Gần đây, các nhà nghiên cứu từ Trung tâm Phòng chống Lừa đảo trực tuyến (PDC) thuộc Cofense đã phát hiện một chiến dịch giả mạo Amazon và PayPal nhằm tiếp cận nạn nhân thông qua các cuộc trò chuyện trực tuyến. Theo một bài đăng trên blog được công bố gần đây, kẻ tấn công lợi dụng tương tác thời gian thực để yêu cầu người dùng cung cấp các thông tin bao gồm th đăng nhập tài khoản, chi tiết thẻ tín dụng, mã xác thực đa yếu tố (MFA) và các thông tin nhận dạng cá nhân (PII) khác.

PayPal được biết đến là một dịch vụ thanh toán trực tuyến phổ biến, cho phép thực hiện các giao dịch xuyên biên giới thông qua Internet, trong khi Amazon là một trong những nền tảng thương mại điện tử lớn trên thế giới. Việc lợi dụng các thương hiệu có độ nhận diện cao giúp gia tăng mức độ tin cậy trong mắt nạn nhân, từ đó làm tăng xác suất thành công của các kịch bản lừa đảo.

Theo phân tích từ các nhà nghiên cứu Cobi Aloia và Mark Deomampo, chiến dịch này cho thấy các đối tượng tấn công không ngừng điều chỉnh và tối ưu hóa chiến thuật nhằm tạo ra các hình thức lừa đảo khó nhận diện hơn. Lừa đảo vốn là một trong những mối đe dọa an ninh lâu đời đối với người dùng, song vẫn duy trì hiệu quả cao nhờ việc kẻ tấn công sử dụng những thủ đoạn tuy đơn giản nhưng có tác động mạnh về mặt tâm lý.

Các cuộc tấn công trong chiến dịch này kết hợp nhiều kỹ thuật phổ biến như mạo danh thương hiệu, khai thác lòng tin của người dùng và đánh cắp thông tin nhạy cảm. Điều này cho thấy xu hướng các mối đe dọa hiện nay không còn hoạt động đơn lẻ mà có sự tích hợp nhiều kỹ thuật khác nhau nhằm tăng tính hiệu quả và khả năng né tránh phát hiện.

Hai kịch bản tấn công, một mục tiêu

Trong chiến dịch được ghi nhận, các nhà nghiên cứu của Cofense xác định hai kịch bản tấn công chính cùng hướng tới một mục tiêu chung là thu thập thông tin nhạy cảm của người dùng. Cả hai đều dựa trên việc tạo áp lực tâm lý, mạo danh các thương hiệu uy tín và tận dụng tương tác qua LiveChat để dẫn dắt người dùng cung cấp thông tin.

Các nhà nghiên cứu đưa ra lưu ý rằng các cuộc trò chuyện đều có dấu hiệu sai sót về ngữ pháp và dấu câu, có thể cho thấy khả năng cao người ở đầu bên kia có thể là một đối tượng thật đang làm theo kịch bản, thay vì một bot tự động hoặc trợ lý AI.

Kịch bản đầu tiên sử dụng hình thức lừa đảo hoàn tiền. Nạn nhân nhận được email giả mạo PayPal thông báo về một khoản hoàn tiền trị giá khoảng 200 USD, kèm theo yêu cầu nhấp vào liên kết “Xem chi tiết giao dịch”. Liên kết này dẫn người dùng đến một giao diện LiveChat được thiết kế mô phỏng trang hỗ trợ khách hàng chính thức của PayPal.

Trong quá trình tương tác với “nhân viên hỗ trợ”, người dùng được hướng dẫn từng bước chuyển sang một trang web bên ngoài. Tại đây, họ được yêu cầu nhập thông tin đăng nhập PayPal với lý do hoàn tất quy trình hoàn tiền. Sau đó, kẻ tấn công tiếp tục yêu cầu mã xác thực đa yếu tố (MFA) được gửi về thiết bị của nạn nhân. Khi đã có được các thông tin này, kẻ tấn công có thể mở rộng thu thập dữ liệu thông qua các biểu mẫu bổ sung, bao gồm thông tin thanh toán, ngày sinh và dữ liệu thẻ tín dụng.

Kịch bản thứ hai không gắn với một thương hiệu cụ thể ngay từ đầu, mà sử dụng thông báo chung về việc đơn hàng đang chờ xử lý và cần xác nhận. Người dùng được yêu cầu truy cập liên kết “Xem cập nhật”, sau đó được dẫn đến một giao diện yêu cầu nhập email để bắt đầu trò chuyện.

Trong bước tiếp theo, một đối tượng giả danh “nhân viên hỗ trợ” của Amazon sẽ tiếp tục tương tác và yêu cầu người dùng cung cấp thêm thông tin cá nhân. Sau đó, người dùng được thông báo rằng họ đủ điều kiện nhận hoàn tiền nhưng cần bổ sung thông tin thẻ tín dụng, bao gồm số thẻ, ngày hết hạn và mã CVC. Chuỗi tương tác này dẫn dắt người dùng từng bước cung cấp dữ liệu nhạy cảm mà không làm người dùng nhận thấy dấu hiệu bất thường.

So với các hình thức lừa đảo qua email truyền thống, LiveChat mang lại một số lợi thế đáng kẻ cho kẻ tấn công. Tính năng tương tác theo thời gian thực giúp tăng mức độ tin cậy, tạo cảm giác người dùng đang giao tiếp với bộ phận hỗ trợ chính thức. Đồng thời, kẻ tấn công có thể linh hoạt điều chỉnh nội dung hội thoại dựa trên phản ứng của nạn nhân trong suốt quá trình tương tác.

