Lấy cắp thông tin đăng nhập bằng chatbot

20 tháng 5, 2022

Các website tấn công lừa đảo hiện đang sử dụng các chatbot tự động để hướng dẫn khách thực hiện chuyển giao thông tin đăng nhập của họ cho các tác nhân đe dọa.


Cách tiếp cận này tự động hóa quy trình cho những kẻ tấn công và mang lại cảm giác hợp pháp cho khách truy cập các trang web độc hại, vì chatbot thường được tìm thấy trên các trang web dành cho các thương hiệu hợp pháp.


Các nhà nghiên cứu tại Trustwave, người đã chia sẻ báo cáo với Bleeping Computer trước khi xuất bản, đã  phát hiện sự phát triển mới này trong các cuộc tấn công lừa đảo.


Bắt đầu bằng một email


Quá trình lừa đảo bắt đầu bằng một email tuyên bố chứa thông tin về việc gửi một bưu kiện, giả mạo là thương hiệu vận chuyển DHL.

Mẫu email lừa đảo (Trustwave)


Nhấp vào nút 'Vui lòng làm theo hướng dẫn của chúng tôi' trong email sẽ tải một tệp PDF có chứa các liên kết đến trang web lừa đảo. Các tác nhân đe dọa hiển thị các liên kết lừa đảo trong tài liệu PDF để vượt qua phần mềm bảo mật email.


PDF có thể tải xuống có chứa các liên kết độc hại

(Trustwave)


Tuy nhiên, nút URL (hoặc liên kết) trong tệp PDF sẽ đưa nạn nhân đến một trang web lừa đảo (dhiparcel-management [.] Support-livechat [.] 24mhd [.] Com) có nội dung giải quyết vấn đề khi gói hàng không thể gửi được.


Đây là nơi mà chatbot tiếp quản.


Một chatbot đánh cắp thông tin đăng nhập của bạn


Khi tải trang lừa đảo, khách truy cập được chào đón bằng một cuộc trò chuyện trên web giải thích lý do tại sao không thể gửi gói hàng thay vì được hiển thị một biểu mẫu đăng nhập giả thường được sử dụng để lấy cắp thông tin đăng nhập.


Trò chuyện web này giải thích rằng nhãn của gói hàng đã bị hỏng, cản trở việc phân phối. Webchat cũng hiển thị ảnh của gói hàng để tăng thêm tính hợp pháp cho trò lừa đảo.



Chatbot trên trang web lừa đảo (Trustwave)


Trợ lý ảo này cung cấp các phản hồi được xác định trước cho khách truy cập, do đó, cuộc trò chuyện đã được định kịch bản là luôn dẫn đến việc hiển thị ảnh chụp gói hàng được cho là có nhãn bị hỏng.


Do vấn đề này, chatbot yêu cầu nạn nhân cung cấp thông tin cá nhân của họ như địa chỉ nhà riêng hoặc doanh nghiệp, họ tên, số điện thoại, v.v.


Sau đó, việc gửi được cho là đã được lên lịch và một bước CAPTCHA không có thật được hiển thị để hoạt động có vẻ như hợp pháp.


Tiếp theo, nạn nhân được chuyển hướng đến một trang lừa đảo yêu cầu nhập thông tin đăng nhập tài khoản DHL và cuối cùng dẫn đến bước thanh toán, được cho là để trang trải chi phí vận chuyển.


Trang "Thanh toán An toàn" cuối cùng chứa các trường thanh toán thẻ tín dụng điển hình, bao gồm tên chủ thẻ, số thẻ, ngày hết hạn và mã CVV.


Trường thanh toán thẻ tín dụng (Trustwave)



Khi nhập chi tiết và nhấp vào nút "Thanh toán ngay", nạn nhân sẽ nhận được mật khẩu một lần (OTP) trên số điện thoại di động được cung cấp qua SMS, điều này làm tăng thêm tính hợp pháp.


Màn hình xác minh mật khẩu một lần (Trustwave)


Các nhà phân tích của Trustwave đã kiểm tra việc nhập các ký tự ngẫu nhiên và hệ thống trả về lỗi về mã bảo mật không hợp lệ, vì vậy việc triển khai xác minh OTP là có thật.


Nếu mã chính xác được nhập, trang giả mạo sẽ xuất hiện thông báo "Cảm ơn!" và xác nhận rằng đã nhận được nội dung gửi.


Các chiến dịch ngày càng "chính hãng" hơn


Các tác nhân đe dọa đang ngày càng sử dụng các cơ chế thường được tìm thấy trong các trang web thực, như CAPTCHA, OTP và bây giờ là cả chatbot, khiến nạn nhân khó phát hiện ra các nỗ lực lấy cắp thông tin của họ.


Điều này kêu gọi cảnh giác cao hơn khi nhận được thông tin liên lạc không mong muốn yêu cầu hành động ngay lập tức của bạn, đặc biệt nếu những thông báo này chứa các nút và liên kết URL được nhúng.


Nếu DHL hoặc bất kỳ dịch vụ vận chuyển nào khác yêu cầu hành động của bạn, bạn phải luôn mở trang web thực tế trên tab trình duyệt mới thay vì nhấp vào các liên kết được cung cấp.


Sau đó, Đăng nhập vào tài khoản của bạn trên nền tảng đáng tin cậy và kiểm tra xem có bất kỳ mục hoặc cảnh báo nào đang chờ xử lý hay không. Ngoài ra, hãy tự liên hệ với đại lý hỗ trợ khách hàng.


Như mọi khi, cách tốt nhất để phát hiện một trang lừa đảo là kiểm tra URL của trang web. Nếu nó có vẻ đáng ngờ hoặc không khớp với miền hợp pháp, đừng nhập bất kỳ thông tin cá nhân nào vào trang.


Trong trường hợp này, URL DHL giả mạo kết thúc bằng miền "24mhd.com", đây rõ ràng không phải là trang web của DHL và là dấu hiệu rõ ràng của một âm mưu lừa đảo.


Nguồn: bleepingcomputer.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: