Cục Điều tra Liên bang Hoa Kỳ (FBI) đã cảnh báo rằng tội phạm mạng đang mạo danh các tổ chức tài chính nhằm đánh cắp tiền hoặc thông tin nhạy cảm để thực hiện các kế hoạch lừa đảo chiếm đoạt tài khoản (ATO).
Cơ quan này cho biết hoạt động này nhắm mục tiêu vào các cá nhân, doanh nghiệp và tổ chức thuộc nhiều quy mô và lĩnh vực khác nhau, đồng thời nói thêm rằng các kế hoạch lừa đảo đã gây ra thiệt hại hơn 262 triệu USD kể từ đầu năm. FBI cho biết họ đã nhận được hơn 5.100 đơn khiếu nại.
Lừa đảo ATO thường đề cập đến các cuộc tấn công cho phép các threat actors truy cập trái phép vào một tổ chức tài chính trực tuyến, hệ thống trả lương hoặc tài khoản tiết kiệm sức khỏe để lấy cắp dữ liệu và tiền vì mục đích cá nhân. Quyền truy cập thường được lấy bằng cách tiếp cận nạn nhân thông qua các kỹ thuật social engineering, chẳng hạn như tin nhắn, cuộc gọi và email lợi dụng nỗi sợ hãi của người dùng hoặc thông qua các trang web giả mạo.
Những phương pháp này giúp attackers lừa người dùng cung cấp thông tin đăng nhập của họ trên một trang phishing, trong một số trường hợp, thúc giục họ nhấp vào một liên kết để báo cáo các giao dịch gian lận được cho là đã ghi nhận trên tài khoản của họ.
"Một tội phạm mạng thao túng chủ tài khoản để họ tiết lộ thông tin đăng nhập, bao gồm mã multi-factor authentication (MFA) hoặc One-Time Passcode (OTP), bằng cách mạo danh nhân viên tổ chức tài chính, bộ phận hỗ trợ khách hàng hoặc nhân viên hỗ trợ kỹ thuật," FBI cho biết.
"Tội phạm mạng sau đó sử dụng thông tin đăng nhập để đăng nhập vào trang web của tổ chức tài chính hợp pháp và thực hiện đặt lại mật khẩu, cuối cùng giành quyền kiểm soát hoàn toàn các tài khoản."
Các trường hợp khác liên quan đến việc các threat actors mạo danh các tổ chức tài chính liên hệ với chủ tài khoản, tuyên bố thông tin của họ đã được sử dụng để thực hiện các giao dịch mua hàng gian lận, bao gồm cả vũ khí, và sau đó thuyết phục họ cung cấp thông tin tài khoản cho một tội phạm mạng thứ hai mạo danh cơ quan thực thi pháp luật.
FBI cho biết lừa đảo ATO cũng có thể liên quan đến việc sử dụng Search Engine Optimization (SEO) poisoning để lừa người dùng tìm kiếm doanh nghiệp trên các công cụ tìm kiếm nhấp vào các liên kết giả mạo chuyển hướng đến một trang web tương tự thông qua các quảng cáo công cụ tìm kiếm độc hại.
Bất kể phương pháp nào được sử dụng, các cuộc tấn công đều có một mục đích: chiếm quyền kiểm soát tài khoản và nhanh chóng chuyển tiền đến các tài khoản khác dưới sự kiểm soát của chúng, đồng thời thay đổi mật khẩu, khóa quyền truy cập của chủ tài khoản. Các tài khoản mà tiền được chuyển đến sau đó được liên kết với cryptocurrency wallets để chuyển đổi thành tài sản kỹ thuật số và che giấu dấu vết tiền.
Cách tự bảo vệ khỏi lừa đảo ATO
Để tự bảo vệ khỏi mối đe dọa này, người dùng nên cẩn thận khi chia sẻ thông tin về bản thân trực tuyến hoặc trên mạng xã hội, thường xuyên kiểm tra tài khoản để phát hiện bất kỳ sự bất thường tài chính nào, sử dụng mật khẩu độc đáo, phức tạp, đảm bảo URL của các trang web ngân hàng trước khi đăng nhập và luôn cảnh giác trước các cuộc tấn công phishing hoặc những người gọi đáng ngờ.
"Bằng cách công khai chia sẻ thông tin như tên thú cưng, trường học bạn đã theo học, ngày sinh hoặc thông tin về các thành viên gia đình, bạn có thể cung cấp cho kẻ lừa đảo thông tin chúng cần để đoán mật khẩu hoặc trả lời các câu hỏi bảo mật của bạn," FBI cho biết.
"Đại đa số các tài khoản ATO được đề cập trong thông báo của FBI xảy ra thông qua thông tin đăng nhập bị xâm phạm được sử dụng bởi các threat actors quen thuộc với các quy trình nội bộ và luồng công việc di chuyển tiền trong các tổ chức tài chính," Jim Routh, giám đốc bảo mật tại Saviynt, cho biết trong một tuyên bố.
"Các biện pháp kiểm soát hiệu quả nhất để ngăn chặn các cuộc tấn công này là thủ công (cuộc gọi điện thoại để xác minh) và tin nhắn SMS để phê duyệt. Nguyên nhân gốc rễ vẫn là việc chấp nhận sử dụng credentials cho các cloud accounts mặc dù có sẵn các tùy chọn passwordless."
Nguy cơ lừa đảo gia tăng trong mùa lễ hội
Sự phát triển này diễn ra khi Darktrace, Flashpoint, Forcepoint, Fortinet và Zimperium đã nêu bật các mối đe dọa an ninh mạng lớn trước mùa lễ hội, bao gồm lừa đảo Black Friday, lừa đảo mã QR, rút sạch thẻ quà tặng và các chiến dịch phishing quy mô lớn nhái theo các thương hiệu phổ biến như Amazon và Temu.
Nhiều hoạt động trong số này tận dụng các công cụ artificial intelligence (AI) để tạo ra các email phishing, trang web giả mạo và quảng cáo mạng xã hội có tính thuyết phục cao, cho phép ngay cả những attackers có kỹ năng thấp cũng có thể thực hiện các cuộc tấn công trông đáng tin cậy và tăng tỷ lệ thành công của các chiến dịch của họ.
Fortinet FortiGuard Labs cho biết họ đã phát hiện ít nhất 750 domains độc hại, theo chủ đề ngày lễ, được đăng ký trong ba tháng qua, với nhiều tên miền sử dụng các từ khóa như "Christmas," "Black Friday" và "Flash Sale." Công ty cho biết: "Trong ba tháng qua, hơn 1,57 triệu login accounts liên quan đến các trang web thương mại điện tử lớn, có sẵn thông qua stealer logs, đã được thu thập trên các underground markets."
Các attackers cũng được phát hiện đang tích cực exploiting các security vulnerabilities trên Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto và các nền tảng thương mại điện tử phổ biến khác. Một số vulnerability bị khai thác bao gồm CVE-2025-54236, CVE-2025-61882 và CVE-2025-47569.
Theo Zimperium zLabs, đã có sự gia tăng gấp 4 lần các trang web mobile phishing (hay còn gọi là mishing), với việc các attackers lợi dụng tên thương hiệu đáng tin cậy để tạo cảm giác cấp bách và lừa người dùng nhấp vào, đăng nhập hoặc tải xuống các bản cập nhật độc hại."
Hơn nữa, Recorded Future đã cảnh báo về các purchase scams nơi các threat actors sử dụng các cửa hàng thương mại điện tử giả mạo để đánh cắp dữ liệu nạn nhân và ủy quyền các khoản thanh toán gian lận cho hàng hóa và dịch vụ không tồn tại. Nó mô tả các vụ lừa đảo này là "mối đe dọa gian lận lớn đang nổi lên."
"Một dark web ecosystem tinh vi cho phép các threat actors nhanh chóng thiết lập cơ sở hạ tầng purchase scam mới và khuếch đại tác động của chúng," công ty cho biết. "Các hoạt động quảng bá giống như marketing truyền thống – bao gồm cả việc chào bán dữ liệu thẻ bị đánh cắp trên dark web carding shop PP24 – đang lan rộng trong thế giới ngầm này."
"Các threat actors tài trợ các chiến dịch quảng cáo bằng các payment cards bị đánh cắp để lan truyền purchase scams, điều này lại làm lộ thêm dữ liệu payment card, thúc đẩy một vòng lặp gian lận liên tục."
