Sự thật đằng sau nhóm hacker lẫy lừng: Thực tài hay chiêu trò tiếp thị của các hãng an ninh mạng?
Scattered Spider là tên được đặt (không chính thức) cho nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022.
Nhóm này bị cho liên quan đến các sự cố gián đoạn đang diễn ra tại chuỗi bán lẻ Marks and Spencer, tập đoàn hợp tác xã Co-op và cửa hàng bách hóa Harrods thuộc nước Anh vài tuần gần đây.
Dù chưa có tổ chức nào chính thức đứng ra nhận trách nhiệm về các cuộc tấn công mạng vào lĩnh vực bán lẻ tại Anh, một số chuyên gia suy đoán rằng các chiến thuật được sử dụng có nét tương đồng với Scattered Spider.
Một số nguồn tin khác cho biết Scattered Spider có thể đang hợp tác với nhóm tội phạm mạng khác là DragonForce. DragonForce thường cung cấp ransomware dưới dạng dịch vụ, nghĩa là cho thuê phần mềm mã độc để người khác sử dụng tấn công và chia phần lợi nhuận.
Khi danh tiếng lớn hơn kỹ năng
Scattered Spider bị liên hệ tới nhiều vụ xâm nhập vào các công ty tên tuổi và đã len lỏi vào tâm trí của các chuyên gia an ninh mạng, giới truyền thông lẫn cả chính phủ. Tuy nhiên, danh tiếng mà Scattered Spider có được lại vượt xa kỹ năng thực tế của nhóm.
Quy mô các mục tiêu mà Scattered Spider nhắm đến có thể khiến người ta nghĩ rằng họ sở hữu những kỹ năng hack siêu đẳng.
Hack là kỹ thuật xâm nhập trái phép vào hệ thống máy tính, mạng, phần mềm hoặc tài khoản của người khác, thường để đánh cắp dữ liệu, phá hoại hoặc chiếm quyền kiểm soát.
Thế nhưng, các báo cáo cho thấy Scattered Spider xâm nhập vào hệ thống của các tổ chức thông qua “cửa hậu”, bằng cách thuyết phục nhân viên ngây ngô cấp quyền truy cập. Điều này được thực hiện thông qua các kỹ thuật xã hội (thao túng người khác để lấy thông tin cá nhân), cuộc lừa đảo có chủ đích (phishing), lợi dụng sự mệt mỏi khi xác thực đa yếu tố và hoán đổi SIM.
Hoán đổi SIM là kỹ thuật trong lĩnh vực an ninh mạng khi kẻ tấn công lừa đảo hoặc thao túng nhà cung cấp dịch vụ di động để chuyển quyền kiểm soát số điện thoại nạn nhân sang SIM do chúng kiểm soát.
Quá trình này thường diễn ra như sau:
- Thu thập thông tin: Kẻ tấn công thu thập thông tin cá nhân của nạn nhân (ví dụ tên đầy đủ, ngày sinh, địa chỉ, số CCCD) thông qua các vụ rò rỉ dữ liệu trước đó, mạng xã hội hoặc các kỹ thuật khác.
- Giả mạo: Kẻ tấn công liên hệ với nhà mạng, giả vờ là nạn nhân và yêu cầu chuyển số điện thoại sang một thẻ SIM mới với lý do như bị mất điện thoại, hỏng SIM, hoặc muốn nâng cấp.
- Thao túng nhân viên nhà mạng: Bằng cách sử dụng thông tin đã thu thập và kỹ năng lừa đảo, kẻ tấn công cố gắng thuyết phục nhân viên nhà mạng thực hiện yêu cầu mà không xác minh kỹ danh tính thật sự.
- Kiểm soát số điện thoại: Nếu lừa đảo thành công, nhà mạng sẽ kích hoạt thẻ SIM mới của kẻ tấn công với số điện thoại của nạn nhân. Thẻ SIM cũ của nạn nhân trong điện thoại sẽ bị vô hiệu hóa.
Khi có SIM này, kẻ tấn công có thể nhận được các tin nhắn văn bản, cuộc gọi, hoặc mã xác thực 2 yếu tố được gửi đến số điện thoại của nạn nhân. Điều đó cho phép kẻ gian đăng nhập vào các tài khoản trực tuyến của nạn nhân (ngân hàng, email và mạng xã hội) và chiếm đoạt quyền kiểm soát chúng.
Những chiến thuật này không hề mới mẻ, chỉ cần dùng lời lẽ đủ thuyết phục được nhân viên, dẫn họ đến các trang web giả mạo để đánh cắp thông tin đăng nhập và lợi dụng các quy trình xác minh lỏng lẻo. Không một hành vi nào trong số đó đòi hỏi hacker phải có kỹ năng cao.
Tuy nhiên, trong ngành an ninh mạng, tiếp thị đóng vai trò quan trọng và có ảnh hưởng mạnh mẽ hơn nhiều so với các yếu tố khác, theo bà Alice Hutchings - Giám đốc Trung tâm Tội phạm mạng Cambridge (Anh).
Đặt tên cho các nhóm hacker kích thích nỗi sợ hãi
Tên nhóm hacker được các công ty chọn để tạo ra phản ứng mạnh về cảm xúc và kích thích nỗi sợ hãi. Chính nỗi sợ ấy khiến người ta sẵn sàng đầu tư vào các sản phẩm an ninh công nghệ cao đắt đỏ.
Trên thực tế, Scattered Spider không phải là cái tên chính thức mà nhóm này tự đặt cho mình. Cái tên đó lần đầu tiên được công ty an ninh mạng nổi tiếng CrowdStrike (Mỹ) sử dụng vào năm 2022. Bạn thậm chí có thể mua mô hình Scattered Spider, áo thun, miếng lót chuột, ly uống nước và cả ván trượt mang biểu tượng nhóm này trên cửa hàng trực tuyến của CrowdStrike.
Các vật dụng liên quan đến Scattered Spider được CrowdStrike bán - Ảnh: FT
CrowdStrike chính là công ty từng bị đổ lỗi cho việc hàng triệu máy tính chạy Windows ngừng hoạt động vào mùa hè năm ngoái, gây gián đoạn cho hãng hàng không, truyền thông, dịch vụ y tế và tổng đài khẩn cấp - tất cả là do một bản cập nhật phần mềm bị lỗi.
Không chỉ có CrowdStrike tham gia vào việc đặt tên cho các nhóm tội phạm mạng. Các công ty an ninh mạng khác cũng cạnh tranh để chọn ra cái tên hấp dẫn nhất, nhằm đưa vào bản tin truyền thông và giúp trang web của họ đứng đầu trên kết quả tìm kiếm. Scattered Spider còn có những tên gọi khác như Starfraud, UNC3944, Scatter Swine và Muddled Libra.
Tuy nhiên, vẫn có vài ngoại lệ. Chẳng hạn, DragonForce dường như tự đặt tên cho mình, có lẽ nhằm gây tiếng vang và tránh bị dán nhãn bởi bộ phận tiếp thị của một công ty an ninh mạng.
Những cái tên được gán cho các băng nhóm tội phạm mạng không chỉ đơn thuần là mô tả hành vi của chúng mà còn có thể định hình hành vi đó. Những lựa chọn ngôn ngữ này có thể làm tăng giá trị biểu tượng của một nhóm, mang lại sự công nhận và tính chính danh cho các thành viên - thường là những thanh thiếu niên đang tìm kiếm sự thừa nhận từ bạn bè và tiếng vang.
Với họ, hack có thể không chỉ là cách để kiếm tiền mà còn là nghi thức thể hiện sự trưởng thành. Vì thế, Scattered Spider đang được khuếch đại bởi chính ngành an ninh mạng vốn được tạo nên để loại bỏ nó.
Hợp tác xuyên biên giới hiệu quả
Các dịch vụ công nghệ cao mà ngành an ninh mạng cung cấp thường chỉ bảo vệ “cửa trước”, còn hacker lại tiếp tục lén lút đi vào bằng “cửa sau” với các phương thức công nghệ thấp.
Trong thế giới kỹ thuật số ngày này, không ít thanh thiếu niên suy nghĩ rằng việc gia nhập nhóm hacker có thể mang lại danh tiếng trong cộng đồng mạng, bất kể quốc gia hay ngôn ngữ. Để đối phó với mối đe dọa mạng, chúng ta cần biện pháp răn đe hiệu quả hơn, vì nhiều tội phạm mạng không phải chịu bất kỳ hậu quả nào. Tỷ lệ truy tố tội phạm mạng trên toàn cầu cực kỳ thấp. Nhiều kẻ thậm chí không bị điều tra, bởi giá trị mỗi vụ phạm tội riêng lẻ không lớn, dù số lượng vụ mà chúng thực hiện lại rất nhiều.
Theo bà Alice Hutchings, hợp tác xuyên biên giới hiệu quả là điều thiết yếu để xử lý tội phạm mạng, ngoại trừ những vụ việc thông thường nhất, và cảnh sát cần được đào tạo chuyên sâu để ứng phó. Chúng ta cần một hệ sinh thái phản ứng nhanh, có thể can thiệp ngay từ giai đoạn đầu của các vụ xâm phạm an ninh.
Nếu muốn bảo vệ bản thân trước làn sóng tội phạm mạng, chúng ta cần không chỉ tăng cường việc truy tố, mà còn cần một ngành công nghiệp an ninh máy tính trưởng thành, không tạo ra lỗ hổng và cũng không đặt những cái tên nhóm hacker khêu gợi sự chú ý, Alice Hutchings nhấn mạnh.
Sơn Vân
Nguồn Một Thế Giới : https://1thegioi.vn/su-that-dang-sau-nhom-hacker-lay-lung-thuc-tai-hay-chieu-tro-tiep-thi-cua-cac-hang-an-ninh-mang-232534.html
Tin khác
Mạo danh Elon Musk, Ronaldo rủ đầu tư Bitcoin trên Facebook
4 giờ trước
Nguy cơ bảo mật nghiêm trọng: các thiết bị Android 'dính' phần mềm độc hại
4 giờ trước
Mạo danh Chiến dịch 'Triệu bước chân nhân ái' để lừa đảo
4 giờ trước
Quy định chi tiết về bảo mật và an toàn dữ liệu cá nhân
4 giờ trước
iPhone 17 có thể đắt hơn đáng kể?
5 giờ trước
Chuyên gia cảnh báo: Mật khẩu yếu có thể bị AI bẻ khóa trong chớp mắt, đây là cách đặt mật khẩu an toàn mà ai cũng nên biết
10 giờ trước