Buzz
Một Mạng Lưới Bot Rộng Lớn Sử Dụng Ảnh Nghệ Thuật Giả Mạo để Đánh Lừa Facebook
Trong tháng 11 năm 2021, Tord Lundström, giám đốc kỹ thuật tại tổ chức phi lợi nhuận về điều tra số học Thụy Điển Qurium Media, phát hiện điều gì đó kỳ lạ. Một cuộc tấn công phủ định dịch vụ phân tán (DDoS) lớn đang nhắm vào Bulatlat, một trang tin truyền thông Philippines thay thế do tổ chức phi lợi nhuận này lưu trữ. Và nó đến từ người dùng Facebook.
Lundström và đội ngũ của anh phát hiện rằng cuộc tấn công chỉ là bắt đầu. Bulatlat đã trở thành mục tiêu của một trang trại troll Việt Nam tinh vi đã chiếm đoạt thông tin đăng nhập của hàng nghìn tài khoản Facebook và biến chúng thành bot độc hại để nhắm vào thông tin đăng nhập của thêm nhiều tài khoản khác nhau để làm tăng số lượng của chúng.
Sức mạnh của cuộc tấn công này làm kinh ngạc ngay cả đối với Bulatlat, nơi đã lâu là mục tiêu của sự kiểm duyệt và các cuộc tấn công mạng lớn. Đội ngũ tại Qurium đang chặn đến 60,000 địa chỉ IP mỗi ngày truy cập trang web của Bulatlat. “Chúng tôi không biết nó đến từ đâu, tại sao mọi người lại đến những phần cụ thể của trang web Bulatlat,” Lundström nói.
Khi họ truy vết cuộc tấn công, mọi thứ trở nên kỳ cục hơn. Lundström và đội ngũ của anh phát hiện rằng các yêu cầu trang trên trang web của Bulatlat thực sự đến từ các liên kết Facebook được ẩn danh để trông giống như liên kết đến nội dung khiêu dâm. Những liên kết lừa đảo này chiếm đoạt thông tin đăng nhập của người dùng Facebook và chuyển hướng lưu lượng đến Bulatlat, bản chất là thực hiện một cuộc tấn công lừa đảo và một cuộc tấn công DDoS cùng một lúc. Từ đó, các tài khoản bị đe dọa được tự động spam mạng của họ bằng thêm liên kết khiêu dâm giả mạo, từ đó gửi người dùng ngày càng nhiều đến trang web của Bulatlat.
Mặc dù công ty mẹ của Facebook là Meta có các hệ thống để phát hiện lừa đảo phishing và các liên kết gặp vấn đề, Qurium phát hiện rằng những người tấn công đang sử dụng một “miền bouncing.” Điều này có nghĩa là nếu hệ thống phát hiện của Meta kiểm tra miền, nó sẽ liên kết đến một trang web chính thức, nhưng nếu một người dùng thông thường nhấp vào liên kết, họ sẽ được chuyển hướng đến trang web lừa đảo.
Sau một thời gian dài điều tra, Qurium đã xác định được một công ty Việt Nam mang tên Mac Quan Inc. đã đăng ký một số tên miền cho các trang web lừa đảo. Qurium ước tính rằng nhóm Việt Nam này đã chiếm đoạt thông tin đăng nhập của hơn 500,000 người dùng Facebook từ hơn 30 quốc gia sử dụng khoảng 100 tên miền khác nhau. Được cho là hơn 1 triệu tài khoản đã bị nhắm đến bởi mạng lưới bot.
Để tránh qua hệ thống phát hiện của Meta, những kẻ tấn công đã sử dụng “proxy cư trú,” định tuyến lưu lượng thông qua một trung gian có trụ sở ở cùng quốc gia với tài khoản Facebook bị đánh cắp—thông thường là một chiếc điện thoại di động địa phương—để làm cho nó trông như là việc đăng nhập đến từ một địa chỉ IP địa phương. “Bất kỳ ai từ bất cứ nơi nào trên thế giới cũng có thể truy cập vào những tài khoản này và sử dụng chúng cho bất cứ điều gì họ muốn,” Lundström nói.
Một trang Facebook cho “Mac Quan IT” cho biết chủ sở hữu của nó là một kỹ sư tại công ty tên miền Namecheap.com và bao gồm một bài đăng từ ngày 30 tháng 5, 2021, nơi nó quảng cáo bán lượt thích và người theo dõi: 10.000 yen ($70) cho 350 lượt thích và 20.000 yen cho 1.000 người theo dõi. MYTOUR liên hệ với email gắn liền với trang Facebook để đề xuất ý kiến nhưng không nhận được phản hồi. Qurium đã truy vết thêm tên miền đến một email được đăng ký bởi một người tên Miền Trung Vinh.
“Chúng tôi đã gửi email cho Facebook và nghĩ, ‘Tất nhiên họ sẽ làm điều gì đó về điều này,’” Lundström nói. Qurium liên hệ với Meta ba lần từ ngày 31 tháng 3 đến ngày 11 tháng 5 nhưng không nhận được phản hồi. Trong khi đó, Bulatlat tiếp tục bị tấn công từ mạng lưới bot. “Đây là những tội phạm đang xây dựng các dịch vụ giả mạo trong cùng một nền tảng thực sự được dự kiến để ngăn chúng,” Lundström nói. “Điều này sẽ tương đương với việc bán ma túy tại đồn cảnh sát.”
David Agranovich, giám đốc của bộ phận phá vỡ mối đe dọa tại Meta, nói rằng Meta khuyến khích mọi người “thận trọng khi họ được yêu cầu chia sẻ thông tin đăng nhập của mình với các trang web mà họ không biết và không tin cậy.” Agranovich thêm rằng Meta tiếp tục “cải thiện cách chúng tôi phát hiện và thực thi đối với các nỗ lực thay đổi chiến thuật bởi các chiến dịch lừa đảo của đối phương.” Facebook đã loại bỏ trang Facebook của Mac Quan IT sau khi MYTOUR chia sẻ thông tin chi tiết.
Ari Lightman, giáo sư truyền thông số và tiếp thị số tại Đại học Carnegie Mellon, nói rằng các chiến thuật như những gì được sử dụng bởi Mac Quan là 'phổ biến hơn chúng ta nghĩ.' Lightman nói rằng sự tập trung vào mối quan hệ cá nhân—và niềm tin đi kèm—có thể khiến mọi người dễ nhấp vào những liên kết không rõ ràng và vô tình giao thông thông tin riêng tư.
Tuy nhiên, mà không có thêm thông tin và sự tham gia từ Meta, Lundström nói rằng không thể biết được bao nhiêu tài khoản đã bị chiếm đóng và, quan trọng hơn, ai đã ra lệnh cho các cuộc tấn công nhắm mục tiêu Bulatlat. Và việc xác định nguồn gốc quả thật quan trọng. Các thành viên trong đội ngũ của Bulatlat đã bị đánh dấu là 'đỏ,' hoặc được đánh dấu là cộng sản, bởi các thành viên trong chính phủ Philippines. Đây là một nhãn hiệu đã dẫn đến ám sát phi tòa án và quấy rối của các nhà hoạt động, nhà báo và nhà tổ chức, đánh dấu họ là chống lại nhà nước.
“Rất nhiều những người đã bị đánh dấu 'đỏ' đã bị bắt giữ, bị buộc tội với những tội ác kép, và một số thậm chí đã bị giết,” nói Len Olea, biên tập viên quản lý tại Bulatlat. Cô và nhân viên của cô thường lo lắng về an ninh cá nhân của họ. “Có những trường hợp khi một số người trong chúng tôi cảm thấy chúng tôi đang bị theo dõi,” Olea nói. “Nhưng không cách nào xác nhận.”
Vẫn chưa rõ ai, hoặc cái gì, đứng sau cuộc tấn công vào Bulatlat. “Những trang trại troll này, những con bot độc hại đang được hướng dẫn và được tài trợ bởi một thực thể nào đó,” nói Lightman. “Thực thể đó là ai, và mục đích của thực thể đó khi sử dụng những dịch vụ này là gì?”
