Giả mạo 'Ảnh trong ảnh' giả mạo Delta, Kohl's để thu thập thông tin xác thực

Các tin tặc đang chuyển sang các chiến thuật che giấu dựa trên các bức ảnh quảng cáo bóng bẩy của Delta Airlines và nhà bán lẻ Kohl's, lừa người dùng truy cập các trang web thu thập thông tin xác thực và cung cấp thông tin cá nhân.

A chiến dịch gần đây phân tích của Avanan cho thấy cách những kẻ đe dọa che giấu các liên kết độc hại đằng sau những bức ảnh thuyết phục cung cấp thẻ quà tặng và chương trình khách hàng thân thiết từ những thương hiệu đáng tin cậy như vậy. Nói rộng hơn, chiến dịch này là một phần trong xu hướng lớn hơn của những kẻ lừa đảo trên mạng cập nhật các chiến thuật cũ bằng công cụ mới — chẳng hạn như AI — giúp cho các hành vi lừa đảo trở nên thuyết phục hơn.

Các nhà nghiên cứu của Avanan, người đã đặt tên cho kỹ thuật che giấu này là “ảnh trong ảnh”, lưu ý rằng tội phạm mạng đứng sau các cuộc tấn công chỉ đơn giản là liên kết các bức ảnh tiếp thị với các URL độc hại. Không nên nhầm lẫn điều này với kỹ thuật ghi ảnh, mã hóa các tải trọng độc hại ở cấp độ pixel trong một hình ảnh.

Jeremy Fuchs, nhà nghiên cứu và phân tích an ninh mạng tại Avanan, lưu ý rằng steganography thường siêu phức tạp, và “đây là một cách đơn giản hơn nhiều để thực hiện mọi việc mà vẫn có thể có tác động tương tự và dễ dàng hơn cho tin tặc sao chép trên quy mô lớn.”

Bộ lọc URL công ty bị cản trở bởi xáo trộn hình ảnh

Các nhà nghiên cứu Avanan lưu ý: Mặc dù đơn giản nhưng cách tiếp cận hình trong hình khiến các bộ lọc URL khó phát hiện mối đe dọa hơn.

“[Email will] trông sạch sẽ [đối với các bộ lọc] nếu chúng không quét trong hình ảnh,” theo phân tích. “Thông thường, tin tặc sẽ vui vẻ liên kết một tệp, hình ảnh hoặc mã QR với một thứ gì đó độc hại. Bạn có thể thấy ý định thực sự bằng cách sử dụng OCR để chuyển đổi hình ảnh thành văn bản hoặc phân tích cú pháp mã QR và giải mã chúng. Nhưng nhiều dịch vụ bảo mật không hoặc không thể làm điều này.”

Fuchs giải thích rằng lợi ích quan trọng khác của phương pháp này là làm cho mục tiêu ít nhận thấy tính độc hại hơn.

Ông nói: “Bằng cách liên kết kỹ thuật xã hội với kỹ thuật che giấu, bạn có thể cung cấp cho người dùng cuối thứ gì đó rất hấp dẫn để nhấp vào và hành động,” đồng thời thêm lời cảnh báo rằng nếu người dùng di chuột qua hình ảnh, liên kết URL rõ ràng không liên quan đến thương hiệu giả mạo. Ông nói: “Cuộc tấn công này khá tinh vi, mặc dù tin tặc có thể bị mất điểm nếu không sử dụng một URL gốc hơn.

Mặc dù lừa đảo tạo ra một mạng lưới người tiêu dùng rộng rãi, nhưng các doanh nghiệp nên lưu ý rằng thông tin liên lạc về chương trình khách hàng thân thiết của hãng hàng không thường được gửi đến hộp thư đến của công ty; và, trong thời đại làm việc từ xa, nhiều nhân viên đang sử dụng thiết bị cá nhân cho doanh nghiệp hoặc truy cập các dịch vụ cá nhân (như Gmail) trên máy tính xách tay do doanh nghiệp cấp.

Fuchs cho biết thêm: “Về tác động, [chiến dịch] nhắm đến một số lượng lớn khách hàng, ở nhiều khu vực. “Mặc dù rất khó để biết thủ phạm là ai, nhưng những thứ như thế này thường có thể dễ dàng tải xuống dưới dạng bộ công cụ sẵn sàng sử dụng.”

