Trong suốt thời gian qua, Telegram vốn được biết đến như một nền tảng giúp người dùng kết nối với bạn bè và gia đình, trao đổi thông tin với những người có chung sở thích, và cũng như một công cụ để vượt qua sự kiểm duyệt từ chính quyền. Tuy nhiên, nền tảng này cũng đồng thời bị lạm dụng nghiêm trọng cho các hoạt động tội phạm mạng. Các đối tượng tội phạm thường sử dụng Telegram để bán dịch vụ bất hợp pháp, thực hiện các cuộc tấn công, bán dữ liệu bị đánh cắp, hoặc làm máy chủ điều khiển cho phần mềm độc hại của họ.

Thông tin về các yêu cầu mà Telegram đã thực hiện xuất phát từ báo cáo Minh bạch của Telegram trong giai đoạn từ ngày 1 tháng 1 đến 13 tháng 12 năm 2024. Trước đây, Telegram chỉ chia sẻ địa chỉ IP và số điện thoại của người dùng trong trường hợp liên quan đến khủng bố và đã chỉ thực hiện 14 yêu cầu ảnh hưởng đến 108 người dùng đến ngày 30 tháng 9 năm 2024. Sau sự thay đổi trong chính sách bảo mật, Telegram hiện sẽ chia sẻ dữ liệu người dùng với cảnh sát trong các trường hợp tội phạm khác, bao gồm tội phạm mạng, buôn bán hàng hóa bất hợp pháp và gian lận trực tuyến.

Theo chính sách bảo mật được cập nhật, nếu Telegram nhận được một yêu cầu hợp lệ từ các cơ quan tư pháp có thẩm quyền xác nhận bạn là nghi phạm trong một vụ án liên quan đến các hoạt động tội phạm vi phạm Điều khoản Sử dụng của Telegram, họ sẽ thực hiện phân tích pháp lý của yêu cầu và có thể công bố địa chỉ IP và số điện thoại của bạn cho các cơ quan liên quan.

Sự thay đổi này diễn ra do áp lực từ chính quyền và đã dẫn đến việc nhà sáng lập và CEO của Telegram, Pavel Durov, bị bắt giữ vào cuối tháng 8 tại Pháp. Durov đã phải đối mặt với một loạt cáo buộc, bao gồm đồng phạm trong tội phạm mạng, gian lận có tổ chức và phân phối tài liệu bất hợp pháp, cũng như từ chối hỗ trợ các cuộc theo dõi hợp pháp nhằm hỗ trợ các cuộc điều tra tội phạm.

Mặc dù sự thay đổi chính sách đã khiến một số nhóm tội phạm mạng công bố việc rời khỏi Telegram, công ty tình báo tội phạm mạng KELA đã báo cáo vào tháng 12 rằng hình ảnh tổng thể vẫn chưa thay đổi. Trong khi việc gia tăng rõ rệt trong thực hành chia sẻ dữ liệu người dùng được ghi nhận trong quý cuối năm 2024 cho thấy sự thay đổi trong chiến lược của Telegram, một bức tranh rõ ràng hơn sẽ được công bố vào tháng 4 năm 2025 khi báo cáo minh bạch tiếp theo được phát hành.

Theo thông tin từ công ty An toàn thông tin CyRadar, hệ thống giám sát của doanh nghiệp này đã phát hiện các tên miền lừa đảo mạo danh Ngân hàng Việt Nam Thịnh Vượng (VPBank) gồm “onlines-vpbanks[dot]com”; “online-vpbanking[dot]com” và “online-vpbank[dot]com”. Giao diện của các trang web lừa đảo có địa chỉ tên miền này rất giống với giao diện trên trang chủ của website thật VPBank.

Trên các trang web mạo danh VPBank, nếu người dùng điền thông tin về User (Tài khoản) và Password (Mật khẩu) thì sẽ dẫn đến trang web giả mạo dụ người dùng nhập mã OTP. Khi người dùng nhập mã OTP vào thì ngay lập tức sẽ bị trừ tiền trong tài khoản.

Tuy các tên miền nêu trên mới được đăng kí nhưng ngay lập tức đã được sử dụng để thực hiện các chiến dịch lừa đảo. Một vài nạn nhân đã nhận được các tin nhắn với nội dung lừa đảo như hình dưới.

Người dùng có thể kiểm tra một tên miền có phải tên miền lừa đảo hay không bằng cách truy cập vào trang https://phishing-check.cyradar.com của CyRadar.

“Các tên miền mới sinh hàng ngày sẽ được hệ thống AI của CyRadar phân tích nội dung để đánh giá đó có phải tên miền Phishing (lừa đảo) hay không. Sau khi review hệ thống sẽ tự động đưa tên miền vào blacklist trên VirusTotal”, chuyên gia CyRadar thông tin thêm.

Ngoài ra, CyRadar còn cho biết, ra hệ thống cũng ghi nhận trong khoảng 1 tuần trở lại đây có rất nhiều các tên miền nghi ngờ cho hoạt động lừa đảo, mạo danh ngân hàng VPBank như: “sinhnhatvpbank[dot]com”; “sinhnhatvpbanks[dot]com”; “sinhnhat-vpbank[dot]com”.

Tuy chưa hoạt động (chưa dựng website) nhưng theo nhận định của chuyên gia CyRadar, những tên miền “sinhnhatvpbank[dot]com”, “sinhnhatvpbanks[dot]com” và “sinhnhat-vpbank[dot]com” cũng có nhiều khả năng là lừa đảo, do cách đặt tên miền khá giống với 3 tên miền lừa đảo ở trên.

Về phía VPBank, hiện nay trên trang chủ của website chính thức tại địa chỉ vpbank.com.vn, ngân hàng này cũng cảnh báo rõ: “Bất cứ ai yêu cầu bạn cung cấp OTP đều là lừa đảo”.

Chuyên gia CyRadar khuyến nghị, người dùng chỉ nên nhập tên đăng nhập, mật khẩu và mã OTP trên trang chủ website chính thống của các ngân hang. Đồng thời, người dùng cũng cần cẩn trọng với các đường link nhận được, đặc biệt là những đường link lạ, gây chú ý hoặc nhận thưởng.

Theo số liệu thống kê của Bộ TT&TT, trong tổng số 4.625 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam được ghi nhận trong 9 tháng đầu năm nay, có tới 2.750 cuộc tấn công lừa đảo (Phishing), chiếm gần 60%.

Với kinh nghiệm nhiều năm đấu tranh với tội phạm mạng, các chuyên gia bảo mật từ Trend Micro đã cung cấp 5 dự đoán về tình hình bảo mật trong năm 2019 sắp tới.

Yếu tố lừa đảo sẽ thay thế chiến dịch tấn công bằng phần mềm

Với những số liệu tổng hợp từ năm 2018, Trend Micro dự đoán rằng các chiến dịch tấn công bằng hình thức lừa đảo trực tuyến sẽ phát triển mạnh trong năm tới. Trong các chiến dịch tấn công bằng hình thức lừa đảo trực tuyến, tội phạm sẽ giả dạng một tổ chức hoặc cá nhân có uy tín để lừa người nạn nhân cung cấp các thông tin bí mật. Hoạt động tấn công này của tội phạm mạng đã có từ nhiều năm trước, nhưng nó nhanh chóng bị thay thế bằng các công cụ có thể bí mật khai thác thông tin cá nhân của người dùng từ phần mềm trên thiết bị. Tuy nhiên, trong những năm gần đây, cục diện độc quyền phần mềm đã bị phá vỡ trên thị trường.

Nếu 5 năm trước đây, hệ điều hành Windows của Microsoft là vua trên thị trường, thì hiện tại không có bất kì sản phẩm nào nằm giữ hơn một nửa thị trường. Lúc này, tội phạm mạng phải đưa ra lựa chọn giữa việc theo đuổi chiến dịch ngắn hạn, phạm vi mục tiêu nhỏ với bộ công cụ khai thác phần mềm hay “thả lưới” toàn bộ thị trường cùng chiến dịch tấn công bằng hình thức lừa đảo trực tuyến.

Bên cạnh đó, tiến bộ về công nghệ đã có thể giúp các nhà bảo mật hàng đầu đưa ra biện pháp giảm thiểu tối đa mức ảnh hưởng của các bộ công cụ khai thác thông tin người dùng qua phần mềm. Vì vậy, các cuộc tấn công bằng hình thức lừa đảo đang dần trở lại, với hình thức ngày càng tinh vi và khó phát hiện hơn trước.

Theo các thống kê từ Trend Micro cho thấy, đến Quý 3/2018, số lượng phần mềm độc hại trên thiết bị đã giảm đi đáng kể.

Hình thức lừa đảo trực tuyến hiện nay không chỉ sử dụng qua email mà còn đang dần xuất hiện qua hệ thống tin nhắn SMS và khung hội thoại của các ứng dụng. Các chiến dịch tấn công sẽ nhắm mục tiêu chính vào thông tin tài khoản ngân hàng trực tuyến của người dùng, tiếp sau đó là tài khoản lưu trữ trong dịch vụ đám mây trực tuyến.

Sau khi lấy được thông tin quan trọng từ người dùng, tội phạm mạng sẽ giả dạng và cố gắng thuyết phục bộ phận hỗ trợ chăm sóc khách hàng bên phía nhà mạng cấp lại thẻ SIM số điện thoại của nạn nhân. Từ đó, tội phạm mạng sẽ có thể kiểm soát các tài khoản trực tuyến xác thực qua số điện thoại của nạn nhân.

Cũng theo thống kê của Trend Micro, các đường dẫn liên kết tới trang độc hại đang ngày càng gia tăng nghiêm trọng.

Trend Micro cũng dự đoán nội dung mà tội phạm mạng có thể khai thác trong năm 2019 sẽ bao gồm các sự kiện thể thao hoặc chính trị quan trọng, diễn ra trong năm tới như Rugby World Cup 2019 tại Nhật Bản, Thế vận hội mùa hè 2020 tại Tokyo và các sự kiện bầu cử trực tuyến ở nhiều quốc gia khác nhau trên thế giới.

Các Chatbots sẽ bị tội phạm mạng lạm dụng

Các nền tảng mạng xã hội đang không ngừng được mở rộng hiện nay. Giới trẻ được tiếp cận công nghệ ngày càng sớm và thời gian sử dụng Internet dài hơn trước. Chính vì vậy, các nền tảng nhắn tin trực tuyến đang được chú trọng phát triển và trở nên phổ biến hơn bao giờ hết. Điều này vô tình cũng trở thành một trong những mục tiêu khai thác của tin tặc.

