Nền tảng bị ảnh hưởng: Microsoft Windows
Người dùng bị ảnh hưởng: Microsoft Windows
Tác động: Thông tin bị đánh cắp có thể được sử dụng cho các cuộc tấn công trong tương lai
Mức độ nghiêm trọng: Cao

Vào tháng 8 năm 2024, FortiGuard Labs đã phát hiện ra một chương trình đánh cắp thông tin python mà chúng tôi gọi là Emansrepo được phân phối qua email bao gồm các đơn đặt hàng và hóa đơn giả mạo. Emansrepo nén dữ liệu từ trình duyệt và tệp của nạn nhân theo các đường dẫn cụ thể thành một tệp zip và gửi đến email của kẻ tấn công. Theo nghiên cứu của chúng tôi, chiến dịch này đã diễn ra từ tháng 11 năm 2023.

Kẻ tấn công đã gửi một email lừa đảo có chứa tệp HTML, được chuyển hướng đến liên kết tải xuống Emansrepo. Biến thể này được đóng gói bởi PyInstaller để có thể chạy trên máy tính mà không cần Python.

Hình 1: Luồng tấn công vào tháng 11 năm 2023

Hình 2: Liên kết tải xuống Emansrepo được nhúng trong RTGS Invoices.html.

Theo thời gian, luồng tấn công ngày càng trở nên phức tạp hơn. Dưới đây là các luồng tấn công mà chúng tôi tìm thấy vào tháng 7 và tháng 8 năm 2024:

Hình 3: Luồng tấn công vào tháng 8 và tháng 7 năm 2024

Nhiều giai đoạn khác nhau đang được thêm vào luồng tấn công trước khi tải xuống Emansrepo và nhiều hộp thư được sử dụng để nhận các loại dữ liệu bị đánh cắp khác nhau. Bài viết này sẽ cung cấp phân tích chi tiết về từng chuỗi tấn công và hành vi của nó. Sau đó, chúng tôi sẽ cung cấp tóm tắt nhanh về chiến dịch tiếp theo.

Luồng tấn công

• Chuỗi 1

Hình 4: Thư lừa đảo trong chuỗi 1 chứa trang tải xuống giả mạo

Tệp đính kèm là một dropper mô phỏng trang tải xuống. Nó tạo ra một phần tử liên kết trỏ đến dữ liệu của Purchase-Order.7z và sử dụng phương thức click() để “tải xuống” Purchase-Order.7z. Sáu giây sau, nó chuyển hướng đến một trang web hoàn toàn không liên quan.

Hình 5: Mã nguồn của tệp đính kèm

Purchase-Order.exe, tệp được nhúng trong Purchase-Order.7z, là tệp thực thi được biên dịch bởi AutoIt. Tệp này không bao gồm bất kỳ tệp nào và tập lệnh AutoIt xác định hành vi của tệp. Tập lệnh có nhiều hàm không sử dụng, gây cản trở cho quá trình phân tích của tệp. Mã có ý nghĩa duy nhất là tải preoffice.zip xuống thư mục Temp và giải nén tệp này vào % TEMP%\PythonTemp. Tệp zip chứa các mô-đun Python cần thiết và tester.py, tập lệnh độc hại để đánh cắp thông tin.

Hình 6: Tập lệnh AutoIt tải xuống thông tin đánh cắp của Python

• Chuỗi 2

Hình 7: Thư lừa đảo trong chuỗi 2

Tệp trong cùng trong PO7z là tệp HTA. Tệp nguồn của nó là tệp JavaScript hiển thị cửa sổ ẩn có tên PowerShell Script Runner và tải xuống tập lệnh PowerShell, script.ps1, với VBScript cho giai đoạn tiếp theo.

Hình 8: Thuật toán giải mã của tệp JavaScript và kết quả

Hành vi của script.ps1 tương tự như tập lệnh AutoIt trong chuỗi 1. Nó tải preoffice.zip vào thư mục Temp và giải nén vào %TEMP%\PythonTemp, nhưng nó thực thi Emansrepo bằng run.bat.

Hình 9: script.ps1 thực thi run.bat để chạy infostealer

• Chuỗi 3

Hình 10: Thư lừa đảo trong chuỗi 3

Tệp 7z trong liên kết trong email lừa đảo có chứa tệp lệnh được BatchShield ẩn đi.

Hình 11: Tệp lệnh đã được làm tối nghĩa

Sau khi giải mã, chúng ta có thể thấy rằng nó không phức tạp như thoạt nhìn. Nó chỉ cần tải xuống và thực thi script.ps1 bằng PowerShell.

Hình 12: Tệp hàng loạt đã được giải mã

Kẻ đánh cắp thông tin Python

Theo email nhận dữ liệu, hành vi đánh cắp thông tin có thể được chia thành ba phần. Nó tạo các thư mục để lưu trữ tạm thời dữ liệu bị đánh cắp cho từng phần và xóa chúng sau khi gửi dữ liệu cho kẻ tấn công. Dữ liệu bị đánh cắp được đính kèm vào email gửi cho kẻ tấn công.

