HTTP header bị khai tác để đánh cắp thông tin xác thực trong các cuộc tấn công lừa đảo quy mô lớn

Các nhà nghiên cứu an ninh mạng đã cảnh báo về các chiến dịch lừa đảo đang diễn ra, lạm dụng refresh entries trong HTTP header để cung cấp các trang đăng nhập email giả mạo được thiết kế để thu thập thông tin xác thực của người dùng.

Không giống như các hành vi phân phối trang web lừa đảo khác thông qua nội dung HTML, các cuộc tấn công này sử dụng header phản hồi được gửi bởi máy chủ, xảy ra trước khi xử lý nội dung HTML. Các liên kết độc hại hướng trình duyệt tự động làm mới hoặc tải lại trang web ngay lập tức mà không yêu cầu tương tác của người dùng.

Mục tiêu của hoạt động có quy mô lớn (2.000 URL độc hại có liên quan), được quan sát từ tháng 5 đến tháng 7 năm 2024, bao gồm các tập đoàn lớn ở Hàn Quốc, cũng như các cơ quan chính phủ và trường học ở Hoa Kỳ. Các cuộc tấn công này là chiến thuật mới nhất mà các tác nhân đe dọa đã sử dụng để che dấu ý định của họ và lừa người nhận email chia sẻ thông tin nhạy cảm, bao gồm lợi dụng TLD và domain name để truyền bá các cuộc tấn công lừa đảo và chuyển hướng.

Chuỗi lây nhiễm được đặc trưng bởi việc phân phối các liên kết độc hại thông qua các header refresh URL chứa địa chỉ email của người nhận được nhắm mục tiêu. Liên kết được chuyển hướng đến được nhúng trong Refresh response header. Điểm bắt đầu của chuỗi lây nhiễm là một email có chứa một liên kết bắt chước một tên miền hợp pháp hoặc bị xâm phạm, khi được nhấp vào, sẽ kích hoạt chuyển hướng đến trang thu thập thông tin xác thực do tác nhân kiểm soát.

Để tạo vỏ bọc hợp pháp, các trang đăng nhập webmail độc hại có địa chỉ email của người nhận được điền sẵn. Những kẻ tấn công cũng đã được quan sát bằng cách sử dụng các tên miền hợp pháp cung cấp các dịch vụ rút ngắn URL, theo dõi và quảng cáo. Bằng cách bắt chước các domain hợp pháp và chuyển hướng nạn nhân đến các trang web chính thức, những kẻ tấn công có thể che giấu mục tiêu thực sự của chúng một cách hiệu quả và tăng khả năng đánh cắp thông tin xác thực thành công. Những chiến thuật này làm nổi bật các chiến lược tinh vi mà kẻ tấn công sử dụng để tránh bị phát hiện và khai thác các mục tiêu không ngờ tới.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: