FBI báo cáo 262 triệu đô la gian lận ATO khi gia tăng lừa đảo AI và kỳ nghỉ

[Starlink]

Cục Điều tra Liên bang Hoa Kỳ (FBI) đã cảnh báo rằng tội phạm mạng đang mạo danh các tổ chức tài chính với mục đích đánh cắp tiền hoặc thông tin nhạy cảm để tạo điều kiện cho các âm mưu lừa đảo chiếm đoạt tài khoản (ATO).

Cơ quan này cho biết hoạt động này nhắm vào các cá nhân, doanh nghiệp và tổ chức thuộc nhiều quy mô và lĩnh vực khác nhau, đồng thời cho biết thêm rằng các âm mưu gian lận đã gây ra thiệt hại hơn 262 triệu đô la kể từ đầu năm. FBI cho biết họ đã nhận được hơn 5.100 khiếu nại.

Gian lận ATO thường đề cập đến các cuộc tấn công cho phép kẻ tấn công truy cập trái phép vào tổ chức tài chính trực tuyến, hệ thống bảng lương hoặc tài khoản tiết kiệm y tế để đánh cắp dữ liệu và tiền bạc cho mục đích cá nhân. Việc truy cập này thường được thực hiện bằng cách tiếp cận mục tiêu thông qua các kỹ thuật tấn công xã hội, chẳng hạn như tin nhắn văn bản, cuộc gọi và email đánh vào nỗi sợ hãi của người dùng, hoặc thông qua các trang web giả mạo.

Những phương pháp này cho phép kẻ tấn công lừa người dùng cung cấp thông tin đăng nhập trên trang web lừa đảo, trong một số trường hợp, yêu cầu họ nhấp vào liên kết để báo cáo các giao dịch gian lận được ghi lại trong tài khoản của họ.

FBI cho biết: "Tội phạm mạng thao túng chủ tài khoản để cung cấp thông tin đăng nhập, bao gồm mã xác thực đa yếu tố (MFA) hoặc Mã truy cập một lần (OTP), bằng cách mạo danh nhân viên tổ chức tài chính, bộ phận hỗ trợ khách hàng hoặc nhân viên hỗ trợ kỹ thuật".

"Sau đó, tội phạm mạng sử dụng thông tin đăng nhập để đăng nhập vào trang web của tổ chức tài chính hợp pháp và bắt đầu đặt lại mật khẩu, cuối cùng giành quyền kiểm soát hoàn toàn các tài khoản."

Các trường hợp khác liên quan đến những kẻ đe dọa đóng giả là các tổ chức tài chính để liên hệ với chủ tài khoản, tuyên bố thông tin của họ đã được sử dụng để thực hiện các giao dịch mua gian lận, bao gồm cả vũ khí, sau đó thuyết phục họ cung cấp thông tin tài khoản cho một tội phạm mạng thứ hai mạo danh là cơ quan thực thi pháp luật.

FBI cho biết gian lận ATO cũng có thể liên quan đến việc sử dụng thủ thuật Tối ưu hóa công cụ tìm kiếm (SEO) để lừa người dùng tìm kiếm doanh nghiệp trên công cụ tìm kiếm nhấp vào các liên kết giả mạo chuyển hướng đến một trang web tương tự thông qua quảng cáo độc hại trên công cụ tìm kiếm.

Bất kể phương pháp nào được sử dụng, các cuộc tấn công đều có một mục tiêu chung: chiếm quyền kiểm soát các tài khoản và nhanh chóng chuyển tiền sang các tài khoản khác do chúng kiểm soát, đồng thời thay đổi mật khẩu, khóa chặt chủ tài khoản. Các tài khoản nhận tiền được liên kết với ví tiền điện tử để chuyển đổi chúng thành tài sản kỹ thuật số và che giấu dấu vết dòng tiền.

Để được bảo vệ trước mối đe dọa, người dùng được khuyến cáo nên cẩn thận khi chia sẻ thông tin về bản thân trực tuyến hoặc trên mạng xã hội, thường xuyên theo dõi tài khoản để phát hiện bất kỳ bất thường về tài chính nào, sử dụng mật khẩu phức tạp, duy nhất, đảm bảo URL của trang web ngân hàng trước khi đăng nhập và luôn cảnh giác với các cuộc tấn công lừa đảo hoặc người gọi đáng ngờ.

FBI cho biết: "Bằng cách chia sẻ công khai thông tin như tên thú cưng, trường bạn đã theo học, ngày sinh hoặc thông tin về các thành viên trong gia đình, bạn có thể cung cấp cho kẻ lừa đảo thông tin chúng cần để đoán mật khẩu hoặc trả lời câu hỏi bảo mật của bạn".

Jim Routh, giám đốc phụ trách tín thác tại Saviynt, cho biết trong một tuyên bố: "Phần lớn các tài khoản ATO được nhắc đến trong thông báo của FBI đều thông qua thông tin đăng nhập bị xâm phạm do những kẻ tấn công rất quen thuộc với các quy trình và luồng công việc nội bộ để chuyển tiền trong các tổ chức tài chính sử dụng".

