Hơn 17.500 tên miền lừa đảo nhắm tới 316 thương hiệu tại 74 quốc gia

Theo Netcraft, các dịch vụ PhaaS tính phí theo tháng, cung cấp phần mềm lừa đảo với mẫu giao diện dựng sẵn, giả mạo hàng trăm thương hiệu trên thế giới. Lucid lần đầu được Công ty an ninh mạng PRODAFT (Thụy Sĩ) ghi nhận tháng 4/2025, với khả năng gửi tin nhắn lừa đảo qua iMessage và RCS. Nền tảng này bị cho là do một nhóm tội phạm nói tiếng Trung có tên XinXin điều hành, bên cạnh việc khai thác các công cụ khác như Lighthouse và Darcula.

Tên miền giả mạo Amazon được phát hiện trong một chiến dịch lừa đảo trực tuyến.

Netcraft cho biết, Lucid đã được dùng để triển khai URL lừa đảo nhắm vào 164 thương hiệu tại 63 quốc gia, trong khi Lighthouse nhắm tới 204 thương hiệu tại 50 quốc gia. Cả hai đều cho phép tùy biến mẫu, giám sát nạn nhân theo thời gian thực, lọc truy cập dựa trên thiết bị, quốc gia hoặc đường dẫn cấu hình. Nếu không đúng mục tiêu, người truy cập sẽ chỉ thấy một trang bán hàng giả.

Lighthouse giống Lucid, cung cấp tính năng tạo mẫu lừa đảo cho hơn 200 nền tảng toàn cầu. Giá thuê dao động từ 88 USD/tuần tới 1.588 USD/năm. Netcraft lưu ý, mặc dù Lighthouse hoạt động độc lập với nhóm XinXin, nhưng sự tương đồng về hạ tầng và mục tiêu cho thấy xu hướng hợp tác trong hệ sinh thái PhaaS. Một số chiến dịch dùng Lighthouse còn giả mạo dịch vụ bưu chính Albania Posta Shqiptare, trong khi với người dùng không phải mục tiêu, chỉ hiển thị cửa hàng trực tuyến giả mạo.

“Lucid và Lighthouse là minh chứng cho tốc độ phát triển và mức độ khó gián đoạn của các nền tảng này”, chuyên gia Netcraft Harry Everett nhận định.

Cùng với đó, Netcraft cũng phát hiện sự thay đổi kênh truyền dữ liệu đánh cắp: tội phạm mạng đang rời bỏ Telegram và chuyển sang email. Chỉ trong một tháng, số vụ tấn công qua email đã tăng 25%. Một số kẻ gian dùng dịch vụ như EmailJS để thu thập thông tin đăng nhập và mã xác thực hai lớp, tránh việc phải xây dựng hạ tầng riêng.

Theo chuyên gia Penn Mackintosh, đặc tính phi tập trung của email khiến việc xử lý, gỡ bỏ khó khăn hơn so với các nền tảng tập trung như Telegram.

Ngoài ra, hơn 600 tên miền giả mạo sử dụng ký tự Hiragana “ん” để tạo ra URL gần như giống hệt tên miền thật cũng bị phát hiện. Hình thức homoglyph attack này chủ yếu nhắm vào người dùng tiền số, đánh lừa họ cài đặt tiện ích trình duyệt giả mạo các ví điện tử như Phantom, MetaMask, Coinbase, Exodus, PancakeSwap hay Trust, từ đó chiếm quyền kiểm soát ví.

Trong những tháng gần đây, các chiến dịch lừa đảo còn lợi dụng thương hiệu của Delta Airlines, AMC Theatres, Universal Studios và Epic Records để thu hút người tham gia “nhiệm vụ” trực tuyến. Thực tế, nạn nhân bị yêu cầu nạp ít nhất 100 USD tiền số, tạo lợi nhuận phi pháp cho kẻ gian.

“Các chiêu trò này cho thấy tội phạm mạng đang tận dụng mẫu giả mạo thương hiệu dựa trên API để mở rộng quy mô lừa đảo tài chính trên nhiều lĩnh vực”, nhà nghiên cứu Rob Duncan của Netcraft nhấn mạnh.

Duy Trinh (theo The Hacker News)