Cuộc tấn công lừa đảo tinh vi khiến ngay cả các chuyên gia an ninh mạng cũng suýt bị dính bẫy

Gần đây, một tập dữ liệu khổng lồ chứa 16 tỷ thông tin người dùng đã lan truyền trên internet, trong đó vừa có dữ liệu bị rò rỉ trước đây, vừa có thông tin đăng nhập mới bị đánh cắp. Mặc dù phần lớn là dữ liệu cũ được sắp xếp lại, nhưng dữ liệu đã được cập nhật vẫn gây cảm giác bất an. Đây được coi là một trong những tập hợp rò rỉ tài khoản đơn lẻ lớn nhất trong lịch sử.

Tin tặc đang sử dụng những dữ liệu này để thực hiện nhiều cuộc tấn công, tôi đã trở thành một trong những mục tiêu của họ.

Cuộc tấn công lừa đảo nhằm vào thiết bị và tài khoản cá nhân của tôi vào ngày 19 tháng 6 là cuộc tấn công tinh vi nhất mà tôi đã gặp trong mười năm sự nghiệp an ninh mạng của mình. Kẻ tấn công trước tiên tạo ra ảo giác rằng tài khoản của tôi đang bị tấn công trên nhiều nền tảng, sau đó giả mạo nhân viên của một nền tảng giao dịch để cung cấp "trợ giúp". Họ kết hợp các phương pháp kỹ thuật xã hội với chiến thuật phối hợp qua tin nhắn, điện thoại và email giả mạo, tất cả các thiết kế đều nhằm tạo ra cảm giác khẩn cấp, độ tin cậy và hiệu ứng quy mô giả mạo. Cuộc tấn công giả mạo này có phạm vi rộng và rất có uy tín, đó chính là lý do khiến cuộc tấn công này trở nên lừa đảo đến vậy.

Dưới đây, tôi sẽ tái hiện chi tiết quá trình tấn công, phân tích các tín hiệu nguy hiểm trong đó, cũng như các biện pháp bảo vệ mà tôi đã thực hiện. Đồng thời chia sẻ những bài học quan trọng và các lời khuyên thực tế, giúp nhà đầu tư đảm bảo an toàn trong môi trường đe dọa ngày càng gia tăng.

Dữ liệu lịch sử và dữ liệu bị rò rỉ gần đây có thể bị tin tặc sử dụng để thực hiện các cuộc tấn công đa kênh có định hướng cao. Điều này một lần nữa khẳng định tầm quan trọng của việc bảo vệ an ninh theo nhiều lớp, cơ chế giao tiếp người dùng rõ ràng và chiến lược phản ứng kịp thời. Dù là người dùng cá nhân hay tổ chức, mọi người đều có thể rút ra công cụ hữu ích từ trường hợp này, bao gồm các giao thức xác thực, thói quen nhận diện tên miền và các bước phản ứng, những điều này đều có thể giúp ngăn chặn sự lơ là nhất thời trở thành lỗ hổng an ninh nghiêm trọng.

Chiếm đoạt SIM

Cuộc tấn công bắt đầu vào khoảng 3:15 chiều hôm đó, một tin nhắn ẩn danh cho biết có người đang cố gắng lừa đảo nhà cung cấp dịch vụ di động tiết lộ số điện thoại của tôi cho người khác, phương thức tấn công này được gọi là chuyển đổi SIM.

Cần lưu ý rằng thông tin này không đến từ mã ngắn, mà là một số điện thoại thông thường có 10 chữ số. Các doanh nghiệp hợp pháp gửi tin nhắn SMS thường sử dụng mã ngắn. Nếu nhận được tin nhắn từ một số dài tiêu chuẩn không rõ nguồn gốc, tự xưng là doanh nghiệp, thì rất có thể đó là cố gắng lừa đảo hoặc lừa phỉnh.

Thông tin này còn chứa nội dung mâu thuẫn. Tin nhắn đầu tiên cho thấy sự rò rỉ xảy ra ở khu vực Vịnh San Francisco, trong khi các tin nhắn sau lại nói rằng nó xảy ra ở Amsterdam.

Việc hoán đổi SIM một khi thành công sẽ cực kỳ nguy hiểm, vì kẻ tấn công có thể lấy được mã xác thực một lần mà hầu hết các công ty sử dụng để đặt lại mật khẩu hoặc truy cập tài khoản. Tuy nhiên, lần này không phải là hoán đổi SIM thực sự, mà hacker đang chuẩn bị cho một trò lừa đảo tinh vi hơn.

Mã xác thực một lần và đặt lại mật khẩu

Cuộc tấn công sau đó đã leo thang, tôi lần lượt nhận được mã xác minh một lần từ một nền tảng thanh toán nào đó, được gửi qua tin nhắn và phần mềm nhắn tin tức thì. Điều này khiến tôi tin rằng có ai đó đang cố gắng đăng nhập vào các tài khoản của tôi trên các nền tảng tài chính khác nhau. Khác với tin nhắn từ nhà mạng nghi ngờ, những mã xác minh này thực sự đến từ các mã ngắn có vẻ hợp pháp.

Cuộc gọi lừa đảo

Khoảng năm phút sau khi nhận được tin nhắn, tôi đã nhận được một cuộc gọi từ một số điện thoại ở California. Người gọi tự xưng là "Mason" với giọng Mỹ chuẩn, tuyên bố đến từ đội điều tra của một nền tảng giao dịch. Anh ta nói rằng trong vòng 30 phút qua, đã có hơn 30 lần cố gắng đặt lại mật khẩu và xâm nhập tài khoản thông qua cửa sổ trò chuyện của nền tảng. Theo mô tả của "Mason", kẻ tấn công đã vượt qua lớp xác thực an ninh đầu tiên của việc đặt lại mật khẩu, nhưng đã thất bại ở lớp xác thực thứ hai.

Anh ấy đã nói với tôi rằng đối phương có thể cung cấp bốn số cuối của chứng minh nhân dân, số bằng lái xe đầy đủ, địa chỉ gia đình và họ tên đầy đủ, nhưng không thể cung cấp số chứng minh nhân dân đầy đủ hoặc bốn số cuối của thẻ ngân hàng liên kết. Mason giải thích rằng chính sự mâu thuẫn này đã kích hoạt cảnh báo của đội ngũ an ninh của nền tảng, khiến họ liên hệ với tôi để xác minh tính xác thực.

Các doanh nghiệp như sàn giao dịch chính thống chắc chắn sẽ không chủ động gọi điện cho người dùng, trừ khi bạn khởi động yêu cầu dịch vụ thông qua trang web chính thức.

Kiểm tra an toàn

Sau khi thông báo "tin xấu" này, Mason đã đề xuất bảo vệ tài khoản của tôi bằng cách chặn các kênh tấn công bổ sung. Anh ấy bắt đầu từ việc kết nối API và ví liên kết, tuyên bố sẽ thu hồi quyền truy cập của chúng để giảm thiểu rủi ro. Anh ấy đã liệt kê nhiều đối tượng kết nối, bao gồm một số nền tảng giao dịch, công cụ phân tích, ví, v.v., trong đó có một số tôi không quen thuộc, nhưng tôi giả định có thể là những thứ tôi đã từng thiết lập mà quên mất.

Lúc này, sự cảnh giác của tôi đã giảm xuống, thậm chí còn cảm thấy yên tâm vì nền tảng "bảo vệ chủ động".

Đến đây, Mason vẫn chưa yêu cầu bất kỳ thông tin cá nhân nào, địa chỉ ví, mã xác thực hai yếu tố hoặc mật khẩu một lần, những điều này thường là thông tin mà kẻ lừa đảo hay yêu cầu. Toàn bộ quá trình tương tác có độ an toàn rất cao và mang tính chất phòng ngừa.

Các phương pháp gây áp lực ngầm

Tiếp theo là lần đầu tiên cố gắng gây áp lực, bằng cách tạo ra cảm giác khẩn cấp và sự mong manh. Sau khi hoàn thành cái gọi là "kiểm tra an toàn", Mason tuyên bố rằng do tài khoản của tôi bị đánh dấu là rủi ro cao, sự bảo vệ của tài khoản cao cấp trên nền tảng đã bị chấm dứt. Điều này có nghĩa là tài sản trong ví nền tảng của tôi không còn được bảo hiểm, nếu kẻ tấn công thành công đánh cắp tiền, tôi sẽ không nhận được bất kỳ khoản bồi thường nào.

Bây giờ nghĩ lại, bộ lý do này đáng lẽ phải trở thành một điểm yếu rõ ràng. Khác với tiền gửi ngân hàng, tài sản tiền điện tử không bao giờ được bảo hiểm, mặc dù các sàn giao dịch có thể giữ tiền đô la của khách hàng trong các ngân hàng được bảo hiểm, nhưng bản thân sàn giao dịch lại không phải là một tổ chức được bảo hiểm.

Mason cũng cảnh báo rằng đồng hồ đếm ngược 24 giờ đã bắt đầu, các tài khoản quá hạn sẽ bị khóa. Việc mở khóa sẽ cần một quy trình phức tạp và kéo dài. Đáng sợ hơn, anh ấy tuyên bố rằng nếu kẻ tấn công có được số an sinh xã hội đầy đủ của tôi trong thời gian này, họ thậm chí có thể đánh cắp tiền ngay cả khi tài khoản đang bị đóng băng.

Sau đó, tôi đã tư vấn đội ngũ hỗ trợ khách hàng của nền tảng thực sự và biết rằng việc khóa tài khoản chính là biện pháp an toàn mà họ khuyến nghị. Quá trình mở khóa thực sự đơn giản và an toàn: cung cấp ảnh chứng minh nhân dân và ảnh tự chụp, sau khi nền tảng xác minh danh tính, có thể nhanh chóng khôi phục quyền truy cập.

Sau đó, tôi nhận được hai email. Email đầu tiên là xác nhận đăng ký nhận tin tức từ nền tảng, đây chỉ là email bình thường được kích hoạt khi kẻ tấn công gửi email của tôi qua biểu mẫu trên trang web chính thức. Rõ ràng đây là một nỗ lực nhằm làm mờ nhận thức của tôi bằng cách sử dụng email chính thức, để tăng cường tính đáng tin cậy của trò lừa đảo.

Email thứ hai gây lo ngại hơn đến từ một địa chỉ có vẻ là tên miền chính thức của nền tảng, tuyên bố rằng việc bảo vệ tài khoản cao cấp của tôi đã bị hủy bỏ. Email này, có vẻ đến từ tên miền hợp pháp, rất dễ gây nhầm lẫn - nếu đến từ một tên miền nghi vấn thì có thể dễ dàng bị phát hiện, nhưng vì nó hiển thị là địa chỉ chính thức nên trông có vẻ chân thực và đáng tin cậy.

Các biện pháp khắc phục đề xuất

Mason tiếp tục đề xuất chuyển tài sản của tôi vào một ví đa chữ ký có tên là "Vault" để đảm bảo an toàn. Anh ấy thậm chí còn bảo tôi tìm kiếm và tham khảo tài liệu chính thức để chứng minh rằng đây là dịch vụ hợp pháp của nền tảng trong nhiều năm qua.

Tôi cho biết rằng tôi không muốn thực hiện sự thay đổi lớn như vậy trước khi điều tra đầy đủ. Anh ấy cho biết hiểu và khuyến khích tôi nghiên cứu kỹ lưỡng, đồng thời hỗ trợ tôi liên hệ với nhà mạng để phòng ngừa việc đổi SIM. Anh ấy nói sẽ gọi lại sau 30 phút để tiếp tục các bước tiếp theo. Ngay sau khi cuộc gọi kết thúc, tôi ngay lập tức nhận được tin nhắn xác nhận cuộc gọi và lịch hẹn này.

Cuộc gọi lại và "Vault"

Sau khi xác nhận không có nỗ lực chuyển SIM từ nhà điều hành, tôi đã ngay lập tức thay đổi tất cả mật khẩu tài khoản. Mason đã gọi lại đúng hẹn, chúng tôi bắt đầu thảo luận về bước tiếp theo.

Lúc này, tôi đã xác minh rằng "Vault" thực sự là dịch vụ có thật mà nền tảng này cung cấp, đây là một giải pháp lưu ký tăng cường tính bảo mật thông qua việc ủy quyền đa chữ ký và rút tiền sau 24 giờ, nhưng không phải là ví lạnh tự quản thực sự.

Mason sau đó gửi một liên kết tên miền có vẻ liên quan, tuyên bố có thể kiểm tra lại các cài đặt bảo mật đã thảo luận trong cuộc gọi đầu tiên. Sau khi hoàn thành việc kiểm tra, có thể chuyển tài sản vào Vault, lúc này chuyên môn an ninh mạng của tôi cuối cùng cũng phát huy tác dụng.

Sau khi nhập số hiệu trường hợp mà anh ấy cung cấp, trang mở ra hiển thị cái gọi là "Kết nối API đã bị xóa" và nút "Tạo Vault". Tôi ngay lập tức kiểm tra chứng chỉ SSL của trang web và phát hiện rằng tên miền chỉ mới được đăng ký một tháng này hoàn toàn không liên quan đến nền tảng. Mặc dù chứng chỉ SSL thường tạo ra ảo giác hợp pháp, nhưng chứng chỉ của các doanh nghiệp chính quy đều có quyền sở hữu rõ ràng, phát hiện này khiến tôi ngay lập tức ngừng thao tác.

Nền tảng chính thức rõ ràng tuyên bố sẽ không bao giờ sử dụng tên miền không chính thức. Ngay cả khi sử dụng dịch vụ bên thứ ba, cũng nên ở dạng tên miền phụ. Mọi thao tác liên quan đến tài khoản nên được thực hiện thông qua ứng dụng hoặc trang web chính thức.

Tôi đã bày tỏ sự lo lắng với Mason, nhấn mạnh rằng chỉ muốn thực hiện giao dịch qua ứng dụng chính thức. Anh ấy lập luận rằng việc sử dụng ứng dụng sẽ dẫn đến sự chậm trễ 48 giờ, trong khi tài khoản sẽ bị khóa sau 24 giờ. Tôi lại từ chối quyết định vội vàng, và anh ấy đã cho biết sẽ nâng trường hợp lên "đội hỗ trợ cấp ba" để cố gắng khôi phục bảo vệ tài khoản cao cấp của tôi.

Sau khi cúp điện thoại, tôi tiếp tục xác minh sự an toàn của các tài khoản khác, cảm giác bất an ngày càng mạnh mẽ.

"Nhóm hỗ trợ cấp ba" gọi điện

Khoảng nửa giờ sau, một số điện thoại từ Texas gọi đến. Một người khác có giọng Mỹ tự xưng là điều tra viên cấp ba, đang xử lý đơn xin khôi phục tài khoản của tôi. Anh ta tuyên bố cần thời gian xem xét 7 ngày, trong thời gian đó tài khoản vẫn không có bảo hiểm. Anh ta còn "chu đáo" gợi ý nên mở nhiều Vault cho các tài sản trên chuỗi khác nhau, nghe có vẻ chuyên nghiệp, thực chất chưa bao giờ đề cập đến các tài sản cụ thể, chỉ mơ hồ chỉ đến "Ethereum, Bitcoin, v.v.".

Ông ấy đề cập đến việc sẽ xin phép bộ phận pháp lý để gửi bản ghi chát, sau đó lại bắt đầu quảng bá Vault. Như một sự lựa chọn, ông đã giới thiệu ví bên thứ ba có tên là SafePal, mặc dù SafePal là một ví phần cứng hợp pháp, nhưng rõ ràng đây là một sự chuẩn bị để lừa đảo lòng tin.

