Tấn công Vishing của ShinyHunters nhắm vào Charter, 40 triệu hồ sơ bị lộ

Charter Communications, tập đoàn viễn thông đứng sau thương hiệu Spectrum, đã xác nhận vi phạm dữ liệu sau khi nhóm tống tiền ShinyHunters tuyên bố đã đánh cắp khoảng 40 triệu hồ sơ khách hàng. Theo báo cáo, kẻ tấn công không cần đến phần mềm độc hại tinh vi hay các lỗ hổng zero-day. Chúng chỉ thực hiện một cuộc gọi điện thoại.

Theo các nguồn tin, ShinyHunters giành được quyền truy cập ban đầu bằng cách tiến hành một cuộc tấn công vishing, một vụ lừa đảo lấy cắp thông tin qua giọng nói, nhắm vào tài khoản Microsoft Entra của một nhân viên Charter. Từ thông tin đăng nhập bị xâm phạm duy nhất đó, nhóm này bị cáo buộc đã truy xuất hồ sơ của cả khách hàng cá nhân và doanh nghiệp. Charter đã xác nhận vi phạm là có thật và dường như đang điều tra phạm vi đầy đủ của nó.

Sự cố này là một lời nhắc nhở rõ ràng rằng những thất bại trong bảo mật dữ liệu doanh nghiệp gây ra hậu quả trực tiếp cho những người bình thường chỉ đơn giản là đăng ký gói internet hoặc truyền hình cáp.

Tấn công Vishing là gì và tại sao nó lại hiệu quả đến vậy?

Vishing, viết tắt của voice phishing (lừa đảo qua giọng nói), là hình thức kẻ tấn công gọi điện cho một nhân viên và mạo danh một bên đáng tin cậy, chẳng hạn như bộ phận hỗ trợ CNTT, nhà cung cấp hoặc quản lý. Mục tiêu là lừa nạn nhân cung cấp thông tin đăng nhập, mật khẩu một lần hoặc các chi tiết truy cập khác qua điện thoại.

Đây là một phương pháp công nghệ thấp, nhưng đó chính xác là lý do tại sao nó hiệu quả. Những nhân viên được đào tạo để phát hiện email đáng ngờ vẫn có thể tuân theo khi một giọng nói thuyết phục trên điện thoại nói rằng có vấn đề khẩn cấp về tài khoản cần giải quyết ngay lập tức. Trong trường hợp của Charter, tài khoản bị xâm phạm là một định danh Microsoft Entra, loại thông tin xác thực dựa trên đám mây có thể mở ra cánh cửa cho nhiều hệ thống nội bộ.

ShinyHunters là một nhóm đe dọa đã được ghi nhận rõ ràng với lịch sử đánh cắp dữ liệu quy mô lớn. Kịch bản điển hình của chúng thường liên quan đến việc đe dọa công bố hoặc bán dữ liệu bị đánh cắp trừ khi trả tiền chuộc, gây áp lực tối đa lên các tổ chức nắm giữ hồ sơ khách hàng nhạy cảm.

Dữ liệu nào đã bị lộ và ai đang gặp rủi ro?

Bốn mươi triệu hồ sơ được tuyên bố chứa thông tin cá nhân từ cả khách hàng dân cư và doanh nghiệp. Mặc dù các trường dữ liệu chính xác chưa được tiết lộ đầy đủ công khai, các vi phạm viễn thông ở quy mô này thường bao gồm tên, địa chỉ, số điện thoại, chi tiết tài khoản và trong một số trường hợp là địa chỉ email hoặc một phần thông tin thanh toán.

Đối với bất kỳ ai là hoặc đã từng là khách hàng của Charter hoặc Spectrum, hồ sơ rủi ro là rất rõ ràng. Thông tin cá nhân của bạn có thể rơi vào tay tội phạm, những kẻ sử dụng chúng để tạo ra các email lừa đảo có mục tiêu, chiếm đoạt tài khoản tại các dịch vụ khác hoặc thực hiện lừa đảo đánh cắp danh tính.

Vi phạm này cũng minh họa cho một mô hình đã trở nên phổ biến một cách đáng thất vọng: người tiêu dùng giao dữ liệu của họ cho các tập đoàn lớn như một điều kiện dịch vụ, và các tập đoàn đó trở thành mục tiêu có giá trị cao. Không có cơ chế từ chối. Một khi dữ liệu của bạn nằm trong hệ thống của một công ty, sự an toàn của nó hoàn toàn phụ thuộc vào các biện pháp kiểm soát nội bộ của công ty đó.

