Cảnh báo nỗ lực tấn công spear phishing hai giai đoạn qua Dropbox

Tội phạm mạng nhắm vào các nạn nhân cụ thể và thông qua Dropbox để gửi các liên kết phishing nhằm đánh cắp thông tin xác thực của doanh nghiệp.

Những kẻ tấn công hiện đại ngày càng thực hiện các cuộc tấn công có mục tiêu tinh vi. Bên cạnh việc tận dụng nhiều dịch vụ trực tuyến hợp pháp, chúng còn sử dụng các kỹ thuật xã hội (social engineering) để lừa nạn nhân đi theo các đường liên kết.

Gần đây, đội ngũ nghiên cứu của hãng bảo mật Kaspersky đã phát hiện thêm một loạt các chiến dịch phishing đa giai đoạn không chính thống cần được cảnh báo cho nhân viên xử lý tài liệu tài chính của các doanh nghiệp và tổ chức.

Email đầu tiên

Cuộc tấn công bắt đầu bằng một email gửi đến nạn nhân có vẻ từ một công ty kiểm toán thật. Trong email, người gửi nói rằng họ đã cố gắng gửi một báo cáo tài chính đã kiểm toán, nhưng do tệp quá lớn để gửi qua email nên phải tải lên Dropbox. Email này có thể được gửi từ một địa chỉ thật trên máy chủ mail của công ty có thật với nhiều khả năng kẻ tấn công đã chiếm quyền kiểm soát hộp thư.

Email đầu tiên gửi từ “công ty kiểm toán” nhằm mục đích thuyết phục nạn nhân.

Từ góc độ của bất kỳ hệ thống bảo mật email nào, email này hoàn toàn hợp pháp – không thể phân biệt được với các thư điện tử kinh doanh thông thường. Nó (1) không chứa liên kết, (2) đến từ một địa chỉ công ty hợp pháp và (3) nội dung chỉ đơn giản thông báo cho người nhận về một nỗ lực gửi báo cáo thất bại qua email. Thông điệp này chắc chắn sẽ thu hút sự chú ý của nhân sự kế toán đọc nó. Email cũng chứa tuyên bố từ chối trách nhiệm rằng nội dung là bảo mật và chỉ dành cho người nhận, và công ty được gửi nhân danh có sự hiện diện trực tuyến lớn. Tất cả đều trông rất thuyết phục.

Chỉ có một điểm đáng nghi ngờ nhỏ là phần thông tin rằng báo cáo phải được gửi lại bằng cách sử dụng Dropbox Application Secured Upload. Thực tế, không có ứng dụng như vậy tồn tại. Tệp tải lên Dropbox có thể được bảo vệ bằng mật khẩu, nhưng không có gì hơn. Mục đích thực sự của cụm từ này có thể là để chuẩn bị thông báo về một hình thức xác thực sẽ được yêu cầu để người nhận email tải xuống báo cáo.

Email thứ hai

Tiếp theo, nạn nhân sẽ nhận một thông báo trực tiếp từ Dropbox. Email này tuyên bố rằng kiểm toán viên từ email trước đã chia sẻ một tệp có tên “audited financial statements” (tạm dịch: “báo cáo tài chính đã kiểm toán”) và yêu cầu cần được xem xét, ký và trả lại để xử lý.

Một thông báo Dropbox hoàn toàn bình thường rằng một tệp đã được chia sẻ với người nhận. 

Không có gì đáng ngờ về email này. Nó chứa một liên kết đến một dịch vụ lưu trữ dữ liệu trực tuyến hợp pháp (đó là lý do tại sao chúng sử dụng Dropbox). Nếu thông báo đến mà không có bất kỳ thông điệp đi kèm nào, email này rất có thể đã bị bỏ qua. Tuy nhiên, người nhận đã được chuẩn bị trước, nên họ có nhiều khả năng sẽ vào trang web Dropbox và cố gắng để xem tài liệu.

Tệp Dropbox

Khi nạn nhân nhấp vào liên kết, họ sẽ thấy một tài liệu bị làm mờ và một cửa sổ mở ra yêu cầu xác thực bằng thông tin đăng nhập của họ. Tuy nhiên, trong trường hợp này, việc có thể nhìn thấy không có nghĩa là tập tin này đáng tin cậy – vì cả nền mờ, cửa sổ lệnh và nút hành động thực chất đều là các phần của một hình ảnh duy nhất, được chèn vào một tệp PDF.

Tệp PDF được tải lên Dropbox bắt chước yêu cầu xác thực. 

Nạn nhân thậm chí không cần nhấp vào nút “VIEW DOCUMENT” khi toàn bộ bề mặt của hình ảnh thực chất là một nút lớn được hypelink đến một trang web trung gian chuyển hướng và sau cùng dẫn nạn nhân đến trang web có chứa biểu mẫu để đăng nhập.

Tất cả nhân viên công ty cần lưu ý rằng mật khẩu công việc chỉ nên được nhập trên các trang web rõ ràng và thuộc về công ty của họ. Cả Dropbox và các kiểm toán viên bên ngoài không nên biết mật khẩu công việc của bạn và do đó không thể xác thực tính hợp pháp của nó.

Stay Safe

Khi kẻ tấn công ngày càng phát triển các chiêu trò tinh vi hơn để đánh cắp thông tin xác thực doanh nghiệp, Kaspersky khuyến nghị doanh nghiệp và tổ chức thực hiện các giải pháp cung cấp bảo mật thông tin ở nhiều cấp độ. Đầu tiên, sử dụng bảo vệ máy chủ mail công ty, và thứ hai, cài đặt giải pháp bảo mật với công nghệ chống phishing đáng tin cậy trên tất cả các thiết bị làm việc có kết nối internet.