Các nhà nghiên cứu bảo mật Trend Micro cảnh báo, vừa xuất hiện một chiến dịch lừa đảo được chuẩn bị kỹ lưỡng nhắm vào khách hàng của ngân hàng J.P Morgan Chase khi họ sử dụng điện thoại di động thực hiện các giao dịch trực tuyến.
Những kẻ đứng đằng sau đã thiết lập một loạt trang web giả mạo bắt chước các trang web đăng nhập trực tuyến qua di động hợp pháp của ngân hàng, chúng sử dụng một URL tương tự (không có HTTPS).
Trang đầu tiên yêu cầu tên ID và mật khẩu người dùng, trang thứ hai yêu cầu địa chỉ e-mail và mật khẩu email, trang cuối cùng yêu cầu một file ảnh scan ID của họ:
Sau khi cung cấp tất cả những yêu cầu trên, cuối cùng khách hàng bị dẫn đến một trang web không hề hoạt động. Họ vừa mới giao một số thông tin cực kỳ nhạy cảm đến kẻ xấu.
Các nhà nghiên cứu cho biết mức độ lừa đảo như thế này chưa từng thấy ở đây vì tin tặc không chỉ có thể truy cập vào tài khoản ngân hàng và email của nạn nhân mà còn có được thẻ ID của họ hòng sử dụng cho những việc bất chính. Hơn nữa, các bản sao giấy tờ của nạn nhân như ID, hộ chiếu, visa, v.v thường được bán trên các diễn đàn ngầm ở Nga.
Những đường link dẫn đến trang lừa đảo đầu tiên được phát hiện nằm trong mục thư rác giả mạo từ ngân hàng gởi đến, nó yêu cầu nạn nhân xác minh tài khoản hoặc cảnh báo trang web đóng cửa với một số lý do như bị tin tặc tấn công.
Việc gia tăng lượng khách hàng truy cập vào tài khoản ngân hàng trực tuyến bằng điện thoại di động hoặc các ứng dụng chắc chắn sẽ làm xuất hiện các cuộc tấn công tương tự thậm chí còn phổ biến hơn nhắm vào khách hàng của nhiều ngân hàng, các tổ chức tài chính và dịch vụ được sử dụng trên toàn thế giới.
Các nhà nghiên cứu bảo mật khuyên: "Bất cứ khi nào gặp phải các thủ tục kỳ lạ và bất ngờ trong các giao dịch, người dùng trước hết nên xác nhận với các cơ quan liên quan như ngân hàng mà họ mở tài khoản". Ngoài ra, đánh dấu các trang web thường xuyên truy cập cũng là một việc tốt vì nó loại bỏ nguy cơ bị dẫn đến một trang web lừa đảo thông qua lỗi trong khi nhập trên thanh địa chỉ.
Cuối cùng thì sẽ là hữu ích khi trang bị một giải pháp bảo mật dành cho di động để có thể phát hiện và ngăn chặn các trang web lừa đảo.