• Về CyStack
  • Sản phẩm
  • Dịch vụ
  • Dành cho doanh nghiệp
  • Công ty
  • Tài liệu
Trang chủBlogChiến dịch lừa đảo người dùng thông qua tệp đính kèm SHTML
News & Trends

Chiến dịch lừa đảo người dùng thông qua tệp đính kèm SHTML

CyStack blog 3 phút để đọc
CyStack blog30/07/2019
Locker Avatar

LinhDTM

Locker logo social
Reading Time: 3 minutes

Các nhà nghiên cứu gần đây đã phát hiện thêm một chiến dịch lừa đảo qua email mới thông qua các hóa đơn giả (fake bills). Tuy nhiên, điểm độc đáo của cuộc tấn công là dựa trên việc lạm dụng tệp đính kèm SHTML trong các email.

SHTML PHISHING

Chiến dịch lừa đảo khai thác tệp đính kèm SHTML

Các nhà nghiên cứu tại Mimecast đã bắt gặp một chiến dịch lừa
đảo mới đang nhắm mục tiêu vào người dùng. Cuộc tấn công lần này hơi khác biệt
so với các chiến dịch trước đó. Cụ thể, nó sử dụng tệp đính kèm SHTML trong
email để thực hiện hành vi lừa đảo người dùng.

Như được đăng tải trên blog, các nhà nghiên cứu cho biết việc
sử dụng các tệp SHTML kỳ lạ ở chỗ các tệp này chủ yếu liên quan đến các máy chủ
web. Cuộc tấn công bắt đầu theo cách thông thường khi các hacker gửi email lừa
đảo cho các nạn nhân. Những email này xuất hiện dưới dạng giấy biên nhận (receipt)
cho một số hóa đơn thanh toán, trong đó yêu cầu người dùng nhấp vào
tệp đính kèm.

Các email thường có dạng như dưới đây.

Tấn công SHTML
Nguồn: Mimecast

Khi nhấp vào tệp đính kèm, nạn nhân ngay lập tức được chuyển
đến trang web lừa đảo trong đó yêu cầu nạn nhân phải nhập các thông tin cá nhân
nhạy cảm.

Phân tích kỹ hơn về các tệp đính kèm cho thấy các tệp này giúp cho các email có thể tránh khỏi phân tích URL của các công cụ chống phần mềm độc hại. (Trước đây các nhà khoa học cũng đã báo cáo một vụ lừa đảo tương tự trốn tránh các biện pháp bảo mật bằng cách che giấu các URL trong mã QR.)

Các tệp SHTML này chứa mã JavaScript nhằm che giấu URL dẫn tới trang lừa đảo.

Tấn công lừa đảo SHTML (2)
Nguồn: Mimecast

Thời điểm người dùng nhấp vào tệp đính kèm, họ được chuyển
hướng đến trang lừa đảo nơi được yêu cầu nhập các thông tin cá nhân nhạy cảm.  

Người dùng cần hết sức thận trọng!

Theo các nhà nghiên cứu, cuộc tấn công lừa đảo này dường như
có nguồn gốc từ Vương quốc Anh. Hiện tại, chiến dịch chủ yếu được phát hiện ở
Anh, kế đến là Úc và Nam Phi.

Số liệu thống kê sơ bộ cho thấy 55% chiến dịch này được phân
phối ở Anh, 31% ở Úc, 11% ở Nam Phi và 3% ở các nơi khác trên toàn thế giới.

Ở Nam Phi và Vương quốc Anh, các mục tiêu chủ yếu nhắm tới lĩnh
vực tài chính kế toán. Trong khi đó, tại Úc, cuộc tấn công có vẻ hướng tập
trung vào ngành giáo dục.

Tuy nhiên, điều này không có nghĩa là những người dùng khác có thể bỏ qua chiến dịch lừa đảo này. Người dùng nên tuyệt đối thận trọng trong khi xử lý email và mở các tệp đính kèm ở cả cấp độ cá nhân và doanh nghiệp.

LHN

0 Bình luận

Đăng nhập để thảo luận

CyStack blog

Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.

Đăng ký nhận Newsletter

Nhận các nội dung hữu ích mới nhất