Hình thức này cũng đem lại nghiệm giống với dịch vụ chăm sóc khách hàng, qua đó làm giảm khả năng người dùng nghi ngờ. Việc liên tục tạo ra các mốc thời gian mang tính thúc ép như “xác minh ngay” hoặc “hết hạn hoàn tiền” có thể làm giảm thời gian kiểm chứng thông tin của nạn nhân và gia tăng khả năng họ cung cấp dữ liệu nhạy cảm.

Ảnh minh hoạ

Tấn công nạn nhân thông qua cơ chế trò chuyện trực tuyến

Theo các nhà nghiên cứu, mặc dù các kỹ thuật lừa đảo đã được sử dụng trong nhiều năm, đây là một trong những trường hợp hiếm hoi ghi nhận việc LiveChat bị lợi dụng theo cách này trong một chiến dịch có tổ chức. Phương thức này có thể được xem như biến thể trực tuyến của các cuộc tấn công lừa đảo qua điện thoại (vishing), trong đó kẻ tấn công sử dụng kỹ thuật xã hội trong các tương tác trực tiếp để thuyết phục nạn nhân cung cấp thông tin nhạy cảm. Trong một số trường hợp, các công cụ truy cập từ xa như AnyDesk cũng có thể bị lợi dụng để chiếm quyền kiểm soát thiết bị của nạn nhân.

Trong các tài liệu công khai liên quan đến chiến dịch này, chưa có số liệu cụ thể về tổng thiệt hại tài chính hoặc số lượng nạn nhân bị ảnh hưởng. Tuy nhiên, các chuyên gia an ninh mạng nhận định rằng các hình thức tấn công dựa trên tương tác thời gian thực thường có mức độ rủi ro cao hơn so với lừa đảo truyền thống, do khả năng điều chỉnh kịch bản linh hoạt theo từng nạn nhân.

Trên thực tế, nhiều chiến dịch lừa đảo tương tự không tập trung vào số lượng lớn nạn nhân ngay lập tức, mà thay vào đó ưu tiên tiếp cận có chọn lọc với các kịch bản cá nhân hóa nhằm nâng cao tỷ lệ thành công. Cách tiếp cận này khiến việc thống kê thiệt hại trở nên khó khăn, do các vụ việc thường phân tán và không phải lúc nào cũng được công bố rộng rãi.

Tại Việt Nam, các hình thức lừa đảo trực tuyến có yếu tố mạo danh và tương tác trực tiếp không phải là mới, nhưng đang có xu hướng gia tăng về mức độ tinh vi. Các đối tượng thường mạo danh các tổ chức tài chính, sàn thương mại điện tử, ví điện tử hoặc đơn vị vận chuyển nhằm tạo dựng lòng tin ban đầu với người dùng.

Các kịch bản phổ biến thường xoay quanh các tình huống như hoàn tiền, trúng thưởng, xác minh tài khoản hoặc thông báo đơn hàng gặp sự cố. Sau bước tiếp cận ban đầu, kẻ tấn công thường chuyển hướng người dùng sang các nền tảng chat như Zalo, Messenger hoặc các website chat giả mạo để tiếp tục tương tác theo kịch bản đã chuẩn bị. Trong quá trình này, người dùng có thể bị yêu cầu cung cấp các thông tin nhạy cảm như mã OTP, thông tin thẻ thanh toán, mật khẩu hoặc dữ liệu cá nhân, từ đó dẫn đến nguy cơ chiếm đoạt tài khoản ngân hàng hoặc ví điện tử.

Trong bối cảnh người dùng Việt Nam ngày càng quen thuộc với các giao dịch trực tuyến và dịch vụ hỗ trợ nhanh, các hình thức tấn công dựa trên tương tác trực tiếp có thể đạt hiệu quả cao hơn do khai thác được tâm lý tin tưởng vào các quy trình chăm sóc khách hàng và phản hồi tức thời.

Khuyến nghị từ chuyên gia

Các nhà nghiên cứu nhấn mạnh rằng yếu tố tương tác trực tiếp có thể làm giảm mức độ cảnh giác của nạn nhân, khi họ có xu hướng tin rằng mình đang giao tiếp với một đối tượng đáng tin cậy. Đây được xem là một trong những yếu tố then chốt góp phần nâng cao hiệu quả của các chiến dịch lừa đảo dạng này. Báo cáo cũng chỉ ra rằng các kịch bản lừa đảo có thể được thiết kế để mô phỏng trải nghiệm dịch vụ khách hàng, từ đó làm tăng khả năng người dùng cung cấp thông tin đăng nhập và dữ liệu nhạy cảm.

Để giảm thiểu rủi ro, các chuyên gia cho rằng việc phòng chống không chỉ dựa vào các giải pháp kỹ thuật mà còn cần kết hợp yếu tố con người trong quá trình phân tích và phát hiện. Cách tiếp cận này bao gồm sự phối hợp giữa các chuyên gia săn lùng mối đe dọa, thông tin tình báo theo thời gian thực và báo cáo từ người dùng nhằm phát hiện sớm các chiến dịch tấn công đang diễn ra.

Ngoài ra, các dấu vết tấn công (IoC) được công bố trong báo cáo có thể hỗ trợ các tổ chức an ninh trong việc nhận diện và ngăn chặn các hoạt động liên quan đến LiveChat, đặc biệt trong việc phát hiện các mẫu email và hạ tầng liên quan đến chiến dịch lừa đảo này.

                                                                                                                                            Thuý Hằng