'Hiểu được cái boomer đó!': Cách tội phạm mạng đánh cắp mật mã một lần cho các cuộc tấn công hoán đổi SIM và đột kích tài khoản ngân hàng

'Hiểu được cái boomer đó!': Cách tội phạm mạng đánh cắp mật mã một lần cho các cuộc tấn công hoán đổi SIM và đột kích tài khoản ngân hàng

Cuộc gọi đến nhấp nháy trên điện thoại của nạn nhân. Nó có thể chỉ kéo dài vài giây, nhưng có thể kết thúc bằng việc nạn nhân giao các mã cung cấp cho tội phạm mạng khả năng chiếm đoạt tài khoản trực tuyến của họ hoặc tiêu hao tiền điện tử và ví kỹ thuật số của họ.

“Đây là đội bảo mật của PayPal. Chúng tôi đã phát hiện một số hoạt động bất thường trên tài khoản của bạn và đang gọi cho bạn như một biện pháp phòng ngừa,” giọng nói robot của người gọi nói. “Vui lòng nhập mã bảo mật gồm sáu chữ số mà chúng tôi đã gửi tới thiết bị di động của bạn.”

Nạn nhân, không biết ý đồ xấu của người gọi, gõ mã sáu chữ số họ vừa nhận được qua tin nhắn vào bàn phím điện thoại.

“Có được chiếc boomer đó!” một thông báo đọc trên bảng điều khiển của kẻ tấn công.

Trong một số trường hợp, kẻ tấn công cũng có thể gửi email lừa đảo nhằm mục đích lấy mật khẩu của nạn nhân. Nhưng đôi khi, mã từ điện thoại của họ là tất cả những gì kẻ tấn công cần để đột nhập vào tài khoản trực tuyến của nạn nhân. Khi nạn nhân kết thúc cuộc gọi, kẻ tấn công đã sử dụng mã để đăng nhập vào tài khoản của nạn nhân như thể họ là chủ sở hữu hợp pháp.

TechCrunch cho biết, kể từ giữa năm 2023, một hoạt động đánh chặn có tên Estate đã cho phép hàng trăm thành viên thực hiện hàng nghìn cuộc gọi điện thoại tự động để lừa nạn nhân nhập mật mã một lần. Estate giúp kẻ tấn công đánh bại các tính năng bảo mật như xác thực đa yếu tố, dựa vào mật mã một lần được gửi tới điện thoại hoặc email của một người hoặc được tạo từ thiết bị của họ bằng ứng dụng xác thực. Mật mã một lần bị đánh cắp có thể cấp cho kẻ tấn công quyền truy cập vào tài khoản ngân hàng, thẻ tín dụng, ví tiền điện tử và kỹ thuật số cũng như các dịch vụ trực tuyến của nạn nhân. Hầu hết các nạn nhân đều ở Hoa Kỳ.

Nhưng một lỗi trong mã của Estate đã làm lộ cơ sở dữ liệu phụ trợ của trang web, cơ sở dữ liệu này chưa được mã hóa. Cơ sở dữ liệu của Estate chứa thông tin chi tiết về người sáng lập trang web và các thành viên của trang web cũng như nhật ký từng dòng của từng cuộc tấn công kể từ khi trang web ra mắt, bao gồm số điện thoại của nạn nhân bị nhắm mục tiêu, khi nào và bởi thành viên nào.

Vangelis Stykas, nhà nghiên cứu bảo mật và giám đốc công nghệ tại Atropos.ai, đã cung cấp cơ sở dữ liệu Bất động sản cho TechCrunch để phân tích.

Cơ sở dữ liệu phụ trợ cung cấp cái nhìn sâu sắc hiếm có về cách hoạt động của hoạt động chặn mật mã một lần. Các dịch vụ như Estate quảng cáo các dịch vụ của họ dưới chiêu bài cung cấp một dịch vụ có vẻ hợp pháp để cho phép những người thực hành bảo mật kiểm tra khả năng phục hồi căng thẳng trước các cuộc tấn công kỹ thuật xã hội, nhưng lại rơi vào khoảng xám hợp pháp vì chúng cho phép các thành viên của họ sử dụng các dịch vụ này cho các cuộc tấn công mạng độc hại. Trước đây, chính quyền đã truy tố những người điều hành các trang web tương tự chuyên tự động hóa các cuộc tấn công mạng vì cung cấp dịch vụ của họ cho bọn tội phạm.

Cơ sở dữ liệu chứa nhật ký của hơn 93.000 cuộc tấn công kể từ khi Estate ra mắt năm ngoái, nhắm mục tiêu vào những nạn nhân có tài khoản với Amazon, Bank of America, CapitalOne, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (sở hữu TechCrunch) và nhiều tài khoản khác. người khác.

Một số cuộc tấn công cũng cho thấy nỗ lực chiếm đoạt số điện thoại bằng cách thực hiện các cuộc tấn công hoán đổi SIM – một chiến dịch có tiêu đề đơn giản là “bạn bị tráo sim rồi bạn ơi” – và đe dọa các nạn nhân dox.

Người sáng lập Estate, một lập trình viên người Đan Mạch ở độ tuổi 20, đã nói với TechCrunch trong một email vào tuần trước rằng: “Tôi không điều hành trang web này nữa”. Người sáng lập, bất chấp nỗ lực che giấu các hoạt động trực tuyến của Estate, đã định cấu hình sai máy chủ của Estate, làm lộ vị trí thực tế của nó tại một trung tâm dữ liệu ở Hà Lan.

Bảng điều khiển của kẻ tấn công trong Estate. Tín dụng hình ảnh: TechCrunch (ảnh chụp màn hình)
Tín dụng hình ảnh: TechCrunch

Estate tự quảng cáo là có thể “tạo các giải pháp OTP phù hợp hoàn hảo với nhu cầu của bạn” và giải thích rằng “tùy chọn tập lệnh tùy chỉnh của chúng tôi giúp bạn nắm quyền kiểm soát”. Các thành viên của Estate khai thác mạng điện thoại toàn cầu bằng cách đóng giả là người dùng hợp pháp để có quyền truy cập vào các nhà cung cấp dịch vụ truyền thông ngược dòng. Một nhà cung cấp là Telnyx, giám đốc điều hành David Casem của họ nói với TechCrunch rằng công ty đã chặn tài khoản của Estate và một cuộc điều tra đang được tiến hành.

Mặc dù Estate cẩn thận không sử dụng ngôn ngữ tục tĩu bên ngoài có thể kích động hoặc khuyến khích các cuộc tấn công mạng độc hại, nhưng cơ sở dữ liệu cho thấy Estate hầu như chỉ được sử dụng cho mục đích tội phạm.

Allison Nixon, giám đốc nghiên cứu của Unit 221B, một công ty an ninh mạng nổi tiếng với việc điều tra các nhóm tội phạm mạng, cho biết: “Những loại dịch vụ này tạo thành xương sống của nền kinh tế tội phạm”. “Họ thực hiện các nhiệm vụ chậm một cách hiệu quả. Điều này có nghĩa là nói chung sẽ có nhiều người nhận được các vụ lừa đảo và đe dọa hơn. Nhiều người già mất việc nghỉ hưu do tội phạm hơn – so với những ngày trước khi những loại dịch vụ này tồn tại.”

Bất động sản vận hành như thế nào

Estate đã cố gắng giữ kín danh tiếng bằng cách ẩn trang web của mình khỏi các công cụ tìm kiếm và thu hút thành viên mới bằng cách truyền miệng. Theo trang web của mình, các thành viên mới chỉ có thể đăng nhập vào Estate bằng mã giới thiệu từ một thành viên hiện có, điều này giúp giữ số lượng người dùng ở mức thấp để tránh bị các nhà cung cấp dịch vụ liên lạc ngược dòng mà Estate dựa vào phát hiện.

Sau khi bước vào cửa, Estate cung cấp cho các thành viên các công cụ để tìm kiếm mật khẩu tài khoản bị vi phạm trước đây của những nạn nhân sắp trở thành nạn nhân của họ, để lại mã dùng một lần là trở ngại duy nhất để chiếm đoạt tài khoản của mục tiêu. Các công cụ của Estate cũng cho phép các thành viên sử dụng các tập lệnh được tạo tùy chỉnh chứa các hướng dẫn để lừa mục tiêu chuyển mật mã một lần của họ.

Thay vào đó, một số tập lệnh tấn công được thiết kế để xác thực số thẻ tín dụng bị đánh cắp bằng cách lừa nạn nhân chuyển mã bảo mật ở mặt sau thẻ thanh toán của họ.

Theo cơ sở dữ liệu, một trong những chiến dịch kêu gọi lớn nhất trên Estate nhắm vào các nạn nhân lớn tuổi với giả định rằng “Những người thuộc thế hệ Boomers” có nhiều khả năng nhận cuộc gọi điện thoại không được yêu cầu hơn so với thế hệ trẻ. Chiến dịch này bao gồm khoảng một nghìn cuộc gọi điện thoại, dựa trên một kịch bản giúp tội phạm mạng luôn thông báo về mỗi nỗ lực tấn công.

“Ông già đã trả lời!” sẽ nhấp nháy trong bảng điều khiển khi nạn nhân của họ nhấc máy và thông báo “Đã rút dây hỗ trợ sự sống” sẽ hiển thị khi cuộc tấn công thành công.

Cơ sở dữ liệu cho thấy người sáng lập Estate biết rằng khách hàng của họ phần lớn là tội phạm và Estate từ lâu đã hứa hẹn về quyền riêng tư cho các thành viên của mình.

