Các trò lừa đảo hỗ trợ kỹ thuật đang xuất hiện sau sự cố liên quan hãng an ninh mạng CrowdStrike hôm 19.7, làm gián đoạn hệ thống máy tính chạy Windows khắp thế giới và trong nhiều ngành.
Công ty an ninh mạng CrowdStrike (có trụ sở tại thành phố Austin, bang Texas, Mỹ) đã gây ra sự cố sập máy tính khắp thế giới khi tung ra bản cập nhật phần mềm lỗi cho phần mềm Falcon Sensor, khiến hệ điều hành Windows bị tình trạng màn hình xanh chết chóc. Falcon Sensor có chức năng theo dõi một cách chi tiết những hoạt động đang diễn ra trên máy tính, giúp tìm kiếm những hoạt động bất thường, độc hại và chặn các mối đe dọa này.
Falcon Sensor mang đến sự khác biệt với các phần mềm bảo mật cũ. Phần mềm chống virus kiểu truyền thống tỏ ra rất hữu ích trong thời khai sinh của máy tính và internet nhờ khả năng truy lùng các dấu hiệu của phần mềm độc hại. Tuy nhiên, chúng không còn được ưa chuộng khi các cuộc tấn công ngày càng tinh vi.
Giờ đây, các phần mềm “phát hiện và phản hồi các mối nguy hại điểm cuối” mà CrowdStrike phát triển có nhiều tiềm năng hơn. Chúng liên tục quét máy tính để tìm tất cả dấu hiệu hoạt động đáng ngờ và tự động phản hồi. Song để làm được điều này, các phần mềm này phải được cấp quyền truy cập, đi sâu vào bên trong hệ điều hành máy tính, tìm các lỗi bảo mật. Quyền truy cập này chính là con dao 2 lưỡi bởi cũng có thể phá hỏng chính những hệ thống đang được bảo vệ. Đây cũng chính là nguyên nhân nhiều máy tính Windows đồng loạt sập diện rộng vào ngày 19.7.
Microsoft thông báo sự cố này ảnh hưởng đến ít hơn 1%, tương đương khoảng 8,5 triệu máy tính chạy hệ điều hành Windows trên toàn thế giới.
Những kẻ lừa đảo đã tận dụng cơ hội này, mạo danh CrowdStrike bằng các trang web giả mạo, email phishing và cuộc gọi điện thoại để đánh cắp thông tin nhạy cảm. Hôm 20.7, CrowdStrike cho biết trong một bài đăng trên blog rằng hãng nhận thấy hoạt động lừa đảo tăng vọt đáng kể.
Công ty cảnh báo: “CrowdStrike Intelligence khuyến nghị các tổ chức đảm bảo rằng họ đang liên lạc với đại diện của CrowdStrike thông qua các kênh chính thức và tuân thủ hướng dẫn kỹ thuật mà đội ngũ hỗ trợ CrowdStrike đã cung cấp”.
Các trò lừa đảo hỗ trợ kỹ thuật thường bắt đầu bằng các cuộc gọi hoặc email cảnh báo về sự cố máy tính. Sau đó, những kẻ lừa đảo yêu cầu quyền truy cập từ xa vào máy tính của bạn để đánh cắp thông tin cá nhân quan trọng, chẳng hạn như mật khẩu và thông tin ngân hàng.
Các cảnh báo bật lên giả mạo cho rằng máy tính của bạn bị nhiễm virus và những trang web giả mạo cung cấp dịch vụ hỗ trợ kỹ thuật cũng rất phổ biến với kẻ lừa đảo.
CrowdStrike đã chia sẻ danh sách ít nhất 30 tên miền khác nhau mà họ cho là mạo danh và không liên quan đến công ty. Danh sách này có cả những cái tên như crowdstrikebluescreen.com, crowdstrike-helpdesk.com và crowdstrikefix.com.
CrowdStrike thông báo: “Một số miền trong danh sách này hiện không cung cấp nội dung độc hại hoặc có thể nhằm mục đích khuếch đại cảm xúc tiêu cực. Tuy nhiên, những trang web này có thể được sử dụng trong tương lai cho các hoạt động lừa đảo và khai thác thông tin cá nhân bằng cách lợi dụng sự tin tưởng của người dùng”.
