-
09/04/2020
-
99
-
813 bài viết
Chiến dịch lừa đảo mới: Nhắm vào điện thoại nhân viên để chiếm đoạt tiền lương
Đánh cắp thông tin đăng nhập, truy cập vào cổng payroll của doanh nghiệp và chuyển tiền lương của nhân viên về tài khoản do tin tặc kiểm soát là những gì mà chiến dịch này khiến nhiều người dùng hoang mang.
Cổng payroll (hay còn gọi là cổng thanh toán lương, cổng quản lý lương) là một hệ thống trực tuyến cho phép nhân viên và bộ phận nhân sự của một tổ chức quản lý và xử lý thông tin liên quan đến tiền lương. Trong đó, Workday, ADP, BambooHR, Paycom là các nền tảng payroll được nhiều doanh nghiệp sử dụng toàn cầu. Ở Việt Nam, các công ty lớn cũng thường có hệ thống nhân sự nội bộ tích hợp chức năng quản lý lương tương tự.
Chiến dịch được phát hiện vào tháng 5/2025 liên quan đến một công ty trong ngành sản xuất. Tin tặc đã tạo ra trang đăng nhập giả có giao diện giống cổng thanh toán lương của công ty, rồi đưa lên top kết quả tìm kiếm Google nhờ quảng cáo trả phí. Khi nhân viên tìm kiếm cổng thanh toán lương và bấm nhầm vào liên kết giả, họ sẽ được chuyển qua một trang trung gian rồi tới trang lừa đảo có giao diện giống Microsoft.
Đặc biệt, nạn nhân thường truy cập từ điện thoại cá nhân, vốn không có lớp bảo vệ chặt chẽ như máy tính công ty. Điều này giúp tin tặc dễ dàng lấy được thông tin đăng nhập mà không bị phát hiện. Sau khi có thông tin, chúng vào thẳng hệ thống thanh toán lương nội bộ, thay đổi thông tin tài khoản ngân hàng và chuyển tiền lương vào tài khoản riêng của chúng.
Một điểm đáng chú ý khác là tin tặc sử dụng các thiết bị router tại nhà hoặc mạng di động đã bị xâm nhập để che giấu danh tính, khiến các hệ thống giám sát khó phát hiện vì tưởng là nhân viên đang đăng nhập từ vị trí bình thường.
Mặc dù chưa xác định được nhóm đứng sau, nhưng các chuyên gia cho biết đây là một phần trong chuỗi chiến dịch có tổ chức vì từng có hai vụ việc tương tự diễn ra cuối năm 2024.
Trong khi đó, Panda Shop - một bộ công cụ mới nổi từ Trung Quốc cho phép tội phạm mạng phát tán tin nhắn lừa đảo qua iMessage và Android RCS bằng các tài khoản Apple và Gmail bị mua bán trôi nổi nhằm đánh cắp dữ liệu thẻ và bán lại trên chợ đen. Bên cạnh đó, các nhóm như Smishing Triad, Darcula và Lucid cũng đang đẩy mạnh mô hình tội phạm dưới dạng dịch vụ (Crime-as-a-Service), chuyên biệt hóa các kỹ thuật phishing nhắm trực tiếp vào người dùng di động khiến việc phát hiện và ngăn chặn ngày càng trở nên thách thức hơn.
Cổng payroll (hay còn gọi là cổng thanh toán lương, cổng quản lý lương) là một hệ thống trực tuyến cho phép nhân viên và bộ phận nhân sự của một tổ chức quản lý và xử lý thông tin liên quan đến tiền lương. Trong đó, Workday, ADP, BambooHR, Paycom là các nền tảng payroll được nhiều doanh nghiệp sử dụng toàn cầu. Ở Việt Nam, các công ty lớn cũng thường có hệ thống nhân sự nội bộ tích hợp chức năng quản lý lương tương tự.
Thủ đoạn mới: Giả mạo cổng thanh toán lương thông qua công cụ tìm kiếm
Một chiến dịch tấn công mạng tinh vi vừa được các chuyên gia tại công ty ReliaQuest phát hiện, trong đó tin tặc sử dụng kỹ thuật SEO poisoning tức là làm giả các kết quả tìm kiếm trên Google để lừa nhân viên truy cập vào trang web giả mạo, từ đó chiếm đoạt tiền lương.Chiến dịch được phát hiện vào tháng 5/2025 liên quan đến một công ty trong ngành sản xuất. Tin tặc đã tạo ra trang đăng nhập giả có giao diện giống cổng thanh toán lương của công ty, rồi đưa lên top kết quả tìm kiếm Google nhờ quảng cáo trả phí. Khi nhân viên tìm kiếm cổng thanh toán lương và bấm nhầm vào liên kết giả, họ sẽ được chuyển qua một trang trung gian rồi tới trang lừa đảo có giao diện giống Microsoft.