Trend Micro dự đoán rằng trong năm 2019, các cuộc tấn công thông qua việc lạm dụng chatbots sẽ phát triển rầm rộ và ngày càng nguy hiểm, phức tạp hơn. Cũng giống như chiến dịch tấn công qua điện thoại đã được phát triển, tận dụng nền tảng tin nhắn được thiết kế sẵn và hệ thống phản hồi bằng tương tác giọng nói (IVR), những kẻ tấn công sẽ tạo nên các chatbot có thể bắt đầu những cuộc hội thoại quen thuộc với người dùng, từ đó lừa đảo họ qua các liên kết độc hại và đánh cắp thông tin cá nhân.

Những kẻ tấn công sẽ gửi đến người dùng các phần mềm độc hại, cài đặt Trojan truy cập từ xa (RAT) trong máy tính nạn nhân để đánh cắp dữ liệu hoặc tống tiền họ.

Tài khoản của những người nổi tiếng trên mạng sẽ bị khai thác cho thủ đoạn tấn công Watering Hole Attack

Watering Hole Attack là tên của một thủ đoạn tấn công bằng hình thức lừa đảo trực tuyến, tận dụng lòng tin và mức độ nổi tiếng của các tổ chức, cá nhân để qua mắt người dùng. Hơn hết, với sự phát triển của các nền tảng Stream và ngành công nghệ game hiện nay, tội phạm mạng sẽ khai thác, tấn công và giả mạo các YouTuber, Vlogger và Streamer nổi tiếng. Tội phạm mạng sẽ tìm kiếm các tài khoản có vài triệu người theo dõi, tấn công họ và sử dụng tài khoản này để lừa đảo người dùng.

Trong khoảng thời gian từ khi bị tấn công cho đến lúc chủ tài khoản nhân ra và lấy lại tài khoản, tội phạm mạng sẽ gửi đến người theo dõi các liên kết độc hại. yêu cầu người theo dõi nhấn vào và tải về. Máy tính của người theo dõi sẽ bị lây nhiễm mã độc và bị tội phạm mạng tấn công, khai thác thông tin cá nhân cũng như ví điện tử.

Các tài khoản người nổi tiếng trên mạng sẽ bị tội phạm mạng khai thác và lợi dụng điều đó để tiếp cận tấn công người theo dõi.

Tội phạm mạng không ngừng khai thác danh tính của người dùng trong thế giới thật

Một báo cáo gần đây của Viện Ponemon và Akamai nhấn mạng rằng việc tội phạm mạng đang sử dụng các thông tin xác thực bao gồm tên người dùng và mật khẩu bị đánh cắp từ 1 đợt vi phạm dữ liệu đang ngày một nghiêm trọng hơn. Bởi vì số lượng dữ liệu bị vi phạm đang ngày một tăng, báo động nguy cơ tội phạm mạng có thể tìm thấy được các tài khoản đang được sử dụng lại mật khẩu cũ trên một số trang web và các nền tảng mạng xã hội phổ biến.

Trend Micro tin rằng người dùng sẽ dễ dàng nhận thấy sự gia tăng của các giao dịch gian lận, sử dụng thông tin xác thực do tội phạm mạng thu thập được từ các vụ vi phạm dữ liệu.

Tấn công bằng Sextortion đang gia tăng

Sextortion là chiến thuật tấn công người dùng bằng các bức ảnh hoặc đoạn phim nhạy cảm của nạn nhân, bằng việc tiếp cận người dùng qua các ứng dụng hẹn hò trực tuyến. Trend Micro nhận thấy sự gia tăng ngày càng lớn từ các báo cáo về thanh thiếu niên và thanh niên bị tống tiền trong các vụ tấn công bằng chiến thuật Sextortion.

Chiến thuật Sextortion đánh mạnh vào đối tượng thanh thiếu niên và thanh niên sẽ là nguy cơ cực lớn trong năm 2019.

Ngay cả khi không có bất kì bằng chứng đảm bảo kẻ tấn công sẽ thực hiện các hứa hẹn, nhưng tính chất ảnh hưởng đến cá nhân cao bằng chiến thuật tấn công này sẽ khiến nạn nhân nghiêm túc xem xét việc thực hiện theo các yêu cầu của tội phạm. Trend Micro dự đoán rằng chiến thuật tấn công này sẽ bùng nổ nhiều nguy cơ hơn nữa vào năm 2019 sắp tới.

Một chặng đường dài và đầy nguy hiểm

Vào mùa hè năm 2012, các nhà nghiên cứu của Trend Micro phát hiện một số hoạt động bất thường xảy ra trên máy quét các mối đe dọa. Các nhà nghiên cứu đã điều tra một công cụ phân phối phần mềm độc hại với tên gọi “g01pack”.

Trend Micro nhận thấy rằng một nhóm các địa chỉ IP Latvia liên tục trùng khớp URL liên quan đến g01pack với các hệ thống danh tiếng trên web của Trend Micro, một công cụ theo dõi hoạt động web và chặn các trang độc hại cho khách hàng. Các nhà nghiên cứu nhận thấy rằng địa chỉ IP của Latvia đã giới thiệu những kiểm tra này cho tất cả URL. Trend Micro xem xét một kho tàng thông tin khổng lồ về các hoạt động bên trong của một trình kiểm tra phần mềm độc hại khét tiếng.

Scan4You trở thành công cụ đắc lực giúp tội phạm công nghệ cao vô hiệu hóa hơn 35 phần mềm bảo mật nổi tiếng thế giới.

“Một dịch vụ như Scan4You đang tiếp tay cho những hoạt động của tội phạm công nghệ cao. Nó đã trở thành công cụ quan trọng để các chiến dịch tấn công của tội phạm mạng thành công trên toàn cầu và bạn có thể thấy tác động của nó đến các nhóm tội phạm nổi tiếng. Hiệu ứng gợn sóng đã bắt đầu diễn ra”, Ed Cabrera – Giám đốc An ninh mạng tại Trend Micro cho biết.

Các dịch vụ CAV là một phần cực kì quan trọng trong các chiến dịch của tội phạm mạng toàn cầu, cho phép những kẻ tấn công có thể kiểm tra mức độ hiệu quả của phần mềm độc hại mà không bị phát hiện. Không có chúng, các cuộc tấn công của tội phạm mạng gần như không thể thành công. Scan4You bắt đầu hoạt động vào năm 2009, là một trong những dịch vụ thành công nhất và giành được sự tin tặc của vô số tin tặc mũ đen. Dịch vụ ngầm này cho phép bọn tội phạm mạng kiểm tra phần mềm độc hại mới nhất của chúng, cống lại hơn 35 công cụ AV nổi tiếng trên toàn cầu.

Những công cụ AV nổi tiếng bị Scan4You tấn công.

Bất kỳ ai cũng có thể đăng ký trên Scan4You, chúng cung cấp 100.000 quét mỗi tháng chỉ với mức giá 30 USD mỗi tháng hoặc 0,15 USD cho mỗi lần quét. Phương thức thanh toán cũng rất đa dạng bao gồm PayPal, WebMoney và thậm chí là Bitcoin. Cách thức giao dịch duy nhất là thông qua địa chỉ web và chúng cam kết không chia sẻ bất kỳ dữ liệu nào với các công ty bảo mật mạng và AV.

Diễn biến của chiến dịch truy lùng Scan4You

Scan4You cung cấp dịch vụ cho nhiều tin tặc với nhiều đường dây hoạt động trên toàn cầu, bao gồm Indetectables (Tây Ban Nha) và RazorScanner (Đức). Chủ sở hữu RazorScanner đã bị bắt vào tháng 4 năm 2016, trong khi đó chủ sở hữu người Anh của Refud.me bị kết án 2 năm tù vào tháng 1 năm 2018. Đây là kết quả của sự hợp tác giữa Cơ quan Tội phạm Quốc gia Vương quốc Anh (U.K’s National Crime Agency) và Trend Micro.

Đường dây liên doanh ảo của Scan4You trải dài đến mọi lĩnh vực hoạt động của tin tặc: Chúng trực tiếp tham gia với Eva Pharmacy trong việc bán các toa thuốc không được FDA chấp nhận. Bên cạnh đó, Scan4You còn dính líu với nhiều chiến dịch tấn công và đánh cắp dữ liệu thẻ tín dụng của nhiều hệ thống ngân hàng trên toàn thế giới.

Hoạt động kinh doanh của CAV cực kì dễ dàng và nhanh chóng sinh lợi. Dựa trên các bản quét và mức giá của chúng, Scan4You đã kiếm được 15.000 USD mỗi tháng vào năm 2013. Con số đó tăng gấp đôi hoặc gấp ba lần vào thời gian sau đó bằng các chiến dịch tấn công vào ngân hàng trực tuyến.

Scan4You hoạt động trở lại cực kì mạnh mẽ vào tháng 5 năm 2017 trước khi hai tên tội phạm bị FBI bắt giữ.

Scan4You được điều hành bởi Ruslans Bondars (b0rland/Borland) và Jurijs Martisevs (Garrik), những tên tội phạm công nghệ cao khét tiếng, hoạt động từ năm 2006 tại thế giới ngầm. Boland và Garrik bị bắt năm ngoái theo kế hoạch được vạch sẵn giữa Trend Micro, Interpol và FBI. Sau đó, Trend Micro nhận thấy tất cả các hoạt động từ Scan4You dừng lại hẳn. Thậm chí, tin tốt hơn là Trend Micro không nhìn thấy sự tăng đột biến ở đối thủ cạnh tranh của chúng là VirusCheckMate, vì vậy có vẻ như sự kiện này đã thay thế lời cảnh báo đến tội phạm công nghệ cao ở thế giới ngầm.

Hoạt động của Scan4You có dấu hiệu giảm từ mùa thu năm 2013 cho đến khoảng tháng 4 năm 2016, tuy nhiên mạnh mẽ trở lại vào tháng 5 năm 2017.

B0rland / Borland, một lập trình viên phát triển phần mềm, là tên tội phạm đã thiết kế các máy chủ Scan4You và Eva Pharmacy trên một ISP Latvia. Tài khoản Gmail sử dụng để đăng ký tên miền máy chủ C&C cho các phần mềm tấn công ngân hàng chứa ảnh và tên thật của hắn. Số điện thoại liên kết với tài khoản WebMoney của Scan4You khớp với dữ liệu Whols của các tên miền mà Garrik đã đăng ký. Hắn cũng tham gia vào các dịch vụ giao dịch tùy chọn nhị phân và dịch vụ viết luận văn thuê. Đăng ký cho tên miền Eva Pharmacy liên quan đến việc tiếp thị thuốc không được chấp nhận bởi FDA.

