Lật tẩy chủ mưu trò lừa đảo nhập mã OTP: Là lập trình viên mới 20 tuổi, 1 năm thực hiện hơn 93.000 cuộc tấn công, chủ yếu nhắm tới người già

Thông báo cuộc gọi đến nhấp nháy trên điện thoại của nạn nhân - chỉ kéo dài vài giây nhưng đủ để nhóm tội phạm chiếm đoạt hết tài sản trong ví điện tử.

“Đây là đội bảo mật của PayPal. Chúng tôi đã phát hiện một số hoạt động bất thường trên tài khoản của bạn và đang gọi cho bạn như một biện pháp phòng ngừa”, giọng nói vang lên từ đầu dây bên kia. “Vui lòng nhập mã bảo mật gồm sáu chữ số mà chúng tôi vừa gửi tới thiết bị di động của bạn”.

Nạn nhân, không biết ý đồ xấu của người gọi, gõ vào bàn phím điện thoại mã sáu chữ số vừa nhận được và ngay lập tức sập bẫy.

Theo TechCrunch, trong một số trường hợp, nhóm tội phạm cũng có thể gửi email lừa đảo nhằm mục đích lấy mật khẩu của nạn nhân. Khi nạn nhân kết thúc cuộc gọi, kẻ tấn công sẽ sử dụng mã sáu số để đăng nhập vào loạt tài khoản như thể mình là chủ nhân hợp pháp.

TechCrunch cho biết, kể từ giữa năm 2023, một dịch vụ có tên Estate đã cho phép hàng trăm thành viên thực hiện hàng nghìn cuộc gọi điện thoại tự động để đánh lừa nạn nhân. Các tính năng bảo mật như xác thực đa yếu tố, mật OTP.. đều bị phá vỡ. Hầu hết các nạn nhân đều sinh sống tại Mỹ.

Tuy nhiên, do một lỗi bảo mật, Estate vô tình làm lộ cơ sở dữ liệu của trang web vốn chứa thông tin chi tiết về người sáng lập và các thành viên. Nhật ký từng cuộc gọi tấn công cũng bị phanh phui, bao gồm số điện thoại nạn nhân bị nhắm mục tiêu, thời điểm bị chiếm đoạt tài sản…

Vangelis Stykas, nhà nghiên cứu bảo mật và giám đốc công nghệ tại Atropos.ai, đã cung cấp cơ sở dữ liệu Estate cho TechCrunch phân tích, từ đó bộc lộ cái nhìn sâu sắc về cách thức hoạt động của nhóm tội phạm. Trước đây, chính quyền đã truy tố người điều hành các trang web tương tự chuyên tự động hóa các cuộc tấn công mạng.

Cơ sở dữ liệu chứa nhật ký của hơn 93.000 cuộc tấn công kể từ khi Estate ra mắt năm ngoái, nhắm mục tiêu vào những nạn nhân có tài khoản Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (sở hữu TechCrunch)...Một số cuộc tấn công cũng cho thấy nỗ lực chiếm đoạt bằng cách thực hiện các cuộc tấn công hoán đổi SIM.

Người sáng lập Estate, một lập trình viên người Đan Mạch 20 tuổi, đã nói với TechCrunch: “Tôi không điều hành trang web này nữa”.

Theo TechCrunch, Estate tự quảng cáo mình có thể “tạo các giải pháp OTP phù hợp với nhu cầu” và giải thích rằng “tùy chọn tập lệnh tùy chỉnh sẽ giúp bạn nắm quyền kiểm soát”. Các thành viên của Estate khai thác mạng điện thoại toàn cầu bằng cách đóng giả là người dùng hợp pháp để có quyền truy cập vào các nhà cung cấp dịch vụ truyền thông.

Allison Nixon, giám đốc nghiên cứu của Unit 221B, một công ty an ninh mạng nổi tiếng điều tra tội phạm mạng, cho biết: “Những loại dịch vụ này tạo thành xương sống cho nền kinh tế tội phạm. Ngày càng nhiều người bị lừa đảo và đe dọa hơn”.

Estate cố gắng giữ kín danh tiếng bằng cách ẩn trang web của mình khỏi các công cụ tìm kiếm, đồng thời thu hút thành viên mới bằng cách truyền miệng. Các thành viên mới chỉ có thể đăng nhập vào Estate bằng mã giới thiệu từ một thành viên hiện có và điều này giúp chúng duy trì lượng người dùng ở mức thấp để tránh nghi ngờ.

Sau đó, Estate cung cấp cho các thành viên công cụ để tìm kiếm mật khẩu tài khoản của nạn nhân. Các công cụ cũng cho phép thành viên sử dụng các tập lệnh chứa các hướng dẫn để lừa mục tiêu chuyển mã 6 số. Được biết, các nạn nhân bị nhắm mục tiêu đa phần là người lớn tuổi bởi họ có xu hướng nhận các cuộc gọi từ người lạ.

Estate từ lâu đã hứa hẹn về quyền riêng tư cho các thành viên của mình. Trang web của Estate viết: “Chúng tôi không thu nhập bất kỳ dữ liệu nào và chúng tôi cũng không yêu cầu bất kỳ thông tin cá nhân nào để bạn có thể sử dụng dịch vụ của chúng tôi”.

Tuy nhiên, điều đó không hoàn toàn đúng. Thực tế, Estate ghi lại mọi cuộc tấn công mà các thành viên đã thực hiện kể từ năm 2023. Người sáng lập trang web vẫn giữ quyền truy cập vào nhật ký máy chủ bất kỳ lúc nào. Cơ sở dữ liệu cũng cho thấy Estate theo dõi địa chỉ email của các thành viên tiềm năng.

Tin tưởng vào lời hứa ẩn danh của Estate, nhiều thành viên để lại nhiều thông tin nhận dạng, bao gồm địa chỉ email và địa chỉ trực tuyến. Cơ sở dữ liệu cũng chứa các tập lệnh tấn công của các thành viên, tiết lộ cách chúng khai thác điểm yếu của tính năng bảo mật.

Phóng viên an ninh kỳ cựu Brian Krebs cho biết vụ việc này cho thấy lý do vì sao bạn “không nên cung cấp bất kỳ thông tin nào cho những cuộc gọi không xác định được danh tính”.

Các công ty công nghệ, ngân hàng, ví và sàn giao dịch tiền số còn nhiều việc phải làm để ngăn chặn tình trạng trên. Nixon của Đơn vị 221B cho biết các công ty đang ở trong một “cuộc chiến không hồi kết” với những tội phạm mạng vốn luôn tìm cách lợi dụng dịch vụ để lừa đảo.

“Có những người khuyến khích cách kiếm tiền trực tuyến phi đạo đức. Cơ quan thực thi pháp luật cần phải ngăn chặn điều này”, Nixon nói.

Theo: TechCrunch 

Vũ Anh