.png "Cô gái 27 tuổi ở TP.HCM bị suy thận giai đoạn cuối vì thói quen nhiều người thích")
Gửi bình luận
Các chuyên gia bảo mật vừa đưa ra cảnh báo khẩn cấp về một chiến dịch tấn công mạng tinh vi, trong đó gần 20 công ty đã bị đánh cắp dữ liệu sau khi tội phạm mạng mạo danh Salesforce và lừa người dùng tải xuống phần mềm độc hại.
Báo cáo mới nhất từ Google Threat Intelligence Group (GTIG) tiết lộ chi tiết về nhóm tấn công có tên UNC6040. Nhóm này đã nhắm mục tiêu vào các tổ chức ở phương Tây trong nhiều tháng qua, đặc biệt là các doanh nghiệp trong ngành khách sạn, bán lẻ, giáo dục và nhiều lĩnh vực khác.
Thủ đoạn rất xảo quyệt
Phương thức hoạt động của UNC6040 rất xảo quyệt: chúng sẽ gọi điện thoại trực tiếp đến các công ty, giả danh là bộ phận hỗ trợ IT. Bằng cách này, chúng lừa nhân viên tải xuống và cài đặt một phiên bản giả mạo của Salesforce Data Loader. Đây là một ứng dụng khách được sử dụng để nhập, xuất, cập nhật, xóa hoặc chèn dữ liệu số lượng lớn vào Salesforce. Nó chủ yếu được các quản trị viên và nhà phát triển sử dụng để xử lý dữ liệu không thể dễ dàng quản lý thông qua giao diện web của Salesforce.
GTIG giải thích rằng, bằng cách cài đặt chương trình độc hại này, nạn nhân đã vô tình cấp cho UNC6040 "khả năng đáng kể" để truy cập, truy vấn và trích xuất thông tin nhạy cảm trực tiếp từ môi trường khách hàng Salesforce bị xâm nhập.
Google cũng lưu ý rằng có thể mất nhiều tháng kể từ thời điểm dữ liệu bị đánh cắp cho đến khi kẻ tấn công liên hệ để tống tiền nạn nhân. Các nhà nghiên cứu suy đoán rằng điều này có thể ám chỉ rằng có một nhóm chuyên đánh cắp dữ liệu và một nhóm khác chuyên đàm phán tống tiền.
Tấn công con người, không phải hệ thống
UNC6040 đã từng tuyên bố có liên kết với các nhóm khét tiếng như ShinyHunters và có thể là một phần của “The Com” – một tập hợp lớn, liên kết lỏng lẻo các tội phạm mạng. Các nhóm nổi tiếng khác như Scattered Spider cũng là một phần của hệ sinh thái ngầm này.
Cuối cùng, Google nhấn mạnh rằng trong tất cả các trường hợp được quan sát, kẻ tấn công hoàn toàn dựa vào thao túng và lừa đảo, nhắm vào con người chứ không phải hệ thống. Không có lỗ hổng cố hữu nào trong Salesforce được tìm thấy hoặc sử dụng trong chiến dịch này.
Do đó, cách tốt nhất để tự vệ trước chiến dịch này và các chiến dịch tương tự là nâng cao nhận thức cho nhân viên về các mối nguy hiểm của lừa đảo (phishing) và các biến thể của chúng (như smishing - lừa đảo qua tin nhắn, vishing - lừa đảo qua điện thoại, quishing - lừa đảo qua mã QR và các hình thức khác). Việc đào tạo nhân viên là chìa khóa để bảo vệ dữ liệu doanh nghiệp.
