Các chiêu thức lừa đảo tinh vi lợi dụng sự cố CrowdStrike
An toàn thông tin - Ngày đăng : 11:00, 23/07/2024
Các chiêu thức lừa đảo tinh vi lợi dụng sự cố CrowdStrike
Theo cảnh báo từ chính phủ Mỹ và nhiều chuyên gia an ninh mạng, tội phạm mạng đã lợi dụng sự hỗn loạn từ sự cố ngừng hoạt động CNTT toàn cầu trên diện rộng ngày 19/7 bằng cách quảng bá các trang web giả mạo chứa đầy phần mềm độc hại được thiết kế để tấn công những nạn nhân không mảy may nghi ngờ.
Các chiêu thức lừa đảo
Các chuyên gia bảo mật cho biết, tin tặc đã thiết lập các trang web giả mạo nhằm thu hút những người đang tìm kiếm thông tin hoặc giải pháp cho cuộc khủng hoảng CNTT trên toàn thế giới nhưng trên thực tế, chúng được thiết kế để thu thập thông tin của người dùng truy cập hoặc xâm phạm thiết bị của họ.
Các trang web lừa đảo sử dụng tên miền bao gồm các từ khóa như CrowdStrike - công ty an ninh mạng đứng đằng sau bản cập nhật phần mềm bị lỗi dẫn đến khủng hoảng - hoặc “màn hình xanh” (blue screen) - các máy tính bị ảnh hưởng bởi trục trặc CrowdStrike hiển thị khi được khởi động. Chúng cố gắng thu hút nạn nhân bằng cách hứa hẹn khắc phục nhanh sự cố CrowdStrike hoặc lừa đảo họ bằng các đề nghị cung cấp tiền điện tử giả.
Trong một bản tin về sự cố ngừng hoạt động, Bộ An ninh Nội địa cho biết đã chứng kiến “những kẻ đe dọa lợi dụng sự cố này để lừa đảo và các hoạt động độc hại khác”.
Bản tin do Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) thông tin: “Hãy luôn cảnh giác và chỉ làm theo hướng dẫn từ các nguồn hợp pháp”. CrowdStrike đã ban hành hướng dẫn riêng về những gì các tổ chức bị ảnh hưởng có thể làm để ứng phó với vấn đề này.
Tình huống này cho thấy một sự kiện tin tức có sức ảnh hưởng lớn, đầy biến động đã tạo ra rủi ro thứ cấp cho hàng triệu người khi những kẻ xấu cố gắng trục lợi từ thảm họa CrowdStrike và khi hàng nghìn tổ chức tranh nhau khôi phục sau bản cập nhật phần mềm bị lỗi của CrowdStrike.
Kenn White, một nhà nghiên cứu bảo mật độc lập chuyên về an ninh mạng, cho biết trong một cuộc phỏng vấn với CNN: “Đó là một mô hình khá chuẩn mà chúng tôi thấy sau các sự cố ở quy mô này. Tội phạm không ngừng sáng tạo để khai thác những người dễ bị tổn thương nhất”.
Trong sự cố diễn ra ngày 19/7, chính CrowdStrike đã cảnh báo về việc tin tặc đang cố gắng khai thác tình hình bằng cách “lợi dụng sự kiện này như một mồi nhử”. Trong một bài đăng trên blog, CrowdStrike cho biết những kẻ độc hại không chỉ tạo ra các trang web giả mạo mà còn mạo danh nhân viên CrowdStrike bằng các email và cuộc gọi điện thoại lừa đảo, thậm chí bán phần mềm không có thật với mục đích khắc phục trục trặc.
Một ví dụ về điều đó là nhắm mục tiêu đến khách hàng CrowdStrike nói tiếng Tây Ban Nha, công ty cho biết trong một bài đăng blog riêng. Cuộc tấn công xảy ra dưới dạng một tệp được đặt tên sai có tên là Crowstrike-hotfix.zip. Khi được mở, tệp sẽ cài đặt phần mềm độc hại gọi về máy chủ mà tin tặc kiểm soát và có thể sử dụng để đưa ra hướng dẫn bổ sung cho phần mềm độc hại.
Quá trình phục hồi mất nhiều thời gian, tốn kém
Hiện tại, chưa có cách khắc phục tự động nào để khôi phục sau trục trặc phần mềm CrowdStrike. Các chuyên gia bảo mật cho biết điều này có nghĩa là quá trình phục hồi sẽ mất nhiều thời gian và tốn kém có thể hàng triệu, thậm chí hàng tỷ USD.