• Phần 1 – Thông tin người dùng và tập tin văn bản

Trong phần 1, kẻ đánh cắp Python sẽ thu thập dữ liệu đăng nhập, thông tin thẻ tín dụng, lịch sử web, lịch sử tải xuống, tự động điền và các tệp văn bản (nhỏ hơn 0,2 MB) từ các thư mục Desktop, Document và Downloads.

Phần 1 bao gồm các tính năng ban đầu của Emansrepo vì chỉ có mã cho phần 1 trong biến thể tháng 11 năm 2023 (e346f6b36569d7b8c52a55403a6b78ae0ed15c0aaae4011490404bdb04ff28e5). Cần lưu ý rằng báo cáo emans841 đã được sử dụng làm bộ chia trong Saved_Passwords.txt kể từ biến thể tháng 12 năm 2023 (ae2a5a02d0ef173b1d38a26c5a88b796f4ee2e8f36ee00931c468cd496fb2b5a). Vì lý do này, chúng tôi gọi nó là Emansrepo.

Hình 13: Nội dung của Saved_Passwords.txt

Phiên bản được sử dụng vào tháng 11 năm 2023 sử dụng Prysmax Premium làm bộ chia.

Khi so sánh phiên bản vào tháng 11 năm 2023 với phiên bản đầu tiên của Prysmax stealer được chia sẻ trên GitHub, chúng tôi thấy chúng có nhiều chức năng tương tự, mặc dù Emansrepo stealer có ít tính năng hơn. Tuy nhiên, khi phần 2 và 3 được thêm vào Emansrepo, nó đã trở nên khá khác biệt so với Prysmax stealer.

Hình 14: Trái: Biến thể vào tháng 11 năm 2023. Phải: Phiên bản đầu tiên của Prysmax Stealer trên GitHub

• Phần 2 – Tệp PDF, tiện ích mở rộng, ví tiền điện tử và nền tảng trò chơi

Phần 2 sao chép các tệp PDF (nhỏ hơn 0,1 MB) từ các thư mục Desktop, Document, Downloads và Recents và nén các thư mục tiện ích mở rộng của trình duyệt, ví tiền điện tử và nền tảng trò chơi thành các tệp zip.

• Phần 3 – Cookie

Phần 3 sao chép các tệp cookie và nén chúng vào {process_name}_cookies.zip.

Chiến dịch mới

Gần đây chúng tôi đã phát hiện ra một chiến dịch tấn công khác sử dụng phần mềm độc hại Remcos, mà chúng tôi tin là có liên quan đến cùng một kẻ tấn công vì đã gửi email lừa đảo.

Hình 15: Bên trái: email của kẻ đánh cắp thông tin Python. Bên phải: Email của Remcos.

Như ảnh chụp màn hình ở trên cho thấy, các cuộc tấn công này có cùng nội dung nhưng sử dụng các phương pháp khác nhau để phân phối phần mềm độc hại. Luồng tấn công đối với Remcos đơn giản hơn nhiều. Kẻ tấn công chỉ gửi email lừa đảo có tệp đính kèm độc hại. Tệp đính kèm là DBatLoader, tải xuống và giải mã dữ liệu cho payload. Payload là Remcos được bảo vệ bởi một packer.

Hình 16: Luồng tấn công của chiến dịch Remcos mới

Phần kết luận

Emansrepo đã hoạt động ít nhất là từ tháng 11 năm ngoái và phương pháp tấn công liên tục phát triển. Các vectơ tấn công và phần mềm độc hại luôn thay đổi và lan rộng, do đó, điều quan trọng đối với các tổ chức là duy trì nhận thức về an ninh mạng. FortiGuard sẽ tiếp tục giám sát các chiến dịch tấn công này và cung cấp các biện pháp bảo vệ phù hợp khi cần thiết.

Bảo vệ Fortinet

Phần mềm độc hại được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W32/Kryptik.EB!tr
  JS/Agent.FEI!tr
  BAT/Downloader.2C22!tr

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus. Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật đã được bảo vệ.

Dịch vụ FortiGuard CDR (giải trừ và tái thiết nội dung) có thể giải trừ đối tượng liên kết nhúng bên trong tài liệu Excel.

Để cập nhật thông tin về các mối đe dọa mới và đang nổi lên, bạn có thể  đăng ký  nhận cảnh báo trong tương lai.

Chúng tôi cũng đề xuất độc giả tham gia khóa  đào tạo miễn phí Fortinet Cybersecurity Fundamentals (FCF) , một mô-đun về các mối đe dọa Internet được thiết kế để giúp người dùng cuối tìm hiểu cách xác định và bảo vệ bản thân khỏi các cuộc tấn công lừa đảo.

Dịch vụ bảo mật FortiGuard IP Reputation và Anti-Botnet chủ động chặn các cuộc tấn công này bằng cách tổng hợp dữ liệu IP nguồn độc hại từ mạng lưới phân tán Fortinet gồm các cảm biến đe dọa, CERT, MITRE, các đối thủ cạnh tranh hợp tác và các nguồn toàn cầu khác cộng tác để cung cấp thông tin tình báo về mối đe dọa mới nhất về các nguồn thù địch.

Nếu bạn tin rằng mối đe dọa an ninh mạng này hoặc bất kỳ mối đe dọa nào khác đã tác động đến tổ chức của bạn, vui lòng liên hệ với  Nhóm ứng phó sự cố FortiGuard toàn cầu của chúng tôi .

