Group-IB, công ty an ninh mạng toàn cầu có trụ sở tại Singapore, đã công bố Các xu hướng rủi ro kỹ thuật số - một bản phân tích toàn diện về hai mối đe dọa mạng phổ biến nhất trên thế giới: lừa đảo (scam) và tấn công giả mạo (phishing).
Theo đó, số lượng tài nguyên lừa đảo trung bình được tạo ra trên mỗi thương hiệu ở tất cả các khu vực và lĩnh vực đã tăng hơn gấp đôi so với cùng kỳ năm trước vào năm 2022, tăng 162%. Ở khu vực Asia-Pacific (APAC) (Châu Á - Thái Bình Dương), mức tăng thậm chí còn rõ rệt hơn, với số lượng tài nguyên lừa đảo này tăng 211% so với năm 2021. Ngoài ra, số lượng trang web tấn công giả mạo do Digital Risk Protection (Bảo vệ rủi ro kỹ thuật số) của Group-IB phát hiện vào năm 2022 đã tăng nhiều hơn ba lần so với năm 2021.
Những phát hiện này được xây dựng dựa trên Báo cáo về tình trạng lừa đảo toàn cầu năm 2022 do Liên minh Chống lừa đảo toàn cầu và ScamAdviser hợp tác với Group-IB công bố, trong đó cho biết các vụ lừa đảo đã gây ra thiệt hại hơn 55 tỷ USD. Hiện tượng "đại dịch" lừa đảo này không có dấu hiệu chậm lại.
Các chuyên gia tại Group-IB ghi nhận sự gia tăng cả về số vụ lừa đảo cũng như số người tham gia vào hoạt động lừa đảo. Nguyên nhân dẫn đến hai sự gia tăng này là do việc sử dụng mạng xã hội thường xuyên hơn để phát tán các vụ lừa đảo và mức độ tự động hóa ngày càng tăng của các quy trình lừa đảo.
Ví dụ, trong kế hoạch scam-as-a-service (lừa đảo dưới dạng dịch vụ) Classiscam nổi tiếng, hơn 80% các hoạt động hiện đã được tự động hóa. Mạng xã hội thường là điểm tiếp xúc đầu tiên giữa những kẻ lừa đảo và nạn nhân, và hiện tượng này rất phổ biến ở khu vực APAC vào năm ngoái khi các nhà phân tích của Group-IB phát hiện ra rằng 58% các tài nguyên lừa đảo nhắm vào các công ty trong bảy lĩnh vực kinh tế chủ chốt đã được tạo ra trên mạng xã hội.
Để thực hiện nghiên cứu này, các chuyên gia của Group-IB đã tận dụng các mạng lưới nơ-ron và thuật toán học máy được tích hợp vào nền tảng Digital Risk Protection (Bảo vệ rủi ro kỹ thuật số) của công ty. Bằng cách giám sát liên tục và tự động hàng triệu tài nguyên trực tuyến, Digital Risk Protection cung cấp cho các thương hiệu khả năng bao quát 360 độ trước các rủi ro kỹ thuật số bên ngoài đối với sở hữu trí tuệ và nhận dạng thương hiệu của họ.
Lừa đảo gia tăng
Group-IB tách biệt khái niệm tấn công giả mạo (phishing) và lừa đảo (scam), do thực tế là các mối đe dọa mạng này mang đến các hậu quả khác nhau và quan trọng nhất là tuân theo các quy tắc pháp lý khác nhau về mặt ứng phó sự cố. Tấn công giả mạo là một hành vi vi phạm thường được ghi nhận dẫn đến việc đánh cắp thông tin cá nhân, ví dụ như thông tin đăng nhập tài khoản hoặc dữ liệu thẻ ngân hàng. Tội phạm mạng coi một cuộc tấn công là thành công khi chúng nhận được dữ liệu đó. Lừa đảo ám chỉ bất kỳ nỗ lực nào của tội phạm mạng nhằm lừa nạn nhân tự nguyện giao tiền hoặc thông tin nhạy cảm.
Theo Group-IB, các vụ lừa đảo chiếm 57% tổng số vụ tội phạm mạng có động cơ tài chính vào năm 2021, vượt xa các vụ tấn công giả mạo, mã độc tống tiền (ransomware), phần mềm độc hại và DDoS.
Như được trình bày trong báo cáo, số lượng tài nguyên lừa đảo trung bình trên mỗi thương hiệu trên toàn cầu vào năm 2022 đã tăng hơn gấp đôi so với năm 2021. Tại khu vực châu Á - Thái Bình Dương, số lượng tài nguyên lừa đảo trung bình trên mỗi thương hiệu đã tăng 211% so với cùng kỳ năm trước, mức cao nhất so với bất kỳ khu vực nào trên toàn cầu. Trong năm vừa qua, những kẻ lừa đảo ngày càng chuyển sang sử dụng mạng xã hội để phát động các chiến dịch của chúng.
Ở khu vực APAC, theo quan sát của Group-IB, 76% tài nguyên lừa đảo nhắm vào các công ty trong bảy lĩnh vực chủ chốt (tổ chức tài chính, ngân hàng, viễn thông và truyền thông, dầu khí, hàng không, bảo hiểm, sản xuất) được phát hiện có nguồn gốc từ mạng xã hội. Một ví dụ gần đây về xu hướng này ở khu vực APAC bao gồm việc phát hiện 600 tài khoản Instagram bị tấn công được sử dụng để phát tán các liên kết tấn công giả mạo đến các nạn nhân ở Indonesia.