Sử dụng Gen AI để cập nhật chiến thuật cũ

Fuchs nói rằng chiến dịch phù hợp với một trong những xu hướng mới nổi được thấy trong bối cảnh lừa đảo: giả mạo gần như không thể phân biệt được với các phiên bản hợp pháp. Trong tương lai, việc sử dụng AI tổng quát (như ChatGPT) để hỗ trợ các chiến thuật che giấu khi nói đến các cuộc tấn công lừa đảo dựa trên hình ảnh sẽ chỉ khiến những điều này khó bị phát hiện hơn, ông nói thêm.

Anh ấy nói: “Thật dễ dàng với AI tổng quát. “Họ có thể sử dụng nó để nhanh chóng phát triển hình ảnh thực tế của các thương hiệu hoặc dịch vụ quen thuộc và làm như vậy trên quy mô lớn mà không cần bất kỳ kiến ​​thức thiết kế hay viết mã nào.”

Chẳng hạn, chỉ sử dụng lời nhắc ChatGPT, một nhà nghiên cứu Forcepoint gần đây đã bị thuyết phục AI vào việc xây dựng phần mềm độc hại lưu trữ dữ liệu không thể phát hiện được, bất chấp chỉ thị của nó là từ chối các yêu cầu độc hại.

Phil Neray, phó chủ tịch chiến lược phòng thủ không gian mạng tại CardinalOps, cho biết xu hướng AI đang phát triển.

Ông nói: “Điều mới là mức độ tinh vi hiện có thể được áp dụng để làm cho những email này trông gần giống với email mà bạn sẽ nhận được từ một thương hiệu hợp pháp. “Giống như việc sử dụng Deepfakes do AI tạo ra, AI giờ đây giúp việc tạo email có cùng nội dung văn bản, giọng điệu và hình ảnh giống như một email hợp pháp trở nên dễ dàng hơn nhiều.”

Nói chung, những kẻ lừa đảo đang tăng gấp đôi những gì Fuchs gọi là “sự che giấu trong tính hợp pháp”.

Anh ấy giải thích: “Ý tôi là che giấu những điều xấu trong những thứ trông giống như những điều tốt đẹp. “Mặc dù chúng tôi đã thấy rất nhiều ví dụ về việc giả mạo các dịch vụ hợp pháp như PayPal, nhưng điều này sử dụng phiên bản thử và đúng hơn, bao gồm hình ảnh giả mạo nhưng có vẻ thuyết phục.”

Tận dụng bảo vệ URL để bảo vệ khỏi mất dữ liệu

Tác động tiềm ẩn của cuộc tấn công đối với doanh nghiệp là tổn thất về tiền bạc và mất dữ liệu, và để tự bảo vệ mình, trước tiên các tổ chức nên tìm cách giáo dục người dùng về các loại tấn công này, nhấn mạnh tầm quan trọng của việc di chuột qua các URL và xem liên kết đầy đủ trước khi nhấp vào.

“Ngoài ra, chúng tôi cho rằng điều quan trọng là tận dụng tính năng bảo vệ URL sử dụng các kỹ thuật lừa đảo như kỹ thuật này làm chỉ báo về một cuộc tấn công, cũng như triển khai bảo mật xem xét tất cả các thành phần của URL và mô phỏng trang đằng sau nó,” Fuchs lưu ý.

Không phải ai cũng đồng ý rằng bảo mật email hiện tại không đáp ứng được nhiệm vụ phát hiện những hành vi lừa đảo như vậy. Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, lưu ý rằng nhiều bộ lọc email sẽ bắt các chiến dịch này và đánh dấu nó là thư rác ở mức tồi tệ nhất hoặc gắn cờ nó là độc hại.

Ông lưu ý rằng những kẻ gửi thư rác đã sử dụng hình ảnh thay cho văn bản trong nhiều năm với hy vọng vượt qua các bộ lọc thư rác và các bộ lọc thư rác đã phát triển để xử lý chúng.

“Mặc dù cuộc tấn công gần đây khá phổ biến, nhưng ít nhất nếu thư rác trong thư mục thư rác của riêng tôi là bất kỳ dấu hiệu nào, thì đó không phải là một cuộc tấn công đặc biệt tinh vi,” ông nói thêm.

Tuy nhiên, các cuộc tấn công do AI hỗ trợ có thể là một câu chuyện khác. Neray của CardinalOps cho biết cách tốt nhất để chống lại các cuộc tấn công dựa trên hình ảnh tiên tiến hơn đó là sử dụng lượng lớn dữ liệu để huấn luyện các thuật toán dựa trên AI cách nhận dạng email giả mạo — bằng cách tự phân tích nội dung của email cũng như bằng cách tổng hợp thông tin về tất cả những người dùng khác đã tương tác với email như thế nào.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting