1. Phishing
Phishing là một hình thức gian lận để có những thông tin nhạy cảm như
username, password, credit card … bằng cách giả mạo như là một thực thể
đáng tin cậy trong các giao tiếp trên mạng. Quá trình giao tiếp thường
diễn ra tại các trang mạng xã hội nổi tiếng, các trang web đấu giá, mua
bán hàng online…mà đa số người dùng đều không cảnh giác với nó. Phishing
sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ
cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung
cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là
trang web giả mạo do các hacker lập nên.
Phishing là một ví dụ của Social Engineering được sử dụng để lừa đảo
người dùng và khai thác lổ hổng trong việc sử dụng công nghệ kém an ninh
của các website hiện hành. Những nỗ lực mạnh mẽ trong thời gian qua để
chống lại Phising bao gồm việc ứng dụng các công nghệ an ninh mới đến
việc đào tạo cho nhân viên, và nâng cao ý thức cộng đồng.
2. Những yếu tố để một cuộc tấn công Phishing thành công.
- Sự thiếu hiểu biết
- Nghệ thuật đánh lừa ảo giác
- Không chú ý đến những chỉ tiêu an toàn
3. Những phương thức của Phishing
- Email and Spam
Kỹ thuật tấn công Phising phổ biến nhất là dùng email. Hacker sẽ tiến
hành gửi hành loạt các thư đến những địa chỉ email hợp lệ. Bằng những kỹ
thuật và công cụ khác nhau, hacker tiến hành thu thập địa chỉ email
trước. Việc thu thập địa chỉ email hàng loạt không hẳn là bất lợi nếu
biết sử dụng đúng cách. Điển hình là chiến lược quảng cáo cần rất nhiều
đến sự trợ giúp của hàng loạt địa chỉ email này. Tuy nhiên hacker đã lợi
dung việc này để gửi những lá thư có nội dung trông có vẽ hợp lệ. Những
nội dung này thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung
cấp thông tin ngay lập tức.
Hacker sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo trường
“Mail From” khiến cho người nhận không có chút nghi ngờ nào. Ví dụ,
hacker sẽ giả email được gửi từ ngân hàng, và yêu cầu người dùng cung
cấp thông tin cá nhân để mợ lại tài khoản do một sự cố nào đó.
Nội dung email được gửi thường sẽ có vài đường link cho bạn liên kết đến
một trang web. Như đã trình bày ở trên, những link này nếu không cẩn
thận sẽ cho là link đến một trang web giả mạo do hacker dựng nên.
- Web-based Delivery
Một kỹ thuật tiếp theo của Phising là dựa vào việc phát tán các website
lừa đảo. Bạn thường thấy các website dạng như kiếm tiền online. Chúng
yêu cầu bạn cung cấp các thông tin tài khoản ngân hàng để tiến hành trả
tiền công. Bạn không ngần ngại gì khi đang chờ đợi số tiền công hậu
hỉnh. Kết cuộc tiền công không thấy mà tiền trong tài khoản cũng không
còn.
Một hình thức khác là khiêu khích sự tò mò của người dùng. Bằng cách
chèn vào trang web những banner hoặc những text quảng cáo có ý khiêu
khích sự tò mò của người dùng. Ví dụ như những hình ảnh khiêu dâm, những
nội dung đang nóng. Kết quả sau khi click vào đó thì máy tính của bạn
có thể bị nhiểm một loại malware nào đó, phục vụ cho một cộng tấn công
khác.
- Irc and Instant Messaging
“Chat” là thuật ngữ quá quen thuộc với mọi người, hay còn gọi là trò
chuyện trực tuyến. Nó rất hữu ích trong giao tiếp. Tuy nhiên, những kẽ
lừa đảo đã bắt đầu lợi dụng vào việc “chat chit” này để tiến hành các
hành động lừa đảo. Bằng những kỹ thuật tấn công, những kẽ lừa đảo tiến
hành gửi tin nhắn tức thì đến hàng loạt người dùng. Những nội dung được
gửi thường có liên quan đến hàng loạt người dùng, và cũng lợi dụng vào
trí tò mò của mọi người.
Vì tính không nhất quán của việc trò chuyện online, những người trò
chuyện online thường không thấy mặt nhau nên không thể biết người đang
nói chuyện với mình có tin cậy hay không. Một kỹ thuật tinh vi của kiểu
lừa đảo này là giả dạng nick chat. Bằng cách giả một nick chat của người
quen để tiến hành trò chuyện và yêu cầu cung cấp thông tin hoặc lừa đảo
làm một việc gì đó. Gần đây ở Việt Nam nở rộ tình trang lừa đảo này.
Nhiều người dùng chat với bạn bè người thân của mình, và họ được nhờ vã
việc nạp tiền điện thoại di động. Nạn nhân vì thấy nick đang chat là của
người quen nên không chút ngần ngại nào trong việc được nhờ vã này.
- Trojaned Hosts
Như đã nói ở phần trước, lừa đảo không những chỉ nhắm đến những thông
tin cá nhân của nạn nhân, mà còn nhiều hình thứ khác. Một kiểu lừa đảo
khác là lừa cho nạn nhân cài vào máy tính của mình một phần mềm gián
điệp. Phần mềm gián điệp (trojan, keylog) này sẽ phục vụ cho một mục
đích tấn công khác.
Điển hình của công việc này là nạn nhân bị nhiễm trojan và trở thành một
máy tính con trong một cuộc tấn công tổng thế trên diện rộng.
4. Các kiểu lừa đảo của Phishing
Dựa vào những phương thức trên, những kẽ lừa đảo bắt đầu tiến hành quá
trình lừa đảo. Căn cứ theo cách thức hoạt động, người ta phân loại những
cuộc tấn công lừa đảo ra thành các loại sau.
- Main-in-the-Middle Attacks
Ở kỹ thuật này, máy tính của attacker được xem như là máy tính trung
gian giữa máy tính của người dùng và website thật. Attecker dựng lên một
máy tính trung gian để nhận dữ liệu của người dùng và chuyển nó cho
website thật. Hoặc nhận dữ liệu của website thật rồi chuyển cho người
dùng. Dữ liệu khi chuyển qua lại sẽ được lưu trữ lại tại máy tính của
attecker. Thoạt nghe mô tả này chúng ta nghỉ ngay đến chức năng của
Proxy Server. Đúng vậy, do đó proxy chính là những nơi không tin cậy cho
lắm khi chúng ta truy cập web thông qua nó.
Những kẽ tấn công sẽ dựng lên một Proxy Server với lời mời gọi sử dụng
được tung ra internet. Vì lý do gì đó (để giả ip trong mua bán hàng qua
mạng) người dùng sẽ tìm đến proxy server này để nhở giúp đỡ trong việc
truy cập web. Và thế là vô tình người trở thành con mồi cho bọn hacker.
Những kẽ tấn công ngoài việc dựng lên proxy server rồi dụ con mồi đến
còn nghĩ đến việc tấn công vào các proxy server này để lấy dữ liệu. Bằng
những kỹ thuật tấn công nào khác, hacker xâm nhập hệ thống lưu trữ của
proxy để lấy dữ liệu, phân tích và có được những thứ mà họ cần.
Một cách khác để tấn công trong kỹ thuật này, là tìm cách làm lệch đường
đi của gói dữ liệu. Thay vì phải chuyển gói tin đến cho web server, thì
đằng này là chuyển đến máy tính của hacker trước, rồi sau đó máy tính
của hacker sẽ thực hiện công việc chuyển gói tin đi tiếp. Để làm điều
này, hacker có thể sử dụng kỹ thuật DNS Cache Poisoning – là kỹ thuật
làm lệch đường đi của gói dữ liệu bằng cách làm sai kết quả phân giải
địa chỉ của DNS.
Một điểm cần lưu ý rằng, kỹ thuật tấn công này không phân biệt giao thức web là HTTP hay HTTPS.
- Url Obfuscation Attacks
Làm giả URL là kỹ thuật tiếp theo mà chúng ta sẽ bàn đến. Trong kỹ
thuật, attacker sẽ làm giả URL của một trang web được nhiều người truy
cập. Bằng cách nào đó, URL này được gửi đến cho người dùng, vì thiếu
tính cẩn thận nên người dùng đã truy cập vào web này. Ví dụ như thay vì
truy cập http://www.amazone.com thì lại truy cập vào website http://www.amazione.com
Kỹ thuật của việc làm thay đổi một chút xíu về URL như thế được gọi là “dotless ip addresses”, Mọi người nghĩ rằng việc này đơn giản, tuy nhiên nó không dẽ chút nào đâu. Bạn có thể tìm hiểu về kỹ thuật này tại địa chỉ http://morph3us.org/blog/index.php?/...fuscation.html
- Cross-Site Scripting Attacks
Cross-Site Scripting (XSS) là một trong những kỹ thuật tấn công phổ biến
nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan
trọng đối với các nhà phát triển web và cả những người sử dụng web. Bất
kì một website nào cho phép người sử dụng đăng thông tin mà không có sự
kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi
XSS.
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS
để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ
thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP
...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy
hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc
chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript,
JScript, DHTML và cũng có thể là cả các thẻ HTML. Kĩ thuật tấn công XSS
đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web
Applications và mối đe doạ của chúng đối với người sử dụng ngày càng
lớn.
Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là
các yêu cầu (request) được gửi từ các máy client tới server nhằm chèn
vào đó các thông tin vượt quá tầm kiểm soát của server. Nó có thể là một
request được gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL
như là
Code:
http://www.example.com/search.cgi?query=
Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !".
Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có
thể thay thế bằng một file nguồn trên một server khác thông qua thuộc
tính src của thẻ script. Cũng chính vì lẽ đó mà chúng ta chưa thể lường
hết được độ nguy hiểm của các lỗi XSS. Nhưng nếu như các kĩ thuật tấn
công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã
nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở
phía client mà nạn nhân trực tiếp là những người khách duyệt site đó.
