Hãng bảo mật Trend Micro đã xem xét và nghiên cứu các cuộc tấn công phức tạp được thực hiện qua điện thoại di động, chủ yếu dưới dạng các cuộc gọi thủ công và thiết bị xã hội để trả lời cho câu hỏi này.

Nghiên cứu không chỉ tìm hiểu về cách thực hiện các cuộc tấn công không dây, mà còn để biết bọn tội phạm mạng tổ chức như thế nào. Báo cáo của nghiên cứu được đăng tải tại đây.

Trong năm qua, số điện thoại di động đã vượt qua dân số thế giới. Tại các quốc gia như Mỹ, số thuê bao di động đã vượt trội số người sử dụng điện thoại cố định truyền thống và một nửa số người Mỹ chuyển sang di động chỉ để giao tiếp.

Tại các thành phố thông minh hiện đại, các tòa nhà kết nối mạng không dây đang trở thành tiêu chuẩn xây dựng mới cho nhà cửa, nhà máy và các tổ chức nói chung. Điện thoại cố định có vẻ như sẽ ngày càng có nguy cơ biến mất sớm hơn.

Do điện thoại di động ngày nay đóng vai trò quan trọng cho cả người dùng và tổ chức, nó cũng trở thành mục tiêu tấn công của tội phạm mạng.

Cũng giống như cách các tài khoản email doanh nghiệp bị nhắm mục tiêu bởi lừa đảo, các điện thoại công ty giờ đây đang được bọn hacker “để ý” nhằm tiến hành các cuộc tấn công bằng công nghệ xã hội.

Chẳng hạn như khi người dùng vô tình công khai số điện thoại công ty của họ (trên các trang truyền thông mạng xã hội), họ có khả năng trở thành nạn nhân của những kẻ lừa đảo thu thập số liệu được nhắm mục tiêu từ những nguồn có sẵn này.

Bọn hacker sẽ thực hiện cuộc tấn công bằng cách sử dụng kỹ thuật xã hội, do đó bỏ qua các cơ chế bảo vệ thông thường của mạng lưới an ninh mạng sẵn có.

Trong nghiên cứu này, Trend Micro nêu bật các vấn đề hiện tại mình quan sát được trên điện thoại di động và rủi ro mà bọn hacker đặt ra cho các tổ chức trên toàn thế giới.

Trend Micro đã xem xét các cuộc tấn công phức tạp được thực hiện qua điện thoại di động, chủ yếu dưới dạng các cuộc gọi thủ công và thiết bị xã hội.

Nhóm Nghiên cứu Mối đe dọa Tiến triển (FTR) của hãng bảo mật này (hợp tác với Đại học New York, Đại học Quản lý Singapore và Viện Công nghệ Georgia) gần đây đã triển khai một trạm biến điện thoại di động (mobipot) để điều tra các mối đe dọa di động và hệ sinh thái về tội phạm mạng.

Trend Micro muốn tìm hiểu không chỉ về cách thực hiện các cuộc tấn công không dây này, mà còn để biết bọn tội phạm mạng tổ chức như thế nào.

Mobipot đã được cấu hình với mật mã (thẻ SIM được kiểm soát bởi các nhà nghiên cứu và ghi lại các cuộc tấn công dưới hình thức các cuộc gọi và tin nhắn).

Số lượng mật mã này được gieo vào các thuê bao có tiềm năng dễ bị tấn công với nhiều kỹ thuật, bao gồm chạy phần mềm độc hại và danh sách liên lạc của điện thoại thử nghiệm.

Hình 1. Cấu trúc Mobipot.

Hình 1. Cấu trúc Mobipot.

Hình 2. Phần cứng Mobipot.

Hình 2. Phần cứng Mobipot.

Trong khoảng thời gian 7 tháng, các nhà nghiên cứu thu thập 1.021 tin nhắn từ 215 người gửi và 634 cuộc gọi thoại từ 413 người gọi. Hơn 80% trong số đó là không được yêu cầu, bao gồm các mối đe dọa như gian lận, lừa đảo bằng giọng nói và các cuộc tấn công nhắm mục tiêu.

Hầu hết các cuộc gọi và văn bản này được thực hiện trong giờ làm việc. Điều này khẳng định rằng các tội phạm mạng trà trộn với lưu lượng điện thoại bình thường để xuất hiện hợp pháp. Bọn hacker cũng sử dụng các công ty điện thoại GSM và công nghệ VoIP để che giấu và giả mạo số điện thoại gốc. Kết quả là các kỹ thuật phát hiện truyền thống dựa trên danh sách đen kém hiệu quả và các kỹ thuật mới trở nên cần thiết.

Thư rác

Được cung cấp dưới dạng các cuộc gọi và tin nhắn tự động, thư rác chiếm 65% lưu lượng truy cập không mong muốn. Mobipot được nhắm mục tiêu với các tin nhắn cung cấp nhạc chuông, dịch vụ trực tuyến và trò chơi, cùng các loại quảng cáo khác nhằm:

  • Theo dõi và giám sát người dùng.
  • Truy cập email cá nhân và gián điệp trên người dùng.
  • Kinh doanh các hàng hóa bất hợp pháp như thẻ tín dụng bị đánh cắp, tài khoản thanh toán bị xâm nhập, PayPal có số dư đã xác minh…
  • Tuyên truyền chính trị.