Trong bài đăng này, chúng ta sẽ khám phá các cách tiềm năng mà Trí tuệ Nhân tạo có thể được áp dụng để làm cho các mối đe dọa qua email trở nên nguy hiểm hơn, những gì mà các tổ chức và kênh nên chú ý, và nhấn mạnh sự cần thiết của các biện pháp chủ động để đảm bảo an ninh mạng.

1. Các Cuộc Tấn Công Lừa Đảo Tiên Tiến.

Trí tuệ nhân tạo không thể phủ nhận sẽ làm cho việc phát triển email lừa đảo có tính cá nhân và thuyết phục ở quy mô lớn trở nên dễ dàng hơn rất nhiều! Mặc dù trước đây phải phụ thuộc vào khả năng cá nhân của các tác nhân đe dọa, các thuật toán học máy có thể phân tích lượng lớn dữ liệu một cách nhanh chóng. Điều này có thể bao gồm thông tin cá nhân bị đánh cắp, hành vi trực tuyến, hồ sơ trên mạng xã hội, và thậm chí là hồ sơ công khai. Với thông tin này, các tội phạm mạng sẽ có thể tùy chỉnh email lừa đảo của họ một cách rộng rãi, khiến chúng trở nên có vẻ chân thực hơn nhiều với việc sử dụng thông tin cá nhân, hoặc thậm chí là bắt chước phong cách viết của một người mà họ biết. Những cuộc tấn công lừa đảo tiên tiến được định hình bởi trí tuệ nhân tạo có thể tăng đáng kể tỉ lệ thành công của các chiến dịch độc hại này.

2. Các Cuộc Tấn Công Email Tự Động.

Trí tuệ nhân tạo có thể tạo điều kiện cho các cuộc tấn công email tự động ở quy mô chưa từng có. Sử dụng bot được điều khiển bởi trí tuệ nhân tạo, các tội phạm mạng sẽ có khả năng gửi hàng loạt các chiến dịch độc hại đến các người nhận không nghi ngờ. Những bot này có thể thậm chí làm giả hành vi của con người, chẳng hạn như trả lời email hoặc tham gia vào các cuộc trò chuyện, khiến chúng khó phân biệt được với người dùng hợp pháp. Sự khổng lồ và tốc độ của những cuộc tấn công email tự động này có thể làm quá tải các máy chủ email, gây ra sự cản trở cho doanh nghiệp và làm chậm các kênh giao tiếp, đặt tổ chức vào tình trạng nguy cơ bị xâm nhập hơn nữa.

3. Lừa Đảo Bắn Mũi Tên Tự Động.

Bằng cách kết hợp những chiến thuật tiên tiến này với tự động hóa, các tác nhân đe dọa sẽ có khả năng triển khai các chiến dịch spear phishing dễ dàng hơn nhiều. Spear phishing là một hình thức lừa đảo được định hướng cụ thể, trong đó các kẻ tấn công tập trung vào cá nhân hoặc tổ chức cụ thể. Với trí tuệ nhân tạo, các tội phạm mạng có thể tự động hóa và mở rộng các cuộc tấn công spear phishing, nhắm vào một lượng lớn cá nhân cùng một lúc và hiệu quả. Sự tự động hóa và tính mở rộng này sẽ làm tăng sự lan rộng và hiệu quả của các cuộc tấn công spear phishing, đe dọa nghiêm trọng đến cả cá nhân và tổ chức.

4. Email Giả Mạo Sâu.

Công nghệ Deepfake, sử dụng trí tuệ nhân tạo để tạo ra các video, hình ảnh hoặc bản ghi âm được tinh chỉnh và thực tế, có thể được áp dụng vào các email. Tại Cofense, chúng tôi đã nhận thấy một xu hướng tăng lên trong các cuộc tấn công dựa trên hình ảnh do sự khó nhận biết của chúng, và với việc áp dụng trí tuệ nhân tạo, các tội phạm mạng có thể tạo ra nội dung trong tương lai không chỉ khó phát hiện mà còn thuyết phục hơn. Với tổ chức là mục tiêu chính, họ có thể sử dụng công nghệ này để giả mạo các cá nhân cấp cao. Ví dụ, một đoạn video được tạo bởi trí tuệ nhân tạo của CEO yêu cầu chuyển khoản vốn cấp bách hoặc tiết lộ thông tin nhạy cảm. Email Deepfake đặt ra một mối nguy rất lớn về việc làm mờ niềm tin và cũng làm cho việc phân biệt giữa các thông điệp chính thống và gian lận ngày càng khó khăn hơn đối với các cá nhân.

5. Tránh Xa Hệ Thống Phát Hiện.

Trí tuệ nhân tạo có thể được sử dụng để phát triển các phần mềm độc hại và chiến lược tinh vi hơn nhằm mục đích tránh né các hệ thống bảo mật truyền thống. Học máy có thể phân tích các công nghệ bảo mật hiện có và các biện pháp đã biết của chúng để xác định các điểm yếu, cho phép các tội phạm mạng tiến hóa các chiến dịch lừa đảo có khả năng vượt qua các cổng SEG, phần mềm diệt virus và hệ thống phát hiện xâm nhập. Trí tuệ nhân tạo sẽ giúp cho các tác nhân đe dọa trở nên linh hoạt hơn trong những nỗ lực tiến hóa của họ, luôn ở trước một bước.

6. Giảm Thiểu Các Yếu Tố Nhận Dạng.

Một đặc điểm nhận dạng nổi tiếng cho các chiến dịch độc hại lịch sử đã là kiểm tra về ngữ pháp kém hoặc chính tả sai. Với việc sử dụng trí tuệ nhân tạo và nội dung được tạo bởi máy, đặc điểm nhận dạng này có thể bị ảnh hưởng nghiêm trọng. Nó có thể cải thiện đáng kể chất lượng văn bản và làm cho nó ít phân biệt được so với các tin nhắn hợp lệ.

Trong khi chúng ta đã có thể nhìn thấy một số khả năng tích cực rộng lớn của trí tuệ nhân tạo, chúng ta cũng phải nhận thức về những khả năng mà nó tạo ra cho các tội phạm mạng để tăng cường các mối đe dọa. Với công nghệ này, chúng ta không thể phủ nhận sự gia tăng liên tục về sự tinh vi và khối lượng lớn của các chỉ số đa dạng, mang lại các chiến dịch lừa đảo tiên tiến, thuyết phục và thậm chí tự động hóa. Để bảo vệ chống lại những cuộc tấn công ở cấp độ tiếp theo này, cách mà tổ chức phát triển bản thân sẽ rất quan trọng đối với sự thành công của họ và kênh cần phải cung cấp các công cụ và khả năng để làm điều này. Việc tiếp cận và sử dụng thông tin về mối đe dọa sẽ rất quan trọng để theo kịp các chiến thuật phát triển, và do đó điều này sẽ cần được cung cấp cho mọi yếu tố của bộ cơ sở an ninh của một tổ chức. Chỉ bằng cách truyền thông tin này vào các quy trình, cơ chế phòng thủ và đào tạo và mô phỏng cho nhân viên, kênh mới có thể giúp tổ chức chống lại các mối đe dọa tiến triển. Bằng cách giữ tinh thần cảnh giác và chủ động, chúng ta có thể làm việc để giảm thiểu các rủi ro liên quan đến mặt tối của trí tuệ nhân tạo và đảm bảo một môi trường kỹ thuật số an toàn hơn cho tất cả mọi người.

Mỗi chiến dịch lừa đảo mà Cofense Intelligence phân tích đều được đặt tiêu đề bao gồm một chủ đề. Chủ đề này quan trọng vì nó đặc trưng hóa chiến dịch và cung cấp thông tin về ý định của tác nhân đe dọa. Việc biết rằng một email lừa đảo nhắm vào ngành du lịch được thiết kế với chủ đề Hỗ trợ Du lịch thay vì một chủ đề Tài chính chung chung là quan trọng vì nó giúp tạo ra một phản ứng có tập trung hơn. Nó cũng giúp các công ty lựa chọn các mô phỏng lừa đảo phù hợp hơn để sử dụng cho nhân viên của họ. Chúng tôi sẽ đề cập đến một số chủ đề phổ biến hơn, những gì chúng bao gồm, và những xu hướng chúng ta có thể quan sát được với chúng.

Những Điểm Chính.

• Các chủ đề dựa trên nội dung email bao gồm tiêu đề, nội dung email, các tệp đính kèm, v.v.
• Biến thể chủ đề cao nhất xuất hiện trong Q3 và Q4 của năm 2023.
• Email có chủ đề Lợi ích là phổ biến nhất trong Q1 và Q4 của năm 2023.
• Email có chủ đề Fax và Tài liệu là phổ biến nhất trong Q1 của năm 2023.
• Email có chủ đề Pháp lý là phổ biến nhất trong Q3 và Q4 của năm 2023.
• Email có chủ đề Thuế và Thông báo là phổ biến nhất trong Q3 của năm 2023.
• Email có chủ đề Đóng (như đóng gói một giao dịch bất động sản) là phổ biến nhất trong Q1 và Q3 của năm 2023.
• Trong số các chủ đề chính, Tài chính chiếm 54%, Thông báo chiếm 35%, Vận chuyển chiếm 7%, và Phản ứng chiếm 3%.
• Trong số các chủ đề Trung bình, Tài liệu chiếm 38%, Tin nhắn thoại chiếm 25%, Hỗ trợ Du lịch chiếm 24%, Fax chiếm 8%, và Pháp lý chiếm 6%.
• Trong số các chủ đề Nhỏ, Lợi ích chiếm 37%, Thuế chiếm 32%, Đơn ứng tuyển công việc chiếm 21%, và Đóng chiếm 10%.

Ý Nghĩa của Các Chủ Đề Email Lừa Đảo.

Các chủ đề quan sát được trong báo cáo này đặc biệt là chủ đề tổng thể của email, không chỉ là tiêu đề hoặc thông tin đăng nhập nhắm mục tiêu. Điều này bao gồm cả thương hiệu bị giả mạo, tên tệp đính kèm, tệp đính kèm hiển thị trong trường hợp các tài liệu hoặc tệp HTM(L), và nội dung thân email. Tuy nhiên, một phần lớn của chủ đề của một email liên quan đến tiêu đề của nó vì đó, sau tất cả, là phần đầu tiên mà một nạn nhân thấy, vì vậy thường được thiết kế để thu hút sự chú ý của họ.

