Làm thế nào thủ thuật lừa đảo chiếm đoạt tài khoản Zalo bị phát hiện sớm như vậy?

Một lần nữa, những phần thưởng lớn, những chiếc xe đắt tiền lại trở thành mồi nhử để nhắm vào các nạn nhân nhẹ dạ, nhưng lần này, thay vì chỉ để có thêm lượt like hay share cho các fanpage mạo danh, những kẻ lừa đảo nhắm đến một mục tiêu nguy hiểm hơn: các tài khoản Zalo của nạn nhân.

Bị dẫn dụ click vào một đường link dẫn đến một trang web độc hại giả dạng trang đăng nhập của Zalo, vì vậy, ngay khi nạn nhân đăng nhập vào tài khoản Zalo của mình qua trang web đó, tài khoản của họ sẽ lập tức bị kẻ lừa đảo chiếm đoạt, buộc người dùng phải xóa đi cài đặt lại để nhận lại mật khẩu cũng như tài khoản Zalo của mình.

Trong khi phía Zalo khẳng định họ không hề có chương trình tri ân nào với nội dung như tin nhắn lừa đảo, thủ đoạn lừa đảo này có thể dễ dàng phát hiện ra khi ping đến website trianvang2017.com, bạn sẽ nhận ra máy chủ của tên miền này đang trỏ tới 143.95.63.79 , một “ổ bệnh” theo cách gọi của nhóm bảo mật Cyradar, khi họ phát hiện ra địa chỉ IP này chưa toàn các website và tên miền lừa đảo mới được tạo ra trong thời gian gần đây.

Thông thường, mọi người sẽ phải mất vài ngày, thậm chí vài tuần mới có thể biết đến một chiến dịch lừa đảo và tiến hành ngăn chặn chúng do việc phát hiện vẫn phải dựa chủ yếu vào các báo cáo của nạn nhân, tuy nhiên lần này, thủ đoạn lừa đảo trên bị nhóm bảo mật Cyradar phát hiện ra khá sớm nhờ thuật toán do họ phát triển theo công nghệ “predictive analytics” (phân tích dự báo).

Thuật toán này cho phép dự đoán trước đâu là cuộc tấn công phishing bằng cách đánh giá một tên miền website ngay khi nó vừa được đăng ký và dựng lên. Bằng cách này, khi phân tích trong số 150.000 tên miền đăng ký vào ngày 12 tháng Mười Hai năm 2016, hệ thống của Cyradar đã phát hiện ra tên miền nghi ngờ zaloapp.mobi, thông qua phân tích ngữ nghĩa của tên miền và các thông tin liên quan như địa chỉ IP phân giải, thông tin Whois ….

Hơn nữa, bằng thuật toán Malware Graph, từ zaloapp.mobi, nhóm bảo mật này còn phát hiện ra máy chủ của tên miền này đang được trỏ tới chính địa chỉ IP 143.95.63.79 trên. Bên cạnh zaloapp.mobi, nhóm này còn nhận ra địa chỉ IP này còn là nơi chứa nhiều website lừa đảo khác, được đăng ký trong khoảng thời gian gần đó.

Không chỉ các tên miền mạo danh Zalo, nhóm còn nhận thấy có cả tên miền mạo danh website của Tổng cục Thuế.

Quan trọng hơn, hầu hết những website mạo danh và lừa đảo này vẫn chưa được biết đến bởi các phần mềm security khác, ở thời điểm nhóm Cyradar phát đi cảnh báo của mình. Ngay cả với tên miền trianvang2017.com, nơi kẻ lừa đảo thực hiện thủ thuật đánh cắp tài khoản Zalo của nạn nhân, hiện vẫn chưa bị công cụ tìm kiếm của Google và trình duyệt Chrome nhận ra là website phishing, và phát đi các cảnh báo cho người dùng.