Khi tôi một lần nữa đặt câu hỏi về tên miền đáng ngờ, bên kia vẫn cố gắng xóa bỏ nghi ngờ. Đến lúc này, kẻ tấn công có thể nhận ra rằng khó có thể thành công, cuối cùng đã từ bỏ cuộc tấn công lừa đảo này.

Liên hệ với dịch vụ khách hàng thực sự của nền tảng

Sau khi kết thúc cuộc gọi với nhân viên giả mạo thứ hai, tôi ngay lập tức nộp đơn qua kênh chính thức. Đại diện dịch vụ khách hàng thực sự đã nhanh chóng xác nhận rằng tài khoản của tôi không có đăng nhập bất thường hoặc yêu cầu đặt lại mật khẩu.

Ông ấy đề xuất khóa tài khoản ngay lập tức và thu thập chi tiết về cuộc tấn công để gửi cho nhóm điều tra. Tôi đã cung cấp tất cả các tên miền gian lận, số điện thoại và các phương thức tấn công, đặc biệt đã hỏi về quyền gửi email của các địa chỉ có vẻ như là chính thức. Nhân viên hỗ trợ xác nhận rằng đây là một vấn đề rất nghiêm trọng và hứa hẹn rằng đội ngũ an ninh sẽ điều tra một cách kỹ lưỡng.

Khi liên hệ với dịch vụ khách hàng của sàn giao dịch hoặc nhà giữ chỗ, hãy đảm bảo sử dụng các kênh chính thức. Các doanh nghiệp chính thống sẽ không bao giờ chủ động liên hệ với người dùng.

Kinh nghiệm tóm tắt

Mặc dù may mắn không bị lừa, nhưng với tư cách là một cựu chuyên gia an ninh mạng, trải nghiệm suýt chút nữa bị mắc bẫy này khiến tôi cảm thấy rất bất an. Nếu không có đào tạo chuyên nghiệp, có lẽ tôi đã bị lừa. Nếu chỉ là một cuộc gọi từ người lạ bình thường, tôi chắc chắn sẽ cúp máy ngay. Chính là hành động liên hoàn được thiết kế tỉ mỉ của kẻ tấn công, tạo ra cảm giác khẩn trương và uy quyền, đã khiến cuộc lừa đảo này trở nên nguy hiểm.

Tôi đã tổng hợp các dấu hiệu nguy hiểm và đề xuất bảo vệ dưới đây, hy vọng có thể giúp các nhà đầu tư đảm bảo an toàn cho vốn trong môi trường mạng hiện tại.

tín hiệu nguy hiểm

Hợp tác tạo ra cảnh báo giả để gây rối và cảm giác cấp bách

Kẻ tấn công trước tiên gửi một loạt cảnh báo về việc hoán đổi SIM và yêu cầu mã xác thực một lần từ nhiều dịch vụ ( đồng thời gửi qua tin nhắn văn bản và phần mềm nhắn tin tức thì ), cố tình tạo ra ấn tượng rằng nhiều nền tảng đang bị tấn công cùng một lúc. Những thông tin này rất có thể chỉ cần có số điện thoại di động và địa chỉ email của tôi để kích hoạt, những thông tin này rất dễ bị thu thập. Ở giai đoạn này, tôi cho rằng kẻ tấn công vẫn chưa nắm giữ dữ liệu tài khoản sâu hơn.

Sử dụng mã ngắn cùng với số điện thoại thông thường

Thông tin lừa đảo được gửi bằng sự kết hợp của mã ngắn SMS và số điện thoại thông thường. Mặc dù các doanh nghiệp thường sử dụng mã ngắn để giao tiếp chính thức, nhưng kẻ tấn công có thể giả mạo hoặc tái sử dụng những mã ngắn này. Tuy nhiên, cần lưu ý rằng các dịch vụ hợp pháp sẽ không bao giờ sử dụng số điện thoại thông thường để gửi cảnh báo an ninh. Thông tin từ các số có độ dài tiêu chuẩn nên luôn được xem xét với sự nghi ngờ.

Yêu cầu thực hiện hoạt động thông qua tên miền không chính thức hoặc không quen thuộc

Kẻ tấn công yêu cầu tôi truy cập