Một cuộc gọi báo tin nhắn nháy trên điện thoại của người bị hại đã mở cánh cửa cho nhóm tội phạm chiếm đoạt toàn bộ số tiền trong ví điện tử, trong khoảng vài giây.
"Đây là nhóm an ninh của PayPal. Chúng tôi phát hiện một số hoạt động không bình thường trên tài khoản của bạn và đang liên lạc với bạn như một biện pháp phòng ngừa", tiếng nói từ đầu dây bên kia vang lên. "Xin vui lòng nhập mã bảo mật gồm sáu chữ số mà chúng tôi vừa gửi tới thiết bị di động của bạn".
Người bị hại, không hiểu ý đồ xấu của người gọi, nhập vào bàn phím điện thoại mã số sáu chữ số vừa nhận được và ngay lập tức rơi vào cạm bẫy.
Theo TechCrunch, đôi khi nhóm tội phạm có thể sử dụng chiêu thức gửi email lừa đảo để đánh cắp mật khẩu của nạn nhân. Sau khi nạn nhân kết thúc cuộc gọi, kẻ tấn công sẽ sử dụng mã sáu số để đăng nhập vào loạt tài khoản như thể họ là chủ nhân hợp pháp.
Theo thông tin từ TechCrunch, từ giữa năm 2023, một dịch vụ mang tên Estate đã cho phép hàng trăm thành viên thực hiện hàng nghìn cuộc gọi điện thoại tự động để lừa đảo nạn nhân. Các tính năng bảo mật như xác thực đa yếu tố, mã OTP.. đã bị xâm phạm. Phần lớn nạn nhân sống tại Mỹ.
Tuy nhiên, vì một lỗi bảo mật, Estate đã vô tình tiết lộ cơ sở dữ liệu của trang web chứa thông tin chi tiết về người sáng lập và các thành viên. Nhật ký các cuộc tấn công cũng đã bị phanh phui, bao gồm số điện thoại của nạn nhân bị nhắm mục tiêu, thời điểm bị chiếm đoạt tài sản...
Vangelis Stykas, một chuyên gia bảo mật và giám đốc công nghệ tại công ty Atropos.ai, đã cung cấp cơ sở dữ liệu Estate cho TechCrunch để phân tích, giúp lộ rõ hơn về cách thức hoạt động của nhóm tội phạm. Trước đây, chính phủ đã khởi tố những người điều hành các trang web tương tự chuyên tự động hóa các cuộc tấn công mạng.
Cơ sở dữ liệu lưu trữ nhật ký của hơn 93.000 vụ tấn công từ khi Estate ra mắt vào năm trước, nhằm vào những đối tượng sở hữu tài khoản Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (đang sở hữu TechCrunch). Một số vụ tấn công cũng đã cho thấy việc cố gắng chiếm đoạt thông tin bằng cách thực hiện các cuộc tấn công hoán đổi SIM.
Người sáng lập Estate, một nhà phát triển phần mềm người Đan Mạch 20 tuổi, đã chia sẻ với TechCrunch: "Tôi không còn quản lý trang web này nữa".
Theo TechCrunch, Estate tự quảng cáo rằng họ có khả năng "tạo các giải pháp OTP phù hợp với nhu cầu" và giải thích rằng "tùy chọn tập lệnh tùy chỉnh sẽ giúp bạn nắm quyền kiểm soát". Các thành viên của Estate thực hiện việc khai thác mạng điện thoại toàn cầu bằng cách giả mạo là người dùng hợp pháp để truy cập vào các nhà cung cấp dịch vụ truyền thông.
Allison Nixon, một chuyên viên nghiên cứu từ Unit 221B, một công ty an ninh mạng phát triển, đã phân tích rằng: "Những dịch vụ như vậy tạo ra nền kinh tế chủ yếu cho các loại tội phạm mạng. Ngày càng có nhiều người trở thành nạn nhân của lừa đảo và đe dọa hơn".
Estate muốn bảo vệ danh tiếng của mình bằng cách không công khai trang web trên công cụ tìm kiếm, họ thúc đẩy sự phát triển bằng cách lan truyền thông tin qua lời đồn. Các thành viên mới chỉ có thể tham gia Estate khi có mã giới thiệu từ thành viên hiện tại, điều này giúp duy trì một lượng người dùng ít đến để tránh bị nghi ngờ.
Sau đó, Estate cung cấp cho các thành viên công cụ để tìm kiếm mật khẩu tài khoản của nạn nhân. Các công cụ cũng cho phép thành viên sử dụng các tập lệnh chứa các hướng dẫn để lừa mục tiêu chuyển mã 6 số. Được biết, các nạn nhân bị nhắm mục tiêu đa phần là người lớn tuổi bởi họ có xu hướng nhận các cuộc gọi từ người lạ.
Estate đã cam kết lâu nay về quyền riêng tư cho các thành viên của mình. Trang web của Estate viết: "Chúng tôi không thu thập bất kỳ dữ liệu nào và cũng không yêu cầu bất kỳ thông tin cá nhân nào để bạn có thể sử dụng dịch vụ của chúng tôi".
Tuy nhiên, điều này không hoàn toàn chính xác. Thực tế, Estate lưu lại mọi cuộc tấn công mà các thành viên thực hiện từ năm 2023. Người sáng lập trang web vẫn giữ quyền truy cập vào nhật ký máy chủ bất cứ lúc nào. Cơ sở dữ liệu cũng cho thấy rằng Estate theo dõi địa chỉ email của các thành viên tiềm năng.
Theo tin tức mới đây, Estate đã phát hiện nhiều thành viên đã để lại thông tin nhận dạng, bao gồm địa chỉ email và địa chỉ trực tuyến, tin rằng vào lời hứa ẩn danh của họ. Đồng thời, cơ sở dữ liệu của họ cũng lộ ra các tập lệnh tấn công, tiết lộ cách chúng khai thác điểm yếu của tính năng bảo mật.
Theo phóng viên chuyên về an ninh Brian Krebs, sự việc này làm rõ lý do tại sao bạn không nên tiết lộ thông tin cá nhân trong các cuộc gọi không rõ nguồn gốc.
Các doanh nghiệp công nghệ, ngân hàng, ví điện tử và sàn giao dịch tiền điện tử cần phải thực hiện nhiều biện pháp để ngăn chặn tình trạng trên. Nixon của Đơn vị 221B cho biết các công ty đang đối mặt với một "cuộc chiến không hồi kết" với các tội phạm mạng luôn tìm cách lợi dụng các dịch vụ để tiến hành lừa đảo.
Nixon nói rằng có những người khuyến khích việc kiếm tiền trực tuyến mà không tuân theo đạo đức. Ông cho rằng cơ quan thực thi pháp luật cần phải ngăn chặn hành vi này.
Theo: TechCrunch