Báo cáo điều tra xâm phạm dữ liệu (Data Breach Investigations Report) năm 2024 của nhà mạng Verizon (Mỹ) cho thấy, lừa đảo vẫn nằm trong số các hành động đe dọa hàng đầu liên quan đến an toàn thông tin. Các doanh nghiệp (DN) thường xuyên nhắc nhở người dùng cảnh giác với các cuộc tấn công lừa đảo, nhưng nhiều người dùng không thực sự biết cách nhận ra chúng. Và con người cũng thường không giỏi nhận ra các vụ lừa đảo.

Trong khi đó, theo báo cáo tình hình tấn công giả mạo (State of the Phish) năm 2024 của Proofpoint, hơn 70% nhân viên thừa nhận có hành vi nguy hiểm khiến họ dễ bị thiệt hại. Điều này cho thấy cả sự tinh vi của những kẻ tấn công và nhu cầu đào tạo nhận thức bảo mật tinh vi tương đương, song nhiều công ty lại không cung cấp đầy đủ các khoá đào tạo.

Thêm vào đó, thực tế là không phải tất cả các vụ lừa đảo đều hoạt động theo cùng một cách - một số là các vụ gửi email chung chung trong khi những vụ khác được "thiết kế" cẩn thận để nhắm vào một số người cụ thể - và việc đào tạo để người dùng nhận biết khi nào một tin nhắn bị nghi ngờ đã trở nên khó khăn hơn.

Dưới đây là một số loại tấn công lừa đảo khác nhau và cách nhận biết chúng.

Tấn công giả mạo (phishing)

Hình thức lừa đảo phổ biến nhất là gửi email giả mạo người khác và cố lừa người nhận email làm điều gì đó, thường là đăng nhập trái phép vào trang web hoặc tải xuống phần mềm độc hại. Các cuộc tấn công thường dựa vào việc giả mạo email, trong đó tiêu đề email bị làm giả để làm cho tin nhắn xuất hiện như thể nó được gửi bởi một người gửi tin cậy.

Nhưng các cuộc tấn công lừa đảo không phải lúc nào cũng giống như email thông báo giao hàng của Bưu chính Mỹ (UPS), tin nhắn cảnh báo từ PayPal về việc mật khẩu hết hạn hoặc email Office 365 về dung lượng lưu trữ.

Một số cuộc tấn công được tạo ra để nhắm mục tiêu cụ thể vào các tổ chức và cá nhân, và một số khác dựa vào các phương pháp khác ngoài email. Và với AI tạo sinh đang gia tăng, các nỗ lực lừa đảo đang trở nên "có sức thuyết phục cao" hơn và có thể được tạo ra nhanh hơn, cho thấy các cách lừa đảo cũ đang có "sức sống" mới.

Lừa đảo bằng email (spear phishing) nhắm đến các mục tiêu cụ thể

Thay vì cố gắng lấy thông tin xác thực ngân hàng của 1.000 người, kẻ tấn công có thể thấy việc nhắm mục tiêu vào một số ít DN sẽ có lợi hơn. Những kẻ tấn công khác có thể nhắm mục tiêu vào một nhân viên làm việc cho một cơ quan chính phủ hoặc một quan chức chính phủ để đánh cắp bí mật nhà nước.

Ví dụ, nhóm gián điệp mạng APT42 được biết đến với việc sử dụng các kỹ thuật lừa đảo bằng email tinh vi liên quan đến việc mạo danh nhiều tổ chức và cá nhân mà nạn nhân của chúng biết đến hoặc quan tâm.

Các cuộc tấn công lừa đảo qua thư điện tử cực kỳ thành công vì kẻ tấn công dành nhiều thời gian để tạo thông tin cụ thể về người nhận, chẳng hạn như tham chiếu đến một hội nghị mà người nhận có thể vừa tham dự hoặc gửi tệp đính kèm độc hại có tên tệp tham chiếu đến một chủ đề mà người nhận quan tâm.

Trong một chiến dịch lừa đảo năm 2017, Nhóm 74 (hay còn gọi là Sofact, APT28, Fancy Bear) đã nhắm mục tiêu vào các chuyên gia an ninh mạng bằng một email giả vờ liên quan đến hội nghị Cyber ​​Conflict US, một sự kiện do Viện Không gian mạng của Học viện Quân sự Mỹ, Học viện Quân sự Không gian mạng Hợp tác NATO và Trung tâm Phòng thủ Không gian mạng Hợp tác NATO tổ chức.

Mặc dù Cyber ​​Conflict US là một hội nghị thực sự, nhưng tệp đính kèm thực chất là một tài liệu chứa macro Visual Basic for Applications (VBA) độc hại sẽ tải xuống và thực thi phần mềm độc hại do thám có tên là Seduploader.

Tấn công whaling

Một cuộc tấn công lừa đảo nhắm mục tiêu cụ thể vào các giám đốc điều hành cấp cao của một DN được gọi là whaling (săn cá voi), vì nạn nhân được coi là có giá trị cao và thông tin bị đánh cắp sẽ có giá trị hơn những gì có thể lấy từ một nhân viên bình thường. Ví dụ, thông tin tài khoản thuộc về một giám đốc điều hành sẽ mở ra nhiều cánh cửa hơn một nhân viên mới vào nghề. Mục tiêu là đánh cắp dữ liệu, thông tin cá nhân, và tiền mặt.

Whaling cũng đòi hỏi phải có nhiều nghiên cứu vì kẻ tấn công cần biết nạn nhân dự định giao tiếp với ai và nói chuyện gì như tìm hiểu khiếu nại của khách hàng, trát hầu tòa, hoặc thậm chí là vấn đề trong bộ phận điều hành. Kẻ tấn công thường bắt đầu bằng việc thu thập thông tin về nạn nhân và công ty trước khi tạo tin nhắn lừa đảo sẽ được sử dụng trong cuộc tấn công whaling.

Xâm phạm email doanh nghiệp (BEC): Giả mạo là CEO

Ngoài các chiến dịch lừa đảo chung được phân phối rộng rãi, tội phạm mạng nhắm vào các cá nhân chủ chốt trong các phòng tài chính và kế toán thông qua các vụ lừa đảo email DN (BEC) và gian lận email của giám đốc điều hành (CEO). Bằng cách mạo danh các giám đốc tài chính (CFO) và CEO, những tội phạm dạng này sẽ cố gắng lừa nạn nhân chuyển tiền vào các tài khoản trái phép.

Thông thường, kẻ tấn công xâm phạm tài khoản email của một CEO hoặc CFO bằng cách khai thác một ứng dụng đã bị lây nhiễm hoặc thông qua một cuộc tấn công lừa đảo qua email. Kẻ tấn công ẩn núp và theo dõi hoạt động email của CEO trong một khoảng thời gian để tìm hiểu về các quy trình và thủ tục trong công ty.

Cuộc tấn công thực sự sẽ diễn ra dưới dạng một email giả mạo trông giống như nó được gửi từ tài khoản của CEO bị xâm phạm đến một người nhận thường xuyên. Email có vẻ quan trọng và khẩn cấp, và nó yêu cầu người nhận chuyển tiền đến một tài khoản ngân hàng bên ngoài hoặc không quen thuộc. Cuối cùng, số tiền sẽ đến tài khoản của kẻ tấn công.

Dữ liệu của FBI từ năm 2022 cho biết, mặc dù ransomware có gia tăng, nhưng nhìn chung các DN vẫn mất nhiều tiền hơn 51 lần thông qua các cuộc tấn công BEC. Các vụ lừa đảo BEC gần đây cũng đã có những bước tiến mới với các cuộc tấn công nhiều giai đoạn. Do đó, các công ty phải đảm bảo có chính sách về BEC toàn diện để giúp hướng dẫn nhân viên và giúp họ cảm thấy an toàn hơn bằng cách tuân theo các quy tắc đã được xác định trước.

Mạo danh dựa trên AI

Tội phạm đã bắt đầu chuyển sang deepfake (phương tiện tổng hợp được điều khiển bằng kỹ thuật số để thay thế chân dung của người này bằng chân dung của người khác) để xây dựng các cuộc tấn công lừa đảo thuyết phục hơn. Để làm như vậy, những kẻ lừa đảo sử dụng AI để hoán đổi khuôn mặt trong video hoặc giả giọng nói để đánh lừa mục tiêu thực hiện việc chuyển tiền.

Một trong những cuộc tấn công deepfake gây chú ý nhất cho đến nay là một nhân viên tại công ty thiết kế và kỹ thuật Arup đã trở thành nạn nhân của một vụ lừa đảo tinh vi dựa trên deepfake dẫn đến việc bị mất đi 200 triệu đô la Hồng Kông (tương đương 25,6 triệu USD). Ban đầu, người này đã nghi ngờ khi nhận được yêu cầu thực hiện một giao dịch bí mật. Tuy nhiên, nhân viên này đã loại bỏ nghi ngờ của mình sau khi tham dự một cuộc gọi video có sự hiện diện của "CFO" và "các nhân viên khác" của công ty bị deepfake.

Theo nhà cung cấp bảo mật WithSecure, những kẻ xấu có thể sử dụng một loạt các công cụ AI hợp pháp để tạo deepfake từ các đoạn trích lời nói được ghi âm hoặc ảnh chụp của mục tiêu dự định. Ví dụ, FaceSwap có thể được sử dụng để chồng khuôn mặt của mục tiêu lên video do kẻ tấn công tạo ra.

Tương tự như vậy, khuôn khổ VASA-1 của Microsoft có thể bị lạm dụng để tạo video deepfake từ một ảnh chân dung và mẫu âm thanh giọng nói duy nhất, theo Tom Taylor-MacLean, một cố vấn bảo mật tại WithSecure./.

Gia Bách