Tin tứcCác tin tặc đang sử dụng một công cụ mới có tên là Astaroth đánh cắp thông tin bảo mật web của nạn nhân theo thời gian thực, lừa nạn nhân nghĩ rằng, họ đã đăng nhập vào tài khoản của mình một cách bình thường bằng cách gửi họ đến một trang web giả mạo trông giống hệt trình duyệt của họ.
James Knight, người có 25 năm kinh nghiệm trong lĩnh vực an ninh số, chia sẻ với DailyMail.com rằng, mọi người cần bật bộ lọc thư rác trên tài khoản của mình để chặn những email lừa đảo này.
'Nếu nhận được những email này, mọi người nên cẩn thận với những gì họ mở và những liên kết họ nhấp vào. Hãy nhớ rằng, chỉ vì nó trông giống như thông tin đăng nhập Gmail hoặc Office, không có nghĩa là nó là như vậy' - Knight cảnh báo.
Knight là một chuyên gia kiểm thử bảo mật, người chuyên phá hệ thống phòng thủ kỹ thuật số của công ty để đánh giá mức độ chuẩn bị của khách hàng trước các nỗ lực tấn công thực sự.
Gần đây, anh sử dụng các công cụ phòng chống tội phạm mạng như Astaroth với khách hàng 'để kiểm tra nhận thức về bảo mật của nhân viên và các biện pháp bảo vệ an ninh kỹ thuật, và thấy nó rất hiệu quả'.
Chuyên gia này cho biết, Astaroth thậm chí có thể giúp tin tặc mạo danh nạn nhân, gửi email có nội dung gây thiệt hại từ tài khoản của nạn nhân.
'Chúng tôi vừa thực hiện một cuộc tấn công bằng cách xâm nhập vào email của một CEO, sau đó chúng tôi lợi dụng điều này để gửi thêm email cho nhân viên từ tài khoản này. Những cuộc tấn công này có thể gây tê liệt cho cả một công ty' - Knight giải thích.
Astaroth nguy hiểm như thế nào?
Astaroth, hiện đang được rao bán trên dark web, có thể vượt qua xác thực hai yếu tố (2FA) để chiếm đoạt tài khoản.
Xác thực hai yếu tố (một dạng xác thực đa yếu tố) được cho là sẽ bổ sung thêm một lớp bảo vệ cho tài khoản trực tuyến riêng tư của bạn, thường bằng cách gửi mã truy cập đến điện thoại hoặc email của người dùng hợp pháp.
Tuy nhiên, công cụ lừa đảo này đánh cắp các hình thức nhận dạng này theo thời gian thực, lừa nạn nhân nghĩ rằng họ đã đăng nhập vào tài khoản của mình một cách bình thường bằng cách gửi họ đến một trang trình duyệt giả mạo trên máy chủ 'proxy ngược'.
Tin tặc sử dụng Astaroth có thể truy cập vào tên người dùng, mật khẩu, số thẻ tín dụng, thông tin ngân hàng và các dữ liệu quan trọng khác sau khi nạn nhân đăng nhập vào tài khoản của họ thông qua các trang giả mạo này.
Cho đến nay, hầu hết các công cụ lừa đảo đều dựa vào việc gửi email có liên kết đáng ngờ, dẫn nạn nhân đến các trang đăng nhập giả mạo, đánh cắp tên người dùng và mật khẩu chính của họ.
Điều này có nghĩa là 2FA vẫn có thể giữ an toàn cho người dùng email bằng cách yêu cầu họ xác minh rằng chính họ là người đăng nhập vào tài khoản của mình.
Tuy nhiên, Astaroth hoạt động như một trung gian cho tin tặc, thu thập thông tin đăng nhập (tên người dùng và mật khẩu), mã thông báo (mã 2FA) và cookie phiên (tệp trình duyệt web) theo thời gian thực.
Tất cả những điều này có hiệu quả trong việc bỏ qua mọi hình thức xác thực đa yếu tố (MFA) trên tài khoản của bạn.
'Astaroth nói riêng đáng chú ý vì nó đi kèm với hỗ trợ và cập nhật' Knight nói. Những bản cập nhật này rất cần thiết vì Google, Microsoft... đã bỏ nhiều công sức để bảo vệ chống lại các cuộc tấn công này.
Người bán Astaroth được cho là đang bán bộ công cụ lừa đảo mới trên dark web với giá 2.000 đô la và có thể gửi cho người mua trên ứng dụng Telegram.
Như Knight đã lưu ý, người bán Astaroth trên dark web được cho là đang cung cấp bản cập nhật trong sáu tháng cho phần mềm độc hại này - tất cả với giá 2.000 đô la, được gửi ẩn danh thông qua ứng dụng Telegram.
Knight giải thích: 'Các kỹ thuật và công cụ lừa đảo tương tự sử dụng proxy ngược để đánh cắp thông tin đăng nhập, mã MFA và cookie phiên đã xuất hiện trong nhiều năm'.
Những proxy kết nối giữa người dùng và dịch vụ email là nguy hiểm nhất vì chúng cung cấp quyền truy cập liên tục, ngay cả khi người dùng đã thiết lập các tính năng bảo mật như MFA.
Theo công ty công nghệ SlashNext, bất kỳ ai sử dụng các dịch vụ như Gmail, Yahoo, AOL và Microsoft Outlook đều có thể bị tấn công theo cách này.
Knight nói thêm rằng, cả Microsoft và Google đều đang nỗ lực bảo vệ người dùng của họ khỏi chiêu trò lừa đảo mới nhất này, nhưng có thể một trong hai công ty đang tụt hậu.
Chuyên gia an ninh mạng của DigitalWarfare.com cho biết, 'Microsoft đã nỗ lực nhiều nhất trong việc bảo vệ chống lại loại tấn công này và đây là trò chơi mèo vờn chuột nhanh chóng. Google với Gmail đã nỗ lực một chút về vấn đề này nhưng không đến mức như vậy.'
Astaroth hoạt động thế nào?
Nạn nhân kích hoạt Astaroth bằng cách nhấp vào một URL đáng ngờ, thường được gửi trong thư rác hoặc email có nội dung lừa đảo. Liên kết này sẽ đưa nạn nhân đến một máy chủ proxy ngược mà tin tặc đang sử dụng thay vì trình duyệt web thực tế của họ.
Máy chủ độc hại nằm 'trước' máy chủ, ứng dụng hoặc dịch vụ đám mây hợp pháp của người dùng và chuyển tiếp tất cả các yêu cầu trình duyệt web của nạn nhân đến tin tặc.
Đối với tội phạm mạng, điều này cho phép chúng theo dõi và nắm bắt mọi thứ nạn nhân muốn gửi đến trình duyệt thông thường của chúng.
Máy chủ giả mạo sẽ bắt chước giao diện của tên miền mục tiêu trong khi vẫn tiếp tục gửi lưu lượng giữa nạn nhân và trang đăng nhập hợp pháp.
Nói một cách đơn giản, nếu bạn sử dụng Gmail, Astaroth sẽ tạo một màn hình đăng nhập Gmail giả để nạn nhân sử dụng, cho phép tin tặc sao chép thông tin cá nhân của họ trước khi chuyển cho Gmail thật.
Theo FBI, lừa đảo qua mạng là hình thức tội phạm mạng được báo cáo nhiều nhất vào năm 2023. Các quan chức liên bang cho biết có hơn 298.000 khiếu nại về các chương trình lừa đảo qua mạng đã được nộp vào năm đó, chiếm khoảng một phần ba tổng số tội phạm mạng vào năm 2023.
