Vụ lừa đảo phishing nhằm vào Công ty A và khách hàng B đã gây ra thiệt hại nghiêm trọng về tài chính và uy tín cho các bên liên quan. Kẻ lừa đảo, tạm gọi là X, đã thực hiện một cuộc tấn công mạng tinh vi, lợi dụng lỗ hổng trong hệ thống an ninh của Công ty A. Bài viết này sẽ tóm tắt các phát hiện quan trọng từ cuộc điều tra, phân tích dấu vết và tâm lý hành vi của X cùng các bên liên quan như C, D và E.
Diễn Biến Vụ Việc
Tình Huống Khởi Đầu
Công ty A phát hiện một vụ lừa đảo khi khách hàng B chuyển một khoản tiền lớn vào tài khoản nước ngoài của đối tượng X. Trước đó để tấn công lừa đảo, đối tượng X đã đăng ký một tên miền gần giống với tên miền chính thức của Công ty A để tạo ra các email giả mạo. Và X gửi thư từ tài khoản email giao dịch của Công ty A đến khách hàng B. Mục đích của X là lừa khách hàng B tin rằng các yêu cầu thanh toán là đến từ Công ty A. Để tăng tính thuyết phục, X đã CC các email yêu cầu thanh toán giả mạo này vào 2 email dùng tên miền gần giống để đóng vai quản lý, khiến khách hàng B lầm tưởng rằng thông tin đã được xác thực.
Hành Vi Của Kẻ Lừa Đảo X
Kẻ lừa đảo X đã sử dụng chính tài khoản email thường dùng trong giao dịch của Công ty A để thực hiện hành vi lừa đảo. Điều này cho thấy X đã chiếm quyền điều khiển tài khoản email của Công ty A. Việc đăng ký tên miền gần giống chỉ nhằm mục đích tạo ra email quản lý giả mạo để CC cho khách hàng B tin rằng thông tin đó đã được xác thực. X đã nắm bắt quy trình thanh toán và xác thực của Công ty A, từ đó lên kế hoạch tấn công một cách tinh vi.
Dấu Vết Kỹ Thuật
Hành động của X không chỉ dừng lại ở việc giả mạo email. X còn làm giả hồ sơ thay đổi thông tin ngân hàng có dấu mộc của Công ty A và gửi yêu cầu thay đổi thông tin thanh toán đến B. Việc này không chỉ yêu cầu kỹ thuật mà còn cần khả năng tiếp cận thông tin nhạy cảm, sự chuẩn bị kỹ lưỡng và nắm rõ tình trạng giao dịch cũng như các bước yêu cầu thanh toán của Công ty A và khách hàng B.
Cuộc điều tra đã chỉ ra rằng việc chiếm quyền truy cập vào tài khoản email của Công ty A có thể không chỉ do hack hay điều khiển từ xa. Công ty A sử dụng phần mềm bảo mật Kaspersky, điều này đặt ra câu hỏi về khả năng xâm nhập thông qua phương thức nội gián hoặc sự hỗ trợ từ bên ngoài. Việc này khiến cho dấu vết kỹ thuật trở nên phức tạp hơn, cho thấy rằng X có thể đã lợi dụng những lỗ hổng trong quy trình bảo mật của Công ty A hoặc thậm chí đã nhận được sự trợ giúp từ bên trong.
Các Bên Liên Quan và Tâm Lý Hành Vi
Bên C: Nhà Cung Cấp Dịch Vụ CNTT
Bên C nắm giữ toàn bộ quản trị hệ thống CNTT của Công ty A, bao gồm cả dữ liệu và quản trị tài khoản email. Sau sự cố, C đã cung cấp thông tin sai lệch và cố tình đổ lỗi cho Công ty A. Hành động này thể hiện sự thiếu trách nhiệm và thiếu hiểu biết về an ninh mạng, khiến quá trình điều tra bị chậm lại. Sự thiếu minh bạch trong hành vi của C đã tạo ra nghi ngờ về sự liên quan của họ đến vụ việc.
Bên D: Nắm giữ tùy chỉnh DNS record
Bên D là một bên cung cấp dịch vụ liên quan, trong thời điểm đó đang nắm quyền điều chỉnh DNS record của tên miền Công ty A. Việc nắm giữ quyền DNS record trong trường hợp này có thể được sử dụng như một bước đệm trung gian để giả mạo email, chuyển hướng mail, và thực hiện nhiều thủ thuật hỗ trợ tấn công khác nếu có chủ đích.
