Chiến dịch lừa đảo Oktapus hơn 130 công ty công nghệ

HP 30/08/2022 09:00:54

(CHG) Nhiều công ty công nghệ có tiếng trong ngành như Twilio, Signal, DoorDash, Best Buy và AT&T đều nằm trong tầm ngắm của chiến dịch lừa đảo đánh cắp thông tin quy mô lớn.

 

Ảnh minh họa

Theo The Verge, hơn 130 tổ chức lớn trong ngành công nghệ, trong đó có Twilio, DoorDash và Cloudfare đã bị tin tặc xâm nhập, tấn công trong chiến dịch lừa đảo Oktapus kéo dài nhiều tháng. Thông tin đăng nhập của gần 10.000 cá nhân đã bị đánh cắp bằng một dịch vụ giả được tạo ra bởi các tác nhân gây hại nhằm “nhái” lại dịch vụ đăng nhập một lần Okta.

Tin tặc đã sử dụng quyền truy cập đó để lặp lại hành động tấn công những tài khoản trên các dịch vụ khác.

Vào 15/8/2022, dịch vụ Signal cảnh báo người dùng rằng, việc xâm phạm Twilio của tin tặc đã đánh cắp được 1.900 tài khoản Signal. Do đó, chúng có thể đăng ký thiết bị bổ sung vào tài khoản để gửi và nhận tin nhắn từ tài khoản đó.

Twilio cũng thông báo, có 163 khách hàng đã bị truy cập dữ liệu trái phép. Có 93 người dùng Authy, dịch vụ đám mây của của Twilio để xác thực đa yếu tố, bị truy cập tài khoản và đăng ký các thiết bị bổ sung.

Người dùng đã nhận được tin nhắn văn bản chuyển hướng họ đến một trang web lừa đảo “trông khá thuyết phục vì nó giống với trang xác thực mà họ trường thấy”. Sau đó, người dùng được yêu cầu cung cấp tên, mật khẩu và mã xác thực hai yếu tố.

Theo các nhà phân tích, Group-IB đã phát hiện 169 tên miền cụ thể mà chiến dịch đánh cắp này nhằm vào. 

Chiến dịch Oktapus bắt đầu từ khoảng tháng 3/2022 cho đến nay, khoảng 9.931 thông tin đăng nhập đã bị đánh cắp.

Tin tặc nhắm vào nhiều ngành gồm tài chính, trò chơi và viễn thông như: Microsoft, Twitter, AT&T, Verizon Wireless,  Coinbase, Best Buy, T-Mobile, Riot Games và Epic Games.

Goup-IB cảnh báo hiện chưa thể xác định quy mô tấn công của Oktapus sẽ còn mở rộng tới đâu, nên đề phòng các cuộc tấn công tương tự, người dùng luôn phải kiểm tra kỹ URL của bất kỳ trang web nào mà họ điền thông tin đăng nhập. Xử lý URL nhận được từ các nguồn không xác định và để tăng cường bảo vệ, có thể sử dụng khóa bảo mật hai yếu tố dạng “unphishable – không thể xâm nhập”, chẳng hạn như YubiHey.

Chiến dịch Oktapus cho thấy, các tổ chức dễ bị tấn công, dù chỉ là hình thức tấn công bằng kỹ thuật truyền thông xã hội cơ bản. Do đó, người sử dụng cần cảnh giác với những trò lừa đảo bằng công nghệ trên Internet.