Hình thức lừa đảo thông qua các ứng dụng giả mạo sẽ tiếp tục gia tăng 

Theo thống kê từ giải pháp Viettel Threat Intelligence (Công ty An ninh mạng Viettel - Viettel Cyber Security), trong 6 tháng đầu năm 2023, ghi nhận gần 2000 tên miền lừa đảo, giả mạo, con số gia tăng 60% so với cùng kỳ năm 2022. Đi cùng với đó là các hình thức lừa đảo, giả mạo mới ngày càng tinh vi, khó phát hiện hơn.

Tấn công có chủ đích thông qua việc mạo danh ứng dụng cơ quan chức năng

Trên cơ sở đó, mới đây, Công ty An ninh mạng Viettel (Viettel Cyber Security- VCS) đã công bố Báo cáo chiến dịch tấn công lừa đảo có chủ đích sử dụng ứng dụng giả mạo tại Việt Nam. Theo đó, những dấu vết ban đầu trong chiến dịch lừa đảo tấn công người dùng tại Việt Nam được giải pháp Viettel Threat Intelligence phát hiện từ đầu tháng 4/2023 khi thấy được tên miền (domain) có dấu hiệu nghi ngờ giả mạo khi gần giống một cơ quan chức năng.

Giao diện trang web giống với trang có chứa logo và tên của cơ quan chức năng, trong đó có chức năng tải ứng dụng, phần mềm giả mạo, có thể chứa mã độc hoặc phần mềm gián điệp. Trong thời gian này, trên các phương tiện truyền thông cũng ghi nhận các trường hợp nạn nhân đã bị lừa đảo bởi hình thức lừa đảo này.

Do đó, Viettel Threat Intelligence đánh giá đây là một chiến dịch lừa đảo có chủ đích sử dụng hai hình thức lừa đảo, đó là giả mạo cán bộ, cơ quan chức năng và dụ cài đặt ứng dụng giả mạo độc hại trên thiết bị của nạn nhân.

“Dù không phải là hình thức lừa đảo mới, nhưng vẫn rất hiệu quả, một phần do quá trình chuyển đổi số, người dân cần cập nhật thông tin lên các nền tảng số, các đối tượng có thể lợi dụng điều này để xây dựng các kịch bản lừa đảo”, báo cáo của Viettel Threat Intelligence cho biết thêm.

,Mặt khác, các cơ quan thông tấn, báo chí đã tuyên truyền, tuy nhiên vẫn còn nhiều người chưa nâng cao nhận thức về an toàn thông tin và bảo vệ dữ liệu cá nhân trên không gian mạng, từ đó tạo điều kiện cho các nhóm lừa đảo thực hiện hành vi tội phạm.

Cũng theo Viettel Threat Intelligence, chiến dịch lừa đảo này được thực hiện theo các bước bao gồm: Mạo danh cán bộ, viên chức cơ quan nhà nước; Tải và cài đặt ứng dụng giả mạo; Kết nối tới máy chủ của nhóm tấn công; Chiếm đoạt tài sản.

Từ đó, để tránh trở thành nạn nhân của chiến dịch lừa đảo, Viettel Threat Intelligence đã đưa ra khuyến cáo người dùng. Đầu tiên, người sử dụng (NSD) cần nâng cao cảnh giác trước các cuộc gọi lạ, tin nhắn có liên quan tới cán bộ, cơ quan chức năng. Đồng thời không làm việc không cung cấp thông tin cá nhân, không làm theo các yêu cầu thông qua điện thoại và liên hệ với các cơ quan chức năng, có thẩm quyền để xác minh về người gọi điện.

Tiếp theo, người dùng cần chú ý không truy cập, tải và cài đặt các ứng dụng trên điện thoại thông qua các đường dẫn hoặc các kênh không chính thống, cũng như chỉ truy cập, tải và cài đặt ứng dụng chính thức thông qua Google Play (hệ điều hành Android) và Apple Store (hệ điều hành IOS), kiểm tra thông tin tác giả (nhà phát triển).

Cuối cùng, khi phát hiện các trang web lừa đảo, ứng dụng giả mạo, NSD cần thông báo ngay với các cơ quan chức năng và cảnh báo mọi người xung quanh.

Trước đó, tại cuộc họp báo thường kỳ tháng 7 của Bộ TT&TT chiều ngày 5/7, ông Trần Quang Hưng, Phó Cục trưởng Cục An toàn thông tin (ATTT) - Bộ TT&TT cho biết, đang có những vụ việc về lừa đảo người dân cài đặt "app" mạo danh cơ quan thuế để nộp thuế trực tuyến. Có người dân đã nhận diện được hình thức lừa đảo và này gửi đến cổng khonggianmang.vn.

Cục ATTT đã phân tích ra là có đến 195 hệ thống, tập trung thu hút người dân cài đặt app giả mạo nộp thuế, làm dịch vụ công dễ dàng rồi đăng ký tài khoản dẫn đến bị lừa tiền.

Phó Cục trưởng Cục ATTT nhận định, các hình thức lừa đảo trực tuyến cần được tuyên truyền để lan toả nhanh nhất, sớm nhất và những người tham gia mạng biết được các lừa đảo thì báo cáo với các cơ quan chức năng và gửi đến các hệ thống trực tuyến, đầu số 156 để phản ánh về cuộc gọi có dấu hiệu lừa đảo đến cơ quan chức năng nắm bắt được thông tin nhanh nhất để có biện pháp kịp thời.

Yêu cầu những quyền nhạy cảm trên smartphone để đánh cắp dữ liệu

Sau khi nhận định đây là chiến dịch tấn công lừa đảo có chủ đích nằm vào người dùng Việt Nam và cách thức các đối tượng thực hiện hành vi lừa đảo, Viettel Threat Intelligence tiến hành thực hiện phân tích điều tra ứng dụng giả mạo “signed10336c.apk”. Để rồi, khi kiểm tra trên trang web Virustotal, đơn vị này thấy rằng, ứng dụng giả mạo này đã được nhiều AV đánh giá độc hại.

Chưa kể đến, khi khởi chạy, ứng dụng giả mạo còn yêu cầu người dùng cấp quyền Accessibility cho ứng dụng. Để từ đó mã độc có thể hoàn toàn đánh cắp các thông tin nhạy cảm trên thiết bị của người dùng, đồng thời cho phép mã độc có thể thực hiện các hành vi tương tác trên màn hình mà không cần hành động từ người dùng. Chưa kể, sau đó, ứng dụng lừa đảo sẽ tiến hành yêu cầu cấp thêm các quyền khác bao gồm quyền truy cập vào danh bạ, hình ảnh, tin nhắn, microphone, camera…

Tiếp tục phân tích thêm, Viettel Threat Intelligence phát hiện danh sách tên các ứng dụng mà ứng dụng giả mạo tập trung đánh cắp thông tin. Đặc biệt, danh sách này có liên quan đến tên của một số ứng dụng ngân hàng và ví tiền điện tử. Qua kiểm tra, đây là các ứng dụng của các ngân hàng ở một số nước khu vực Đông Nam Á, trong đó có Việt Nam.

Khi cài đặt ứng dụng giả mạo, ứng dụng gây hiện tượng đơ máy và người dùng không thể gỡ bỏ bằng giao diện gốc trên điện thoại.

Viettel Threat Intelligence khuyến cáo người dùng thực hiện các biện pháp sau để đảm bảo an toàn và gỡ ứng dụng giả mạo trên thiết bị: Ngắt toàn bộ kết nối Internet cho điện thoại (bao gồm Wifi, sóng 3G, 4G của nhà mạng); Mang thiết bị di động đến các trung tâm bảo hành, các cửa hàng có uy tín để đặt lại (reset) thiết bị; Người dùng có thể sử dụng công cụ ADB (Android Debug Bridge) để gỡ gói cài đặt trong điện thoại.

Chiến dịch tấn công lừa đảo có chủ đích được nhắm đến nhiều quốc gia

Cũng theo Báo cáo Chiến dịch tấn công lừa đảo có chủ đích sử dụng ứng dụng giả mạo tại Việt Nam, sau khi biết được hình thức tấn công của chiến dịch, phân tích ứng dụng giả mạo để nắm được cách thức hoạt động khi cài đặt vào máy nạn nhân. Viettel Threat Intelligence tiếp tục mở rộng điều tra để có cái nhìn toàn cảnh hơn về nhóm tấn công và chiến dịch tấn công lừa đảo có chủ đích này.

Kết quả cho thấy, đây là một chiến dịch nhắm đến nhiều quốc gia. Cụ thể, ứng dụng giả mạo được thiết kế tinh vi, sử dụng nhiều kỹ thuật che dấu, mã hoá, sử dụng các phần mềm bên thứ 3 để xây dựng kết nối an toàn.

Quá trình phân tích cho thấy ứng dụng được phát triển qua nhiều phiên bản, chứng tỏ nhóm tấn công là những người có trình độ, am hiểu cả về quá trình xây dựng ứng dụng, lẫn việc tập trung thu thập thông tin, phân tích các ứng dụng ngân hàng, ví tiền điện tử trong máy người dùng để thực hiện hành vi tội phạm.

Chưa kể, trong mã nguồn của ứng dụng giả mạo có tên các ứng dụng ngân hàng, ví điện tử của nhiều nước, có khả năng đây là chiến dịch nhắm tới nhiều quốc gia. Ngoài ra, Viettel Threat Intelligence cũng thu thập được các bằng chứng cho thấy ghi nhận chiến dịch hoạt động tại các nước khác trong khu vực.

Về hạ tầng phát tán ứng dụng giả mạo, dựa vào các dấu hiệu nhận biết, Viettel Threat Intelligence mở rộng điều tra và thu thập được khoảng gần hơn 400 tên miền và 10 địa chỉ IP liên quan đến chiến dịch. Các tên miền này được đăng ký bắt đầu từ tháng 10/2022, các tên miền trong chiến dịch tấn công vào người dùng Việt Nam được đăng ký từ tháng 4/2023, chứng tỏ đây là một chiến dịch dài và bền bỉ.

“Với mỗi giai đoạn của chiến dịch, nhóm tấn công tập trung vào một quốc gia nhất định, lên kịch bản lừa đảo, tìm hiểu ứng dụng ngân hàng của các quốc gia đó”, thông tin từ Viettel Threat Intelligence nhấn mạnh.

Bên cạnh chiến dịch được phân tích trong báo cáo, Viettel Threat Intelligence phát hiện thêm một số ứng dụng giả mạo khác, tuy nhiên, các ứng dụng này chưa được hoàn thiện, mã nguồn chưa được làm rối và bảo vệ, cho thấy các nhóm đối tượng khác cũng bắt đầu để ý tới hình thức lừa đảo này.

“Với việc lạm dụng quyền Accessibility trên các thiết bị Android, dự báo hình thức lừa đảo sử dụng ứng dụng giả mạo sẽ tiếp tục gia tăng trong thời gian tới. Các tổ chức và người dùng cần hết sức cảnh giác để tránh trở thành nạn nhân của hình thức lừa đảo này”, báo cáo của Viettel Threat Intelligence kết luận./.