TẤN CÔNG PHISHING - LOẠI HÌNH TẤN CÔNG MẠNG NHẰM VÀO NGƯỜI SỬ DỤNG CẢ TIN
(SPL) - “Có rất nhiều loại hình tấn công nhằm đánh cắp thông tin hay
chiếm quyền sử dụng tài khoản, tài sản trên không gian mạng của người dùng mà một
trong những phương thức tấn công phổ biến nhất là Phishing. Ở hình thức này,
tin tặc sẽ đóng giả một tổ chức mà nạn nhân thường tin tưởng để lừa đảo và thu
thập những thông tin bảo mật của nạn nhân, ví dụ như số thẻ tín dụng, mật khẩu
đăng nhập”, Tiến sĩ Đặng Khánh Hưng, Viện trưởng Viện Nghiên Cứu và Sáng Tạo
Khoa Học Máy Tính - IRICS khuyến cáo.
Phishing là một hình thức tấn công mạng nguy hiểm, có thể gây ra nhiều
thiệt hại cho các cá nhân, tổ chức, hay doanh nghiệp. Cùng tìm hiểu tấn công
Phishing là gì, các loại Phishing từ đó có phương pháp phòng vệ hiệu quả.
Phishing là gì?
Phishing là một loại tấn công trực tuyến trong đó tin tặc đóng giả một
tổ chức hoặc công ty uy tín để lừa đảo người dùng và thu thập thông tin nhạy cảm
của họ. Do phishing hoạt động dựa trên sự thao túng tâm lý và sai lầm của người
dùng (thay vì dựa trên lỗi hay lỗ hổng trên phần mềm), nên nó được coi là một dạng
tấn công phi kỹ thuật (social engineering) nhằm đột nhập vào hệ thống bảo mật,
đánh cắp hoặc sử dụng trái phép thông tin cá nhân.
Thông thường, tin tặc tiến hành các cuộc tấn công phishing qua những
email giả mạo để thuyết phục người dùng nhập các thông tin nhạy cảm vào trang
web của tin tặc. Trang web này thường có giao diện rất giống với những trang
web chính thống. Thông thường, đó là những email yêu cầu người dùng đặt lại mật
khẩu của mình hoặc xác nhận thông tin thẻ tín dụng.
Những đường link trong Phishing email thường dẫn đến trang web giả mạo
của chúng, nếu bạn điền thông tin tài khoản của mình vào đó thì bạn đã mắc bẫy.
Có những loại phishing nào?
Có nhiều loại phishing khác nhau và các loại này thường được phân loại
theo đối tượng và hướng tấn công. Dưới đây là một số ví dụ thường gặp.
Clone phishing: Kẻ tấn công sử dụng một email thật đã được gửi trước
đó và sao chép vào một email tương tự có chứa đường dẫn đến một trang giả mạo.
Kẻ tấn công sau đó sẽ thông báo đây là một đường dẫn mới hoặc cập nhật, có thể
nói rằng đường dẫn cũ đã hết hạn.
Spear phishing: Loại hình tấn công trực tuyến này nhằm vào một người
hoặc tổ chức (thường là một người nổi tiếng), bằng cách thu thập và sử dụng các
thông tin có thể nhận dạng được, chẳng hạn tên của một người họ hàng hoặc người
bạn thân.
Pharming: Kẻ tấn công làm hỏng một bản ghi DNS, trong đó sẽ chuyển hướng
khách truy cập từ một trang web hợp pháp đến trang web giả mạo mà kẻ tấn công
đã xây dựng lên từ trước. Đây là loại tấn công nguy hiểm nhất vì các bản ghi
DNS không nằm trong sự kiểm soát của người dùng, bởi vậy người dùng không có biện
pháp nào để phòng vệ.
Email Spoofing: Email lừa đảo thường giả mạo thông tin liên lạc từ các
công ty hoặc nhân thân hợp pháp. Trong email lừa đảo, các đường link tới các
trang web độc hại được hiển thị cho nạn nhân, nơi mà những kẻ tấn công sẽ thu
thập thông tin xác thực đăng nhập và PII bằng cách sử dụng các trang đăng nhập
được ngụy trang khéo léo. Trang độc hại có thể chứa trojan, keylogger và các tập
lệnh độc hại khác nhằm ăn cắp thông tin cá nhân.
Website Redirects: Website Redirects (điều hướng trang web) điều hướng
người dùng đi đến các URL khác không đúng như ý định truy cập của người dùng. Bằng
cách khai thác lỗ hổng, kẻ tấn công có thể chèn các redirect và cài đặt phần mềm
độc hại lên máy tính của người dùng.
Typosquatting: Typosquatting điều hướng truy cập đến các trang web giả
mạo có tên miền là tiếng nước ngoài, có những lỗi chính tả phổ biến hoặc có các
biến thể nhỏ trong tên miền cấp cao nhất. Kẻ tấn công sử dụng các miền để bắt
chước giao diện của trang web hợp pháp, lợi dụng việc việc nhập sai hoặc đọc
sai URL của người dùng.
Impersonation & Giveaways: Mạo danh các nhân vật có ảnh hưởng trên
truyền thông xã hội là một kỹ thuật khác được sử dụng để lừa đảo. Những kẻ lừa
đảo có thể mạo danh các lãnh đạo chủ chốt của các công ty và, bằng sự ảnh hưởng
của mình, những kẻ này có thể quảng cáo việc trao thưởng hoặc tham gia vào các
hành vi lừa đảo khác. Nạn nhân của thủ đoạn này thậm chí có thể bị kẻ lừa đảo
nhắm đến bằng cách áp dụng phương pháp tấn công phi kỹ thuật nhằm tìm ra những
người dùng cả tin. Kẻ lừa đảo có thể đánh cắp tài khoản đã được xác minh và sửa
đổi tên người dùng để mạo danh một nhân vật thật trong khi vẫn duy trì được trạng
thái đã được xác minh. Nạn nhân có nhiều khả năng tương tác và cung cấp PII cho
các nhân vật có vẻ như có tầm ảnh hưởng này, tạo cơ hội cho những kẻ lừa đảo
khai thác thông tin của họ.
Gần đây, những kẻ lừa đảo đang nhắm mạnh đến các nền tảng như Slack,
Discord và Telegram cho các mục đích giống nhau, trò chuyện giả mạo, mạo danh
cá nhân và bắt chước các dịch vụ hợp pháp.
Lý giải một vài nguyên nhân
Ở Việt Nam, hiện trạng lừa đảo, phishing ngày càng gia tăng. Theo thống
kê của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, Cục An toàn
thông tin - Bộ Thông tin và Truyền thông), trong 7 tháng đầu năm 2021 Việt Nam
ghi nhận 3.934 cuộc tấn công mạng. Trong đó, số cuộc tấn công lừa đảo
(phishing) nhằm vào người sử dụng là 1.030 cuộc, chiếm tỷ lệ 26,18%.
Lý giải nguyên nhân tình trạng tấn công phising tăng cao, ông Ngô Minh
Hiếu (Hiếu PC) - Trung tâm Giám sát An toàn không gian mạng Quốc gia (NCSC) cho
rằng có các nhân tố về mặt con người và tâm lý sau đây mà chúng ta cần phải biết
và hiểu.
Việc thiếu nhận thức an toàn thông tin của người dân (không tìm hiểu
nguồn gốc, không bảo mật tốt cho tài khoản, chia sẻ nội dung hình ảnh mà không
biết đến mức độ hay hậu quả…), trình độ hiểu biết pháp luật của người dân hạn
chế, bản tính tò mò và hiếu kỳ (xem những tin nội dung giả, giật gân, lừa đảo,
nhạy cảm..), đó chính là những điều kiện thuận lợi để bọn lừa đảo thực hiện
hành vi phạm tội. Một số người vì nhẹ dạ, tham lam vì thấy cái lợi trước mắt
nên dễ dàng bị lôi kéo vào những cạm bẫy của bọn lừa đảo dẫn đến hậu quả vô
cùng nghiêm trọng.