Trang web của Estate viết: “Chúng tôi không ghi lại bất kỳ dữ liệu nào và chúng tôi không yêu cầu bất kỳ thông tin cá nhân nào để sử dụng dịch vụ của mình”.

Nhưng điều đó không hoàn toàn đúng. Estate đã ghi lại mọi cuộc tấn công mà các thành viên của nó thực hiện một cách chi tiết kể từ khi trang web ra mắt vào giữa năm 2023. Và người sáng lập trang web vẫn giữ quyền truy cập vào nhật ký máy chủ cung cấp cửa sổ thời gian thực về những gì đang xảy ra trên máy chủ của Estate vào bất kỳ thời điểm nào, bao gồm mọi cuộc gọi do các thành viên thực hiện, cũng như bất kỳ lúc nào thành viên tải một trang trên trang web của Estate.

Cơ sở dữ liệu cho thấy Estate cũng theo dõi địa chỉ email của các thành viên tiềm năng. Một trong những người dùng đó cho biết họ muốn tham gia Estate vì gần đây họ “bắt đầu mua ccs” – ám chỉ thẻ tín dụng – và tin rằng Estate đáng tin cậy hơn việc mua bot từ một người bán không xác định. Hồ sơ cho thấy người dùng sau đó đã được chấp thuận trở thành thành viên của Estate.

Cơ sở dữ liệu bị lộ cho thấy một số thành viên đã tin tưởng vào lời hứa ẩn danh của Estate bằng cách để lại những đoạn thông tin nhận dạng của riêng họ – bao gồm địa chỉ email và địa chỉ trực tuyến – trong các tập lệnh họ viết và các cuộc tấn công mà họ thực hiện.

Cơ sở dữ liệu của Estate cũng chứa các tập lệnh tấn công của các thành viên, tiết lộ những cách cụ thể mà kẻ tấn công khai thác điểm yếu trong cách các gã khổng lồ công nghệ và ngân hàng triển khai các tính năng bảo mật, như mật mã một lần, để xác minh danh tính khách hàng. TechCrunch không mô tả chi tiết các tập lệnh vì làm như vậy có thể hỗ trợ tội phạm mạng thực hiện các cuộc tấn công.

Phóng viên an ninh kỳ cựu Brian Krebs, người trước đây đã báo cáo về hoạt động mật mã một lần vào năm 2021, cho biết những loại hoạt động tội phạm này giải thích rõ lý do tại sao bạn “không bao giờ nên cung cấp bất kỳ thông tin nào để đáp lại một cuộc gọi điện thoại không được yêu cầu”.

“Việc ai tuyên bố đang gọi không quan trọng: Nếu bạn không bắt đầu liên lạc, hãy cúp máy. Nếu bạn không bắt đầu liên lạc, hãy cúp máy,” Krebs viết. Lời khuyên đó vẫn đúng cho đến ngày nay.

Nhưng trong khi các dịch vụ cung cấp sử dụng mật mã một lần vẫn cung cấp bảo mật tốt hơn cho người dùng so với các dịch vụ không có, khả năng tội phạm mạng vượt qua các biện pháp phòng vệ này cho thấy các công ty công nghệ, ngân hàng, ví và sàn giao dịch tiền điện tử cũng như các công ty viễn thông còn nhiều việc phải làm. LÀM.

Nixon của Đơn vị 221B cho biết các công ty đang ở trong một “cuộc chiến không hồi kết” với những kẻ xấu đang tìm cách lạm dụng mạng của họ và chính quyền nên tăng cường nỗ lực trấn áp các dịch vụ này.

Nixon nói: “Điều còn thiếu là chúng ta cần cơ quan thực thi pháp luật bắt giữ những kẻ phạm tội tự gây phiền toái cho mình”. “Những người trẻ tuổi đang cố tình tạo dựng sự nghiệp từ việc này, bởi vì họ tự thuyết phục mình rằng họ 'chỉ là một nền tảng' và 'không chịu trách nhiệm về tội phạm' do dự án của họ tạo điều kiện.”

“Họ hy vọng kiếm tiền dễ dàng trong nền kinh tế lừa đảo. Có những người có ảnh hưởng khuyến khích những cách kiếm tiền trực tuyến phi đạo đức. Cơ quan thực thi pháp luật cần phải ngăn chặn điều này.”

Đọc thêm trên TechCrunch:

  • Kẻ đe dọa đã lấy được 49 triệu địa chỉ khách hàng của Dell
  • Dịch vụ mã hóa Apple, Proton và Wire đã giúp cảnh sát Tây Ban Nha xác định nhà hoạt động
  • Giám đốc điều hành UHG cho biết 'có thể một phần ba' công dân Mỹ bị ảnh hưởng bởi vụ hack gần đây
  • Những gì chúng ta học được từ bản cáo trạng của kẻ chủ mưu LockBit

Cách xác minh vi phạm dữ liệu

Trả lời bằng tài khoản Facebook:

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *