Vạch trần thủ đoạn lừa đảo chiếm tiền tài khoản ngân hàng trên Facebook

Các liên kết giả mạo được lan truyền trên mạng xã hội là một câu chuyện muôn thuở, nhưng những kẻ lừa đảo đằng sau chiến dịch cụ thể này đang sử dụng một kỹ thuật mới để tránh bị phát hiện.

Jérôme Segura, Giám đốc Threat Intelligence tại Malwarebytes, đã khám phá ra rằng những kẻ lừa đảo đang ẩn náu đằng sau nguồn cung cấp vô tận các URL độc hại - nơi không có hai URL nào giống nhau.

Các URL này được hoán đổi bằng một URL mới nhanh nhất là năm phút sau khi chúng được khởi chạy - vì thế người dùng gần như không thể báo cáo đó là một trò lừa đảo.

Chia sẻ với The Sun, nhóm của Segura đã phát hiện ra số lượng lớn bài đăng Facebook dẫn đến những trang web bên ngoài được cài đặt nhằm lừa đảo người dùng hàng trăm đô la.

Điều này được thực hiện bằng cách dụ người dùng nhấn vào các đường liên kết đến một bài báo tin tức, trước khi người dùng bị chuyển hướng ngay đến một trang có lỗi 302 giả mạo.

Sau đó, người dùng sẽ cần gọi cho một số điện thoại trên trang, nơi họ được hướng dẫn tải xuống phần mềm truy cập từ xa về máy tính.

Tiếp đó là một cuộc chào hàng đầy thuyết phục, những kẻ lừa đảo sẽ hướng nạn nhân đăng nhập vào tài khoản ngân hàng để khởi tạo một giao dịch.

“Những tội phạm trực tuyến rõ ràng bị che giấu trên các trang truyền thông xã hội và lừa người dùng vào những đường dẫn độc”, đội của Segura viết trong một báo cáo.

“Điều đặc biệt trong chiến dịch này là việc lạm dụng Google Cloud Run để tạo ra những đường dẫn chứa mã độc mỗi vài phút”.

“Trước đây, chúng tôi chưa từng thấy các vụ lừa đảo hỗ trợ kỹ thuật nào được lưu trữ trên nền tảng không có máy chủ của Google và chắc chắn không phải ở quy mô này”.

Nhóm đã tìm thấy một số tài khoản Facebook được rao bán, đang đăng một số câu chuyện tin tức, từ các bài báo làm mồi nhử đến nội dung đáng đưa tin.

Mặc dù các nhà nghiên cứu không chắc liệu các tài khoản Facebook có bị xâm phạm hay không, nhưng một tài khoản đã đăng nhiều liên kết độc hại, cho thấy rằng tài khoản đó có thể đã bị kẻ gian mạng kiểm soát.

Họ viết: “Các trang web này được thiết lập để đánh lừa các biện pháp kiểm soát an ninh bằng cách sử dụng một kỹ thuật được gọi là kỹ thuật che giấu.

Kỹ thuật che giấu là khi những kẻ lừa đảo sử dụng hai loại URL: URL hợp pháp (hoặc mồi nhử) và URL kiếm tiền (loại độc hại).

Điều này thu hút những người dùng Facebook nhấp vào một liên kết, ngay cả khi họ đã kiểm tra xem URL đó có hợp pháp hay không.

"Nếu bạn truy cập các URL trong khi chạy VPN hoặc có thể thông qua một quốc gia không được nhắm mục tiêu, bạn sẽ thấy những gì có vẻ là một trang web tin tức điển hình không có bất kỳ trò lừa đảo nào", các nhà nghiên cứu tiếp tục.

"Nhưng càng xem kỹ các trang web đó, bạn càng nhận ra chúng không có thật: về cơ bản đó là cùng một nội dung với các tên miền khác nhau”.

Nếu bạn nhấp vào cùng một liên kết đó với tư cách là "người thật" mà không có VPN, bạn sẽ được đưa đến trang lỗi 302 độc hại.

Các trang lỗi giả mạo được lưu trữ trên Google Cloud Run, cho phép những kẻ lừa đảo chạy mã đáp ứng các yêu cầu web - vì vậy khi người dùng nhấp vào một liên kết, nó sẽ kích hoạt cảnh báo giả mạo.

Các nhà nghiên cứu cho biết: “Chúng tôi đã theo dõi chặt chẽ các miền che giấu trong một thời gian và xác định rằng tác nhân đe dọa đã thiết lập một tác vụ tạo URL Cloud Run mới cứ sau 5 phút”.

"URL mới này có sẵn ngay lập tức và được gán cho miền che giấu. Trong vài ngày, chúng tôi đã quan sát thấy hàng nghìn URL độc hại”.

Người dùng Facebook phải hết sức cảnh giác khi nhấp vào các liên kết trên nền tảng - ngay cả khi liên kết đó đến từ một trang web tin tức hoặc đã được lan truyền rộng rãi.

Các nhà nghiên cứu cho hay: “Các bài báo như mồi nhử để bạn nhấp chuột vào, dẫn đến nhiều lời đề nghị không có thật hoặc tệ hơn. Như mọi khi, chúng tôi khuyên bạn không nên hoảng sợ ngay cả khi màn hình máy tính của bạn đột nhiên bị tấn công.

"Trong thực tế tất cả các trường hợp, bạn có thể đóng các cửa sổ bật lên này một cách an toàn, trở lại và chạy bình thường”.