Lừa đảo quy mô lớn ‘Scattered Spider’ hoạt động ra sao?

Một nhóm tội phạm mạng bị cáo buộc đã thực hiện một trong những vụ lừa đảo tinh vi nhất mọi thời đại, đánh cắp hàng chục triệu đô la và thông tin cá nhân của hàng trăm nghìn người, theo bộ tư pháp Hoa Kỳ.

Năm cá nhân, bao gồm bốn người từ Hoa Kỳ và một người từ Vương quốc Anh, đã bị truy tố vì tội âm mưu lừa đảo qua điện thoại, âm mưu và trộm cắp danh tính nghiêm trọng.

Nhóm này, được các nhà nghiên cứu bảo mật đặt tên là “Scattered Spider“, bị cáo buộc đã thực hiện một kế hoạch lừa đảo “phishing” phức tạp nhắm vào nhân viên của các công ty lớn như MGM và Twilio.

Chiến thuật tấn công của Scattered Spider

Scattered Spider đã gửi tin nhắn văn bản đến nhân viên của các công ty mục tiêu, giả vờ là một phần của bộ phận CNTT của công ty đó. Các tin nhắn này thúc giục nhân viên đăng nhập vào một liên kết được cung cấp trong tin nhắn, nếu không tài khoản nhân viên của họ sẽ bị hủy kích hoạt.

Tuy nhiên, liên kết này dẫn đến một trang web lừa đảo được thiết kế để đánh cắp thông tin của người dùng. Khi truy cập trang web giả mạo, nhân viên sẽ nhập thông tin đăng nhập và mã xác thực hai yếu tố của họ, tin rằng yêu cầu và trang web là hợp pháp.

Sau khi có được thông tin đăng nhập, Scattered Spider đã truy cập vào hệ thống máy tính của cả nhân viên và chủ lao động, đánh cắp thông tin bí mật của doanh nghiệp, chẳng hạn như tài sản trí tuệ và sản phẩm công việc bí mật, cũng như thông tin cá nhân của nhân viên, chẳng hạn như tên, địa chỉ email và số điện thoại.

Theo các tài liệu liên bang, nhóm này đã sử dụng thông tin này để đánh cắp hàng triệu đô la từ ví tiền điện tử của nạn nhân.

Vụ lừa đảo của Scattered Spider kéo dài từ tháng 9 năm 2021 đến tháng 4 năm 2023.

Hình phạt

Các bị cáo phải đối mặt với án tù liên bang tối đa 20 năm cho tội âm mưu lừa đảo qua điện thoại, cũng như tối đa 5 năm tù liên bang cho tội âm mưu và 2 năm tù giam bắt buộc cho tội trộm cắp danh tính nghiêm trọng.

Tuyên bố của các quan chức

“Như vụ việc này cho thấy, lừa đảo và tấn công mạng ngày càng trở nên tinh vi và có thể dẫn đến những tổn thất to lớn”, luật sư Hoa Kỳ Martin Estrada cho biết.

“Các bị cáo bị cáo buộc đã nhắm vào các nạn nhân không nghi ngờ trong kế hoạch lừa đảo này và sử dụng thông tin cá nhân của họ làm cửa ngõ để đánh cắp hàng triệu đô la trong tài khoản tiền điện tử của họ”, Akil Davis, trợ lý giám đốc phụ trách văn phòng FBI ở Los Angeles cho biết. “Những loại yêu cầu gian lận này rất phổ biến và cướp đi số tiền mà các nạn nhân Mỹ kiếm được bằng cách nhấp chuột”.