Chiêu lừa đảo mới qua tin nhắn trực tuyến hoành hành tại hơn 100 quốc gia

Darcula được sử dụng để nhắm mục tiêu vào nhiều dịch vụ và tổ chức khác nhau, từ bưu chính, tài chính, chính phủ, sở thuế cho đến các công ty viễn thông, hãng hàng không.

Một điều khiến nó trở nên đáng chú ý là việc tiếp cận các mục tiêu bằng giao thức Rich Communication Services (RCS) dành cho Google Messages và iMessage thay vì SMS để gửi tin nhắn lừa đảo.

Nhận diện lừa đảo Darcula

Darcula được phát hiện và báo cáo bởi nhà nghiên cứu Oshri Kalfon vào mùa hè năm ngoái và trở nên phổ biến trong thị trường tội phạm mạng. Gần đây, nó đã được sử dụng trong một số vụ tấn công nổi bật.

“Nền tảng Darcula được sử dụng trong nhiều cuộc tấn công lừa đảo quy mô lớn trong năm qua, bao gồm các tin nhắn lừa đảo trên cả thiết bị Apple và Android ở Anh, cũng như các cuộc tấn công lừa đảo mạo danh Dịch vụ bưu chính Mỹ (USPS)” - theo Netcraft.

Không giống các phương thức lừa đảo truyền thống, Darcula sử dụng các công nghệ mới như JavaScript, React, Docker và Harbor, cho phép nó tự động cập nhật và bổ sung tính năng mới mà không cần cài đặt lại bộ công cụ lừa đảo.

Bộ công cụ lừa đảo này cung cấp 200 mẫu (template) lừa đảo mạo danh các thương hiệu và tổ chức ở hơn 100 quốc gia. Các mẫu lừa đảo sử dụng ngôn ngữ, biểu tượng và nội dung địa phương, khiến nó trông có vẻ hợp pháp.

Darcula thường đăng ký các tên miền có đuôi “.top” và “.com” để triển khai các trang web dành cho mục đích lừa đảo, khoảng 1/3 trong số đó được hỗ trợ bởi Cloudflare. Netcraft cho biết 20.000 tên miền mà Darcula sử dụng được ánh xạ đến hơn 11.000 địa chỉ IP, với 120 tên miền mới được bổ sung hàng ngày.

Lừa đảo chuyển từ SMS thành iMessage

Darcula không sử dụng các chiến thuật dựa trên tin nhắn (SMS) thống truyền, thay vào đó nó sử dụng RCS (Android) và iMessage (iOS) để gửi tin nhắn chứa liên kết đến trang lừa đảo cho nạn nhân. Vì RCS và iMessage hỗ trợ mã hóa đầu cuối nên không thể ngăn chặn các tin nhắn lừa đảo dựa trên nội dung.

Netcraft cho biết rằng những nỗ lực pháp lý toàn cầu gần đây nhằm hạn chế tội phạm mạng dựa trên SMS bằng cách chặn các tin nhắn đáng ngờ có khả năng dẫn đến việc nền tảng PhaaS chuyển sang các giao thức thay thế như RCS và iMessage.

Các giao thức này cũng đi kèm một số hạn chế mà tội phạm mạng phải tìm cách vượt qua. Chẳng hạn như Apple đã cấm các tài khoản gửi số lượng lớn tin nhắn đến nhiều người nhận và Google gần đây đã triển khai một biện pháp hạn chế nhằm ngăn các thiết bị Android được root (ở chế độ này, người dùng có quyền truy cập cao nhất (quyền root) vào hệ thống điều khiển của thiết bị) gửi hoặc nhận tin nhắn RCS.

Tội phạm mạng cố vượt qua những hạn chế này bằng cách tạo nhiều ID Apple và sử dụng nhiều thiết bị để gửi một số lượng nhỏ tin nhắn từ mỗi thiết bị.

Một biện pháp bảo vệ khác trong iMessage chỉ cho phép người nhận nhấp vào liên kết URL nếu họ đã trả lời tin nhắn. Nhằm đánh lừa người dùng, tin nhắn lừa đảo sẽ yêu cầu người nhận trả lời bằng 'Y' hoặc '1'.

Theo Cục An toàn thông tin - Bộ TT&TT, để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo, người dùng luôn phải cảnh giác đối với tất cả các tin nhắn đến thúc giục họ nhấp vào URL, đặc biệt nếu tin nhắn được người gửi từ nguồn không xác định.

Ngoài ra, tin nhắn sai ngữ pháp, chứa lỗi chính tả, những lời đề nghị quá hấp dẫn hoặc những lời kêu gọi hành động khẩn cấp cũng là dấu hiệu cho thấy sự đáng ngờ.