Chuyên Mục

Cẩn thận với các email đính kèm bản khai thuế VAT

TTO - Một cuộc tấn công gần đây cho thấy tin tặc đã gửi email giả mạo từ dịch vụ hỗ trợ Cơ quan thuế và Hải Quan Anh (HMRC) và chứa các liên kết đến phần mềm độc hại JRAT được ngụy trang dưới dạng bản khai thuế VAT.

Cẩn thận với các email đính kèm bản khai thuế VAT - Ảnh 1.

Nguồn: Free BSD.

DMARC là tiêu chuẩn để chặn spammer khỏi việc sử dụng tên miền của người sở hữu mà không được sự cho phép của họ và rất quan trọng đối với mail server. Cơ quan Thuế và Hải quan Vương quốc Anh - HMRC (@HMRC.gov.uk) đã triển khai DMARC để ngăn chặn tình trạng lừa đảo qua mạng.

Việc sử dụng DMARC cho phép HMRC và các nhà cung cấp dịch vụ email xác định email giả mạo đến từ tên miền chính hãng và ngăn việc phân phối đến khách hàng. Tháng 11-2016, HMRC tuyên bố đã giảm được 300 triệu email lừa đảo.

Thế nhưng, DMARC không phải là tất cả. Ngày 13-10-2017, một cuộc tấn công được thông báo bởi SpiderLabs cho thấy hacker đã gửi email giả mạo từ dịch vụ hỗ trợ HMRC và chứa các liên kết đến phần mềm độc hại JRAT được ngụy trang dưới dạng bản khai thuế VAT.

Hacker đã đăng ký tên miền gần giống với HMRC - hmirc-gov.co.uk từ công ty đăng ký LCN. Email lừa đảo được gửi đến các mục tiêu từ tên miền này với tiêu đề "Trả lại bản khai thuế VAT" và nội dung như sau: "Cảm ơn bạn đã gửi bản khai thuế VAT nhưng dường như vẫn còn một số vấn đề. Vui lòng xem lại các lỗi trong tài liệu đính kèm, sửa và gửi lại cho chúng tôi".

Trên thực tế, không có tài liệu đính kèm nào cả mà chỉ là một URL trỏ tới dịch vụ chia sẻ tập tin của Microsoft OneDrive. Khi bấm vào liên kết này, người dùng sẽ tự động tải xuống tệp có tên VAT RETURN QUERY.ZIP chứa các bot JRAT.

Cẩn thận với các email đính kèm bản khai thuế VAT - Ảnh 2.

Nguồn: Telegraph.

DMARC có thể ngăn chặn lừa đảo từ các tên miền chính hãng nhưng không thể ngăn chặn lừa đảo từ các tên miền giống nhau. Người phát ngôn của LCN cũng cho biết LCN không thể cung cấp bất kỳ chi tiết nào về người đăng ký tên miền vì nó đã được đăng ký với "quyền riêng tư". Hiện tên miền này không thể truy cập được và đã biến mất khỏi Internet chỉ trong vòng 5 phút.

Vấn đề này nghiêm trọng đến mức công ty an ninh High-Tech Bridge của Thụy Sĩ đã cung cấp một dịch vụ miễn phí dựa trên AI được gọi là radar chống lạm dụng thương hiệu. Theo đó, công cụ này sẽ tìm kiếm các tên miền nghi ngờ chứa nguy hiểm tiềm ẩn. Một thử nghiệm mới đây cho thấy công cụ đã tìm ra 7 tên miền có liên quan đến HMRC và 24 tên miền bị nghi được sử dụng để tiến hành các cuộc tấn công lừa đảo.

Các đơn vị lớn và quan trọng, như HMRC, cần cố gắng tìm ra nhiều giải pháp thắt chặt bảo mật thay vì phụ thuộc vào DMARC. Hiện HMRC chưa có bình luận gì thêm về vụ việc này.

quan tâm LIÊN HOA
Top