Hãy chia sẻ câu chuyện của bạn với chúng tôi bằng cách nhắn tin đến fanpage Tín nhiệm mạng hoặc gửi email đến địa chỉ [email protected] để câu chuyện của bạn cảnh báo đến nhiều người hơn.
Xin chào các bạn, đây là bài viết tiếp theo trong loạt bài viết Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản, nếu các bạn chưa đọc phần trước, các bạn có thể đọc trong đường dẫn: Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản phần 1: Kẻ đi săn
Nếu như trong bài viết trước, chúng mình đã chỉ rõ các điểm chung về cách thức lừa đảo và các dấu hiệu để phát hiện hoạt động lừa đảo, thì trong bài viết này, chúng mình sẽ chỉ rõ các mối liên quan về hạ tầng và công nghệ mà chúng sử dụng, cũng như việc sử dụng chung các số tài khoản lừa đảo giữa các vụ việc.
Nạn nhân ở trên khắp thế giới
Đầu tiên, chúng ta có thể nhận ra đó là trên thế giới cũng rất nhiều nạn nhân dính phải chiêu trò lừa đảo của ổ nhóm này, thậm chí các nạn nhân đã tìm cách liên hệ với những nạn nhân khác trên khắp thế giới và cùng nộp đơn khiếu nại lên FBI, cảnh sát Hong Kong hay các nước khác như Malay cũng có tham gia điều tra và đưa ra cảnh báo, các bạn có thể thấy được điều này trong các post sau:
Về các đường dẫn tới sàn mới lập của chúng, các bạn có thể theo dõi qua đường dẫn đến bài thảo luận trên trang GoldLegend ở trên.
Tại mỗi quốc gia, chúng đều có các số tài khoản ngân hàng để nạn nhân chuyển tiền vào, có thể coi đây là các chân rết của chúng tại các quốc gia đó, chúng có thể hoạt động thông qua nhiều trung gian khác nhau.
Bởi dữ liệu về ổ nhóm lừa đảo kiểu này rất lớn, chúng mình sẽ chỉ tập trung vào dữ liệu từ các nạn nhân đã báo cáo cho Cyber Space.
Trang web dùng chung thư viện
Đây là cách chúng mình có thể theo dõi được các trang web mới được chúng sử dụng, chùng mình sử dụng công cụ urlscan.io để thực hiện việc này.
Khi các bạn tìm kiếm trang hyhtml5[.]com trên urlscan.io, đây là trang lâu đời nhất ghi nhận được của hội nhóm lừa đảo này tại Việt Nam, các bạn sẽ thấy kết quả gồm các lần scan trực tiếp trước từ khắp các nơi trên thế giới:
Các bạn có thể thấy cấu trúc tên miền con như spdb, mgjr, smb, huilding, fc99, iegc, đây đều là các sàn giả mạo nằm trong cấu trúc của trang này.
Hãy nhấp thử vào một sàn đã được quét trên urlscan.io trước đó, ví dụ huilding[.]hyhtml5[.]com :
Các bạn có thể thấy công nghệ đằng sau là CloudFlare, tới đây tắc tịt rồi đúng không, chưa đâu, hãy qua bên HTTP, mình sẽ chỉ cho các bạn điều thú vị.
Có tổng cộng 28 giao dịch HTTP trên trang này khi nạp vào trình duyệt, trang này sử dụng khá nhiều thư viện js, hãy kéo xuống dưới nữa:
Có một tệp tin mình khá chú ý, đó là tệp RongIMLib-2.5.2.min.js lấy về từ cdn.ronghub.com, khi bấm vào tệp này, urlscan.io sẽ trả về cho chúng ta các trang dùng chung thư viện có tên này:
Voila!! Các bạn thấy quen thuộc không, các trang trong kết quả đều là các link sàn lừa đảo mà đa số nạn nhân mắc phải. Dưới cùng là hyhtml5[.]com xuất hiện lần đầu khoảng 8 tháng trước. Trên cùng mới đây nhất là nmzxgt[.]com và cnqjdgt[.]com.
Okay, không phải ngẫu nhiên các trang lừa đảo đều dùng chung thư viện RongIMLib-2.5.2.min.js , chắc chắn là như vậy. Chỉ có một đáp án, chúng cùng chung một hội nhóm lừa đảo.
Tiếp theo, có một đường dẫn lừa đảo ngày hôm qua một nạn nhân gửi cho chúng mình, đó là cnqjd982[.]co , chúng mình đã quét trên urlscan.io, các bạn có thể tìm kiếm kết quả trên đó, thoạt đầu, chúng mình tưởng sàn này không có các tệp liên quan, tuy nhiên không phải, nếu các bạn tìm kiếm 2 tệp sau trên urlscan.io, các bạn có thể thấy điểm chung giữa trang web này và các trang trước đó:
Khi tìm kiếm tệp iconfont.09c0286.woff2 , các bạn sẽ thấy tệp này được dùng chung trong khá nhiều trang thuộc hạ tầng lừa đảo đã biết trước đó:
Trang web có cấu trúc và giao diện tương tự nhau
Đối với các trang sgxex[.]co và sgxex[.]org mà báo CAND đã đưa tin, ban đầu có vẻ 2 trang này không liên quan đến các trang kể trên vì không dùng chung thư viện RongIMLib-2.5.2.min.js , tuy nhiên, chúng mình sẽ vẫn gom các hạ tầng liên quan đến 2 tên miền này vào vụ việc hiện tại do có sự trùng hợp giữa cách thức lừa đảo, các số tài khoản gửi và nhận tiền, và cũng để trợ giúp cơ quan chức năng theo dõi hạ tầng trang web của ổ nhóm lừa đảo này.