Các Chủ Đề Theo Thời Gian.

Quan sát các xu hướng trong các chủ đề email lừa đảo của các chiến dịch trong năm 2023 giúp chúng tôi hiểu được những gì mà các tác nhân đe dọa nghĩ là có khả năng gây tương tác từ các nạn nhân tại thời điểm đó. Chúng tôi sẽ xem xét một số thay đổi trong số lượng chủ đề dựa trên thời gian trong năm, ví dụ như email có chủ đề Lợi ích tăng đột ngột trong các giai đoạn thích hợp. Tổng thể, chúng tôi đã thấy số lượng lớn nhất của các chiến dịch có chủ đề nhất quán trong Q3, số lượng thấp nhất trong Q2 và sự biến đổi cao nhất về các chủ đề trong Q3 và Q4.

Các Chủ Đề Chính

Các chủ đề email lừa đảo “Chính” ở đây là những chủ đề có số lượng lớn nhất và thường là những chủ đề phổ biến nhất vì nhân viên có khả năng cao hơn để thấy chúng. Các chủ đề trong danh mục này bao gồm Tài chính, Thông báo, Vận chuyển và Phản ứng.

Tài chính – Các email có chủ đề thường có tiêu đề liên quan đến hóa đơn, thanh toán, biên lai lương, báo cáo, đơn hàng, chuyển khoản hoặc biên nhận. Chủ đề Tài chính khá ổn định trong năm 2023, nhìn chung có một sự giảm nhẹ từ Q1 đến Q4 mà không có sự giảm đột ngột hoặc tăng lớn. Điều này có thể là do Tài chính là chủ đề phổ biến nhất và gặp phải sự suy giảm về số lượng tương tự như hầu hết các chiến dịch khác thấy vào cuối năm.

Thông báo – Các email có chủ đề thông báo thường có tiêu đề liên quan đến việc hết hạn mật khẩu, nhắc nhở, tin nhắn, hành động cần thiết, hoạt động gần đây, hoặc cuộc hẹn. Chủ đề Thông báo tăng dần cho đến Q3 và sau đó giảm đột ngột vào Q4. Điều này là một phần của xu hướng tổng thể trong lĩnh vực lừa đảo khi Q4 chứng kiến một sự giảm tổng thể trong các chiến dịch.

Giao hàng – Các email có chủ đề giao hàng thường có tiêu đề liên quan đến vận chuyển, thông tin cảng, thông báo đến, hàng hóa, hoặc bất cứ điều gì liên quan đến DHL, FedEx, UPS và USPS. Chủ đề Giao hàng cao nhất trong Q1, cụ thể là vào tháng Hai, và tiếp tục giảm cho đến Q4. Theo phân tích chiến lược của chúng tôi “Email có Chủ Đề Giao Hàng: Không Chỉ Dành Cho Ngày Lễ” bao gồm dữ liệu từ năm 2021-2023, số lượng email có chủ đề giao hàng thường chỉ tăng một cách nhẹ vào Q4, điều này chúng tôi chỉ thấy vào cuối Q4 trong năm 2023.

Phản hồi – Các email có chủ đề phản ứng thường có tiêu đề liên quan đến bất kỳ loại phản hồi nào hoặc đôi khi là các tin nhắn được chuyển tiếp cũng như các chuỗi email bị chiếm đoạt và giả mạo. Trong khi nhiều tác nhân đe dọa giả mạo các chuỗi trả lời, những tác nhân đe dọa tiên tiến nhất chiếm đoạt các chuỗi email đã tồn tại trước đó. Chủ đề Phản ứng đạt đỉnh vào Q2, cụ thể là vào tháng Năm với tỉ lệ cao nhất 25% so với mỗi tháng khác. Điều này hợp lý vì tháng Năm chứng kiến sự gia tăng mạnh mẽ trong các chiến dịch QakBot sử dụng các chủ đề phản ứng hoặc thậm chí là tiêm vào các chuỗi trả lời đã tồn tại trước đó.

Figure 1: Major campaign themes in 2023.

Các Chủ Đề Trung Bình.

Các chủ đề email lừa đảo “Trung bình” ở đây là những chủ đề không phải là phổ biến nhất nhưng vẫn thường xuyên xuất hiện và thường được sử dụng trong các chiến dịch có tính cơ động hoặc phức tạp hơn. Các chủ đề trong danh mục này bao gồm Tài liệu, Tin nhắn thoại, Hỗ trợ Du lịch, Fax và Pháp lý.

Tài liệu – Các email có chủ đề tài liệu thường có tiêu đề liên quan đến các tài liệu đã được phê duyệt, chữ ký tài liệu, tài liệu hoàn thành, tài liệu được chia sẻ, hoặc chúng giả mạo DocuShared và DocuSign. Các email có chủ đề tài liệu là duy nhất trong các chủ đề trung bình không giảm trong Q2.

