Các trang web giả mạo lợi dụng Black Friday để đánh cắp thông tin người dùng

Một chiến dịch lừa đảo mới nhắm vào những người mua sắm thương mại điện tử ở châu Âu và Mỹ thông qua các trang web giả mạo các thương hiệu hợp pháp với mục đích đánh cắp thông tin cá nhân của người dùng, lợi dụng sự kiện mua sắm khuyến mãi Black Friday.

Nhà cung cấp công nghệ và dịch vụ tình báo mối đe dọa toàn cầu EclecticIQ cho biết: "Chiến dịch này đã tận dụng hoạt động mua sắm trực tuyến tăng cao vào tháng 11, mùa cao điểm giảm giá Black Friday. Kẻ tấn công đã sử dụng các sản phẩm giảm giá để làm mồi nhử lừa nạn nhân cung cấp dữ liệu thẻ thanh toán, dữ liệu xác thực và thông tin nhận dạng cá nhân".

Hoạt động này, lần đầu tiên được phát hiện vào đầu tháng 10/2024, được xác định do một tác nhân đe dọa có động cơ tài chính từ Trung Quốc có tên là SilkSpecter thực hiện. Một số thương hiệu bị mạo danh bao gồm IKEA, LLBean, North Face và Wayfare.

Các tên miền lừa đảo đã được phát hiện sử dụng các tên miền cấp cao như: .top, .shop, .store và .vip, với tên website thường gần giống với các tổ chức thương mại điện tử hợp pháp để dẫn dụ nạn nhân (ví dụ: northfaceblackfriday[.]shop). Các trang web này quảng cáo chương trình giảm giá không tồn tại, đồng thời lén lút thu thập thông tin của khách truy cập.

Tính linh hoạt và độ tin cậy của bộ công cụ lừa đảo được tăng cường bằng cách sử dụng Google Translate có chức năng sửa đổi ngôn ngữ trang web một cách linh hoạt dựa trên vị trí địa lý của nạn nhân. Nó cũng triển khai các trình theo dõi như OpenReplay, TikTok Pixel và Meta Pixel để theo dõi hiệu quả của các cuộc tấn công.

Mục tiêu cuối cùng của chiến dịch là thu thập mọi thông tin tài chính nhạy cảm do người dùng nhập vào các đơn hàng giả, trong đó kẻ tấn công sẽ lợi dụng Stripe để xử lý các giao dịch nhằm tạo cảm giác hợp pháp, trong khi thực tế, dữ liệu thẻ tín dụng sẽ được truyền đến các máy chủ do chúng kiểm soát.

Các trang web giả mạo lợi dụng Black Friday để đánh cắp thông tin người dùng

Hơn nữa, nạn nhân được yêu cầu cung cấp số điện thoại, động thái này có thể xuất phát từ kế hoạch thực hiện các cuộc tấn công smishing và vishing tiếp theo của kẻ tấn công để thu thập thêm thông tin chi tiết như mã xác thực hai yếu tố (2FA).

EclecticIQ cho biết: "Bằng cách mạo danh các tổ chức đáng tin cậy, chẳng hạn như các tổ chức tài chính hoặc nền tảng thương mại điện tử nổi tiếng, SilkSpecter có thể vượt qua các rào cản bảo mật, truy cập trái phép vào tài khoản của nạn nhân và thực hiện các giao dịch gian lận".

Hiện tại vẫn chưa rõ các URL này được phát tán như thế nào, nhưng người ta nghi ngờ nó liên quan đến các tài khoản mạng xã hội và việc phát tán được tối ưu hóa trên công cụ tìm kiếm (SEO).

Kế hoạch lừa đảo này được cho là đã hoạt động từ năm 2019, giả mạo hơn 1.000 trang web hợp pháp để thiết lập danh sách sản phẩm giả mạo và sử dụng chiến thuật tối ưu hóa SEO để tăng thứ hạng của trang web trong kết quả gợi ý của công cụ tìm kiếm.

Việc sử dụng SEO Poisoning để chuyển hướng người dùng đến các trang thương mại điện tử giả mạo là một chiến thuật phổ biến. Theo Trend Micro, các cuộc tấn công như vậy liên quan đến việc cài đặt phần mềm độc hại SEO trên các trang web bị xâm phạm, sau đó tin tặc sẽ tìm cách để các trang lừa đảo được hiển thị trên đầu kết quả của công cụ tìm kiếm.

Ngoài gian lận liên quan đến mua sắm, người dùng dịch vụ bưu chính ở khu vực Balkan cũng trở thành mục tiêu của một vụ lừa đảo. Tin tặc sử dụng Apple iMessage để gửi tin nhắn tự nhận là từ dịch vụ bưu chính, hướng dẫn người nhận nhấp vào liên kết để nhập thông tin cá nhân và tài chính để hoàn tất việc giao hàng.

Nạn nhân sẽ được yêu cầu cung cấp thông tin cá nhân bao gồm tên, địa chỉ nhà riêng hoặc địa chỉ làm việc và thông tin liên lạc, những thông tin này sẽ bị tin tặc thu thập và sử dụng cho các nỗ lực lừa đảo trong tương lai. Sau khi nạn nhân thanh toán, số tiền sẽ không thể thu hồi được, dẫn đến hậu quả nạn nhân bị mất cả thông tin cá nhân và tiền bạc.