Kaspersky Lab vừa công bố kết quả điều tra về Genesis – một cửa hàng điện tử đang giao dịch hơn 60,000 tài khoản số bị đánh cắp, khiến cho tình hình gian lận thẻ tín dụng càng trở nên nghiêm trọng. Thị trường này cũng như các công cụ độc hại khác đang qua mặt phương pháp chống gian lận thẻ tín dụng dựa vào những đặc tính kỹ thuật số của người dùng (digital mask): tạo ra hồ sơ đáng tin cậy dựa vào đặc điểm hành vi và thiết bị quen thuộc của người dùng.
Digital mask là phương pháp phân tích các đặc tính kỹ thuật số của người dùng dựa vào những đặc điểm hành vi và thiết bị quen thuộc, kết hợp với máy học (machine learning) để tạo ra hồ sơ người dùng đáng tin cậy khi giao dịch. Những digital mask này là duy nhất cho mỗi người dùng, kết hợp dấu vân tay trên thiết bị và thông tin trình duyệt thường được sử dụng để thanh toán trực tuyến (như thông tin màn hình và hệ điều hành, dữ liệu trình duyệt như tiêu đề, múi giờ, cài đặt plugin, kích thước cửa sổ, v.v.) với những phân tích nâng cao và máy học (cookie của từng người dùng, hành vi trực tuyến, v.v.). Bằng cách này, bộ phận chống gian lận của các tổ chức tài chính có thể xác định liệu đó chính là người dùng đang nhập thông tin đăng nhập hay chủ thẻ giả mạo đang cố mua hàng bằng thẻ bị đánh cắp, từ đó phê duyệt hoặc từ chối giao dịch hoặc lưu thông tin để phân tích thêm.
Tuy nhiên, digital mask có thể được sao chép hoặc tự tạo ra, và cuộc điều tra của Kaspersky Lab đã phát hiện ra rằng tội phạm mạng đang tích cực sử dụng những cách lừa đảo như vậy để vượt qua những biện pháp chống gian lận tiên tiến. Vào tháng 2 năm 2019, nghiên cứu của Kaspersky Lab đã phát hiện ra Genesis Darknet – một cửa hàng trực tuyến bán digital mask và tài khoản người dùng bị đánh cắp với mức giá từ 5 đến 200 USD cho mỗi đơn vị. Khách hàng chỉ cần mua digital mask cùng thông tin đăng nhập và mật khẩu đăng ký ở cửa hàng trực tuyến và giao dịch thanh toán, sau đó khởi chạy chúng thông qua trình duyệt và kết nối proxy để bắt chước hoạt động của người dùng thực. Nếu có thông tin xác thực tài khoản hợp pháp, kẻ tấn công có thể truy cập vào tài khoản trực tuyến của người dùng hoặc thực hiện các giao dịch mới, đáng tin cậy dưới tên của họ.
Sergey Lozhkin, Chuyên gia bảo mật tại Kaspersky Lab cho biết: “Chúng tôi nhận thấy xu hướng gian lận thẻ ngày càng gia tăng trên thế giới. Trong khi ngành công nghiệp đầu tư rất nhiều vào các biện pháp chống gian lận, thì những kẻ lừa đảo kỹ thuật số lại rất khó nắm bắt. Một cách khác để ngăn chặn sự lây lan của hoạt động độc hại này là đóng cửa các cơ sở giao dịch lừa đảo trên mạng. Đó là lý do chúng tôi mong muốn kêu gọi các cơ quan thực thi pháp luật trên toàn thế giới quan tâm nhiều hơn và cùng tham gia vào cuộc chiến này”.
Các công cụ khác cũng cho phép kẻ tấn công mạng tạo ra các digital mask của riêng chúng mà không bị giải pháp chống gian lận phát hiện. Các nhà nghiên cứu của Kaspersky Lab đã điều tra một công cụ như vậy- trình duyệt Tenebris đặc biệt với trình tạo cấu hình nhúng để khởi tạo dấu vân tay của từng người dùng. Sau khi tạo, chủ thẻ chỉ cần khởi chạy digital mask thông qua trình duyệt và kết nối proxy, từ đó thực hiện bất kỳ hoạt động trực tuyến nào.
Để tăng cường bảo mật, Kaspersky Lab khuyến nghị các doanh nghiệp thực hiện các biện pháp sau:
- Thực hiện xác thực đa yếu tố ở mọi giai đoạn của quy trình xác thực người dùng.
- Xem xét bổ sung các phương pháp xác minh mới, như sinh trắc học.
- Sử dụng các phân tích nâng cao nhất cho hành vi người dùng.
- Tích hợp nguồn cấp dữ liệu Threat Intelligence vào SIEM và các hệ thống bảo mật khác để có quyền truy cập dữ liệu về các mối đe dọa cập nhật nhất, cũng như chuẩn bị cho các cuộc tấn công có thể xảy ra trong tương lai.
Bài viết tóm tắt về mối đe dọa Doppelgangers kỹ thuật số được đăng tải trên Securelist.