Lừa đảo

Lừa đảo thường được thực hiện thủ công bởi bọn hacker sử dụng kỹ thuật xã hội để thu hút nạn nhân chuyển tiền. Các cuộc tấn công đa giai đoạn thường được áp dụng. Kẻ tấn công liên tục liên lạc với cùng một nạn nhân qua điện thoại và sau đó bằng tin nhắn văn bản, yêu cầu nạn nhân về tình trạng thanh toán bằng cách giả vờ gọi đến từ ngân hàng, hiệp hội phi lợi nhuận hoặc bạn bè.

Ví dụ, một số kẻ lừa đảo giả vờ là một trong những nhà cung cấp dịch vụ di động. Chúng “thông báo” rằng hợp đồng của bạn sẽ bị tạm ngừng vì hóa đơn không được thanh toán – thông tin thanh toán đã được gửi trong ngày. Trong một ví dụ khác, chúng giả mạo một dịch vụ bưu chính của công ty và yêu cầu một khoản phí để trả cho kiện hàng bị mắc kẹt tại hải quan.

Mobipot cũng xem xét cho thấy nhiều trường hợp gian lận yêu cầu cung cấp thông tin cá nhân của người dùng như cách viết tên, mật khẩu liên quan đến một tài khoản cụ thể, hoặc số IM cá nhân và tài khoản của mình.

Biểu đồ dưới đây cho thấy các kết nối giữa mật mã của Trend Micro và các cuộc tấn công. Các hình vuông đại diện cho Trend Micro. Mỗi vòng tròn đại diện cho một cuộc tấn công riêng biệt. Lưu ý rằng trong một số trường hợp, cùng một kẻ tấn công đã thực hiện nhiều chiến dịch (kết nối giữa các vòng kết nối nhỏ). Hầu hết các mật mã của chúng tôi đều bị tấn công bởi các cuộc tấn công khác nhau.

Hình 3. Các kết nối giữa mật mã của chúng tôi và các cuộc tấn công.

Hình 3. Các kết nối giữa mật mã của chúng tôi và các cuộc tấn công.

Giải pháp tiềm năng

Giải quyết vấn đề này đòi hỏi phải tập trung cả khía cạnh con người cũng như các khía cạnh kỹ thuật.

Nghiên cứu của hãng bảo mật cho thấy, có nhiều nguy cơ làm cho số điện thoại bất kỳ của một ai đó được biết đến rộng rãi. Nhân viên, đặc biệt là những người có vai trò nhạy cảm trong công ty, cần phải nhận thức được những rủi ro này. Một số người không nên đưa ra thông tin liên lạc bất kỳ ở đâu. Một số người khác có thể tách biệt hoàn toàn số điện thoại cá nhân và số điện thoại công việc để tránh phiền toái.

Nhân viên cũng nên được đào tạo về cách xử lý cuộc gọi không mong muốn. Đào tạo bảo mật cũng bao gồm cách xử lý email không mong muốn – tức là xác minh danh tính của người gửi và bất kỳ đường dẫn nào trong email phải được xác nhận. Nếu cần thiết, các quyết định này có thể được quy định trong chính sách và được thi hành phù hợp.

Mặt khác, các giải pháp kỹ thuật cũng nên có mặt. Các cuộc gọi đến có thể được lọc bởi các sản phẩm bảo mật, chẳng hạn như Trend Micro Mobile Security dành cho Android. Công cụ này giúp người dùng quản lý các cuộc gọi nhận được trên thiết bị.

Kết luận

Nghiên cứu của hãng bảo mật Trend Micro cho thấy một lần nữa tội phạm mạng lại nhanh chóng thích ứng với một thế giới đang thay đổi. Bọn hacker nhận ra điện thoại di động đóng vai trò quan trọng trong cuộc sống của hàng triệu người và đã tìm ra những cách khác nhau để lạm dụng điện thoại di động nhằm thực hiện các cuộc tấn công kỹ thuật xã hội phức tạp và hiệu quả.

Trong trường hợp tội phạm có tổ chức và các cuộc tấn công được nhắm mục tiêu trở nên thường xuyên hơn, các thiết bị di động của nhân viên có thể được coi là mối đe dọa cho tổ chức của họ.

Nếu cần biết thêm, bạn có thể tham khảo bài báo của Trend Micro có tiêu đề “MobiPot: Tìm hiểu thách thức điện thoại di động” được thực hiện tại Diễn đàn ACM châu Á lần thứ 11 về An ninh Máy tính và Truyền thông tại Tây An, Trung Quốc.

Gần đây, Trend Micro đã trình bày về việc tập trung vào các phát hiện cụ thể ở châu Á, tại Black Hat Asia năm 2017, thông qua bài viết có tiêu đề “Mối đe doạ điện thoại di động ở châu Á”. Xem thêm slide bên dưới:

Chia sẻ.