Điều này có ý nghĩa gì đối với bạn

Bạn không thể kiểm soát cách Charter hoặc bất kỳ công ty nào khác bảo mật tài khoản nhân viên của mình. Nhưng bạn có thể kiểm soát mức độ lộ diện của cuộc sống số của chính mình khi một vi phạm như thế này xảy ra.

Dưới đây là các bước cụ thể quan trọng nhất lúc này.

Giả định rằng dữ liệu của bạn đang bị lưu hành. Nếu bạn là khách hàng hiện tại hoặc trước đây của Charter hoặc Spectrum, hãy coi đây là một phơi nhiễm đã được xác nhận. Theo dõi chặt chẽ các tài khoản tài chính và báo cáo tín dụng của bạn trong những tháng tới. Các nỗ lực gian lận và đánh cắp danh tính thường xuất hiện vài tuần hoặc vài tháng sau vi phạm, không phải ngay lập tức.

Sử dụng mật khẩu duy nhất cho mọi tài khoản. Nếu kẻ tấn công lấy được địa chỉ email của bạn từ vi phạm này, chúng sẽ cố gắng sử dụng nó để truy cập các dịch vụ khác. Trình quản lý mật khẩu đảm bảo rằng vi phạm tại một công ty không thể lan thành chiếm đoạt tài khoản ở nơi khác.

Bật xác thực đa yếu tố ở mọi nơi. Điều này đặc biệt quan trọng đối với email, ngân hàng và bất kỳ tài khoản nào liên quan đến số điện thoại hoặc địa chỉ nhà của bạn. Sử dụng ứng dụng xác thực thay vì SMS nếu có thể, vì số điện thoại bị lộ trong các vi phạm viễn thông có thể bị sử dụng trong các cuộc tấn công hoán đổi SIM.

Cảnh giác với các vụ lừa đảo tiếp theo. Tội phạm thu thập dữ liệu khách hàng viễn thông thường sử dụng nó để khởi động các vụ lừa đảo cá nhân hóa. Một email hoặc cuộc gọi đề cập đến chi tiết tài khoản, địa chỉ hoặc lịch sử dịch vụ của bạn không nên tự động được tin tưởng. Hãy xác minh độc lập qua các kênh chính thức.

Cân nhắc xem ISP của bạn biết gì về bạn. Nhà cung cấp dịch vụ internet của bạn ngồi giữa bạn và internet rộng lớn hơn, có khả năng quan sát dữ liệu meta lưu lượng, mô hình kết nối và hoạt động duyệt web của bạn. Sử dụng một VPN uy tín mã hóa lưu lượng đó tại nguồn, giới hạn những gì bất kỳ công ty đơn lẻ nào có thể thu thập và sau đó làm lộ ra. Điều này đặc biệt liên quan vì các khuôn khổ giám sát như liên minh chia sẻ tình báo Fourteen Eyes có nghĩa là dữ liệu ISP nắm giữ có thể bị truy cập vượt xa một khu vực tài phán duy nhất.

Bức tranh lớn hơn cho người tiêu dùng có ý thức về quyền riêng tư

Vi phạm của Charter không phải là một sự cố đơn lẻ. Nó là một phần của một mô hình kéo dài, trong đó các tổ chức lớn nắm giữ khối lượng dữ liệu khổng lồ của người tiêu dùng bị xâm phạm thông qua kỹ thuật đánh lừa con người tương đối đơn giản, chứ không phải các cuộc tấn công kỹ thuật cầu kỳ.

Biện pháp bảo vệ hiệu quả nhất dành cho cá nhân là giảm thiểu dấu chân dữ liệu bạn để lại cho bất kỳ tổ chức đơn lẻ nào, và giới hạn những gì có thể bị truy cập hoặc lộ ra nếu tổ chức đó bị vi phạm. Điều đó có nghĩa là thực hành vệ sinh thông tin xác thực, bật xác thực mạnh và sử dụng các công cụ quyền riêng tư giúp giảm lượng dữ liệu mà ISP và các nhà cung cấp dịch vụ khác có thể thu thập về bạn ngay từ đầu.

Bạn đã không chọn ở trong cơ sở dữ liệu của Charter. Nhưng bạn có thể chọn mức độ khó khăn khi trở thành mục tiêu một khi thông tin của bạn đã lọt ra ngoài. Hãy bắt đầu với những điều cơ bản được liệt kê ở trên, và coi mỗi vi phạm viễn thông lớn như một lời nhắc nhở để kiểm tra lại các thực hành bảo mật của chính bạn thay vì chờ đợi lần tiếp theo.