"Các biện pháp kiểm soát hiệu quả nhất để ngăn chặn các cuộc tấn công này là thủ công (gọi điện thoại để xác minh) và tin nhắn SMS để phê duyệt. Nguyên nhân gốc rễ vẫn là việc sử dụng thông tin đăng nhập cho tài khoản đám mây mặc dù có sẵn các tùy chọn không cần mật khẩu."

Sự phát triển này diễn ra trong bối cảnh Darktrace, Flashpoint, Forcepoint, Fortinet và Zimperium đã nêu bật các mối đe dọa an ninh mạng lớn trước mùa lễ, bao gồm các vụ lừa đảo Black Friday, gian lận mã QR, rút tiền từ thẻ quà tặng và các chiến dịch lừa đảo quy mô lớn bắt chước các thương hiệu phổ biến như Amazon và Temu.

Nhiều hoạt động trong số này tận dụng các công cụ trí tuệ nhân tạo (AI) để tạo ra các email lừa đảo, trang web giả mạo và quảng cáo trên mạng xã hội có sức thuyết phục cao, cho phép ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể thực hiện các cuộc tấn công có vẻ đáng tin cậy và tăng tỷ lệ thành công cho các chiến dịch của chúng.

Fortinet FortiGuard Labs cho biết họ đã phát hiện ít nhất 750 tên miền độc hại có chủ đề ngày lễ được đăng ký trong ba tháng qua, trong đó nhiều tên miền sử dụng các thuật ngữ chính như "Giáng sinh", "Thứ Sáu Đen" và "Giảm giá chớp nhoáng". Công ty cho biết: "Trong ba tháng qua, hơn 1,57 triệu tài khoản đăng nhập liên kết với các trang thương mại điện tử lớn, có sẵn thông qua nhật ký đánh cắp, đã được thu thập trên các thị trường ngầm".

Những kẻ tấn công cũng bị phát hiện đang tích cực khai thác các lỗ hổng bảo mật trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và các nền tảng thương mại điện tử phổ biến khác. Một số lỗ hổng đã bị khai thác bao gồm CVE-2025-54236, CVE-2025-61882 và CVE-2025-47569.

Theo Zimperium zLabs, số lượng các trang web lừa đảo trên thiết bị di động (hay còn gọi là mishing) đã tăng gấp 4 lần, với những kẻ tấn công lợi dụng các thương hiệu đáng tin cậy để tạo ra sự cấp bách và lừa người dùng nhấp vào, đăng nhập hoặc tải xuống các bản cập nhật độc hại.

Hơn nữa, Recorded Future đã cảnh báo về các vụ lừa đảo mua hàng, trong đó kẻ tấn công sử dụng các cửa hàng thương mại điện tử giả mạo để đánh cắp dữ liệu nạn nhân và ủy quyền thanh toán gian lận cho các hàng hóa và dịch vụ không tồn tại. Công ty mô tả các vụ lừa đảo này là "mối đe dọa lừa đảo lớn đang nổi lên".

Theo công ty an ninh mạng, các hoạt động lừa đảo diễn ra theo nhiều giai đoạn, nhắm vào các nạn nhân cụ thể bằng cách sử dụng hệ thống phân phối lưu lượng ( TDS ) để xác định xem họ có phù hợp hay không và bắt đầu chuỗi chuyển hướng dẫn họ đến giai đoạn cuối cùng, nơi diễn ra giao dịch được nạn nhân ủy quyền.

Ưu điểm chính của hình thức lừa đảo này là các khoản thanh toán được chính nạn nhân ủy quyền, mang lại cho kẻ lừa đảo khoản tiền bồi thường ngay lập tức. Ngược lại, các hình thức tấn công lừa đảo khác đòi hỏi đầu tư đáng kể thời gian và nguồn lực để rút tiền từ dữ liệu bị đánh cắp. Một số vụ lừa đảo mua hàng chọn lọc cũng được phát hiện sử dụng dịch vụ khôi phục giao dịch để thực hiện hai giao dịch gian lận liên tiếp, qua đó kiếm tiền gấp đôi từ thông tin thẻ.

"Một hệ sinh thái dark web tinh vi cho phép các tác nhân đe dọa nhanh chóng thiết lập cơ sở hạ tầng lừa đảo mua hàng mới và khuếch đại tác động của chúng", công ty cho biết. "Các hoạt động quảng cáo bắt chước tiếp thị truyền thống - bao gồm cả việc chào bán dữ liệu thẻ bị đánh cắp trên dark web PP24 - đang lan rộng trong thế giới ngầm này."

"Những kẻ đe dọa tài trợ cho các chiến dịch quảng cáo bằng thẻ thanh toán bị đánh cắp để phát tán các vụ lừa đảo mua hàng, từ đó làm lộ thêm dữ liệu thẻ thanh toán, tiếp tục tạo ra một chu kỳ lừa đảo liên tục.