mua được hẹn giờ trên các tài khoản bị lừa đảo để đẩy giá lên, sau đó bán cổ phiếu để kiếm lời. Phương pháp này khai thác các lỗ hổng trong hệ thống xác thực đa yếu tố (MFA) của các công ty môi giới chứng khoán, đặc biệt là những hệ thống dựa vào mã một lần (OTP) dễ bị lừa đảo được gửi qua SMS hoặc cuộc gọi tự động.

Vấn Đề Với MFA Dễ Bị Lừa Đảo

Các nền tảng như Schwab và Fidelity cung cấp các tùy chọn OTP có thể bị chặn trong các cuộc tấn công mạng lừa đảo. Trong đó, nạn nhân bị dụ dỗ thông qua các tin nhắn giả mạo tuyên bố tài khoản bị đình chỉ và được nhắc nhập thông tin đăng nhập cùng mã xác minh. Ngay cả các thông báo đẩy dựa trên ứng dụng cũng vẫn dễ bị tổn thương nếu kẻ tấn công bắt đầu đăng nhập bằng dữ liệu bị đánh cắp, lừa người dùng chấp thuận.

Các bộ công cụ lừa đảo, thường được trình diễn trong các video của nhà cung cấp trên Telegram, bao gồm các mẫu tùy chỉnh mô phỏng các công ty môi giới lớn. Chúng được gửi qua iMessage của Apple hoặc RCS của Google để tăng tính hợp pháp.

Một nhà cung cấp đáng chú ý, được biết đến với tên “Outsider” (trước đây là “Chenlun”), cung cấp các bộ công cụ thu thập tên người dùng, mật khẩu và OTP. Các bộ công cụ này dễ dàng thích ứng với các mục tiêu như Schwab và có thể mở rộng sang các mục tiêu khác.

Điều này dựa trên các làn sóng lừa đảo trước đó từ 2022-2024, vốn giả mạo các thực thể như Bưu điện Hoa Kỳ để đăng ký thẻ vào ví di động bằng cách sử dụng OTP bị lừa đảo. Khi các tổ chức tài chính tăng cường cấp phép ví yêu cầu đăng ký dựa trên ứng dụng, những kẻ lừa đảo đã chuyển hướng nỗ lực sang các công ty môi giới có MFA yếu hơn, chẳng hạn như các tùy chọn của Schwab cho SMS, cuộc gọi hoặc thông báo ứng dụng, tất cả đều dễ bị tấn công kỹ thuật xã hội.

Tính Ingenuity và Vai Trò của AI

Merrill lưu ý rằng sự khéo léo của kế hoạch này nằm ở việc tách biệt các dấu vết lừa đảo. Những kẻ tấn công có thể mua cổ phiếu trên các sàn giao dịch Trung Quốc hợp pháp, hưởng lợi từ việc giá tăng do các tài khoản bị chiếm đoạt tại Hoa Kỳ mà không có liên kết trực tiếp. Sự phối hợp có thể liên quan đến lừa đảo theo thời gian thực hoặc các tài khoản đã được chuẩn bị trước, được hỗ trợ bởi các người điều hành con người quản lý các ngân hàng thiết bị để phân phối mồi nhử và thu thập OTP.

Trí tuệ nhân tạo, bao gồm các mô hình ngôn ngữ lớn (LLMs), đẩy nhanh quá trình phát triển bộ công cụ. Điều này làm giảm rào cản cho tội phạm mạng và cho phép lặp lại nhanh chóng, góp phần vào sự phát triển của mối đe dọa mạng này.

Giải Pháp Giảm Thiểu và Phòng Chống

Trong khi một số công ty môi giới như Vanguard cung cấp các lựa chọn thay thế mạnh mẽ như khóa phần cứng Universal 2nd Factor (U2F), vốn chống lại lừa đảo bằng cách yêu cầu tương tác vật lý, việc áp dụng rộng rãi vẫn còn chậm. Cuộc kêu gọi thông tin nạn nhân của FBI vào tháng 2 năm 2025 nhấn mạnh quy mô của kế hoạch này, với FINRA nhấn mạnh các mối đe dọa toàn ngành.

Để chống lại các hình thức chiếm quyền điều khiển tài khoản này, việc giảm thiểu đòi hỏi một sự chuyển đổi sang MFA không thể bị lừa đảo. Điều này bao gồm các biện pháp như khóa U2F hoặc FIDO2 thay vì các OTP dựa trên SMS hoặc email.

Ngoài ra, việc tăng cường giám sát giao dịch để phát hiện các mẫu bất thường là điều cần thiết. Cùng với đó, giáo dục người dùng về các vector lừa đảo đang nổi lên cũng đóng vai trò quan trọng. Khi các hệ sinh thái lừa đảo trưởng thành, việc tích hợp các biện pháp phòng thủ dựa trên AI và giám sát quy định sẽ rất quan trọng để chống lại các mối đe dọa mạng thích ứng này. Điều này giúp ngăn chặn sự xói mòn thêm niềm tin vào thị trường tài chính.

Để biết thêm chi tiết về hoạt động này, bạn có thể tham khảo bài viết từ một nguồn đáng tin cậy: Mobile Phishers Target Brokerage Accounts in Ramp-and-Dump Cashout Scheme.