Đặc biệt, nạn nhân thường truy cập từ điện thoại cá nhân, vốn không có lớp bảo vệ chặt chẽ như máy tính công ty. Điều này giúp tin tặc dễ dàng lấy được thông tin đăng nhập mà không bị phát hiện. Sau khi có thông tin, chúng vào thẳng hệ thống thanh toán lương nội bộ, thay đổi thông tin tài khoản ngân hàng và chuyển tiền lương vào tài khoản riêng của chúng.
Một điểm đáng chú ý khác là tin tặc sử dụng các thiết bị router tại nhà hoặc mạng di động đã bị xâm nhập để che giấu danh tính, khiến các hệ thống giám sát khó phát hiện vì tưởng là nhân viên đang đăng nhập từ vị trí bình thường.
Mặc dù chưa xác định được nhóm đứng sau, nhưng các chuyên gia cho biết đây là một phần trong chuỗi chiến dịch có tổ chức vì từng có hai vụ việc tương tự diễn ra cuối năm 2024.
Kết hợp nhiều kỹ thuật che giấu và né tránh bảo mật
Theo phân tích của các chuyên gia, chiến dịch tấn công diễn ra theo các bước chính:- Nhắm vào thiết bị di động cá nhân của nhân viên - nơi thường thiếu các giải pháp bảo mật doanh nghiệp.
- Giả mạo giao diện đăng nhập Microsoft thông qua trang trung gian WordPress để thu thập thông tin.
- Sử dụng API đẩy thông báo (Push Notification) để hacker nhận được thông tin đăng nhập ngay khi người dùng nhập vào.
- Ẩn danh IP bằng cách lợi dụng router gia đình bị xâm nhập (như ASUS, Pakedge), ngụy trang thành truy cập từ địa chỉ IP dân cư nhằm tránh bị phát hiện.
Vì sao tấn công trên di động hiệu quả hơn?
Việc nhắm vào điện thoại cá nhân cho phép tin tặc:- Tránh các biện pháp giám sát và phát hiện trên hệ thống doanh nghiệp.
- Hạn chế khả năng điều tra và thu thập bằng chứng, vì các thiết bị này thường không được ghi log chi tiết như máy tính công ty.
- Tăng tỷ lệ thành công trong các cuộc tấn công phishing, nhờ giao diện nhỏ và ít khả năng xác minh tính chính chủ của trang web.
Các chiến dịch phishing khác đang bùng phát
Song song với chiến dịch trên, nhiều chiến dịch phishing khác cũng đang được ghi nhận với quy mô và mức độ tinh vi ngày càng gia tăng. Đáng chú ý, CoGUI phishing kit đang nhắm vào người dùng tại Nhật Bản thông qua việc giả mạo các thương hiệu lớn như Amazon, PayPay, Apple, Orico, Rakuten… với hơn 580 triệu email lừa đảo được phát tán chỉ trong 4 tháng đầu năm 2025.Trong khi đó, Panda Shop - một bộ công cụ mới nổi từ Trung Quốc cho phép tội phạm mạng phát tán tin nhắn lừa đảo qua iMessage và Android RCS bằng các tài khoản Apple và Gmail bị mua bán trôi nổi nhằm đánh cắp dữ liệu thẻ và bán lại trên chợ đen. Bên cạnh đó, các nhóm như Smishing Triad, Darcula và Lucid cũng đang đẩy mạnh mô hình tội phạm dưới dạng dịch vụ (Crime-as-a-Service), chuyên biệt hóa các kỹ thuật phishing nhắm trực tiếp vào người dùng di động khiến việc phát hiện và ngăn chặn ngày càng trở nên thách thức hơn.
Khuyến cáo cho doanh nghiệp và người dùng
Để phòng tránh các chiến dịch lừa đảo tương tự, các tổ chức và cá nhân cần lưu ý:- Tuyệt đối không tìm kiếm cổng nhân sự/lương thưởng qua Google; luôn sử dụng đường dẫn nội bộ chính thức.
- Triển khai xác thực đa yếu tố (MFA) cho các hệ thống tài chính và nhân sự.
- Cài đặt phần mềm bảo mật trên thiết bị di động cá nhân, đặc biệt đối với nhân viên làm việc từ xa.
- Giám sát lưu lượng truy cập bất thường từ các IP dân cư, đặc biệt là IP có nguồn gốc từ các router gia đình.
- Tăng cường đào tạo nhận thức an ninh mạng cho nhân viên, đặc biệt về các nguy cơ từ trang giả mạo và đường link quảng cáo.
Theo The Hacker News
Chỉnh sửa lần cuối: