- Một công cụ lừa đảo mới đã được phát hiện đang mạo danh trang đăng nhập của các dịch vụ tiền điện tử nổi tiếng trong một chiến dịch tấn công có tên CryptoChameleon chủ yếu nhắm mục tiêu vào các thiết bị di động.

“Công cụ này cho phép kẻ tấn công tạo bản sao giả mạo của các trang đăng nhập một lần (SSO), sau đó sử dụng kết hợp lừa đảo qua email, SMS và bằng giọng nói để lừa mục tiêu chia sẻ tên người dùng, mật khẩu, URL đặt lại mật khẩu và thậm chí cả ảnh thẻ ID (thẻ CCCD/CMND) của hàng trăm nạn nhân, hầu như ở Mỹ”, Lookout cho biết trong một báo cáo.

Mục tiêu của công cụ lừa đảo này bao gồm nhân viên của Ủy ban Truyền thông Liên bang (FCC), Binance, Coinbase và người dùng tiền điện tử của nhiều nền tảng khác nhau như Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown và Trezor. Cho đến nay, hơn 100 nạn nhân đã bị lừa đảo trong chiến dịch này.

Các trang lừa đảo được thiết kế để màn hình đăng nhập giả mạo chỉ hiển thị sau khi nạn nhân hoàn thành kiểm tra CAPTCHA bằng hCaptcha, do đó ngăn các công cụ phân tích tự động phát hiện và đánh dấu các trang web này là độc hại.

Trong một số trường hợp, các trang này được phân phối qua các cuộc gọi điện thoại và tin nhắn bằng cách giả mạo nhóm hỗ trợ khách hàng của công ty với lý do bảo mật tài khoản của họ sau một vụ hack.

Sau khi người dùng nhập thông tin đăng nhập, họ sẽ được yêu cầu cung cấp mã xác thực hai yếu tố (2FA) hoặc được yêu cầu "chờ" trong khi chúng xác minh thông tin được cung cấp.

Lookout cho biết: “Kẻ tấn công có thể thử đăng nhập bằng các thông tin xác thực này ngay sau khi nó được cung cấp, sau đó chuyển hướng nạn nhân đến trang thích hợp tùy thuộc vào thông tin bổ sung nào được yêu cầu bởi dịch vụ MFA mà kẻ tấn công đang cố truy cập”.

Công cụ lừa đảo cũng cố gắng tạo cảm giác tin cậy với việc cho phép người điều hành tùy chỉnh trang lừa đảo trong thời gian thực bằng cách cung cấp hai chữ số cuối trong số điện thoại thực của nạn nhân và lựa chọn xem nạn nhân nên được yêu cầu sáu hay bảy chữ số trong mã xác thực.

Mật khẩu một lần (OTP) do người dùng nhập sẽ bị kẻ lừa đảo chặn bắt và sử dụng để đăng nhập vào dịch vụ trực tuyến tương ứng. Trong bước tiếp theo, nạn nhân có thể được dẫn đến bất kỳ trang nào mà kẻ tấn công lựa chọn, bao gồm trang đăng nhập Okta hợp pháp hoặc một trang cho phép hiển thị các thông báo tùy chỉnh.

Lookout cho biết phương thức hoạt động của CryptoChameleon giống với các kỹ thuật được sử dụng bởi Scattered Spider, đặc biệt là việc mạo danh Okta và sử dụng các tên miền (domain) được liên kết với nhóm này.

Hiện vẫn chưa rõ liệu đây là công cụ của một tác nhân đe dọa đơn lẻ hay là công cụ phổ biến đang được nhiều nhóm khác nhau sử dụng.

Lookout lưu ý rằng: "Sự kết hợp giữa các URL lừa đảo có vẻ tin cậy, các trang đăng nhập giống với giao diện của các trang hợp pháp, cảm giác cấp bách và kết nối nhất quán thông qua SMS và cuộc gọi thoại đã mang lại cho các tác nhân đe dọa rất nhiều thành công trong việc đánh cắp dữ liệu và lừa đảo".

Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo như vậy, theo người dùng luôn phải cảnh giác khi nhận được bất kỳ tin nhắn, email, cuộc gọi từ nguồn lạ; kiểm tra cẩn thận trang web được chuyển hướng đến để chắc chắn bạn đang truy cập vào trang web an toàn/chính thống, tuyệt đối KHÔNG cung cấp mã xác thực OTP và thông tin đăng nhập cho người khác.

PV