- Theo cảnh báo từ chính phủ Mỹ và nhiều chuyên gia an ninh mạng, tội phạm mạng đã lợi dụng sự hỗn loạn từ sự cố ngừng hoạt động công nghệ toàn cầu trên diện rộng hồi cuối tuần vừa rồi bằng cách quảng bá các trang web giả mạo chứa đầy phần mềm độc hại được thiết kế để tấn công những nạn nhân.

Các chuyên gia bảo mật cho biết, tin tặc đã thiết lập các trang web giả mạo nhằm thu hút những người đang tìm kiếm thông tin hoặc giải pháp cho cuộc khủng hoảng công nghệ thông tin trên toàn thế giới nhưng trên thực tế, chúng được thiết kế để thu thập thông tin của khách truy cập hoặc xâm phạm thiết bị của họ.

Các trang web lừa đảo sử dụng tên miền bao gồm các từ khóa như CrowdStrike - công ty an ninh mạng đứng đằng sau bản cập nhật phần mềm bị lỗi dẫn đến cuộc khủng hoảng công nghệ vừa rồi - hoặc “màn hình xanh”, là thứ mà các máy tính bị ảnh hưởng bởi sự cố CrowdStrike hiển thị khi chúng khởi động.

Các trang web lừa đảo có thể cố gắng thu hút nạn nhân bằng cách hứa hẹn khắc phục nhanh sự cố CrowdStrike hoặc lừa đảo họ bằng các đề nghị cung cấp tiền điện tử giả.

Trong một bản tin về sự cố ngừng hoạt động, Bộ An ninh Nội địa Mỹ cho biết họ đã chứng kiến ​​“những kẻ đó lợi dụng sự cố này để lừa đảo và tiến hành các hoạt động độc hại khác”.

Bản tin do Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng của Bộ An ninh Nội địa Mỹ phát đi cho biết: “Hãy luôn cảnh giác và chỉ làm theo hướng dẫn từ các nguồn hợp pháp”. CrowdStrike đã ban hành hướng dẫn riêng về những gì các tổ chức bị ảnh hưởng có thể làm để ứng phó với vấn đề này.

Diễn biến nói trên cho thấy một sự kiện tin tức có sức ảnh hưởng lớn, đầy biến động đã tạo ra hàng loạt rủi ro thứ cấp cho hàng triệu người khi những kẻ xấu cố gắng trục lợi từ thảm họa CrowdStrike và khi hàng nghìn tổ chức đua nhau tìm cách khôi phục sau bản cập nhật phần mềm bị lỗi của CrowdStrike.

Ông Kenn White - một nhà nghiên cứu bảo mật độc lập chuyên về an ninh mạng, cho biết trong một cuộc trả lời phỏng vấn báo chí rằng: “Đó là một mô hình khá tiêu chuẩn mà chúng tôi thấy sau các sự cố ở quy mô này. Tội phạm không ngừng theo đuổi những cách thức sáng tạo để khai thác những người dễ bị tổn thương nhất.”

Trong bối cảnh xảy ra vụ ngừng hoạt động công nghệ thông tin trên toàn cầu vào hôm 19/7, chính CrowdStrike đã cảnh báo về việc tin tặc đang cố gắng khai thác tình hình bằng cách “lợi dụng sự kiện này như một mồi nhử”. Trong một bài đăng trên blog, CrowdStrike cho biết những kẻ độc hại không chỉ tạo ra các trang web giả mạo mà còn mạo danh nhân viên CrowdStrike bằng các email và cuộc gọi điện thoại lừa đảo, thậm chí bán phần mềm không có thật với mục đích khắc phục trục trặc.

Một ví dụ về trường hợp nói trên là nhắm mục tiêu đến khách hàng CrowdStrike nói tiếng Tây Ban Nha, công ty cho biết trong một bài đăng blog riêng. Cuộc tấn công xảy ra dưới dạng một tệp được đặt tên sai là Crowstrike-hotfix.zip. Khi được mở ra, tệp sẽ cài đặt phần mềm độc hại gọi về máy chủ mà tin tặc kiểm soát và có thể sử dụng để đưa ra hướng dẫn bổ sung cho phần mềm độc hại.

Hiện tại không có cách khắc phục tự động nào để khôi phục sau trục trặc phần mềm CrowdStrike. Các chuyên gia bảo mật cho biết điều này có nghĩa là quá trình khôi phục sẽ mất nhiều thời gian và không hề đơn giản, có thể tiêu tốn hàng triệu - nếu không phải là hàng tỷ đô la.

Ở một khía cạnh nào đó, những gì hiện đang diễn ra trên không gian mạng giống với cách thông tin sai lệch có thể lấn át sự hiểu biết của công chúng về các sự kiện diễn ra trong thế giới thực.

Tin tặc thường cố gắng sử dụng các câu chuyện tin tức nổi bật để thu hút lưu lượng truy cập theo cách của chúng. Ví dụ, sau vụ vi phạm dữ liệu Equifax lớn được công bố vào năm 2017, các công ty bảo mật cho biết họ đã quan sát thấy tội phạm mạng gửi hàng trăm nghìn email lừa đảo mạo danh ngân hàng. Các chuyên gia cho biết vào thời điểm đó, các email nhằm mục đích nhắm vào những nạn nhân đang lo lắng, những người có nhiều khả năng mở xem email từ tổ chức tài chính của họ hơn.