Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

W

WhiteHat News #ID:86

WhiteHat Support
04/06/2014
4
33 bài viết
Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”
W
Thời gian gần đây, xuất hiện website naptiennhandoi.com quảng cáo chương trình tri ân nhân đôi giá trị thẻ nạp. Không ít người dùng Facebook đã trở thành nạn nhân của các website lừa đảo này khi nạp thẻ điện thoại thông qua đây.

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav, cho biết: “Trước khi thực hiện các giao dịch trực tuyến, người dùng cần kiểm tra thông tin qua nhiều nguồn khác nhau. Tuyệt đối không giao dịch tài chính trên các website không chính thức, không đáng tin cậy”.

Vừa mới đây, thành viên tepriu của Diễn đàn An ninh mạng WhiteHat.vn vừa đăng một bài viết vạch trần mánh khóe mà tin tặc sử dụng để lừa tiền của người dùng cũng như chân tướng của thủ phạm. Theo tepriu, kẻ này chủ đích đăng ký tên miền quốc tế và sử dụng email giả để che giấu thông tin, nhưng lại lòi đuôi ra các thông tin tại Việt Nam. Rất có thể hắn đang ở Hà Nội.

Các bạn có thể theo dõi bài viết của thành viên tepriu dưới đây.

------------------------------

(tepriu) Gần đây, một số bạn bè của mình nhận được tin nhắn Facebook về thông tin khuyến mãi 100% mệnh giá thẻ điện thoại khi nạp thông qua website naptiennhandoi.com. Các nhà mạng đã chấm dứt khuyến mãi 100% lâu rồi, với lại chả có thông tin gì từ phía ông nhà mạng nào cả, nghi ngờ lắm thay :3

Thử vô coi dư lào :3


148993994401_Nap the.jpg

Thật không thể tin nổi, toàn logo của các ngân hàng lớn, nào là VPBank, HDBank, ACB, Sacombank…


Tiếp tục click “Vào trang chủ”:

148993994402_Nap the.jpg

Theo như quảng cáo, khi nạp tiền thông qua trang web này, người dùng sẽ được nhân đôi số tiền. Ngoài ra, người dùng còn có cơ hội nhận điện thoại iPhone 5S.

Để tăng tính lừa tình, website này còn giả mạo là Zing Pay - một dịch vụ của Zing, có số điện thoại hỗ trợ (tuy nhiên đây là số giả). Phần comment Facebook cũng xuất hiện rất nhiều seeder, với những dòng comment đại loại như “đã thử và thành công”, “nạp 100k được thêm 100k, cảm ơn chương trình nhiều nhé”… Tuy nhiên, khi mình kiểm tra thì các tài khoản Facebook này phần lớn là mới tạo hoặc đã lâu không sử dụng.

148993994403_Nap the.jpg

Mình cũng nạp thử một thẻ cào hợp lệ của Viettel, sau đó liên hệ với tổng đài Viettel thì được biết thẻ này được nạp vào một game online của VMG. Liên hệ tiếp với VMG thì bên này cũng chỉ xác minh được là thẻ cào đã được nạp vào thời gian nào và mục đích là nạp vào tài khoản game, không moi được thông tin gì về tên game và tài khoản nhận được (cái này chắc chỉ công an mới mần được).

Tóm lại, quy trình lừa đảo như sau: Kẻ lừa đảo gửi tin nhắn qua Facebook dụ người dùng truy cập website lừa đảo --> Người dùng nhập số điện thoại, mã thẻ, số serial vào --> Trang web lừa đảo thực hiện nạp tiền trực tiếp vào 1 tài khoản game của VMG --> nếu không thành công thì báo thẻ không hợp lệ, nếu thành công thì báo đã nạp (vào game), và không có gì thêm, còn nạn nhân thì cứ cầm điện thoại ngóng chờ tiền nhân đôi.

Tìm hiểu tiếp thông tin về kẻ lừa đảo này:

Kiểm tra thông tin tên miền qua whois thì thấy thấy tên miền naptiennhandoi.com mới được đăng ký ngày 22/06/2015.

