Để thực hiện hành vi lừa đảo, kẻ tấn công gửi email đến người dùng với nội dung cần nâng cấp dung lượng hòm thư điện tử, đề nghị nhấp vào liên kết để thực hiện theo các yêu cầu của quản trị viên, khi nhấn vào liên kết trong email sẽ dẫn dắt người dùng đến một trang cung cấp dịch vụ tạo biểu mẫu (form) để yêu cầu người dùng khai báo thông tin, các thông tin này sẽ được gửi về cho kẻ tấn công.
Qua phân tích, Trung tâm CNTT nhận thấy, những kẻ tấn công đã sử dụng các email mà chúng chiếm đoạt được từ những cuộc tấn công trước đó, một số tên miền được phát hiện trong đợt tấn công vừa qua như: @cea.cu, @trabajadores.cu (Cuba), @hcm.misa.com.vn (Việt Nam)…; các liên kết được gửi trong email không chứa mã độc, không có kết nối đến máy chủ CnC, không có dấu hiệu lừa đảo có chủ đích, dẫn đến khó khăn cho việc phát hiện, nhận diện và ngăn chặn.
Xác định đây là tình huống khẩn cấp, cần xử lý khẩn trương để tránh email giả mạo lan rộng, có khả năng lộ lọt tài khoản, Trung tâm CNTT huy động Đội ứng cứu sự cố an toàn thông tin của Ngành vào cuộc, triển khai áp dụng quy trình xử lý sự cố tấn công lừa đảo để xử lý đối với trường hợp này. Cụ thể:
Sau khi xác định các IP/Domain/URL liên quan đến sự cố phishing, Đội ứng cứu đã triển khai các bước ưu tiên ứng cứu ban đầu, thực hiện khoanh vùng những tài khoản đã nhận được email giả mạo, chủ động liên hệ để thông báo người dùng nhận được email phishing không truy cập vào liên kết, tải file, thực thi file đính kèm; hướng dẫn người dùng cách ly máy tính nếu đã bấm vào đường dẫn được chèn vào thư giả mạo. Tiếp theo triển khai chặn lọc theo các dấu hiệu được nhận diện, phân tích thủ công, thực hiện xóa các email liên quan trên hệ thống.
Cùng với các hoạt động ứng cứu sự cố, Trung tâm CNTT đã có Công văn gửi các đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố trực thuộc Trung ương để thông tin đến toàn bộ công chức, viên chức và người lao động trong Ngành về sự cố tấn công giả mạo qua email để nâng cao cảnh giác, tránh lộ lọt thông tin.
Giả mạo email là một hình thức phổ biến được tin tặc sử dụng trong các chiến dịch lừa đảo, bởi người dùng có nhiều khả năng sẽ truy cập email khi nghĩ rằng nó đã được gửi bởi một nguồn hợp pháp hoặc quen thuộc. Thiệt hại từ việc giả mạo email có thể từ đánh cắp danh tính đến ngừng hoạt động của tổ chức, ảnh hưởng uy tín và tổn thất tài chính. Vì vậy, để phòng ngừa, ngăn chặn, người dùng cần trang bị kiến thức tự bảo vệ khỏi các cuộc tấn công lừa đảo. Cụ thể, cần lưu ý các điều sau khi nhận được một email:
1. Kiểm tra, nâng cao kiến thức phát hiện các email giả mạo bằng công cụ Phishing Quiz do Trung tâm Giám sát an toàn không gian mạng quốc gia – NCSC phối hợp Google ra mắt, được cung cấp tại địa chỉ https://congcu.khonggianmang.vn/phishing-quiz.
2. Không tin tưởng tên hiển thị trong email vì tên hiển thị trong email có thể dễ dàng thay đổi thành tên của các công ty, tổ chức, hãng lớn, người quen, người nổi tiếng...
3. Cần xem xét các liên kết (link) được gửi trong nội dung email vì khi bấm link đó có thể dẫn tới website lừa đảo giả mạo, quảng cáo hay một website độc hại mà tin tặc dựng lên để tấn công.
4. Cẩn trọng với các email có tiêu đề có tính chất "hấp dẫn - nhạy cảm ‐ khẩn cấp" vì đây là chiêu mà tin tặc thường xuyên sử dụng để đánh vào tâm lý tò mò nhằm lừa người dùng.
5. Cảnh giác các email yêu cầu cung cấp thông tin tài khoản cá nhân, không cung cấp thông tin tài khoản cá nhân cho bất kỳ yêu cầu nào;
6. Khi lỡ tải file đính kèm khả nghi, bấm vào liên kết nghi ngờ giả mạo hoặc cung cấp thông tin tài khoản cá nhân cần liên hệ ngay với phụ trách an toàn thông tin của đơn vị hoặc Trung tâm CNTT để có biện pháp xử lý kịp thời./.