Ảnh minh hoạ.

Hoạt động này nhắm vào cá nhân, doanh nghiệp và các tổ chức ở nhiều quy mô và ngành nghề khác nhau, với tổng thiệt hại hơn 262 triệu USD kể từ đầu năm. FBI cho biết đã nhận được hơn 5.100 khiếu nại liên quan.

Lừa đảo ATO thường xảy ra khi tội phạm mạng chiếm quyền truy cập trái phép vào các tài khoản ngân hàng trực tuyến, hệ thống trả lương, hoặc tài khoản tiết kiệm y tế, nhằm trích xuất dữ liệu và chuyển tiền cho mục đích cá nhân. Các đối tượng thường sử dụng kỹ nghệ xã hội (social engineering) như tin nhắn, cuộc gọi, email đánh vào tâm lý sợ hãi của người dùng hoặc tạo ra các trang web giả mạo.

FBI giải thích: “Tội phạm mạng thao túng chủ tài khoản cung cấp thông tin đăng nhập của họ, bao gồm cả mã xác thực đa yếu tố (MFA) hoặc mã OTP, bằng cách mạo danh nhân viên tổ chức tài chính, nhân viên hỗ trợ khách hàng hoặc hỗ trợ kỹ thuật. Sau đó, tội phạm mạng sử dụng thông tin đăng nhập để đăng nhập vào trang web hợp pháp của tổ chức tài chính và thực hiện đặt lại mật khẩu, cuối cùng giành quyền kiểm soát hoàn toàn các tài khoản.”

Một số vụ việc khác cho thấy các tội phạm giả danh tổ chức tài chính gọi điện cho chủ tài khoản, báo cáo rằng thông tin của họ đã được dùng để thực hiện giao dịch gian lận, bao gồm cả mua bán vũ khí, rồi thuyết phục họ cung cấp thông tin cho một tội phạm khác giả danh cơ quan thực thi pháp luật.

FBI cũng cảnh báo rằng ATO còn có thể lợi dụng SEO độc hại, khiến người dùng tìm kiếm doanh nghiệp trên công cụ tìm kiếm nhấp vào các liên kết giả, chuyển hướng đến trang web giả mạo.

Bất kể phương pháp nào được sử dụng, các cuộc tấn công đều có một mục tiêu: giành quyền kiểm soát tài khoản, nhanh chóng chuyển tiền đến các tài khoản khác dưới sự kiểm soát của chúng và thay đổi mật khẩu, khóa quyền truy cập của chủ tài khoản. Số tiền được chuyển đi sau đó còn được liên kết với ví tiền điện tử để chuyển đổi thành tài sản kỹ thuật số, che dấu dấu vết tài chính.

Để tự bảo vệ mình, người dùng được khuyên nên cẩn thận khi chia sẻ thông tin cá nhân trực tuyến hoặc trên mạng xã hội, thường xuyên theo dõi các tài khoản để phát hiện bất thường về tài chính, sử dụng mật khẩu phức tạp và duy nhất, đảm bảo kiểm tra URL của các trang web ngân hàng trước khi đăng nhập, và luôn cảnh giác với các cuộc tấn công lừa đảo hoặc những người gọi đáng ngờ.

FBI nhấn mạnh: “Việc công khai thông tin như tên thú cưng, trường học từng học, ngày sinh hoặc thông tin về thành viên gia đình có thể cung cấp dữ liệu để kẻ gian đoán mật khẩu hoặc trả lời câu hỏi bảo mật.”

Ông Jim Routh, Giám đốc quản trị niềm tin tại Saviynt, nhận định: “Hầu hết các vụ ATO được FBI đề cập xảy ra do kẻ tấn công sử dụng thông tin đăng nhập đã bị xâm phạm và hiểu rõ quy trình nội bộ của các tổ chức tài chính.”

Ông cho rằng các biện pháp kiểm soát hiệu quả nhất vẫn là thủ công (gọi điện thoại để xác minh) và tin nhắn SMS để phê duyệt giao dịch, đồng thời chỉ ra rằng nguyên nhân cốt lõi là việc vẫn chấp nhận sử dụng thông tin xác thực cho các tài khoản đám mây mặc dù đã có sẵn các tùy chọn không mật khẩu.

Trước mùa lễ, các công ty bảo mật như Darktrace, Flashpoint, Forcepoint, Fortinet, Zimperium cảnh báo các mối đe dọa lớn, bao gồm lừa đảo Black Friday, mã QR giả, quét thẻ quà tặng, và các chiến dịch lừa đảo mạo danh các thương hiệu lớn như Amazon và Temu.

Nhiều vụ lừa đảo đang lợi dụng các công cụ trí tuệ nhân tạo (AI) để tạo ra các email lừa đảo, trang web giả mạo và quảng cáo trên mạng xã hội. Điều này cho phép ngay cả những tội phạm mạng ít kỹ năng cũng có thể thực hiện các cuộc tấn công và tăng tỷ lệ thành công của chiến dịch.

Fortinet FortiGuard Labs cho biết đã phát hiện ít nhất 750 tên miền giả mạo chủ đề lễ hội được đăng ký trong ba tháng qua, nhiều tên chứa từ khóa “Christmas,” “Black Friday,” “Flash Sale.” Trong cùng thời gian, hơn 1,57 triệu tài khoản đăng nhập liên quan đến các trang thương mại điện tử lớn được rao bán trên thị trường ngầm.

Các hacker cũng khai thác lỗ hổng bảo mật trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và nhiều nền tảng thương mại điện tử khác.

Theo Zimperium zLabs, các trang web lừa đảo di động (còn gọi là mishing) đã tăng gấp 4 lần, trong đó tội phạm lợi dụng tên các thương hiệu uy tín để tạo cảm giác gấp rút, lừa người dùng nhấp, đăng nhập hoặc tải xuống  bản cập nhật độc hại.

Ngoài ra, Recorded Future đã cảnh báo về các vụ lừa đảo mua hàng, nơi tội phạm mạng sử dụng các cửa hàng thương mại điện tử giả mạo để đánh cắp dữ liệu nạn nhân và ủy quyền thanh toán gian lận cho các hàng hóa và dịch vụ không tồn tại. Công ty mô tả đây là “mối đe dọa gian lận mới nổi”.

Công ty cho biết: “Một hệ sinh thái web đen tinh vi cho phép các kẻ tấn công nhanh chóng thiết lập cơ sở hạ tầng lừa đảo mua hàng mới và khuếch đại tác động của chúng. Các hoạt động quảng cáo mô phỏng tiếp thị truyền thống, bao gồm cả việc rao bán dữ liệu thẻ tín dụng bị đánh cắp trên chợ đen PP24 đang lan rộng trong thế giới ngầm này.”

“Các đối tượng dùng thẻ thanh toán bị đánh cắp để tài trợ cho chiến dịch quảng cáo, từ đó chiếm thêm dữ liệu thẻ, tạo ra vòng luẩn quẩn của gian lận,” bản báo cáo nhấn mạnh.

Lệ Thanh (theo The Hacker News)