Để tìm kiếm các trang tương tự sgxex[.]co và sgxex[.]org , truy cập urlscan.io và tìm một trong 2 tên miền này:
Nhấn vào kết quả quét sgxex[.]co không ở trạng thái Failed:
Trang này đã bị gắn là có hoạt động độc hại (Malicious Activity), các bạn có thể để ý phần Similar có đến 163 kết quả, hãy thử truy cập phần này.
Còn rất nhiều kết quả phía dưới. Các bạn có thể thấy rất nhiều trang đã được quét có giao diện tương tự như 2 trang kể trên, khi các bạn tìm kiếm các trang này trên các công cụ tìm kiếm, có thể thấy các hoạt động lừa đảo tương tự. Do vậy chúng mình cho rằng đây cùng là hoạt động của một ổ nhóm lừa đảo.
Kỹ thuật dụ cài ứng dụng/chứng chỉ độc hại trên iOS
Một số nạn nhân được đối tượng cung cấp cho mã QR, hoặc đường dẫn rút ngắn để dụ truy cập trang web cung cấp ứng dụng, khi truy cập trang web này bằng iPhone hoặc MacOS, người dùng sẽ bị dụ tải về Configuration Profile, đây là một tệp đặc biệt chứa các cấu hình trên hệ điều hành iOS, khi cài đặt Configuration Profile, lưu lượng truy cập mạng của nạn nhân (kể cả mã hóa hay chưa mã hóa) có thể bị kẻ tấn công nghe lén (tấn công kiểu kẻ ở giữa – MITM) và đọc ở dạng văn bản thuần.
Ví dụ về mã QR được gửi cho nạn nhân:
Khi giải mã ra là địa chỉ URL truy cập trang ứng dụng giả mạo:
Ứng dụng giả mạo yêu cầu nạn nhân tải về Configuration Profile:
Cấu hình tên miền của Configuration Profile là tên miền giả mạo Apple có tên ios88s[.]com:
Kỹ thuật dụ cài Configuration Profile cũng là kỹ thuật dùng chung giữa các đối tượng nằm trong ổ nhóm lừa đảo này.
Trùng hợp giữa các số tài khoản chuyển tiền
Sau khi thống kê dữ liệu từ các nạn nhân, dưới đây là các số tài khoản đáng chú ý xuất hiện nhiều lần trong các vụ việc:
NGUYEN THI NGOC HOA – SACOMBANK – 050120087646: 3 nạn nhân
PHAN HUU PHAT – TECHCOMBANK – 19032765539072: 2 nạn nhân
NGUYEN THU THAO – TECHCOMBANK – 19036206327011: 2 nạn nhân
NGUYEN MANH HUNG – TECHCOMBANK – 19035705587018: 2 nạn nhân
PHAM TRUONG GIANG – ACB – 283938888: 2 nạn nhân
Trong đó có Phan Hữu Phát (VipTrade) , Phạm Trường Giang (Jinkyy), Nguyễn Mạnh Hùng/Hưng (kem), Nguyễn Thu Thảo (VipTrade) là những trader khá nổi trên Binance, liệu có hay không các cá nhân này liên quan đến các hoạt động lừa đảo hay chỉ bị lợi dụng thì đây vẫn là một dấu hỏi lớn.
Tuy nhiên việc sử dụng chung các STK trong các vụ lừa đảo cho thấy một điều đó là các đối tượng người Trung Quốc (hoặc Việt Nam) đứng sau vụ này có trong tay rất nhiều mối quan hệ trung gian.
Các cá nhân giao dịch trung gian mặc dù không muốn tổn hại đến danh tiếng của họ, tuy nhiên với hoạt động lừa đảo đang diễn ra nở rộ như hiện nay, chúng tôi đặt câu hỏi về vai trò và trách nhiệm của các bạn.
Trùng hợp trong các ví tiền điện tử ETH
Vẫn là số liệu thống kê từ các nạn nhân, dưới đây là danh sách các ví tiền có số lần xuất hiện nhiều hơn 1 lần:
0x5D4B5fd0680D12A7d908BB359A0513226D46c8e8: 3 nạn nhân 0x33E601C464003b9656C776262d284Fc28f072728: 2 nạn nhân
Ví ETH là đầu mối đặc biệt, việc sử dụng chung ví ETH trong các vụ lừa đảo càng cho thấy các đối tượng cùng một ổ nhóm.
Như vậy trong bài viết Phần 2 về ổ nhóm lừa đảo KILLINGPIG, chúng mình đã chỉ rõ các mối quan hệ trùng lặp để có thể khẳng định ổ nhóm lừa đảo này là một, từ hình thức lừa đảo như đã chỉ rõ ở bài viết trước, cho đến các dấu vết trùng lặp như sử dụng chung tên miền lừa đảo, các tệp thư viện của các sàn lừa đảo dùng chung lẫn nhau dẫn đến việc phát hiện ra hạ tầng tên miền lừa đảo, các dấu vết về việc sử dụng chung các tài khoản ngân hàng trung gian để thực hiện lừa đảo, cũng như ví ETH…
Về bảng thống kê thông tin có được từ các nạn nhân, chúng mình sẽ cung cấp sau này cho cộng đồng. Trước mắt chúng mình đã tổng hợp được các thông tin hiện có và thống kê về các đặc điểm chung nhất giúp cộng đồng có thể tránh được loại hình lừa đảo này.
Phần một của loạt bài cũng đã được cập nhật các dấu hiệu đầy đủ hơn sau khi thu thập thông tin về vụ việc tính đến ngày hôm nay.
Chân thành cảm ơn các bạn đã đọc xong phần hai của loạt bài, hẹn gặp lại các bạn vào các phần tiếp theo (nếu có).
Nguồn: Cyberlances
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