Chân dung tên tội phạm B0rland trên tài khoản Linkedln của hắn.

Tên miền mà Borland đã đăng ký với Gmail chính.

Trend Micro đã liên lạc chặt chẽ với văn phòng của FBI tại Washington từ mùa xuân năm 2014. Cuộc điều tra kéo dài ba năm cho đến khi đủ bằng chứng bắt giữ và dẫn độ Borland cũng như Garrik vào năm 2017. Ngay lập tức, các yêu cầu quét tùy máy chủ của Scan4You với trang Trend Micro biến mất ngay sau đó.

Cuối cùng, sau 8 năm hoạt động, Scan4You chính thức sụp đổ, để lại đối thủ cạnh tranh là VirusCheckMate, dịch vụ CAV lớn nhất còn soát lại. Rất có thể, người dùng Scan4You sẽ chuyển sang dịch vụ khác, nhưng Trend Micro vẫn chưa thấy sự hoạt động quét URL từ VirusCheckMate. Có vẻ như hầu hết các khách hàng của Scan4You đã ngừng sử dụng dịch vụ CAV.

Khi hai tên tội phạm bị bắt giữ, Scan4You chính thức sụp đổ sau quá trình 8 năm lộng hành.

Với việc bắt giữ Bondars và Martisevs, chiến dịch tấn công Scan4You đã hoàn toàn kết thúc với kết quả tốt đẹp. Chiến dịch này của Trend Micro chỉ là một trong nhiều hoạt động thu thập và phân tích tình báo các mối đe dọa để giúp các tổ chức thực thi pháp luật, nhà luật pháp và doanh nghiệp củng cố bằng chứng và chính sách chống lại tội phạm công nghệ cao.

Những tài sản đó có thể là bất cứ thứ gì liên quan trực tiếp đến thông tin cá nhân, hoạt động kinh doanh, lợi ích tài chính, tiền kỹ thuật số của nạn nhân, quyền truy cập tệp tin, máy chủ…

Bằng phương thức mã hóa dữ liệu, kẻ tấn công buộc nạn nhân phải trả tiền để lấy lại quyền truy cập.

Hiện nay, phần lớn hoạt động tống tiền trực tuyến được thực hiện bằng các cuộc tấn công sử dụng ransomware, tiêu biểu là Cuộc tấn công bằng Ransomware WannaCry. Một cuộc tấn công bằng ransomware sẽ liên quan đến phần mềm độc hại, bằng hình thức đó nó sẽ lây lan vào hệ thống của người dùng, mã hóa các tập tin được lưu trữ và làm chúng không thể truy cập được.

Trong bất kì trường hợp nào, nạn nhân sẽ được thông báo phải trả một số tiền tương ứng để lấy lại quyền truy cập. Nếu người dùng trả tiền, hành vi tống tiền đó được xem là hoàn chỉnh.

Với những thành công bước đầu bằng hình thức tống tiền bằng ransomware, tội phạm không gian mạng phát triển thêm nhiều phương pháp tống tiền khác, tiêu biểu:

Tội phạm mạng sẽ tham gia vào những chiến dịch tạo “scandal” trên mạng xã hội chống lại các nhân vật nổi tiếng và chính trị gia. Tin tặc sẽ tấn công vào các thiết bị cá nhân của họ, đánh cắp dữ liệu, tin nhắn, hình ảnh và mã hóa chúng cũng như tung lên mạng xã hội. Một khi đã gây đủ thiệt hại danh dự cho nạn nhân trên các phương tiện truyền thông, những kẻ tấn công sẽ yêu cầu một đề nghị ngừng chiến dịch này với khoản phí tương ứng từ nạn nhân.

Người nổi tiếng và chính trị gia đang là mục tiêu nhắm đến hàng đầu của tội phạm mạng.

Những tác phẩm điện ảnh hoặc thiết bị sắp ra mắt sẽ bị tin tặc tung hàng loạt các đánh giá cực kì thấp hoặc các tin đồn tiêu cực để hạ danh tiếng của sản phẩm. Khi sản phẩm đã nhận được tổn thất và công kích từ công chúng, tội phạm mạng sẽ đề nghị rút lại những đánh giá đó với một giá tiền lớn.

Ngoài ra, tin tặc còn có thể tống tiền những người nổi tiếng hoặc chính trị gia và cả các nhà sản xuất bằng cách tấn công vào các thiết bị lưu trữ của họ. Từ đó, nạn nhân phải trả khoản tiền chuộc khổng lồ để lấy lại những hình ảnh, dữ liệu và thông tin bí mật của mình. Tuy nhiên, những thông tin đó sẽ không hoàn toàn được trả lại cho nạn nhân sau khi đã đưa tiền chuộc.

Hình ảnh và clip trong thiết bị cá nhân là nguồn khai thác để tống tiền của tội phạm mạng.

Trong ngành công nghiệp sản xuất tự động, tội phạm mạng xâm nhập và tấn công vào các thiết bị sản xuất dây chuyền lắp ráp, robot công nghiệp hoặc các hệ thống quản lý sản xuất, công cộng. Những kẻ tấn công sẽ mã hóa và dừng hoạt động các thiết bị này. Sau đó, chúng sẽ yêu cầu chủ sỡ hữu phải trả một số tiền lớn để lấy lại quyền truy cập vào thiết bị.

Hình thức phổ biến nhất hay được sử dụng là việc đánh cắp thông tin người dùng thông qua các trang web đăng nhập giả mạo. Tin tặc gửi đến những trang thông tin lừa đảo, thông báo chúc mừng nhận quà cho người dùng và yêu cầu họ đăng nhập thông tin. Từ đó, không chỉ đánh cắp được thông tin cá nhân của người dùng, những kẻ tấn công còn có thể xâm nhập và mã hóa tập tin quan trọng không những ảnh hưởng đến cá nhân mà thậm chí là cả công ty.

Mặc dù hầu hết các mối đe dọa dường như hướng đến những cá nhân hay doanh nghiệp cụ thể, thực tế phần lớn bọn tội phạm thông thường sẽ thực hiện các cuộc tấn công diện rộng và không có mục tiêu cụ thể. Điều này có nghĩa là mọi người đều có nguy cơ trở thành mục tiêu của kẻ tấn công.

Một ví dụ điển hình gần đây nhất là tiền ảo trong game được tạo ra với số lượng lớn và sau đó được mua bán bằng tiền thật để tham gia các trò chơi bóng đá FIFA nổi tiếng. FBI đang điều tra 16 triệu $ trong tiền xu FIFA đã được tạo nhân tạo và sau đó bán cho các game thủ châu Âu và Trung Quốc.

Theo hãng bảo mật Trend Micro, số tiền này được sử dụng để tài trợ cho các cuộc tấn công bên ngoài cộng đồng game thủ. Do đó, bọn tội phạm mạng đã được kích hoạt để hướng đến các mục tiêu giá trị hơn mà đại diện là các doanh nghiệp lớn. Các tổ chức như Armada, Lizard Squad và Team Poison là những ví dụ của các tổ chức tội phạm ảo đã hack trò chơi trực tuyến sau đó đi tắt đón đầu vào các cuộc tấn công doanh nghiệp.

Hoạt động của các nhóm tội phạm ảo rất khó ước đoán và có được tiền không phải luôn là mục tiêu chính của chúng. Đôi khi chúng khởi động các cuộc tấn công chỉ để công khai chứng minh khả năng của mình. Các cuộc tấn công dịch vụ (DDoS) gần đây là ví dụ về việc “tàn phá có tổ chức” không có lý do nào khác ngoài việc chứng tỏ khả năng của mình.

Khuyến cáo của hãng bảo mật là các công ty game nên nhận thức được những hậu quả ở thực tế, do đó cần tăng cường an ninh và game thủ phải có ý thức về các tác động tiền tệ bất hợp pháp mà họ mua để đảm bảo tiền ảo không được sử dụng để tài trợ cho các hoạt động tội phạm thêm một lần nào nữa.

NHƯ QUỲNH

1. Nhận thức rủi ro

Hãng bảo mật Trend Micro cho biết, để thực hiện các quyết định bảo mật thống nhất, các tổ chức phải nhận thức được những rủi ro tổng thể. Điều này có thể được xác định thông qua đánh giá rủi ro của một sự cố với khả năng dự kiến hoặc tần số mà nó có thể xảy ra. Sử dụng thông tin này, có thể xác định chính xác hơn về khả năng kiểm soát an ninh, làm giảm nguy cơ của hành vi vi phạm và không lãng phí thời gian cũng như tiền bạc. Kết quả của việc đánh giá rủi ro cũng có thể được sử dụng để tăng hiệu quả của quá trình quét lỗ hổng bên trong và bên ngoài của hệ thống.

2. Cấu hình bảo mật

Hacker đang không ngừng nỗ lực tiến hành các chiến dịch để xác định, khai thác lỗ hổng và đạt được chỗ đứng ban đầu trong hệ thống hoặc mạng. Nhiều công ty chỉ tập trung vào cấu hình và các bản vá chỉ khi hệ thống được thông báo đang đối mặt với các nguy cơ xâm hại mà bỏ qua các mục tiêu tấn công ưa thích của các hacker là ứng dụng người dùng và ứng dụng bên thứ ba ít được quan tâm cấu hình cũng như cập nhật các bản vá. Việc thực hiện cập nhật bản vá và cài đặt chương trình quản lý cấu hình trên tất cả các hệ thống mạng có thể làm giảm đáng kể nguy cơ mắc phải các lỗ hổng phổ biến đang được khai thác để tránh làm mồi cho kẻ tấn công.

3. Kết nối di động

“Do dữ liệu và quyền truy cập được phân phối phổ biến trên lực lượng người dùng di động nên việc tập trung kiểm soát an ninh thông tin nhiều khi chưa được chặt chẽ; người dùng thường có thói quen kết nối với mạng nhà hoặc mạng khác, mà các kết nối này lại kém an toàn hơn so với các mạng công ty”, chuyên gia Trend Micro cảnh báo. Do đó, các công ty phải thiết lập và thực thi các chính sách để truy cập dữ liệu và áp dụng tất cả các biện pháp an ninh tốt với các thiết bị nối mạng di động.