Trước đó, D đã được thông qua thầu dịch vụ từ E. Hành vi của D trong quá trình điều tra là không xuất hiện, mặc dù đang trong quá trình thực hiện một dịch vụ đã ký kết với Công ty A. Trong quá trình điều tra, việc phát hiện hành vi sử dụng thói quen số là một thông tin gián tiếp, cho thấy sự trùng khớp không ngẫu nhiên từ các thông tin điều tra X.
Bên E: Trung Gian Giám Sát
Bên E, với vai trò là trung gian giám sát, đã thực hiện những hành động bảo vệ bên D và tấn công cá nhân người điều tra. Hành động này cho thấy E đang cố gắng chuyển hướng sự chú ý và bảo vệ các bên liên quan. Những nỗ lực của E nhằm yêu cầu chứng cứ hoàn hảo cùng với việc đưa ra một số ngụy biện càng làm tăng thêm bằng chứng gián tiếp và hành vi để mở rộng điều tra.
Các Chứng Cứ Gián Tiếp và Hành Vi Nghi Ngờ
Cuộc điều tra đã phát hiện nhiều chứng cứ gián tiếp đáng chú ý:
- Dấu Vết Log và Truy Cập: Nhiều dấu vết log cho thấy có sự truy cập không bình thường vào hệ thống, cùng với các email bị xóa có thể là hành động cố ý nhằm che giấu dấu vết. Các thông tin này đã được phân tích và cho thấy có sự can thiệp rõ ràng.
- Digital Footprint: Các dấu vết số của các bên liên quan đã được phân tích, cho thấy những hành vi nghi ngờ và các hành động không minh bạch trong quá trình cung cấp dịch vụ. Những dấu vết này đã giúp làm rõ trách nhiệm của từng bên.
- Phân Tích Hành Vi và Social Engineering: Phân tích thói quen và hành vi của các bên liên quan cho thấy sự thiếu minh bạch và khả năng thao túng thông tin. Những hành động này đã được ghi nhận là có chủ đích, góp phần vào việc thực hiện kế hoạch lừa đảo của X.
- Thông Tin từ Các Nhà Cung Cấp Hạ Tầng Dịch Vụ: Các nhà cung cấp hạ tầng dịch vụ liên quan đã cung cấp một số chứng cứ trùng khớp và có giá trị, cho thấy có sự liên quan đến hành vi lừa đảo. Những chứng cứ này đã làm sáng tỏ thêm các khía cạnh của vụ việc và tạo cơ sở cho việc xác định trách nhiệm.
Chính Sách Bảo Mật: Giải Pháp Cho Doanh Nghiệp
Vụ lừa đảo phishing nhằm vào Công ty A không chỉ gây thiệt hại về tài chính cho khách hàng B mà còn đặt ra nhiều câu hỏi về trách nhiệm và an ninh mạng trong tổ chức. Hành động tấn công diễn ra trong chưa đầy 24 giờ, với yêu cầu X phải nắm giữ thông tin nhạy cảm của doanh nghiệp, bao gồm các thông tin về hành vi thanh toán, văn phong liên hệ với đối tác, và thậm chí cả dấu mộc, đã được khai thác một cách kỹ càng. Điều này chứng tỏ có sự can thiệp sâu vào thông tin, dữ liệu và email nội bộ của Công ty A, điều này sẽ được làm rõ hơn qua các cuộc điều tra.
Để ngăn chặn những sự cố tương tự xảy ra trong tương lai, doanh nghiệp cần thực hiện việc phân quyền rõ ràng trong quản lý thông tin, tăng cường các biện pháp bảo mật, và áp dụng các ràng buộc pháp lý về bảo mật và sử dụng thông tin đối với nhân viên và đối tác. Chỉ khi có những chính sách bảo vệ chặt chẽ, doanh nghiệp mới có thể tạo ra một môi trường an toàn và tin cậy cho hoạt động kinh doanh của mình. Các cập nhật về vụ điều tra sẽ được công bố trong các bài viết tiếp theo khi có thêm thông tin mới.
