Các dịch vụ Phishing-as-a-Service (PhaaS) có tên Lighthouse và Lucid đã được ghi nhận liên quan đến hơn 17.500 miền phishing, nhắm mục tiêu vào 316 thương hiệu tại 74 quốc gia.
Theo báo cáo mới từ Netcraft:
“Các nền tảng Phishing-as-a-Service (PhaaS) đang gia tăng mạnh mẽ trong thời gian gần đây. Nhà điều hành PhaaS tính phí thuê bao hàng tháng để cung cấp bộ công cụ phishing với các mẫu dựng sẵn, có thể giả mạo hàng trăm thương hiệu trên toàn cầu.”
Lucid và Lighthouse – Hai công cụ PhaaS nổi bật
-
Lucid được công ty an ninh mạng Thụy Sĩ PRODAFT công bố lần đầu vào tháng 4/2024. Bộ kit này có khả năng gửi tin nhắn smishing thông qua Apple iMessage và RCS trên Android.
-
Lucid được cho là do một nhóm tấn công nói tiếng Trung có tên XinXin (changqixinyun) phát triển, cũng từng sử dụng các bộ kit khác như Lighthouse và Darcula. Trong đó, Darcula do một tác nhân có bí danh LARVA-246 (X667788X0/xxhcvv) phát triển, còn Lighthouse được gắn với LARVA-241 (Lao Wang/Wang Duo Yu).
Nền tảng Lucid PhaaS cho phép khách hàng triển khai chiến dịch phishing quy mô lớn, nhắm đến nhiều lĩnh vực: cơ quan chính phủ, đơn vị thu phí, bưu chính, tổ chức tài chính.
Các chiến dịch này áp dụng cơ chế lọc chặt chẽ như: yêu cầu User-Agent di động cụ thể, giới hạn theo quốc gia proxy, hoặc đường dẫn được kẻ gian cấu hình trước… để chỉ cho phép nạn nhân thực sự truy cập URL phishing. Người ngoài sẽ chỉ thấy một website giả mạo dạng cửa hàng trực tuyến.
Netcraft ghi nhận:
-
Phishing URLs của Lucid nhắm vào 164 thương hiệu tại 63 quốc gia.
-
Phishing URLs của Lighthouse nhắm vào 204 thương hiệu tại 50 quốc gia.
Cả hai nền tảng đều hỗ trợ tùy biến template, giám sát nạn nhân theo thời gian thực, và có khả năng tạo mẫu phishing cho hơn 200 nền tảng toàn cầu. Giá dịch vụ Lighthouse dao động từ 88 USD/tuần đến 1.588 USD/năm.
PRODAFT nhận định:
“Dù Lighthouse hoạt động độc lập với nhóm XinXin, nhưng sự tương đồng về hạ tầng và cách thức nhắm mục tiêu cho thấy xu hướng hợp tác và đổi mới trong hệ sinh thái PhaaS.”
Xu hướng mới: Từ Telegram trở lại Email
Một thay đổi đáng chú ý là các chiến dịch phishing đang rời bỏ kênh Telegram để truyền dữ liệu đánh cắp, quay trở lại sử dụng email. Netcraft ghi nhận mức tăng 25% chỉ trong vòng một tháng.
Tội phạm mạng cũng lợi dụng dịch vụ như EmailJS để thu thập thông tin đăng nhập và mã xác thực hai yếu tố (2FA), thay vì phải vận hành hạ tầng riêng.
Nhà nghiên cứu Penn Mackintosh giải thích:
“Sự trở lại của email xuất phát từ tính phi tập trung, khiến việc gỡ bỏ khó khăn hơn. Mỗi địa chỉ hoặc SMTP relay phải được báo cáo riêng, khác với các nền tảng tập trung như Discord hay Telegram. Đồng thời, việc tạo email ẩn danh vẫn cực kỳ nhanh chóng, dễ dàng và gần như miễn phí.”
Homoglyph Attack và Mối Nguy Với Người Dùng Tiền Mã Hóa
Báo cáo cũng chỉ ra xu hướng tấn công homoglyph – sử dụng ký tự Hiragana “ん” của tiếng Nhật để giả mạo tên miền hợp pháp. Hơn 600 miền giả mạo theo cách này đã được phát hiện, chủ yếu nhắm vào người dùng tiền mã hóa.
Các trang web giả mạo này đóng vai tiện ích mở rộng Chrome Web Store, dụ người dùng cài ví tiền mã hóa giả (Phantom, Rabby, OKX, Coinbase, MetaMask, Exodus, PancakeSwap, Bitget, Trust…). Những ví giả mạo này có thể:
-
Thu thập thông tin hệ thống
-
Đánh cắp seed phrase
-
Chiếm toàn quyền kiểm soát ví
Netcraft nhận định:
“Ký tự ‘ん’ nhìn lướt qua rất giống dấu gạch chéo ‘/’. Khi được chèn vào tên miền, nó đủ để đánh lừa người dùng, khiến website phishing trông hợp pháp.”
Lợi Dụng Thương Hiệu Mỹ Để Lừa Đảo
Gần đây, kẻ gian còn lợi dụng thương hiệu của các công ty Mỹ như Delta Airlines, AMC Theatres, Universal Studios, Epic Records để lôi kéo nạn nhân tham gia các “công việc ảo” (ví dụ: làm đại lý đặt vé máy bay).
Điều kiện là nạn nhân phải nạp ít nhất 100 USD tiền mã hóa, từ đó kẻ tấn công chiếm đoạt lợi nhuận bất hợp pháp.
Nhà nghiên cứu Rob Duncan nhận định:
“Chiêu trò này cho thấy cách các tác nhân đe dọa lợi dụng API-based brand impersonation để mở rộng quy mô gian lận tài chính trên nhiều lĩnh vực khác nhau.”