4. Giáo dục và đào tạo

Ngay cả các kế hoạch an ninh thông tin mạnh mẽ nhất cũng có thể dễ dàng bị vô hiệu hóa nếu người dùng cuối không biết hoặc không hiểu các tiêu chuẩn an ninh. Chẳng hạn, người dùng cài đặt phần mềm không được chấp thuận trên máy tính hoặc thiết bị nối mạng sẽ mở cửa cho tin tặc truy cập vào hệ thống mạng. Do đó, các tổ chức phải thông báo cho người dùng các tiêu chuẩn an ninh rõ ràng. Việc giáo dục và đào tạo cũng nằm trong chính sách và thủ tục quản lý sự cố để người dùng biết cách phản ứng khi đối mặt với vấn đề bảo mật.

5. Giám sát

Hacker rất kiên nhẫn trong việc mở rộng tiếp cận và tăng kiểm soát trong môi trường của nạn nhân. Có một số hành vi vi phạm đã thực sự được tiến hành cả vài tháng trước khi bị phát hiện. Đến khi nạn nhân truy cập thì dữ liệu đã bị xâm nhập và mất hết. Quá trình giám sát hiệu quả phụ thuộc vào bản ghi hệ thống và việc cảnh báo liên tục nhằm  phân tích hành vi để phát hiện bất thường. Chẳng hạn như mọi hoạt động mạng thường chỉ xảy ra trong giờ làm việc nhưng đột nhiên một ngày lại xuất hiện trong thời gian nghỉ thì người dùng sẽ nhận ra được sự khác thường.

6. Quản lý sự cố

Theo khảo sát của Tred Micro, trong thực tế, các công ty ít chú ý đến chính sách an ninh thông tin hiệu quả, đặc biệt là ứng phó sự cố. Nhiều tổ chức không có kế hoạch chính thức hoặc chức năng cho ứng phó sự cố. Điều này nhấn mạnh tầm quan trọng sống còn của việc chuẩn bị và thực hiện kế hoạch quản lý sự cố. Quản lý sự cố rất cần thiết để đo lường hiệu quả của các kế hoạch cũng như đảm bảo nhân viên nhận thức được và làm theo các giao thức thích hợp.

Vận dụng những cách trên vào việc xây dựng kế hoạch bảo mật có thể giúp các tổ chức hạn chế đáng kể tổn thương và thiệt hại do tội phạm mạng gây ra.

Như Quỳnh

Nội dung từ trang blog của Trend Micro đăng tải: “Tin tặc luôn luôn tìm cách lợi dụng những tin tức thảm kịch và các sự cố. Trước đây, chúng tôi đã phát hiện một số trang web lừa đảo và các mối đe dọa lợi dụng tin tức về bão Haiyan, sự kiện đánh bom tại giải marathon Boston, thảm họa sóng thần và động đất ở Nhật Bản vào năm 2011, và những vụ việc khác. Chúng tôi đã dự đoán được rằng ngay khi tin tức chi tiết về vụ rơi máy bay MH17 được công bố, tin tặc sẽ ngay lập tức phát động các cuộc tấn công khác nhằm đánh cắp thông tin cá nhân và xâm nhiễm hệ thống người dùng “.
Trong vụ lừa đảo đầu tiên được phát hiện, Trend Micro cho biết những kẻ tấn công đăng trên twitter hashtag # MH17, được cho là cung cấp tin tức về vụ mất tích của máy bay MH17. Nhưng thực tế những ai nhấp vào hashtag trên sẽ bị dẫn đến những địa chỉ IP tại Mỹ. Các địa chỉ IP này được liên kết đến nhiều tên miền khác nhau, một số trong chúng có chứa mã độc.
Các tên miền chứa mã độc có liên kết với các địa chỉ IP ở trên được kết nối với một biến thể trojan ZeuS và một malware khác có thể có khả năng giúp các loại virus khác xâm nhập vào hệ thống của nạn nhân và “do đó xâm hại đến bảo mật của họ”.
Trend Micro khuyến cáo, người dùng cần phải cảnh giác trước những tin trên để tránh trở thành con mồi cho bọn tin tặc.

Phần mềm độc hại này đã xuất hiện được một thời gian, nhưng gần đây Trend Micro phát hiện một loại mới là Crigent (còn gọi là Power Worm) với những phương thức mới.

Mối đe dọa này xuất hiện dưới dạng một tài liệu Word hoặc Excel độc hại mà người dùng có thể tải về hay truy cập. Sau khi mở ra, ngay lập tức nó tải thêm hai phần mở rộng từ hai mạng ẩn danh nổi tiếng là mạng lưới Tor và Polipo (một cache/proxy web cá nhân).

Ở giai đoạn đầu của cuộc tấn công, tội phạm mạng nhắm vào một lỗ hổng trên Windows PowerShell để ăn cắp thông tin hệ thống quan trọng của nạn nhân, bao gồm địa chỉ IP, vị trí, tài khoản người dùng, phiên bản hệ điều hành, kiến trúc, ngôn ngữ, cũng như các ứng dụng Microsoft Office và phiên bản Office đang chạy.

PowerShell là một trình tiện ích dòng lệnh và ngôn ngữ kịch bản sẵn có ở tất cả các phiên bản Windows hiện nay và được xây dựng trước đó trên Windows7 và Windows 8. Sử dụng PowerShell là việc không điển hình, cho thấy đây chỉ là giai đoạn đầu trong một chiến dịch lớn hơn.

