Tội phạm mạng nhắm mục tiêu tới ví mật khẩu của người dùng
Theo thống kê gần đây của các cuộc tấn công trên không gian mạng, ví mật khẩu của người dùng đang trở thành một mục tiêu giá trị mà rất nhiều kẻ tấn công có xu hướng nhắm tới. Mới đây nhất, trong một báo cáo trên diễn đàn của mình, các nhà nghiên cứu bảo mật thuộc Malwarebytes Labs cho biết họ đã phát hiện một chiến dịch nhắm tới việc đánh cắp thông tin ví mật khẩu 1Password của người dùng.
Thông tin chi tiết
Trong một báo cáo vừa được đăng trên diễn đàn của Malwarebytes Labs, các chuyên gia nghiên cứu an ninh mạng cho biết đã xuất hiện một chiến dịch tấn công mới nhắm tới ví mật khẩu của người dùng với quy mô chưa ước tính. Kẻ tấn công đã cố gắng sử dụng các hình thức lừa đảo, phishing người dùng tinh vi cùng sự rạch ròi trong việc lựa chọn mục tiêu người dùng để thực hiện mục đích đánh cắp của chúng.
Việc kẻ tấn công nhắm mục tiêu tới các ví mật khẩu của người dùng vốn đã xuất hiện trong thời gian vài năm gần đây và đang ngày trở nên phổ biến hơn với tần xuất gia tăng từng năm bởi đây là mục tiêu giá trị cao nếu người dùng sở hữu nhiều thông tin đăng nhập vào các hệ thống quan trọng như máy chủ lưu trữ,… Trong bài viết được đề cập ở trên, một nhân viên của Malwarebytes Labs đã trở thành mục tiêu cho cuộc tấn công này.
Chiến dịch bắt đầu bằng một email cảnh báo giả mạo gửi tới người dùng từ 1Password:
Nội dung trong email thoạt nhìn có vẻ rất thuyết phục. Tuy nhiên nếu tinh ý, một vài điểm bất thường trong email giả mạo trên có thể dễ dàng nhận thấy:
- Địa chỉ người gửi watchtower@eightninety[.]com không thuộc về 1Password. Công ty này thường sử dụng tên miền với đuôi @1password.com
- Nếu người dùng di chuyển con trỏ chuột tới nút “Secure my account now” trong email này, người dùng có thể thấy nút này dẫn đến trang web:
https://mandrillapp[.]com/track/click/30140187/onepass-word[.]com?p={long-identifier}
Kẻ tấn công đã lợi dụng tính năng Watchtower của 1Password, vốn là một tính năng dùng để gửi cảnh báo về các mật khẩu người dùng bị xâm phạm để triển khai chiến dịch tấn công này. Tuy nhiên, Watchtower hoạt động bằng cách so sánh dữ liệu có trong cơ sở dữ liệu bị xâm phạm đã biết trên không gian mạng với mật khẩu băm của người dùng được lưu trữ trong ví, sau đó tính năng gửi trực tiếp thông báo tới người dùng trong ứng dụng 1Password hoặc qua những email rất cụ thể về sự cố, không phải bằng một email với thông điệp rất chung chung và không có nhiều thông tin chi tiết như email giả mạo trên.
Kẻ tấn công cũng đã cố gắng gia tăng sự thuyết phục và tính hợp lệ cho email giả mạo của mình thông qua việc sử dụng tên miền onepass-word[.]com cho website giả mạo của chúng. Ngoài ra chúng cũng đặt liên kết trong phần “Contact us” của email dẫn trực tiếp tới trang web hỗ trợ người dùng của 1Password.
Đối với những người dùng đã click vào nút “Secure my account now” được đính kèm trong email giả mạo trên, ngay lập tức họ được chuyển hướng tới trang web chứa biểu mẫu yêu cầu nhập thông tin đăng nhập ví mật khẩu 1Password:
Một khi người dùng đã điền đủ thông tin ví 1Password, trang web trên sẽ gửi toàn bộ thông tin tới kẻ tấn công, đồng thời người dùng cũng mất hoàn toàn quyền kiểm soát ví mật khẩu cùng danh tính bản thân. Tin vui đối với công đồng mạng đó là trang web giả mạo trên đã bị đánh sập và được gắn cảnh báo giả mạo, do đó hiện nay nếu truy cập tới trang web này, người dùng sẽ nhận được cảnh báo có dạng như sau:
Khắc phục & Khuyến nghị
Chiến dịch trên theo các nhà nghiên cứu bảo mật thuộc Malwarebytes Labs đánh giá chỉ là bước thử nghiệm ban đầu, là bước đệm cho những chiến dịch tinh vi hơn sau này. Người dùng nên đặc biệt cẩn trọng để không trở thành nạn nhân của bất kỳ chiến dịch tấn công lừa đảo nào:
- Không nhấp vào các liên kết lạ: Không truy cập tới bất kỳ các liên kết được đính kèm trong những email lạ, những email bất thường hoặc những trang web có tên miền lạ.
- Không cung cấp thông tin đăng nhập ví: Không cung cấp thông tin đăng nhập của các ví mật khẩu như 1Password, Bitwarden,… hoặc thông tin đăng nhập cá nhân trên bất kỳ website nào. Nếu có vấn đề liên quan tới ví mật khẩu, hãy truy cập tới trang chủ hợp lệ và liên hệ hỗ trợ trên website chính chủ.
- Sử dụng các dịch vụ bảo mật: Cài đặt, sử dụng các giải pháp bảo mật để loại bỏ các email phishing, chặn truy cập tới các liên kết độc hại,… hoặc sử dụng dịch vụ giám sát bảo mật để phát hiện và ngăn chặn sớm các nguy cơ gây mất an toàn thông tin.
Tham khảo
| Bài viết độc quyền của chuyên gia FPT IS
Nam Anh Mai D. – Trung tâm An toàn, bảo mật thông tin FPT |
