Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Lừa đảo Diễn viên đe dọa Smishing Triad

Diễn viên đe dọa Smishing Triad

Đến năm Mezo năm Lừa đảo, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một chiến dịch smishing quy mô lớn đã được liên kết với hơn 194.000 tên miền độc hại kể từ ngày 1 tháng 1 năm 2024, nhắm mục tiêu vào nhiều dịch vụ trên toàn thế giới. Chiến dịch này sử dụng tin nhắn SMS lừa đảo để lừa người dùng tiết lộ thông tin nhạy cảm, thường là các thông tin vi phạm phí cầu đường hoặc bưu kiện bị giao nhầm.

Mặc dù các tên miền được đăng ký thông qua một cơ quan đăng ký có trụ sở tại Hồng Kông và sử dụng máy chủ tên miền của Trung Quốc, cơ sở hạ tầng tấn công chủ yếu hoạt động từ các dịch vụ đám mây lưu trữ tại Hoa Kỳ, phản ánh một thiết lập phân tán trên toàn cầu.

Bộ ba Smishing: Các tác nhân đe dọa có liên quan đến Trung Quốc

Chiến dịch này được cho là do một nhóm có liên hệ với Trung Quốc, được gọi là Smishing Triad, khét tiếng với việc phát tán thông báo lừa đảo tràn lan trên các thiết bị di động. Trong ba năm qua, các chiến dịch này đã chứng minh được lợi nhuận cao, mang về hơn 1 tỷ đô la cho các tác nhân đe dọa.

Những phát hiện gần đây cho thấy sự tiến hóa đáng kể trong chiến thuật của chúng. Các bộ công cụ lừa đảo đang ngày càng nhắm mục tiêu vào các tài khoản môi giới để đánh cắp thông tin đăng nhập ngân hàng và mã xác thực. Các cuộc tấn công vào các tài khoản này đã tăng gấp năm lần trong quý 2 năm 2025 so với cùng kỳ năm 2024. Một khi bị xâm nhập, kẻ tấn công sẽ thao túng giá cổ phiếu bằng các chiêu trò "ramp and dump" (tăng giá và xả hàng), để lại rất ít dấu vết trên giấy tờ.

Dịch vụ lừa đảo trực tuyến: Một hệ sinh thái tội phạm hoạt động hiệu quả

Smishing Triad đã chuyển đổi từ một nhà cung cấp bộ công cụ lừa đảo đơn giản thành một cộng đồng Phishing-as-a-Service (PhaaS) hoạt động rất tích cực, bao gồm nhiều tác nhân chuyên biệt:

  • Các nhà phát triển bộ công cụ lừa đảo – tạo ra các công cụ.
  • Nhà môi giới dữ liệu – cung cấp số điện thoại mục tiêu.
  • Người bán tên miền – đăng ký tên miền dùng một lần để lưu trữ các trang web lừa đảo.
  • Nhà cung cấp dịch vụ lưu trữ – bảo trì máy chủ.
  • Người gửi thư rác – phát tán tin nhắn lừa đảo trên quy mô lớn.
  • Máy quét số điện thoại đang hoạt động – xác minh số điện thoại đang hoạt động.
  • Máy quét danh sách chặn – kiểm tra tên miền có trong danh sách chặn để luân chuyển hay không.

Hệ sinh thái này cho phép triển khai nhanh chóng và thích ứng liên tục, khiến việc phát hiện và gián đoạn trở nên khó khăn.

Chiến lược đăng ký và hủy đăng ký tên miền

Phân tích cho thấy gần 93.200 trong số 136.933 tên miền gốc (68,06%) được đăng ký dưới tên Dominet (HK) Limited. Phần lớn trong số này sử dụng tiền tố .com, mặc dù số lượng đăng ký tên miền .gov đã tăng lên trong những tháng gần đây.

Chiến dịch này phụ thuộc rất nhiều vào tốc độ luân chuyển tên miền:

  • 29,19% tên miền hoạt động trong hai ngày hoặc ít hơn
  • 71,3% hoạt động trong vòng chưa đầy một tuần
  • 82,6% hoạt động trong hai tuần hoặc ít hơn
  • Ít hơn 6% sống sót sau ba tháng

Sự xáo trộn này, kết hợp với 194.345 FQDN phân giải thành 43.494 IP duy nhất (chủ yếu ở Hoa Kỳ trên Cloudflare), cho phép kẻ tấn công liên tục trốn tránh bị phát hiện.

Thông tin chi tiết về cơ sở hạ tầng và phạm vi toàn cầu

Những phát hiện chính từ phân tích cơ sở hạ tầng của chiến dịch bao gồm:

  • Bưu điện Hoa Kỳ là dịch vụ bị giả mạo nhiều nhất, với 28.045 FQDN.
  • Các dịch vụ thu phí chiếm ưu thế, với khoảng 90.000 tên miền đủ điều kiện lừa đảo.
  • Các tên miền tạo ra lưu lượng truy cập cao nhất chủ yếu được lưu trữ tại Hoa Kỳ, tiếp theo là Trung Quốc và Singapore.

Nạn nhân là mục tiêu của nhiều lĩnh vực, bao gồm ngân hàng, sàn giao dịch tiền điện tử, dịch vụ giao hàng, lực lượng cảnh sát, doanh nghiệp nhà nước, dịch vụ thu phí, ứng dụng đi chung xe, dịch vụ khách sạn, phương tiện truyền thông xã hội và nền tảng thương mại điện tử ở các quốc gia như Nga, Ba Lan và Litva.

Các chiến dịch mạo danh chính phủ thường chuyển hướng người dùng đến các trang đích yêu cầu thanh toán phí cầu đường hoặc phí dịch vụ chưa thanh toán, đôi khi sử dụng chiêu trò ClickFix để lừa người dùng thực thi mã độc được ngụy trang dưới dạng xác minh CAPTCHA.

Mối đe dọa phi tập trung có tác động toàn cầu

Chiến dịch Smishing Triad thể hiện phạm vi hoạt động toàn cầu và tính phi tập trung. Kẻ tấn công đăng ký và luân chuyển qua hàng nghìn tên miền mỗi ngày, giả mạo các dịch vụ khác nhau để tối đa hóa tác động. Các chiến dịch Smishing nhắm vào các dịch vụ thu phí của Hoa Kỳ chỉ là một khía cạnh của một tổ chức tội phạm khổng lồ, có khả năng thích ứng cao và sinh lời, đang tiếp tục phát triển trên quy mô lớn.

xu hướng

Lỗ hổng Pixnapping trên Android

Sự dễ bị tổn thương
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị Android của Google và Samsung, được gọi là Pixnapping. Kiểu tấn công kênh phụ này cho phép một ứng dụng độc hại bí mật đánh cắp dữ liệu nhạy cảm, bao gồm mã xác thực hai yếu tố (2FA) và dòng thời gian trên Google Maps, bằng cách chụp ảnh màn hình mà người dùng không hề hay biết. Kiểu tấn công này...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,196
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...