Công ty cho biết: “CrowdStrike Intelligence khuyến nghị các tổ chức đảm bảo họ đang liên lạc với đại diện của CrowdStrike thông qua các kênh chính thức và tuân thủ hướng dẫn kỹ thuật mà nhóm hỗ trợ CrowdStrike đã cung cấp”.
Ở một khía cạnh nào đó, những gì hiện đang diễn ra trên không gian mạng giống với cách thông tin sai lệch có thể lấn át sự hiểu biết của công chúng về các sự kiện diễn ra trong thế giới thực.
Tin tặc thường cố gắng sử dụng các câu chuyện tin tức nổi bật để thu hút lưu lượng truy cập theo cách của chúng. Ví dụ, sau vụ vi phạm dữ liệu Equifax lớn được công bố năm 2017, các công ty bảo mật cho biết đã quan sát thấy tội phạm mạng gửi hàng trăm nghìn email lừa đảo mạo danh ngân hàng. Các chuyên gia cho biết vào thời điểm đó, các email nhằm mục đích nhắm vào những nạn nhân đang lo lắng, những người theo tin tức của Equachus, có nhiều khả năng mở email từ tổ chức tài chính của họ hơn.
Những kiểu lừa đảo theo hướng sự kiện này đang diễn ra trong bối cảnh các trò lừa đảo mạo danh ngày càng gia tăng.
Trong những năm gần đây, Ủy ban Thương mại Liên bang Mỹ (FTC) đã chỉ ra sự gia tăng các vụ lừa đảo trong đó tội phạm mạng giả danh các quan chức hoặc cơ quan chính phủ, chẳng hạn như Sở Thuế vụ hoặc Cơ quan An sinh Xã hội. Trong trường hợp khẩn cấp của COVID-19, các hacker sáng tạo thậm chí còn đóng giả Chủ tịch FTC Lina Khan và gửi các email giả mạo tuyên bố sai rằng cơ quan này đang phân phối quỹ cứu trợ đại dịch - khiến FTC phải cầu đề nghị người tiêu dùng không phản hồi những tin nhắn đó.
FTC cho biết người Mỹ đã mất tổng cộng hàng trăm triệu USD vì những trò lừa đảo mạo danh này.
Trong tình huống như sự cố ngừng hoạt động của CrowdStrike, khi mọi người đang tìm kiếm thông tin và giải pháp, hành vi lừa đảo có thể khiến những người và tổ chức có thể thực hiện các bước sai lầm, khiến tình hình thậm chí còn tồi tệ hơn.
Các mối nguy hiểm lừa đảo cũng đi kèm với các rủi ro khác. Một số tổ chức có thể tự quyết định làm suy yếu hoặc thậm chí vô hiệu hóa các biện pháp bảo vệ an ninh mạng trong khi cố gắng đưa hoạt động trở lại bình thường.
Azim Khodjibaev, nhà nghiên cứu an ninh mạng tại Cisco Talos, bộ phận an ninh mạng của công ty mạng Cisco, cho biết trong một bài đăng trên X: “Khi khách hàng bắt đầu phục hồi, rất có thể họ sẽ vô hiệu hóa hoặc sửa đổi các biện pháp bảo vệ CrowdStrike của mình. Điều này cho thấy có nhiều người bị lộ lọt”!
Brett Callow, Giám đốc điều hành an ninh mạng tại FTI Consulting, cảnh báo nếu các doanh nghiệp bắt đầu trở thành nạn nhân của các cuộc tấn công lừa đảo làm xâm phạm dữ liệu quan trọng hoặc hệ thống quan trọng, điều đó có thể gây ra tác động lan tỏa cho khách hàng doanh nghiệp và người tiêu dùng của họ.
Callow nói: “Những kẻ xấu thường cố gắng lợi dụng các sự kiện hiện tại, vì vậy không có gì đáng ngạc nhiên khi thấy chúng cố gắng lợi dụng sự kiện này. Và tất nhiên, đây là điều mà khách hàng của các công ty từng gặp phải sự cố nghiêm trọng cần phải sẵn sàng”.
Theo đánh giá của Reuters, các dịch vụ trong các ngành dần dần được khôi phục trở lại nhưng các công ty dịch vụ đang phải giải quyết tình trạng tồn đọng, chậm trễ và thậm chí bị hủy chuyến như hàng không, đặt ra câu hỏi về cách tránh tình huống như vậy trong tương lai và liệu phần mềm quan trọng như vậy có nên nằm trong tay một số công ty CNTT hay không./.