Tất nhiên đôi khi các hacker cũng sử dụng kĩ thuật này để deface các
website nhưng đó vẫn chỉ tấn công vào bề mặt của website. Thật vậy, XSS
là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình
duyệt phía client do đó XSS không làm ảnh hưởng đến hệ thống website nằm
trên server. Mục tiêu tấn công của XSS không ai khác chính là những
người sử dụng khác của website, khi họ vô tình vào các trang có chứa các
đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các
website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie
thậm chí máy tính bạn có thể sẽ bị cài các loại virus, backdoor, worm …
- Hidden Attacks
Attacker sử dụng các ngôn ngữ lập trình HTML, DHTML, hoặc ngôn ngữ dạng
script khác để chèn vào trình duyệt của người dùng. Hoặc sử dụng các ký
tự đặc biệt để đánh lừa người dùng.
Những phương thức thường được attacker sử dụng là làm ẩn các frame. Các
Frame sẽ được attacker làm ẩn đi trên trình duyệt của người dùng, qua đó
attacker có thể chèn vào những đoạn mã đọc. Một cách khác để tấn công
là ghi đè nội dung trang web hoặc thay đổi hình ảnh trên trang web. Qua
những nội dung bị thay đổi này, attaker sẽ chèn những đoạn mã độc hại
vào đó.
5. Tool chống Phishing
Do kiến thức có hạn nên chỉ nói vài tool thông dụng thôi
- PhishTank SiteChecker: Đây là một website miễn phí cho mọi người có thể kiểm tra, theo dõi và chia sẻ dữ liệu về phishing. Bạn truy cập vào địa chỉ http://www.phishtank.com/ để có thể sử dụng trang web này.
- SpoofGuard: là một phần bổ sung (plug-in)
tương thích với Internet Explorer. SpoofGuard đặt một "đèn cảnh báo"
tại thanh công cụ (toolbar) của trình duyệt web, và chuyển màu từ xanh
sang vàng hoặc đỏ nếu bạn truy cập vào một trang web phishing. Nếu bạn
cố gắng cung cấp thông tin, SpoofGuard sẽ cứu dữ liệu và cảnh báo bạn.
Mức độ cảnh báo cao hay thấp có thể được điều chỉnh qua các thông số.
- Netcraft Tool: đây là add-on sử dụng một
phương pháp khác để giải quyết cùng vấn đề này. Netcraft Toolbar cài đặt
một thanh công cụ để hiển thị mức độ rủi ro, hạng của site và cung cấp
một liên kết báo cáo (báo cáo này cung cấp cho bạn các thông tin mà
Netcraft thu thập được về site). Cũng trên công cụ này, thanh bar là một
menu sổ xuống, với menu này bạn có thể báo cáo một site.
Bạn có thể báo cáo để khóa một site bị gán nhãn sai
Tính năng quan trọng nhất của công cụ này đối với người dùng là xếp hạng
rủi ro (Risk Rating). Thanh bar này sẽ có màu xanh (nếu site có mức rủi
ro thấp) hoặc đỏ (nếu site có mức rủi ro cao). Có một số hệ số đi kèm
với việc tính toán độ rủi ro. Hệ số chính là tuổi đời của site. Chính vì
vậy bạn có thể ghé thăm một site mà bạn biết chắc đó là an toàn (nó có
thể thậm chí là site của riêng bạn) nhưng vẫn nhận được mức cảnh báo cao
vì công cụ này hoàn toàn mới với site của bạn. Không cần quan tâm lý do
tại sao, đây vẫn là cách tốt nhất để phòng tránh rủi ro với các site
kiểu này.
- Anti-phishing Domain Adviso:
Anti-phishing Domain Advisor thực chất là một phần nhỏ của Panda Cloud
được phát triển riêng biệt để cung cấp thêm giải pháp bảo vệ bạn khi
đang lướt web bằng cách phát hiện, ngăn chặn và cảnh báo từ các trang
web lừa đảo, chèn mã độc thông qua dữ liệu nhận dạng của hệ thống Panda
Security.
Khi bạn truy cập vào một trang web giả mạo, lừa đảo hoặc có chèn
mã độc, tiện ích sẽ hiển thị cảnh báo như minh hoạ. Bạn chú ý đến phần
cuối tác giả đặt trong khung đỏ tại thanh địa chỉ của trình duyệt đó
chính là địa chỉ của trang web tác giả thực hiện kiểm tra với
Anti-phishing Domain Advisor.
Để kiểm tra tính xác thực của Anti-phishing Domain Advisor bạn có thể
truy cập vào trang bên dưới sao chép các đường dẫn đang hiển thị tại
khung Domain và dán lên thanh địa chỉ của trình duyệt > Enter để kiểm
tra kết quả.
http://www.malwaredomainlist.com/mdl.php
6. Kết luận:
Hiện nay, các trình duyệt web đều có chức năng chống phishing nên bạn có
thể yên tâm phần nào hơn. Đối mặt với Phishing có lẽ là vấn đề nan giải
nhất. Chúng ta không thể diệt nó, chỉ có cách là sống chung với nó,
nhưng hãy thật cảnh giác.
Minh họa với trình duyệt Firefox
0 nhận xét:
Đăng nhận xét