Chiến dịch có tên mã là Bad Bad Tidings, đã tìm kiếm thông tin xác thực của nạn nhân với các trang đích giả danh là cổng dịch vụ điện tử của Bộ Nội vụ Ả Rập Saudi.
Một chiến dịch lừa đảo kéo dài ba năm đang diễn ra đã nhắm vào thông tin đăng nhập của các cơ quan chính phủ Ả Rập Saudi.
Chiến dịch có tên mã là Bad Bad Tidings, đã lấy thông tin xác thực của nạn nhân bằng cách giả vờ là cổng dịch vụ điện tử của Bộ Nội vụ Vương quốc, được biết đến với tên gọi là abs absher. Các email gần đây đã nhắm vào bốn thực thể chính phủ: Bộ Nội vụ, Chính phủ Saudi, Bộ Ngoại giao và Bộ Lao động và Phát triển xã hội – cũng như Ngân hàng Ả Rập Saudi.
Trong khi chiến dịch đang diễn ra từ tháng 11 năm 2016, các nhà nghiên cứu của Anomali cho biết trong vài tháng qua, số lượng trang đích lừa đảo đột nhiên tăng đột biến.
Dịch vụ điện tử của Anomali và [Công ty Viễn thông Ả Rập] tin rằng sự tập trung mạnh mẽ của chiến dịch Bad Tidings vào các cơ quan chính phủ của Vương quốc Ả Rập Saudi (KSA) phản ánh các hoạt động thu thập thông tin được sử dụng bởi một hacker hoặc nhóm có động cơ tài chính cố gắng ăn cắp và kiếm tiền từ thông tin cá nhân (PII) và dữ liệu nhạy cảm khác,”các nhà nghiên cứu cho biết trong một Thứ ba bài .
Trang đích giả
Kể từ lần đầu tiên bắt đầu vào năm 2016, chiến dịch đã sử dụng tổng cộng 95 tên máy chủ lừa đảo độc đáo để nhắm mục tiêu vào các nạn nhân của nó.
Chúng được tạo ra như một phần của chiến dịch mạo danh Absher nói trên, đại diện cho gần 60% các trang web lừa đảo liên quan đến Saudi. Cổng dịch vụ điện tử giúp người dùng có việc làm, hộ chiếu, các vấn đề dân sự, dịch vụ giao thông và nhiều hơn nữa.
Các trang đích lừa đảo trong chiến dịch thường chứa hai trang web: Trang chủ giả mạo và trang đăng nhập.
Các trang đăng nhập giả xuất hiện để hiển thị cổng truy cập tài khoản hợp pháp cho absher – tuy nhiên, khi người dùng cung cấp ID người dùng và mật khẩu của họ, họ được chuyển hướng đến trang đích lừa đảo ban đầu mà không đăng nhập vào tài nguyên dự định.
Thông thường, trong giai đoạn này, những kẻ lừa đảo đã đánh cắp thông tin đăng nhập của người dùng và có khả năng bán chúng trên các thị trường ngầm hoặc sử dụng chúng để mạo danh nạn nhân để thực hiện các hành động lừa đảo, các nhà nghiên cứu của cho biết.
Thủ thuật và chiến thuật
Những kẻ tấn công đã sử dụng nhiều kỹ thuật giả mạo để ngụy trang các trang web lừa đảo, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu cho biết, chúng tôi đã quan sát những kẻ tấn công tạo ra các trang web bằng cách sử dụng một kỹ thuật đơn lẻ hoặc kết hợp các cuộc tấn công giả mạo dựa trên kiểu chơi chữ, đánh máy hoặc tấn công giả mạo tên miền phụ.
Các nhà nghiên cứu cho biết, để lừa người dùng, các trang web được tạo ra đang sử dụng các tên miền sai chính tả một chút (một kỹ thuật gọi là typosquatted, tên đăng ký các tên miền có thể bị nhầm lẫn cho trang web hợp pháp hoặc tên thương hiệu bằng cách kết hợp chính tả hoặc ngữ pháp khó phát hiện lỗi); giả mạo tên miền phụ, sử dụng các tên miền cấp cao thay thế (TLD) (nghĩa là các tên URL gần giống nhau sử dụng một cái gì đó không phải là hậu tố gov.sa hợp pháp) hoặc các trang web dựa trên trừng phạt để giả trang như cổng thông tin thực. Punycode là một phương thức thể hiện Tên miền quốc tế bằng các ký tự ngôn ngữ địa phương, thường bị giới hạn bởi các chữ cái hoặc dấu gạch nối khi được DNS hỗ trợ.
Ví dụ, cổng thông tin absher là một trang web nằm bên dưới trang web https://www.moi.gov.sa/; tuy nhiên, các tác nhân độc hại đã chiếm đoạt tên thương hiệu ‘Absher’ để tạo ra các miền lỗi chính tả với lỗi chính tả và TLD sai, ví dụ abshr [.] xyz hoặc đơn giản là các TLD sai, ví dụ như không gian [.]
Tiến về phía trước, các nhà nghiên cứu cho biết họ hy vọng chiến dịch sẽ tiếp tục nhắm mục tiêu vào các dịch vụ điện tử của chính phủ Saudi bằng cách sử dụng các cuộc tấn công lừa đảo, thông qua email hoặc tin nhắn văn bản.
Cổng thông tin chính phủ trực tuyến cung cấp dịch vụ công dân vẫn là mục tiêu hấp dẫn, vì họ lưu trữ lượng lớn thông tin cá nhân và nhạy cảm ở một địa điểm tập trung và nếu bị xâm phạm, có thể cung cấp cho các tác nhân độc hại đủ dữ liệu để bán lại trên thị trường ngầm hoặc thực hiện các hành động lừa đảo như trộm cắp danh tính , Các nhà nghiên cứu cho biết.