Chiến dịch tấn công lừa đảo nhắm vào các lãnh đạo điều hành công ty

Thứ hai, 21/09/2020 14:05

Ngày 1/5, Công ty an ninh mạng Group-IB thông báo một nhóm tội phạm mạng hoạt động từ giữa năm 2019 đã xâm phạm tài khoản email của các lãnh đạo điều hành cấp cao tại hơn 150 công ty.

 Có tên là PerSwaysion, nhóm này dường như nhắm mục tiêu vào lãnh đạo các công ty lĩnh vực tài chính. Đối tượng này chiếm hơn một nửa số nạn nhân bị tấn công.

Mặc dù hoạt động của PerSwaysion không tinh vi, nhưng cực kỳ thành công. Group-IB cho biết tin tặc không sử dụng các lỗ hổng hoặc phần mềm độc hại trong các cuộc tấn công của chúng mà dựa vào một kỹ thuật lừa đảo truyền thống.
 
20200504-pg21.png
 
Chúng gửi email có chứa mã độc cho giám đốc điều hành tại các công ty. Mục tiêu là lừa họ nhập các thông tin đăng nhập Office 365 trên những trang giả mạo.
Group-IB cho biết toàn bộ kế hoạch của PerSwaysion có thể tóm tắt theo một quy trình ba bước đơn giản sau:
 
1. Nạn nhân nhận được email chứa một tệp PDF dưới dạng tệp đính kèm email. Nếu nạn nhân mở tệp, họ sẽ được yêu cầu nhấp vào một liên kết để xem nội dung thực tế.
2. Liên kết này sẽ chuyển hướng người dùng đến trang Microsoft Sway (dịch vụ bản tin), trong đó một tệp tương tự sẽ yêu cầu nạn nhân nhấp vào liên kết khác.
3. Liên kết cuối cùng này chuyển người dùng đến một trang đăng nhập giả mạo Microsoft Outlook, nơi tin tặc sẽ thu thập thông tin xác thực của nạn nhân.
 
Một khi vụ lừa đảo thành công, nhóm PerSwaysion thường truy cập các tài khoản email bị tấn công trong vòng một ngày.
 
Group-IB cho biết: "Sau khi các thông tin đăng nhập được gửi đến các máy chủ điều khiển qua lệnh, nhóm tin tặc PerSwaysion đăng nhập vào tài khoản email bị xâm phạm. Chúng đổ dữ liệu email qua API và thiết lập các kết nối tới công việc của chủ sở hữu email". 
 
Cuối cùng, chúng tạo các tệp PDF lừa đảo mới với họ tên đầy đủ, địa chỉ email, tên công ty hợp pháp hiện tại của nạn nhân. Các tệp PDF này được gửi tới một loạt những người mới được lựa chọn, họ không làm việc chung với nạn nhân và thường giữ các vị trí quan trọng.
 
Group-IB cho biết, khi PerSwaysion phát động một chiến dịch lừa đảo mới từ một tài khoản bị xâm nhập, chúng cũng thường xóa các email mạo danh từ thư mục hộp thư đi để tránh bị phát hiện.
 
Hiện tại, Group-IB không thể xác định được tin tặc đã làm gì sau khi có quyền truy cập vào các tài khoản email này. Chúng có thể bán quyền truy cập cho các nhóm tội phạm mạng khác hoặc đợi cơ hội và đánh cắp tài sản trí tuệ hay chuẩn bị để khởi động một vụ tấn công lừa đảo qua email của doanh nghiệp.
 
Group-IB cho biết, dựa trên bằng chứng hiện tại, nhóm PerSwaysion dường như được thành lập từ các thành viên ở Nigeria và Nam Phi.
 
Công ty an ninh mạng này đã công bố một trang web nơi các lãnh đạo điều hành có thể kiểm tra xem địa chỉ email của họ có bị mua lại và bị nhắm mục tiêu trong quá khứ.
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top