Tin nhắn thoại – Các email có chủ đề tin nhắn thoại thường có tiêu đề liên quan đến thư thoại, tin nhắn thoại, âm thanh cuộc gọi, cuộc gọi thoại, chi tiết người gọi, ghi chú người gọi, cuộc gọi nhỡ, các bản ghi, hoặc bản ghi cuộc gọi. Chủ đề Tin nhắn thoại đạt đỉnh vào đầu Q1 và cuối Q3 trước khi ổn định trong Q4.

Hỗ trợ du lịch – Các email có chủ đề hỗ trợ du lịch thường có tiêu đề liên quan đến phản ứng với các email điều tra về đặt phòng, đặt chỗ, hỗ trợ với du lịch, đặt chỗ, các điều kiện y tế, yêu cầu phòng. Email có chủ đề Hỗ trợ Du lịch nhắm vào ngành dịch vụ khách hàng từ Q3 đến Q4 nhưng suy giảm vào cuối Q4. Cụ thể trong tháng Mười Hai có sự giảm 66% trong số lượng email có chủ đề Hỗ trợ Du lịch.

Tín nhắnFax – Các email có chủ đề fax thường có tiêu đề liên quan đến tin nhắn fax, tài liệu đã fax, fax bí mật, hoặc chúng giả mạo eFax hoặc MyFax. Chủ đề Fax đạt đỉnh vào Q3, giảm xuống mức thấp nhất vào Q2, và tăng dần trong phần còn lại của năm.

Pháp lý – Các email có chủ đề pháp lý có một số lượng đề tài liên quan rộng lớn và thường có các tiêu đề liên quan đến bắt giữ, thách thức quyền giám hộ, lệnh triệu tập, các vụ án, các biện pháp trừng phạt, phạt về phương tiện, cáo buộc, vụ kiện hình sự, hoặc vụ kiện dân sự. Chủ đề Pháp lý tăng từ Q1 đến Q4 trong năm 2023. Đa số trong số này là bằng tiếng Tây Ban Nha. Từ Q1 đến Q3 chủ yếu là Remcos nhưng Q4 thấy sự đa dạng hóa vào XWorm RAT, njRAT, và Async RAT.

Figure 2: Moderate campaign themes in 2023.

Các Chủ Đề Phụ.

Các chủ đề email lừa đảo “Nhỏ” ở đây ít được nhìn thấy nhất nhưng có thể liên quan đến một thời điểm cụ thể trong năm. Các chủ đề trong danh mục này bao gồm Đóng cửa (thường là mua nhà), Lợi ích, Thuế và Đơn Ứng tuyển Việc làm.

Email có chủ đề Đóng cửa (thường là mua nhà) thường có tiêu đề liên quan đến tài liệu đóng cửa, gói đóng cửa, báo cáo thanh toán, khoản thanh toán đóng cửa, hoặc các tiết lộ đóng cửa. Chủ đề Đóng cửa giảm dần theo thời gian và không xuất hiện chút nào trong Q2, điều này làm ngạc nhiên vì Q2-Q3 thường là thời điểm bán nhà sôi động nhất.

Lợi ích – Các email có chủ đề Lợi ích thường có tiêu đề liên quan đến bảo hiểm, điều chỉnh lương, chính sách thanh toán, gói lợi ích, lợi ích hàng năm, sửa đổi lương, đăng ký, bảo hiểm y tế, lợi ích nhân viên, bảo hiểm sức khỏe, đăng ký mở cửa, W2s, hoặc phê duyệt nghỉ phép. Chủ đề Lợi ích cao nhất trong Q1 và Q4, điều này hợp lý vì thời gian này là thời điểm mà hầu hết các công ty thực hiện các chương trình lợi ích.

Thuế – Các email có chủ đề Thuế thường có tiêu đề liên quan đến hóa đơn thuế, VAT, biên nhận thuế, giấy phép thuế, đánh giá thuế, thuế bán hàng, điều chỉnh thuế, e-filling, hoặc Cơ quan Thuế Liên bang Mỹ (IRS). Chủ đề Thuế đạt đỉnh vào Q3 và Q4, có lẽ sử dụng ngày đáo hạn thuế để làm cho người ta hoang mang (Thuế cho các công ty đặt trụ sở tại Hoa Kỳ thường phải nộp vào tháng Tư ở đầu Q2).

Đơn ứng tuyển việc làm – Các email có chủ đề Đơn Ứng tuyển Việc làm thường có tiêu đề liên quan đến sơ yếu lý lịch, CV (lý lịch trích ngang), đề nghị việc làm, đơn ứng tuyển, vị trí công việc trống, tìm kiếm việc làm, hoặc một tên vị trí như “cố vấn tài chính”. Chủ đề Đơn Ứng tuyển Việc làm ổn định trong Q1 và Q2 nhưng giảm dần vào nửa sau của năm.

Figure 3: Minor campaign themes in 2023.

Với sự ảnh hưởng của đại dịch thúc đẩy ngày càng nhiều người làm việc trực tuyến, cả địa chỉ email công việc và cá nhân của chúng ta đều là tài sản lớn đối với cộng đồng tội phạm mạng đang phát triển trên toàn thế giới. Bài viết hôm nay sẽ nói về những rủi ro khi mà địa chỉ email rơi vào tay các hacker có thể gây ra đối với dữ liệu cá nhân và cách giữ an toàn cho địa chỉ email.

1. Hacker có thể làm gì với địa chỉ email của bạn?

Địa chỉ email là điểm khởi đầu cho hầu hết các đăng nhập trực tuyến, cho dù bạn đang mua hàng tạp hóa bằng ứng dụng di động hay đăng ký trang web lần đầu tiên. Vì là điểm truy cập vào tài khoản cá nhân của ai đó, hacker có thể thực hiện các tình huống lừa đảo khác nhau bằng địa chỉ email cá nhân hoặc công việc. Khi có cơ hội, hacker có thể:

Email lừa đảo: Email lừa đảo chứa tệp đính kèm phần mềm độc hại hoặc liên kết độc hại đến các trang web lừa đảo. Sau khi bạn nhấp vào liên kết hoặc tải xuống tệp đính kèm, phần mềm độc hại có thể xâm nhập vào hệ thống và được sử dụng để lấy cắp dữ liệu cá nhân của bạn. Thường cải trang thành một công ty có uy tín hoặc trang web đáng tin cậy (đôi khi là quan chức chính phủ), tin tặc sẽ sử dụng các kỹ thuật lừa đảo xã hội tinh vi để lấy thông tin cá nhân như số tài khoản ngân hàng, số an sinh xã hội, địa chỉ, số điện thoại hoặc mật khẩu của bạn, v.v.

“Giả mạo” địa chỉ email của bạn: Giả mạo địa chỉ email liên quan đến việc tạo một địa chỉ email giả trông giống địa chỉ của bạn nhưng có những thay đổi nhỏ và khó phát hiện (như đổi số bằng một chữ cái hoặc thêm dấu gạch ngang). Sau đó, họ có thể lấy thông tin từ bạn bè và gia đình của bạn trong khi giả vờ là bạn. Cách tiếp cận này thường bị các bộ lọc thư rác trên ứng dụng email khách bỏ qua.

Hack các tài khoản trực tuyến khác của bạn: Mặc dù hacker cần mật khẩu của bạn để thực hiện việc này một cách hiệu quả, nhưng đó là điểm khởi đầu đáng chú ý. Bằng cách sử dụng các kỹ thuật lừa đảo tinh vi được đề cập ở trên, tội phạm mạng có thể nhanh chóng tìm hiểu thêm thông tin về bạn thông qua các tài khoản trực tuyến khác nhau, rất có thể bắt đầu bằng quyền truy cập vào chính tài khoản email đó.

Mạo danh bạn trực tuyến: Nếu hacker có toàn quyền truy cập vào tài khoản email của bạn, họ thường có thể tìm thấy hầu hết thông tin nhạy cảm của bạn hoặc cách truy cập thông tin đó. Ngày nay, các tài khoản email chứa đầy đủ mọi loại thư từ, từ bạn bè, gia đình đến cơ quan, nhà riêng và thậm chí cả nhà cung cấp tài chính. Tất cả thông tin này có thể được sử dụng để mạo danh bạn nhằm mục đích tống tiền bạn hoặc những người thân thiết nhất của bạn.

Đánh cắp danh tính hoặc phạm tội gian lận tài chính: Như bạn có thể thấy ở trên, địa chỉ email của bạn là một cánh cửa kỹ thuật số dẫn đến danh tính thực của bạn. Nhiều kỹ thuật được tội phạm mạng sử dụng nhằm mục đích tống tiền và đánh cắp tiền từ nạn nhân của chúng. Điều này có thể dưới hình thức mua hàng bất hợp pháp, chuyển tiền hoặc giữ dữ liệu của bạn làm con tin bằng ransomware. Tuy nhiên, đây không chỉ là vấn đề của mỗi cá nhân mà còn của cả doanh nghiệp. Sự phổ biến của các cuộc tấn công mạng đã gia tăng đều đặn trong thập kỷ qua, với việc vi phạm dữ liệu khiến các doanh nghiệp thiệt hại hàng nghìn đô la mỗi năm. Do đó, điều quan trọng đối với bạn, với tư cách là nhân viên, là phải thận trọng với thông tin liên hệ nghề nghiệp của mình.

2. Bạn có thể lấy thông tin gì từ địa chỉ email?

Một cách đã được thử nghiệm và kiểm chứng để thu thập thông tin về ai đó bằng địa chỉ email của họ là sử dụng công cụ tìm kiếm email ngược. Những công cụ này cho phép bạn nhập địa chỉ email và tìm ra ai sở hữu nó. Họ thường cung cấp dữ liệu bổ sung như vị trí, công việc hoặc tài khoản mạng xã hội. Trên thực tế, thông tin tương tự có thể được tìm thấy dễ dàng bằng cách sử dụng công cụ tìm kiếm thông thường. Khi các công cụ tìm kiếm và trình thu thập dữ liệu trang web thu thập một lượng lớn dữ liệu cá nhân có thể được sử dụng làm điểm khởi đầu cho nhiều hacker.

