Tin tặc sử dụng ngân hàng làm điểm khởi đầu cho các cuộc tấn công lừa đảo

Việc tội phạm mạng tấn công các ngân hàng và tổ chức tài chính, thâm nhập vào và sử dụng một phần cơ sở hạ tầng bị xâm phạm để có quyền truy cập vào các mục tiêu cụ thể ở mọi khu vực hoặc quốc gia đang có xu hướng gia tăng trong thời gian gần đây.

Trong một báo cáo được công bố ngày hôm qua 19/2, công ty bảo mật quốc tế Group-IB - đơn vị chuyên ngăn chặn các cuộc tấn công mạng quốc tế đã mô tả cái gọi là “hiệu ứng domino xuyên biên giới” có thể dẫn đến những cuộc tấn công lây nhiễm mã độc và lừa đảo vượt ra ngoài mục tiêu ban đầu. Báo cáo dựa trên thông tin từ các dự án ứng phó sự cố được thực hiện vào năm 2018 bởi đội ngũ chuyên gia pháp y máy tính của công ty.

• Các tổ chức có thể làm được gì để bảo vệ mình trước những cuộc tấn công mạng?

Tấn công theo chuỗi nhằm thu về hiệu quả tối đa

Những hoạt động ứng phó sự cố tại các tổ chức tài chính khác nhau đã tiết lộ rằng trong một số trường hợp, kẻ tấn công đã sử dụng quyền truy cập của mình để gửi email đến các ngân hàng và hệ thống thanh toán khác.

Có thể lấy ví dụ đơn giản về vụ việc xuất phát từ một ngân hàng ở Nga, nơi kẻ tấn công đã sử dụng cơ sở hạ tầng của ngân hàng này để gửi email lừa đảo đến một ngân hàng khác tại Kazakhstan. Một cuộc tấn công chuỗi đã được quan sát kỹ lưỡng, và đã có rất nhiều tổ chức ở các quốc gia khác cũng đã bị phát hiện liên quan đến những tin nhắn độc hại nhằm truy cập vào hệ thống của họ.

Những tên tội phạm mạng đứng sau vụ việc này sau đó đã thực hiện thêm một chiến dịch lừa đảo khác với kịch bản tương tự, bằng cách sử dụng cơ sở hạ tầng của một ngân hàng ở Kazakhstan để lây nhiễm mà độc cho một ngân hàng khác ở Georgia.

Mặc dù trọng tâm của báo cáo là về các công ty, tổ chức ở Nga và Đông Âu, nhưng các chuyên gia Group-IB cũng đã lần theo dấu vết của kẻ tấn công đến các mục tiêu trong cộng đồng các quốc gia độc lập (CIS) - một tổ chức gồm 10 nước cộng hòa hậu Xô Viết ở châu Á và châu Âu.

"Một nhóm tin tặc có động cơ nhằm vào lĩnh vực tài chính luôn tìm cách để tối đa hóa lợi nhuận thu về sau mỗi cuộc tấn công, đơn cử như trong trường hợp này là bằng cách kiểm soát hệ thống ngân hàng. Nó không chỉ nhằm đến việc rút tiền từ một ngân hàng bị xâm nhập mà còn hướng đến mục tiêu lây nhiễm sang càng nhiều nạn nhân mới càng tốt". Valery Baulin, trưởng phòng nghiên cứu pháp y kỹ thuật số Group-IB cho biết.

Ngoài ra, vị chuyên gia này cũng giải thích rằng "hiệu ứng domino" gây ra sau những vụ tấn công chuỗi là một véctơ lây lan nguy hiểm, vì tin tặc sử dụng cơ sở dữ liệu của các công ty đối tác của ngân hàng bị xâm nhập.

• IBM phát triển kỹ thuật vá lỗ hổng bảo mật mới ưu việt hơn.

Các ngân hàng ở Nga là những mục tiêu thường bị nhắm tới

Điểm mấu chốt trong báo cáo của Group-IB là các ngân hàng ở Nga thường không sẵn sàng cho các cuộc tấn công mạng, hay nói cách khác hệ thống bảo mật của họ quá lỏng lẻo và không được “chăm chút” thường xuyên. Thống kê cho thấy hơn một nửa dấu hiệu xâm phạm vào các hệ thống ngân hàng trong quá khứ bắt nguồn từ Nga.

Ngoài ra, 29% trong số các công ty nơi Group-IB thực hiện những hoạt động ứng phó sự cố trong năm ngoái có chứa phần mềm độc hại đang hoạt động trên cơ sở hạ tầng mạng của họ, trong khi các báo cáo về dịch vụ bảo mật CNTT nội bộ của những ngân hàng này lại không có bất cứ manh mối nào về phần mềm độc hại đó.

Các phương pháp lừa đảo rút tiền thì vẫn được thực hiện theo phương pháp cũ, đó là tiền được rút qua thẻ thanh toán (ATM), thông qua các tài khoản giả, hệ thống thanh toán hoặc trực tiếp từ các cây ATM.

Phương pháp thì vẫn vậy, thế nhưng khối lượng tiền mặt bị đánh cắp đã tăng lên đáng kể, và các cuộc tấn công cũng được thực hiện nhanh gọn hơn. Nếu ba năm trước, trung bình tin tặc phải mất đến 25-30 giờ để có được số tiền 3 triệu đô la, thì trong năm 2018 họ đã lấy được số tiền tương tự trong vòng chưa đầy 15 phút từ nhiều ngân hàng ở Nga.

• 1.7 tỷ USD tiền điện tử đã bị tin tặc “xử đẹp” trong năm 2018

Theo các chuyên gia bảo mật, sự thành công của tin tặc một phần là do năng lực quản lý trung tâm thiếu sót, không đủ để dự báo và đưa ra các biện pháp xử lý, hay xa hơn là hợp tác giữa các ngân hàng. Bên cạnh đó, sự thiếu sót trong các quy trình cảnh báo và thực tế là các chuyên gia CNTT đã phản ứng quá chậm với sự cố hack cũng là những yếu tố góp phần làm nghiêm trọng thêm tình hình.

Nếu không có những biện pháp kịp thời để cải thiện tình hình trong tương lai gần, thiệt hại mà họ nhận được sẽ không chỉ dừng lại ở mức đó.