Các cơ quan an ninh mạng của chính phủ trên toàn cầu cũng cảnh báo doanh nghiệp và cá nhân trên thế giới về trò lừa đảo mới liên quan đến những kẻ xấu đóng giả làm nhân viên CrowdStrike hoặc chuyên gia công nghệ khác để đề nghị hỗ trợ những người phục hồi sau sự cố sập máy tính chạy Windows.
George Kurtz, Giám đốc điều hành CrowdStrike, nói: “Chúng tôi biết những kẻ xấu sẽ cố gắng lợi dụng những sự kiện như thế này”, đồng thời kêu gọi mọi người hãy luôn cảnh giác và đảm bảo rằng bạn đang giao tiếp với những đại diện chính thức của CrowdStrike.
Trung tâm An ninh mạng Vương quốc Anh đã nhận thấy sự gia tăng các nỗ lực lừa đảo xung quanh sự kiện này.
Hôm 20.7, George Kurtz cho biết vấn đề được “xác định, cô lập và bản sửa lỗi Falcon Sensor đã được triển khai”. Bản sửa lỗi này bao gồm cả việc xóa thủ công file cập nhật trên các máy tính bị ảnh hưởng.
Dù cách khắc phục có vẻ đơn giản nhưng các chuyên gia nói với trang Insider rằng các công ty có ít nhân viên CNTT hơn phải mất hàng tuần để giải quyết màn hình xanh chết chóc trên mọi thiết bị. Điều này đồng nghĩa một số ngành phải chịu ảnh hưởng một thời gian.
Andrew Peck, chuyên gia an ninh mạng tại Đại học Loughborough (Anh), nói với đài CNN rằng việc khắc phục sự cố ở nhiều công ty khắp thế giới có thể tiêu tốn hàng tỉ USD.
Email phishing là gì?
Email phishing (email lừa đảo) là hình thức tấn công mạng nguy hiểm, trong đó kẻ tấn công giả mạo thành một tổ chức uy tín (ngân hàng, công ty viễn thông, trang web mua sắm trực tuyến) để lừa người dùng tiết lộ thông tin cá nhân nhạy cảm hoặc nhấp vào liên kết độc hại.
Mục đích của email phishing:
- Đánh cắp thông tin cá nhân: Mật khẩu tài khoản ngân hàng, thẻ tín dụng, thông tin đăng nhập email,...
- Lây lan phần mềm độc hại như virus, ransomware,...
Ransomware là loại phần mềm độc hại (malware) được thiết kế để xâm nhập vào máy tính hoặc mạng máy tính, sau đó mã hóa dữ liệu trên hệ thống và yêu cầu người sử dụng trả một khoản tiền chuộc để nhận được khóa giải mã và khôi phục quyền truy cập vào dữ liệu của họ.
Khi hệ thống hoặc file bị mã hóa bởi ransomware, người sử dụng sẽ nhận được thông báo yêu cầu thanh toán một số tiền thông qua các phương tiện thanh toán điện tử như Bitcoin. Sau khi thanh toán được thực hiện, hacker sẽ cung cấp công cụ giải mã để khôi phục dữ liệu bị mã hóa.
Ransomware có thể lây nhiễm thông qua email và trang web độc hại, hoặc cả những lỗ hổng bảo mật trong hệ thống. Nó đã trở thành một mối đe dọa lớn với cá nhân, doanh nghiệp và tổ chức. Các biến thể của ransomware ngày càng trở nên phức tạp với mục tiêu đa dạng từ việc tấn công người dùng cá nhân đến các tổ chức lớn.
- Gây rối loạn hoạt động: Gây gián đoạn hệ thống, đánh cắp dữ liệu,...
Dấu hiệu nhận biết email phishing:
- Địa chỉ email người gửi đáng ngờ: Sử dụng tên miền lạ, chứa lỗi chính tả hoặc sai sót ngữ pháp.
Nội dung email hối thúc, tạo cảm giác cấp bách: Yêu cầu cung cấp thông tin cá nhân nhạy cảm ngay lập tức, thông báo tài khoản bị khóa,...
- Lỗi chính tả và ngữ pháp: Email phishing thường có nhiều lỗi chính tả và ngữ pháp do được tạo ra tự động.
- Liên kết khả nghi: Khi di chuột qua liên kết, địa chỉ đích (URL) không khớp với tên hiển thị.
- Đính kèm file lạ: File đính kèm có thể chứa virus hoặc phần mềm độc hại.