Trên toàn cầu, sự quan tâm của những kẻ lừa đảo đối với lĩnh vực tài chính đã tăng vọt lên đáng kể, vì số lượng tài nguyên lừa đảo trung bình được tạo ra trên mỗi thương hiệu tài chính tăng 186% vào năm 2022 so với cùng kỳ năm trước. Mức tăng trưởng tương tự cũng được quan sát thấy trong lĩnh vực dầu khí (112%) và công nghiệp sản xuất (55%).
Tổng cộng, Group-IB đã phát hiện thêm 304% tài nguyên lừa đảo sử dụng tên và hình ảnh tương tự của các thương hiệu hợp pháp vào năm 2022 so với năm trước đó. Lĩnh vực tài chính là ngành bị nhắm mục tiêu nhiều nhất, với 74,2% vi phạm về sở hữu trí tuệ, chẳng hạn như việc sử dụng bất hợp pháp các nhãn hiệu, xuyên tạc các mối quan hệ đối tác thương hiệu, quảng cáo lừa đảo, tài khoản nhắn tin và mạng xã hội giả mạo cũng như các ứng dụng thương hiệu giả mạo đã nhắm mục tiêu vào các công ty thuộc ngành dọc này. Các ngành bị ảnh hưởng nặng nề khác là xổ số (12,0%), dầu khí (5,3%) và bán lẻ (3,2%). Ngoài ra, tài chính và truyền thông xã hội là hai ngành bị tấn công giả mạo phổ biến nhất.
"Các chiến dịch lừa đảo không chỉ ảnh hưởng đến nhiều thương hiệu hơn mỗi năm mà tác động mà từng thương hiệu cá nhân phải đối mặt cũng ngày càng lớn hơn. Những kẻ lừa đảo đang sử dụng một lượng lớn tên miền và tài khoản mạng xã hội để không chỉ tiếp cận được nhiều nạn nhân tiềm năng hơn mà còn để tránh sự phản công. Hoạt động lừa đảo cũng đang ngày càng trở nên tự động hơn, do việc ngày càng có nhiều công cụ khả dụng dành cho tội phạm mạng đã làm giảm đi sự hiệu quả của các công cụ ngăn chặn xâm nhập. Chúng tôi dự báo rằng trí tuệ nhân tạo (AI) cũng sẽ đóng một vai trò lớn hơn trong các vụ lừa đảo trong tương lai" - ông Afiq Sasman, Trưởng nhóm Phân tích bảo vệ rủi ro kỹ thuật số tại châu Á - Thái Bình Dương, Group-IB, nhận định.
Cỗ máy hoạt động hiệu quả
Một nguyên nhân chính của sự gia tăng hoạt động lừa đảo và xu hướng ngày càng tăng trong nền kinh tế ngầm (Underground economy) là việc tự động hóa nhiều quy trình thủ công trước đây mà có đòi hỏi kiến thức kỹ thuật. Bằng cách này, các tác nhân đe dọa có thể đẩy nhanh việc phát triển quy mô hoạt động, trong bối cảnh hệ sinh thái ngày càng được mở rộng và sự phán tán sẽ đạt được hiệu quả toàn vẹn hơn. Xu hướng này có khả năng sẽ tăng lên trong tương lai, do tội phạm mạng có thể sử dụng các trình tạo văn bản do AI điều khiển để tạo nội dung ngày càng thuyết phục hơn cho các chiến dịch lừa đảo và tấn công giả mạo của chúng.
Các nhà nghiên cứu của Group-IB vào năm 2019 đã phát hiện ra Classiscam, một chương trình liên kết scam-as-a-service (lừa đảo dưới dạng dịch vụ) được thiết kế để đánh cắp khoản tiền thanh toán và dữ liệu cá nhân của người dùng từ các trang rao vặt và thị trường mua bán phổ biến. Kế hoạch này ngày càng được tự động hóa hơn, vì các tác nhân đe dọa hiện có thể tạo một trang web tấn công giả mạo và sắp xếp việc thanh toán bằng ví điện tử thông qua Telegram bots.
Classiscam ban đầu có nguồn gốc ở Đông Âu và sau đó lan rộng ra toàn cầu. Đến nay, Group-IB đã xác định được 1.366 nhóm Classiscam và công ty đã thu được số liệu thống kê chi tiết về 393 nhóm trong số đó. Các nhóm được quan sát đã thực hiện hơn 486.000 cuộc tấn công, giả mạo 251 thương hiệu từ 79 quốc gia và Group-IB ước tính thiệt hại tài chính từ mưu đồ lừa đảo này tối thiểu là 64 triệu USD.
Bậc thầy về tên miền
Một ví dụ khác về tác động ngày càng lớn hơn của tự động hóa trong ngành công nghiệp lừa đảo là sự gia tăng nhanh chóng về số lượng tài nguyên lừa đảo được lưu trữ trên miền .tk. Các chương trình liên kết tự động tạo các liên kết trên vùng miền này và chúng chiếm 38,8% tổng số tài nguyên lừa đảo mà Group-IB đã nghiên cứu trong nửa cuối năm 2022.
Trong nửa đầu năm 2022, Group-IB không phát hiện thấy hoạt động lừa đảo nào trên miền .tk. Các miền miễn phí sử dụng khác, ví dụ như .gq và .ml, cũng tăng về mức độ phổ biến vào nửa cuối năm 2022, lần lượt chiếm 8,0% và 7,8% trong số các miền lừa đảo.
Báo cáo của Group-IB trình bày chi tiết các xu hướng mới nhất trong lĩnh vực lừa đảo và tấn công giả mạo của nền kinh tế ngầm vào năm 2022, so sánh dữ liệu mới nhất với các năm trước đó và đưa ra các dự báo của chuyên gia trong năm tới. Báo cáo chủ yếu dành cho các chuyên gia an ninh mạng như CISO, các nhóm an ninh của các doanh nghiệp mục tiêu, các nhà phân tích SOC và chuyên gia ứng phó sự cố.