CÁC CUỘC TẤN CÔNG LỪA ĐẢO SỬ DỤNG NHIỀU KỸ THUẬT TINH VI ĐỂ ĐÁNH CẮP DỮ LIỆU

Netskope đã công bố nghiên cứu mới cho thấy mức độ phổ biến của các ứng dụng cloud đã và đang thay đổi cách các tác nhân đe dọa sử dụng kỹ thuật tinh vi để tấn công lừa đảo đánh cắp dữ liệu.

Báo cáo về mối đe dọa và cloud của Netskope cho biết: xu hướng tấn công lừa đảo chính là giả mạo các ứng dụng hợp pháp, chẳng hạn như các trang đăng nhập giả mạo, giả mạo các ứng dụng cloud được thiết kế tinh vi bắt chước các ứng dụng hợp pháp, …

Thông tin được trình bày trong báo cáo này dựa trên dữ liệu sử dụng ẩn danh được thu thập bởi nền tảng Netskope Security Cloud liên quan đến một nhóm nhỏ người dùng Netskope với sự cho phép trước. Số liệu thống kê trong báo cáo này dựa trên ba tháng từ ngày 1 tháng 7 năm 2022 đến ngày 30 tháng 9 năm 2022.

Mặc dù email vẫn là cơ chế chính để cung cấp các liên kết lừa đảo đến các trang đăng nhập giả mạo để lấy tên người dùng, mật khẩu, mã xác thực đa nhân tố (MFA) và hơn thế nữa, báo cáo cho thấy rằng người dùng thường xuyên click vào các liên kết lừa đảo đến từ các kênh đáng ngờ khác, bao gồm các trang web và blog, phương tiện truyền thông xã hội và kết quả của công cụ tìm kiếm. Báo cáo cũng nêu chi tiết về sự gia tăng các ứng dụng đám mây giả mạo của bên thứ ba, lừa người dùng cấp quyền truy cập vào dữ liệu và tài nguyên cloud của họ.

Lừa đảo đến từ nhiều hướng

Các kênh liên lạc truyền thống được coi là mối đe dọa lừa đảo hàng đầu, 11% cảnh báo lừa đảo được gửi đến từ các dịch vụ email trực tuyến, chẳng hạn như Gmail, Microsoft Live và Yahoo. Các trang web và blog cá nhân, đặc biệt là những trang web được lưu trữ trên các dịch vụ lưu trữ miễn phí, là những nguồn phổ biến nhất chứa nội dung lừa đảo, chiếm vị trí hàng đầu với 26%.

Báo cáo đã xác định hai nguồn lừa đảo chính: sử dụng các liên kết độc hại thông qua thư rác trên các trang web và blog hợp pháp và sử dụng các trang web và blog được tạo riêng để quảng bá nội dung lừa đảo.

Việc công cụ tìm kiếm chuyển hưởng đến các trang lừa đảo cũng trở nên phổ biến, vì những kẻ tấn công đang vũ khí hóa các khoảng trống dữ liệu bằng cách tạo các trang tập trung xung quanh các cụm từ tìm kiếm không phổ biến nơi chúng có thể dễ dàng tự thiết lập là một trong những kết quả hàng đầu cho các cụm từ đó. Các ví dụ được Netskope Threat Labs xác định bao gồm cách sử dụng các tính năng cụ thể trong phần mềm phổ biến, câu trả lời câu hỏi cho các khóa học trực tuyến, hướng dẫn sử dụng cho nhiều sản phẩm cá nhân và doanh nghiệp, v.v.

Sự trỗi dậy của các ứng dụng cloud giả mạo

Báo cáo của Netskope tiết lộ một phương thức lừa đảo chính khác: lừa người dùng cấp quyền truy cập vào dữ liệu đám mây và tài nguyên của họ thông qua các ứng dụng đám mây giả mạo của bên thứ ba. Xu hướng này đặc biệt đáng quan tâm vì quyền truy cập vào các ứng dụng của bên thứ ba là phổ biến và đặt ra một bề mặt tấn công lớn. Trung bình, người dùng trong các tổ chức đã cấp cho hơn 440 ứng dụng của bên thứ ba quyền truy cập vào dữ liệu và ứng dụng Google của họ, với một tổ chức có tới 12.300 plugin khác nhau truy cập dữ liệu – trung bình 16 plugin cho mỗi người dùng.

Hơn 44% tất cả các ứng dụng của bên thứ ba truy cập vào Google Drive có quyền truy cập vào dữ liệu nhạy cảm hoặc tất cả dữ liệu trên Google Drive của người dùng – càng khuyến khích bọn tội phạm tạo các ứng dụng đám mây của bên thứ ba giả mạo.

Các phát hiện chính bổ sung từ báo cáo bao gồm:

• Nhân viên vẫn click chuột và trở thành nạn nhân của các liên kết độc hại.  Mọi người đều hiểu rằng chỉ cần một cú nhấp chuột là có thể làm tổn hại nghiêm trọng đến một tổ chức. Trong khi đào tạo và nâng cao nhận thức về lừa đảo doanh nghiệp vẫn đang được triển khai, tuy nhiên báo cáo cho thấy trung bình cứ 1.000 người dùng cuối trong doanh nghiệp thì có 8 người nhấp vào liên kết lừa đảo hoặc cố truy cập vào nội dung lừa đảo.
• Người dùng đang bị thu hút bởi các trang web giả mạo được thiết kế để bắt chước các trang đăng nhập hợp pháp. Những kẻ tấn công chủ yếu lưu trữ các trang web này trên các máy chủ nội dung (22%), tiếp theo là các tên miền mới được đăng ký (17%). Khi người dùng đưa thông tin cá nhân vào một trang web giả mạo hoặc cấp quyền truy cập vào dữ liệu của họ, những kẻ tấn công có thể lấy tên người dùng, mật khẩu và mã MFA.
• Vị trí địa lý đóng một vai trò trong tỷ lệ truy cập của lừa đảo. Châu Phi và Trung Đông là những khu vực có tỷ lệ người dùng truy cập nội dung lừa đảo cao nhất. Ở Châu Phi, tỷ lệ người dùng truy cập nội dung lừa đảo cao hơn mức trung bình hơn 33%; ở Trung Đông, con số này cao hơn gấp đôi mức trung bình. Những kẻ tấn công thường sử dụng nỗi sợ hãi, không chắc chắn và nghi ngờ (FUD) để thiết kế các chiêu dụ lừa đảo và cũng cố gắng tận dụng các mục tin tức chính. Đặc biệt là ở Trung Đông, những kẻ tấn công dường như đã thành công trong việc thiết kế các chiêu dụ lợi dụng các vấn đề chính trị, xã hội và kinh tế ảnh hưởng đến khu vực.

Trong báo cáo, Netskope Threat Labs bao gồm các bước có thể hành động mà tổ chức có thể thực hiện để xác định và kiểm soát quyền truy cập vào các trang web hoặc ứng dụng lừa đảo, chẳng hạn như triển khai nền tảng đám mây cạnh dịch vụ bảo mật (SSE) với cổng web an toàn (SWG), cho phép các nguyên tắc không tin cậy cho quyền truy cập ít đặc quyền nhất vào dữ liệu và giám sát liên tục, đồng thời sử dụng Cách ly trình duyệt từ xa (RBI) để giảm rủi ro duyệt web cho các miền mới đăng ký.  

Nguồn: https://www.securitymagazine.com/