148993994404_Nap the.jpg

Một phát hiện thêm là tên miền này sử dụng dịch vụ Dynamic DNS của Mắt bão, do đó Name Server trỏ về NS1.FREEDNS.VN

148993994405_Nap the.jpg

À, như vậy chú này có vẻ không có tiền. Dùng Dynamic DNS là có khả năng chúng sẽ sử dụng ADSL để hosting, thử ping server thì ra ngay địa chỉ 123.30.187.124. Đây là địa chỉ ADSL của VNPT, chú này đang ở Hà Nội. Mình vẫn thấy đúng câu nói không muốn lộ thì đừng có làm :)

148993994406_Nap the.jpg

Như vậy, đối tượng lừa đảo này đã chủ đích đăng ký tên miền quốc tế và sử dụng email giả để che giấu thông tin, nhưng lại lòi đuôi ra các thông tin tại Việt Nam, gồm có:

- Địa chỉ IP ADSL của nhà/công ty mình đang làm (dùng của VDC);

- Thông tin đăng ký dịch vụ Dynamic DNS với Mắt bão;

- Tài khoản game tại VMG;

Với các thông tin này, hy vọng bạn này thời gian tới sẽ được gặp cháu của ông Chú Viettel :)

Mình thấy hiện nay có rất nhiều website lừa đảo kiểu như này, được share tràn lan qua Facebook. Chắc cũng không ít người đã mắc lừa và mất tiền oan (nhìn số comment chửi bới than vãn đằng cuối là biết, hơn 1.000 người). Thành viên Forum chắc không ai bị lừa bởi mấy cái trò mèo này. Tuy nhiên, vẫn còn rất nhiều người nhẹ dạ cả tin. Nếu có thể, các bạn cũng nên cảnh báo thông tin này cho bạn bè, người thân của mình để biết cách phòng tránh nhé :)
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
T
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Mình đã sử dụng IPAddress.com để tìm vị trí IP 123.30.187.124
Thật bất ngờ, IPAddress.com lại cho biết trang danangonline.vn cũng trỏ về địa chỉ IP trên
Mình đã thử ping vào danangonline.vn trên cmd thì cũng cho biết trang này trỏ về cùng địa chỉ
Rồi mình thử truy cập vào danangonline.vn thì bị lỗi 403 Forbidden
Theo whois thì tên miền này dùng hosting của Bạch Kim (ns1.bkns.vn và ns2.bkns.vn)
Phải chăng danangonline.vn cũng của tên lừa đảo này???
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Putin
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Bạn tìm ra hay thật đấy :)

napthe.jpg

Có 2 khả năng
- Chủ nhân tên miền danangonline.vn là thủ phạm
- Chủ nhân tên miền danangonline.vn là có quan hệ với thủ phạm

Tóm lại là có liên quan

thanhvudev;26368 đã viết:
Mình đã sử dụng IPAddress.com để tìm vị trí IP 123.30.187.124
Thật bất ngờ, IPAddress.com lại cho biết trang danangonline.vn cũng trỏ về địa chỉ IP trên
Mình đã thử ping vào danangonline.vn trên cmd thì cũng cho biết trang này trỏ về cùng địa chỉ
Rồi mình thử truy cập vào danangonline.vn thì bị lỗi 403 Forbidden
Theo whois thì tên miền này dùng hosting của Bạch Kim (ns1.bkns.vn và ns2.bkns.vn)
Phải chăng danangonline.vn cũng của tên lừa đảo này???
Nhấn để mở rộng...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
R
  • r00ts3c
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Theo mình IP 123.30.187.124 là 1 host share của bkns
https://cp187124.bkns.com.vn
Chứ ko có liên quan gì tới site danangonline kia hết.
Ngoài site lừa đảo bên trên thì trên server này còn nhiều trang khác cũng thuộc dạng scam
Ngoài ra còn có saodo.edu.vn và nhiều website khác trên server này
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Kaito KID
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Putin;26370 đã viết:
Bạn tìm ra hay thật đấy :)

1489939944napthe.jpg


Có 2 khả năng
- Chủ nhân tên miền danangonline.vn là thủ phạm
- Chủ nhân tên miền danangonline.vn là có quan hệ với thủ phạm

Tóm lại là có liên quan
Nhấn để mở rộng...

Cũng chưa khẳng định được 2 ông này có quan hệ với nhau, vì có rất nhiều website đặt chung trên server này:
http://viewdns.info/reverseip/?host=123.30.187.124&t=1

Đếm sơ sơ hơn 30 cái :v
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

#1: theo mình thì freedns.vn là máy chủ DNS chứ ko chỉ là dynamic dns nhé bạn :(
và cái IP kia. vào thẳng trang chủ thấy đó là 1 trang của CPanel. Thằng lừa đảo này đơn giản chỉ là người sử dụng host thôi, và với lượng domain liên kết với cái host đó như kia thì chắc thằng lđảo chả liên quan đến chủ của host này cả.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
DiepNV88
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Theo thông tin mọi người thảo luận thì việc tìm ra thủ phạm không khó chỉ cần liên hệ nhà cung cập hosting và tra cứu gói Share host theo domain kia là ra chủ nhân web.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Putin
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Để mình check lại, vào freedns.vn thì ra trang Dynamic DNS của mắt bão http://freedns.vn/


freedns.jpg

Tóm lại sử dụng dịch vụ của mắt bão cũng thông tin rồi !

Còn về việc sử dụng host thì cũng tương tự

Mà bạn daemoncute không rõ có quan hệ gì mà lại "làm mờ" vấn đề đi thế nhỉ, nick cũng mới reg hôm qua ? :cool:

daemoncute;26380 đã viết:
#1: theo mình thì freedns.vn là máy chủ DNS chứ ko chỉ là dynamic dns nhé bạn :(
và cái IP kia. vào thẳng trang chủ thấy đó là 1 trang của CPanel. Thằng lừa đảo này đơn giản chỉ là người sử dụng host thôi, và với lượng domain liên kết với cái host đó như kia thì chắc thằng lđảo chả liên quan đến chủ của host này cả.
Nhấn để mở rộng...
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nhựt Trường
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Mọi thứ nó làm củng vì tiền thế thì cứ lần tiền cuối cùng sẽ về đâu. Như ở trên thẻ mình mà nạp vào tài khoảng nào ko lẽ ko biết, về tiền in game 1 nó nạp game chơi, 2 bán lại in game, 3 cash out tiền thật. điều tra các lịch sữ giao dịch củ tài khoảng sớm muộn củng lụm. mà nếu điều tra được cái ip khi nó đang nhập đẻ cash out thì tóm nó được rùi.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
B
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Trên thực tế để túm được tên này (chắc chắn và chính xác 100%) thì mình nghĩ chỉ cần 1 vài thao tác nghiệp vụ cơ bản là đủ hốt. Nếu đem ra thảo luận thì bọn nó sẻ trốn kỷ hơn.
Và nếu bắt thì những thằng nhỏ như thế này, chỉ cần 1 nốt nhạc, cái khó là bắt những thằng to vẫn sống nhan nhãn ngoài kia.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Putin
Re: Lần theo chân tướng kẻ lừa đảo “nhân đôi thẻ cào”

Quan trọng là răn đe bạn ạ, những người có ý đồ xấu mà thấy có người khác bị xử lý khi vi phạm thì sẽ không dám làm nữa. Còn nếu thấy vi phạm cũng chả vấn đề gì thì ngày càng có nhiều người làm việc xấu.

b4sic404;26407 đã viết:
Trên thực tế để túm được tên này (chắc chắn và chính xác 100%) thì mình nghĩ chỉ cần 1 vài thao tác nghiệp vụ cơ bản là đủ hốt. Nếu đem ra thảo luận thì bọn nó sẻ trốn kỷ hơn.
Và nếu bắt thì những thằng nhỏ như thế này, chỉ cần 1 nốt nhạc, cái khó là bắt những thằng to vẫn sống nhan nhãn ngoài kia.
Nhấn để mở rộng...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Chiến dịch VEILDrive lợi dụng dịch vụ Microsoft để lẩn trốn và phát tán phần mềm độc hại
  • Tưởng vô hại mà hại không tưởng với Malvertising đang lan truyền qua quảng cáo trên Meta
  • Synology phát hành bản vá cho các lỗ hổng nghiêm trọng trong phần mềm Surveillance Station
  • Hacker Trung Quốc vượt qua cơ chế xác thực ở các ngân hàng Việt Nam, Thái Lan
  • Atlanssian vá lỗ hổng zero-day trên Confluence đang bị khai thác
  • Giải pháp Ivanti Avalance bị ảnh hưởng bởi lỗi tràn bộ đệm ngăn xếp
    • Bên trên