Ngoài những gì đã được đề cập trước đây về hành vi trộm cắp dữ liệu cá nhân thông qua các trò lừa đảo mạo danh, địa chỉ email của bạn cũng có thể chứa một số dữ liệu nhận dạng quan trọng mà tin tặc có thể sử dụng để khai thác các thông tin về bạn và những người thân yêu của bạn. Email của nhiều người thường chứa tên của họ (hoặc ít nhất là một phần trong đó) và một con số dễ nhớ, thường là ngày sinh. Hai yếu tố nhận dạng này đủ để nhiều tội phạm mạng bắt đầu thu thập dữ liệu cá nhân.

3. Làm thế nào hacker có thể lấy được địa chỉ email của bạn ?

Với mọi thứ mà hacker có thể làm chỉ với một địa chỉ email, điều quan trọng là phải biết ngay từ đầu làm cách nào tin tặc có được địa chỉ của bạn.

Các trang web lừa đảo: Tương tự như cách hacker có thể sử dụng email lừa đảo để thu thập dữ liệu cá nhân từ bạn, chúng cũng có thể tạo các trang đăng ký, thanh toán hoặc đăng nhập trang web lừa đảo yêu cầu địa chỉ email của bạn. Các trang này sẽ ghi lại chi tiết đăng nhập email của bạn (và thông tin cá nhân khác nếu bạn nhập) bằng phần mềm ghi nhật ký đặc biệt.

Vi phạm dữ liệu lớn hơn: Trong một số trường hợp, tội phạm mạng có thể đánh cắp địa chỉ email của bạn bằng cách tấn vào một doanh nghiệp hoặc tổ chức lớn hơn (như bệnh viện hoặc trường học) và tấn công trực tiếp vào cơ sở dữ liệu của họ để trích xuất thông tin cá nhân.

Mạng xã hội: Vì tất cả các loại tài khoản mạng xã hội thường được liên kết trực tiếp với địa chỉ email của bạn, nên các trang mạng xã hội khác nhau có thể dễ dàng khai thác nhiều loại dữ liệu cá nhân (bao gồm tên, số điện thoại và địa chỉ email của bạn). Trên thực tế, một số dữ liệu này thậm chí có thể được sử dụng để thử và đoán mật khẩu của bạn nhằm truy cập vào các tài khoản này.

4. Cách giữ an toàn địa chỉ email của bạn

Với những rủi ro mà địa chỉ email của bạn có thể gây ra đối với quyền riêng tư cá nhân và nghề nghiệp của bạn, điều quan trọng là bạn phải biết cách bảo vệ địa chỉ email của mình khỏi bị truy cập trái phép.

Mật khẩu mạnh: Như chúng tôi đã đề cập trước đây, rất khó để đánh cắp thông tin cá nhân của bạn chỉ bằng địa chỉ email và không có mật khẩu. Đó là lý do tại sao việc tạo mật khẩu “mạnh” (dài khoảng 10-12 ký tự, chứa kết hợp các ký tự đặc biệt, số, chữ hoa và chữ thường) là một trong những cách tốt nhất để giữ an toàn cho địa chỉ email của bạn khỏi hacker.

Bộ lọc và chặn thư rác: Đảm bảo rằng bộ lọc thư rác của nhà cung cấp email của bạn luôn hoạt động để bạn ít có khả năng nhấp vào email hoặc liên kết đáng ngờ. Tương tự, nếu một trong những email nguy hiểm này lọt qua bộ lọc thư rác (thường là do giả mạo), thì điều quan trọng là phải luôn cảnh giác, chặn và báo cáo những miền này cho nhà cung cấp của bạn hoặc thành viên bộ phận IT có liên quan.

Đăng ký xác thực hai yếu tố (nếu có thể): Tăng gấp đôi bảo mật trực tuyến của bạn là khi bạn đăng ký xác thực hai yếu tố (nếu có tùy chọn). Đôi khi được gọi là “xác minh hai bước” (hoặc gọi tắt là “2FA”), hầu hết các ứng dụng email đáng tin cậy đều cung cấp dịch vụ này theo tiêu chuẩn. Xác thực hai yếu tố là một biện pháp bảo mật yêu cầu bạn nhập thêm một phần thông tin nhận dạng. Thông tin nhận dạng này có thể bao gồm từ câu trả lời bí mật bổ sung cho một câu hỏi, liên kết an toàn được gửi tới email của bạn hoặc mã xác thực được gửi trực tiếp đến điện thoại của bạn.

Sử dụng tài khoản email “Burner”: Khi bạn đăng ký một trang web hoặc ứng dụng có vẻ đáng ngờ (hoặc không phải từ nhà cung cấp được xác minh cao), bạn nên sử dụng email burner. Đây là tài khoản email có thông tin nhận dạng sai hoặc có rất ít thông tin nhận dạng, có thể bị lừa đảo và hack mà không sợ hậu quả tiêu cực. Các tài khoản email hiện đại rất đơn giản và có thể tắt nhanh chóng, vì vậy bạn có thể duy trì hoạt động của tài khoản này trong thời gian dài hoặc ngắn hạn. Tuy nhiên, hãy lưu ý rằng các tài khoản burner không tránh khỏi phần mềm độc hại có thể tải xuống từ các email lừa đảo. Nếu bạn đang truy cập vào tài khoản burner của mình, hãy hết sức cẩn thận khi nhấp vào các liên kết bên ngoài hoặc tải xuống tệp đính kèm.