Timeline mô phỏng tấn công CIC — 3 biến thể

Ba biến thể: (A) Chỉ dùng leak, (B) Leak + SIM-swap, (C) Leak + insider. Click tab để chuyển, mở từng bước để thấy dấu hiệu phát hiện và biện pháp.

Biến thể A — Chỉ dùng leak

Kẻ tấn công chỉ có dữ liệu rò rỉ (CIC + các nguồn khác). Không có quyền với số điện thoại.

Giai đoạn — 0: Mua/thu thập data (0–7 ngày)

Tập hợp dữ liệu

Xem: nội dung & dấu hiệu

Dữ liệuCCCD, họ tên, ngày sinh, số điện thoại, lịch sử vay sơ lược.

Dấu hiệu (cá nhân): nhận SMS/Email mời vay mà không đăng ký.

Biện pháp: kiểm tra báo cáo tín dụng; bật 2FA email; không click link lạ.

Giai đoạn — 1: Phân tích & target (vài giờ → 2 ngày)

Profile nạn nhân

Xem: hành vi & phát hiện

Kẻ tấn công kết hợp leak khác để có email, nơi làm việc → soạn phishing cá nhân hóa.
Dấu hiệu (tổ chức): tăng traffic truy vấn thông tin cùng CCCD từ IP lạ.
Biện pháp: rate-limit API, logging tamper-evident.

Giai đoạn — 2: Phishing / Social-engineering (vài phút → vài ngày)

Khai thác thông tin bổ sung

Xem: dấu hiệu & phản ứng

Kẻ tấn công gửi email/SMS phishing mồi kèm link giả để lấy OTP/password.
Dấu hiệu (cá nhân): email lạ yêu cầu xác thực; link chứa domain khác.
Biện pháp: kiểm tra header email, xóa, không nhập OTP trên trang lạ.

Giai đoạn — 3: Mở khoản vay giả (vài phút → vài giờ)

Đăng ký vay online dựa trên dữ liệu

Xem: phát hiện & xử lý

Kẻ tấn công dùng CCCD + email của nạn nhân (nếu có) để đăng ký vay và cung cấp tài khoản trung gian nhận tiền.
Dấu hiệu: người dùng nhận thông báo khoản vay, hoặc phát hiện khoản trên báo cáo ngân hàng.
Biện pháp: CIC/Ngân hàng thực hiện kiểm tra chéo bằng giấy tờ gốc cho giao dịch rủi ro.

Ghi chú: biến thể này ít tinh vi hơn so với có SIM-swap hoặc insider nhưng vẫn gây nợ ảo, phishing, và rủi ro mạo danh.

Biến thể B — Leak + SIM-swap

Kẻ tấn công có dữ liệu & cố gắng chiếm số điện thoại (SIM-swap) để chốt xác thực OTP.

Giai đoạn — 0: Mua data & chọn mục tiêu (0–7 ngày)

Lựa chọn nạn nhân có số điện thoại liên kết

Xem

Tập trung người có số điện thoại đăng ký nhiều dịch vụ tài chính.
Dấu hiệu: nhận lời mời vay lạ.
Biện pháp: yêu cầu credit freeze, monitoring.

Giai đoạn — 1: Chuẩn bị social-engineer nhà mạng (vài phút → 24 giờ)

Thực hiện cuộc gọi/đến cửa hàng nhà mạng

Xem: dấu hiệu

Kẻ xấu dùng info để thuyết phục nhà mạng đổi SIM hoặc thực hiện porting.
Dấu hiệu (cá nhân): mất sóng bất thường; không nhận SMS.
Biện pháp: đặt passphrase/port freeze với nhà mạng, báo ngay khi mất sóng.

Giai đoạn — 2: Chiếm số & takeover account (vài phút → 1 giờ)

Lấy OTP, reset mật khẩu, chiếm email/app tài chính

Xem: phát hiện

Sau khi SIM bị chuyển, kẻ xấu nhận OTP và hoàn tất reset.
Dấu hiệu: nhiều request reset mật khẩu; không nhận OTP trên thiết bị cũ.
Biện pháp: sử dụng app-authenticator, khóa account ngân hàng bằng xác thực vật lý với giao dịch lớn.

Giai đoạn — 3: Mở khoản vay & rút tiền (vài phút → vài giờ)

Giải ngân nhanh sang tài khoản attacker

Xem: detection & response

Kẻ xấu hoàn tất hồ sơ và nhận tiền; nhanh chóng chuyển ra nhiều tài khoản.
Dấu hiệu (ngân hàng): chuỗi chuyển khoản nhỏ liên tiếp, rút tiền tới tài khoản mới.
Biện pháp: hold giao dịch chuyển tiền lớn; xác minh lặp lại thông tin nhận tiền.

Ghi chú: biến thể này là nhanh và thiệt hại trực tiếp cao — SIM-swap thường phối hợp với social-engineering nhà mạng.

Biến thể C — Leak + Insider

Kẻ xấu có dữ liệu và hợp tác hoặc mua quyền truy cập từ bên trong CIC/ngân hàng.

Giai đoạn — 0: Thiết lập & bribery/compromise (vài ngày → vài tuần)

Đầu tư để có quyền truy cập nội bộ

Xem: dấu hiệu & cảnh báo

Kẻ tấn công trả tiền hoặc tống tiền nhân viên để xuất data hoặc xin quyền truy vấn cao hơn.
Dấu hiệu (org): truy vấn từ account admin vào giờ lạ, export data lớn.
Biện pháp: phân tách nhiệm vụ, kiểm toán truy cập real-time, DLP.

Giai đoạn — 1: Trích xuất & làm sạch logs (vài phút → vài giờ)

Lấy bản sao DB hoặc export selective

Xem: phát hiện

Insider export hàng loạt hồ sơ, có thể xóa logs hoặc che dấu.
Dấu hiệu (IT): tăng export CSV/requests, thao tác admin không giải thích được.
Biện pháp: immutable logging, alert khi export > threshold.

Giai đoạn — 2: Lợi dụng data & mở hàng loạt tài khoản/vay (vài giờ → vài ngày)

Mở quy mô lớn, tạo nợ ảo

Xem

Với quyền và dữ liệu, kẻ xấu có thể tạo nhiều hồ sơ giả hoặc sửa hồ sơ hiện có để bypass kiểm tra.
Dấu hiệu: pattern bất thường trong hồ sơ trả nợ, nhóm user mới có cấu trúc giống nhau.
Biện pháp: kiểm tra chuyên sâu khi có spike đăng ký, xác thực giấy tờ gốc.

Giai đoạn — 3: Phối hợp rút tiền & che giấu (vài giờ → vài ngày)

Rút tiền qua mạng lưới trung gian

Xem: detection

Chuỗi rút tiền phức tạp, thay đổi nhận tiền, modification hồ sơ lịch sử.
Biện pháp: forensic log analysis, báo công an, tạm dừng dịch vụ liên quan.

Ghi chú: insider attack thường gây tổn thất lớn và khó phát hiện sớm — cần kiểm soát con người & kỹ thuật.

Hành động tấn công

Bước, bằng chứng, detection

Rủi ro/critical

Ghi chú: các mốc thời gian chỉ mang tính minh hoạ. Tùy kịch bản, attacker có thể rút ngắn hoặc kéo dài từng bước.