Mục đích của cuộc tấn công là thu thập thông tin để tận dụng trong các chiến dịch hiện tại hoặc sau này. Thông tin đặc biệt mà tội phạm muốn thu thập là các phiên bản và ứng dụng Microsoft Office.

Việc sử dụng mạng lưới ẩn danh Tor và Polipo thực sự nguy hiểm vì nó che đậy các động thái trực tuyến của tội phạm. Phần mềm độc hại sử dụng mạng lưới Tor khiến hệ thống đã bị lây nhiễm liên lạc với máy chủ chỉ huy và kiểm soát (C &C) để có thêm chỉ dẫn, cụ thể là truyền thông tin thu thập được cho bộ thu nhận trung tâm. Tội phạm mạng tận dụng khả năng ẩn danh của mạng lưới Tor bằng nhiều cách khác nhau.

Các cuộc tấn công sử dụng mạng lưới Tor đang là vấn đề mà cộng đồng an ninh phải đối mặt. Tội phạm mạng có thể sẽ gây nên một làn sóng tấn công tân tiến sử dụng mạng lưới Tor vào đầu quí 2 năm nay.

NHẬT TRƯỜNG

Nhiều thư rác liên quan tới ngày lễ Tình yêu đã được lan truyền khá nhiều trên mạng lưới Probe của Symantec  (Symantec’s Probe Network). Những tổ hợp từ khóa hay được sử dụng trong các thông điệp thư rác bao gồm:

• Find-Your-Valentine (Tìm kiếm quà tặng cho ngày lễ Tình yêu)
• eCards-for-Valentine (Thiệp chúc mừng điện tử cho ngày lễ Tình yêu)
• Valentine’s-Day-Flowers (Hoa đẹp ngày lễ Tình yêu)

Thư rác về thiệp chúc mừng điện tử ngày lễ tình yêu sẽ được gửi đi đính kèm với một tệp tin độc hại có tên ValentineCard4you.zip. Khi người dùng mở tệp tin đính kèm, mã độc sẽ được tải về máy tính của họ. Symantec đã phát hiện tệp tin đính kèm là một Trojan có tên là Backdoor.Trojan.

Thiệp chúc mừng điện tử với tệp tin độc hại đính kèm

Thư rác chào mời thiệp chúc mừng điện tử

Điều thú vị ở đây là trong một mẫu thư rác, tội phạm mạng mời gọi người dùng mua sản phẩm được quảng cáo với một mã giảm giá giả mạo. Kèm theo những hứa hẹn “trên trời”, thư rác này cũng quảng cáo bán hàng giảm giá trước ngày lễ Tình yêu và bán đồng hồ nhái thương hiệu nổi tiếng giống như thật:

• Accuracy (độ chính xác cao)
• Movement (chuyển động mượt mà)
• Labeling (nhãn hiệu thật)
• Materials (vật liệu như thật)

Mã giảm giá được sử dụng trong các tấn công thư rác này, chẳng hạn như vday[MỘT DÃY SỐ NGẪU NHIÊN], được sử dụng để lừa phỉnh người dùng nhấp chuột vào liên kết URL để được nhận “món hời” đó.

Thư rác mời gọi giảm giá giả mạo

Khi nhấp chuột vào liên kết, người dùng sẽ được chuyển hướng tới một trang web yêu cầu cung cấp thông tin cá nhân. Động cơ chính của những quảng cáo khuyến mãi giả mạo này là lấy được thông tin cá nhân cũng như thông tin tài chính của người dùng.

Những thư rác liên quan tới ngày lễ Tình yêu có thể có tiêu đề như sau:

• Subject: Pre Valentine Discount Code (Mã giảm giá bán hàng trước ngày lễ Tình yêu)
• Subject: Pre Valentine Day discounts (Giảm giá bán hàng trước ngày lễ Tình yêu)
• Subject: Valentines Day is Getting Closer! Order Flowers for Her Right Now! (Ngày lễ Tình yêu đang tới gần! Hãy tặng hoa cho người bạn yêu ngay từ bây giờ)
• Subject: [REMOVED]@[REMOVED].com :Someone sent you a Valentine Message ([Địa chỉ người gửi]@[địa chỉ trang web].com: Một người bạn đã gửi thông điệp tới bạn nhân ngày lễ Tình yêu)
• Subject: Best Valentine’s Day Bouquets on Sale! (Những bó hoa đẹp nhất ngân ngày lễ Tình yêu đang được bán giảm giá)
• Subject: Don’t go Broke over Valentines Day, Quick and Easy Loans Here (Đừng lo lắng trong ngày lễ Tình yêu, vay nợ nhanh chóng và dễ dàng tại đây)
• Subject: You Will Lose 28 Lbs Of Fat By Valentines Day (Bạn sẽ giảm cân 13kg trong dịp lễ Tình yêu này)
• Subject: Send FREE eCards this VALENTINES DAY (Gửi thiệp chúc mừng điện tử MIỄN PHÍ nhân ngày lễ Tình yêu)

Mua sắm trực tuyến thông thường sẽ an toàn khi bạn tin tưởng vào các trang web được bảo mật tốt và có uy tín. Symantec khuyên người dùng nên cảnh giác khi nhận được những email không rõ nguồn gốc hoặc những email không mong muốn được gửi tới, đồng thời thường xuyên cập nhật chữ ký chống thư rác.

LỆ THÀNH