Ông Ngô Minh Hiếu đánh giá nhiều cuộc tấn công lừa đảo xảy ra trong thời
gian gần đây đã lợi dụng các nội dung, thông tin những hoàn cảnh khủng hoảng
khó khăn ở hiện tại như tình hình dịch Covid-19, thiên tai... làm cho người dân
hoang mang, mất cảnh giác và dễ mắc bẫy.
Tội phạm lừa đảo hay tin tặc dễ dàng tận dụng những công nghệ, công cụ
hiện có để lừa đảo và ẩn danh tính (dùng VPN, TOR để ẩn địa chỉ IP; sử dụng SIM
rác, SIM ảo; tài khoản ngân hàng có thể lập online bằng chứng minh thư giả mạo…).
Chỉ cần một ít vốn đầu tư ban đầu và không cần hiểu biết về lập trình hay công
nghệ, tội phạm lừa đảo vẫn có thể kiếm được những đồng tiền một cách dễ dàng
trong một thời gian ngắn. Theo ông Ngô Minh Hiếu, đa phần các tội phạm lừa đảo
do tuổi còn trẻ nên thiếu suy nghĩ về hậu quả.
Làm thế nào để đề phòng
phishing?
Vậy, làm thế nào để đề phòng và hạn chế rủi ro bị tấn công phishing?
Tiến sĩ Đặng Khánh Hưng, Viện trưởng Viện nghiên cứu sáng tạo khoa học và máy
tính (IRICS) khuyến cáo người dùng email và các trang web mạng xã hội, mua bán
trực tuyến nên cảnh giác với mọi email mà họ nhận được, và không nên truy cập bất
kỳ đường link nào trong những email mà họ có nghi ngờ về nguồn gốc hoặc nguyên
nhân mà họ nhận được email đó. Một số thủ thuật phòng vệ cơ bản đối với rủi ro
phishing bao gồm:
Kiểm tra nội dung: Người dùng có thể nhập một phần nội dung (hoặc địa
chỉ email của người gửi) vào một công cụ tìm kiếm để kiểm tra liệu có bất kỳ
ghi chép nào về cuộc tấn công phishing nào đã từng sử dụng phương pháp đó.
Thử các cách thức khác: Nếu email mà người dùng nhận được có vẻ là một
yêu cầu hợp lý về việc xác nhận các thông tin đăng nhập, hãy thử xác nhận bằng
các cách khác thay vì bấm vào đường dẫn trong email.
Kiểm tra liên kết URL: Trỏ chuột lên đường dẫn nhưng không bấm vào
liên kết để kiểm tra liệu nó có bắt đầu bằng HTTPS chứ không phải HTTP. Tuy
nhiên, hãy nhớ chỉ riêng thông tin này không đủ cơ sở để đảm bảo trang web đích
là hợp pháp.
Tóm lại, Phishing là một trong những kỹ thuật tấn công trực tuyến phổ
biến nhất. Mặc dù các công cụ lọc của các dịch vụ email phổ biến khá hiệu quả
trong việc phát hiện và đánh dấu nghi vấn đối với các thư giả mạo, người dùng vẫn
nên cẩn thận và thực hiện các biện pháp để bảo vệ các thông tin của bản thân.
Hãy cẩn thận với những email yêu cầu các thông tin nhạy cảm hoặc riêng tư, và
nên chủ động xác nhận người gửi và các yêu cầu được nhắc đến trong email là hợp
pháp trước khi tương tác hoặc truy cập các đường link đính kèm.
Bài viết có tham khảo quan điểm của Tiến sĩ Đặng Khánh Hưng, Viện trưởng
Viện Nghiên Cứu và Sáng Tạo Khoa Học Máy Tính - IRICS và ông Ngô Minh Hiếu (Hiếu
PC) - Trung tâm Giám sát An toàn không gian mạng Quốc gia (NCSC).
Theo Linh Tăng báo Pháp luật Việt Nam