WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Người dùng Skype đang bị tấn công lừa đảo lấy cắp mật khẩu
Nhân viên làm việc từ xa đang trở thành mục tiêu tấn công của một chiến dịch tấn công lừa đảo đánh cắp mật khẩu Skype.
Theo một báo cáo mới đây của Cofense, email lừa đảo trông “không khác gì” những email thông báo hợp pháp của Skype với nội dung người dùng có 13 thông báo Skype cần được kiểm tra bằng cách click vào nút Xem.
Các nhà nghiên cứu cho hay: “Việc nhận được những email thông báo dạng này không có gì lạ. Người dùng sẽ không nghi ngờ và bấm xem các thông báo. Chính sự tò mò khiến người dùng ‘Xem’ mà không nghi ngờ gì về việc bị tấn công lừa đảo”.
Địa chỉ người gửi sử dụng số điện thoại và địa chỉ email Skype hợp pháp, do đó địa chỉ này thoạt nhìn có vẻ hợp pháp. Nhưng địa chỉ email thực có thể được tìm thấy trong đường dẫn trả lại (được hiển thị dưới dạng “Gửi được gửi từ”).
Khi nhấp vào “Xem”, người dùng được chuyển hướng qua một link ứng dụng (hxxps://jhqvy[.]app[.]link/VAMhgP3Mi5) và cuối cùng là tới (hxxps://skype-online0345[.]web[.]app).
Tên miền cấp cao nhất .app, trang đích của chiến dịch lừa đảo này, được Google hỗ trợ để giúp các nhà phát triển ứng dụng chia sẻ ứng dụng của họ một cách an toàn. Nó làm cho cuộc tấn công lừa đảo thêm phần hợp pháp.
Theo các nhà nghiên cứu, lợi ích của tên miền cấp cao này là yêu cầu kết nối HTTPS để bổ sung bảo mật cho cả người dùng và nhà phát triển. Điều này rất tuyệt nhưng không phải trong trường hợp này. HTTPS có nghĩa là thêm khóa vào thanh địa chỉ, điều mà hầu hết người dùng đã được cho biết là có thể tin tưởng. Vì trang web lừa đảo này đang được lưu trữ thông qua .app TLD của Google, nó sẽ có biểu tượng đáng tin cậy này.
Trang web giả mạo trang đăng nhập hợp pháp của Skype, yêu cầu thông tin xác thực Skype của nạn nhân. Kẻ tấn công đã thêm các biểu tượng của công ty người nhận vào hộp đăng nhập, cũng như dòng thông tin ở phía dưới cảnh báo rằng trang này chỉ dành cho người dùng được ủy quyền.
Tên người dùng cũng được điền tự động (do URL chứa base64 của địa chỉ email mục tiêu), một thủ thuật khác khiến nạn nhân không thể nghi ngờ.
Do đó, điều duy nhất để người dùng làm là nhập mật khẩu của mình, sau đó mật khẩu sẽ rơi vào tay của kẻ tấn công.
Chiến dịch này là một trong nhiều cách để lợi dụng làn sóng làm việc từ xa giữa đại dịch coronavirus. Với sự tăng đột biến của các cuộc họp trực tuyến, thông tin đăng nhập Skype bị xâm phạm có thể được bán trên các diễn đàn ngầm hoặc được sử dụng để đăng nhập vào tài khoản nơi chia sẻ các tệp và dữ liệu nhạy cảm (cùng với các hoạt động độc hại khác).
Theo một báo cáo mới đây của Cofense, email lừa đảo trông “không khác gì” những email thông báo hợp pháp của Skype với nội dung người dùng có 13 thông báo Skype cần được kiểm tra bằng cách click vào nút Xem.
Các nhà nghiên cứu cho hay: “Việc nhận được những email thông báo dạng này không có gì lạ. Người dùng sẽ không nghi ngờ và bấm xem các thông báo. Chính sự tò mò khiến người dùng ‘Xem’ mà không nghi ngờ gì về việc bị tấn công lừa đảo”.
Địa chỉ người gửi sử dụng số điện thoại và địa chỉ email Skype hợp pháp, do đó địa chỉ này thoạt nhìn có vẻ hợp pháp. Nhưng địa chỉ email thực có thể được tìm thấy trong đường dẫn trả lại (được hiển thị dưới dạng “Gửi được gửi từ”).
Khi nhấp vào “Xem”, người dùng được chuyển hướng qua một link ứng dụng (hxxps://jhqvy[.]app[.]link/VAMhgP3Mi5) và cuối cùng là tới (hxxps://skype-online0345[.]web[.]app).
Tên miền cấp cao nhất .app, trang đích của chiến dịch lừa đảo này, được Google hỗ trợ để giúp các nhà phát triển ứng dụng chia sẻ ứng dụng của họ một cách an toàn. Nó làm cho cuộc tấn công lừa đảo thêm phần hợp pháp.
Theo các nhà nghiên cứu, lợi ích của tên miền cấp cao này là yêu cầu kết nối HTTPS để bổ sung bảo mật cho cả người dùng và nhà phát triển. Điều này rất tuyệt nhưng không phải trong trường hợp này. HTTPS có nghĩa là thêm khóa vào thanh địa chỉ, điều mà hầu hết người dùng đã được cho biết là có thể tin tưởng. Vì trang web lừa đảo này đang được lưu trữ thông qua .app TLD của Google, nó sẽ có biểu tượng đáng tin cậy này.
Trang web giả mạo trang đăng nhập hợp pháp của Skype, yêu cầu thông tin xác thực Skype của nạn nhân. Kẻ tấn công đã thêm các biểu tượng của công ty người nhận vào hộp đăng nhập, cũng như dòng thông tin ở phía dưới cảnh báo rằng trang này chỉ dành cho người dùng được ủy quyền.
Tên người dùng cũng được điền tự động (do URL chứa base64 của địa chỉ email mục tiêu), một thủ thuật khác khiến nạn nhân không thể nghi ngờ.
Do đó, điều duy nhất để người dùng làm là nhập mật khẩu của mình, sau đó mật khẩu sẽ rơi vào tay của kẻ tấn công.
Chiến dịch này là một trong nhiều cách để lợi dụng làn sóng làm việc từ xa giữa đại dịch coronavirus. Với sự tăng đột biến của các cuộc họp trực tuyến, thông tin đăng nhập Skype bị xâm phạm có thể được bán trên các diễn đàn ngầm hoặc được sử dụng để đăng nhập vào tài khoản nơi chia sẻ các tệp và dữ liệu nhạy cảm (cùng với các hoạt động độc hại khác).
Nguồn: Threatpost