Phishing là một phương pháp thu thập thông tin cá nhân qua email và trang web lừa đảo. Phishing có thể dẫn đến nhiều hậu quả nghiêm trọng khác nhau. Vì vậy chúng ta cần biết phishing là gì? Một số dấu hiệu nhận biết và cách ngăn chặn tấn công Phishing?
Phishing là gì?
Phishing ( tấn công giả mạo). Đây là một hình thức tấn công mạng (cyber attack) bằng cách sử dụng các email giả mạo. Các email này có thể là các yêu cầu từ ngân hàng, thông báo từ công ty…khiến người dùng tin là thật. Sau đó, phishing sẽ dụ dỗ người dùng nhấp vào liên kết hoặc tải xuống các tệp đính kèm.
Đặc trưng của phishing nằm ở hình thức các thông báo. Các hacker sẽ giả định mình là một đối tượng đáng tin cậy, thường là một người, một công ty…Đây là một trong những loài hình cyber attack lâu đời nhất, xuất phát từ thập niên những năm 1990. Và đến nay, nó vẫn là một trong những cách tấn công phổ biến và nguy hiểm nhất. Càng ngày, các thông điệp và kỹ thuật lừa đảo cũng càng trở nên tinh vi hơn.
“Phish” là một từ đồng âm với “fish” – ẩn dụ cho hình ảnh một con cá bị mắc câu. Thuật ngữ này ra đời vào khoảng giữa thập niên 1990, khi các hacker muốn lừa người dùng AOL để giao thông tin đăng nhập. Âm “ph” thực ra là một “truyền thống” trong cách các hacker đặt tên. Chẳng hạn như “phreaking” trong “phone phreaking” (freaking).
Theo báo cáo của Verizon Data Breach Investigations Report, có gần 1/3 các vụ vi phạm trong năm 2019 liên quan đến phishing. Đối với cyber attack, con số này là 78%. Tồi tệ hơn, các cuộc tấn công phishing đang ngày trở nên tinh vi hơn. Chủ yếu là nhờ vào sự cải tiến của các công cụ và template.
Một số cuộc tấn công Phishing tiêu biểu
- Một trong những cuộc tấn công phishing có hậu quả nặng nề nhất đã xảy ra vào năm 2016. Khi đó, các hacker đã khiến người cầm đầu diến dịch Hilary Clinton – John Podesta, phải cung cấp mật khẩu Gmail của mình.
- Cuộc tấn công “fappening”, trong đó những bức ảnh nhạy cảm của nhiều celeb đã bị công khai. Ban đầu, người ta cho rằng đó là do lỗi bảo mật từ server iCloud của Apple. Tuy nhiên, đó thật ra lại là hậu quả của nhiều đợt tấn công phishing.
- Năm 2016, các nhân viên của trường Đại học Kansas đã phản hồi một email lừa đảo. Sau đó vô tình trao quyền truy cập vào thông tin tiền lương của họ.
Phishing kit là gì?
Phishing kit giúp các hacker dễ dàng thực hiện tấn công mạng hơn. Ngoài ra, nó cũng không yêu cầu nhiều kỹ năng, kỹ thuật phức tạp để có thể sử dụng. Một bộ phishing kit gồm các tài nguyên web và các công cụ chỉ cần cài đặt trên server. Sau đó, các hacker chỉ cần email đến những con mồi tiềm năng. Phishing kit cũng như mailing list luôn có sẵn ở trên dark web. Một số trang web như Phishtank và OpenPhish cũng có các danh sách dày đặc những bộ phishing kit.
Một số phishing kit cho phép hacker giả mạo các thương hiệu đáng tin cậy. Do đó sẽ tăng cơ hội cho ai đó nhấp vào liên kết gian lận này. Theo nghiên cứu của Akamai, có đến 62 loại kit khác nhau cho Microsoft. Con số này với PayPal là 14, 7 cho DHL và 11 cho Dropbox.
Duo Labs cũng cho xuất bản một báo cáo về việc tái sử dụng các phishing kit. Trong khoảng 3200 phishing kit được Duo phát hiện, có 900 (27%) kit được tìm thấy ở trên nhiều hơn 1 host. Con số còn có thể cao hơn như vậy. “Tại sao chúng ta không tỷ lệ tái sử dụng kit cao hơn?
Có lẽ vì chúng ta đang đo dựa trên hash SHA1 của kit. Một thay đổi nhỏ trong một file của kit cũng sẽ xuất hiện ở dạng hai kit riêng biệt. Mặc dù về bản chất, chúng giống nhau hoàn toàn.” Jordan Wright, kỹ sư cao cấp R&D tại Duo, đồng thời cũng là tác giả bản báo cáo, cho biết.
Phân tích phishing kit
Việc phân tích phishing kit cho phép các nhóm bảo mật theo dõi những người đang sử dụng chúng. “Một trong những thông tin hữu ích nhất ta có thể khai thác được là nơi gửi thông tin đăng nhập. Bằng cách theo dõi các địa chỉ email được tìm thấy trong phishing kit, ta có thể tìm ra các đối tượng liên quan đến những chiến lược, hoặc kit cụ thể.
Ông Wright cho biết. “Thậm chí nó còn có thể làm được nhiều hơn thế. Chúng ta còn có thể thấy được nơi thông tin đăng nhập được gửi. Ngoài ra còn cả nơi gửi thông tin xác thực yêu cầu. Những kẻ tạo ra phishing kit thường sử dụng header ‘From’ như một tấm thiệp. Do đó ta có thể tìm ra được nhiều phishing kit được tạo ra bởi cùng một người.”
Các loại hình của phishing
Mẫu số chung của các cuộc tấn công phishing chính là hình thức ngụy trang. Các hacker sẽ giả mạo địa chỉ email sao cho giống với những đối tượng uy tín. Hoặc có thể là giả mạo các trang web URL (URL phishing) …nhằm thao túng người truy cập.
Mục tiêu của phishing
Hiện nay, có rất nhiều kỹ thuật phishing khác nhau. Chúng tôi sẽ phân biệt chúng dựa trên mục đích tấn công. Thông thường, một chiến dịch phishing sẽ cố gắng khiến nạn nhân thực hiện một trong hai điều sau:
Đưa ra các thông tin nhạy cảm
Các thông báo giả mạo sẽ lừa người dùng tiết lộ dữ liệu quan trọng. Thường là username hay password để hacker có thể sử dụng đăng nhập vào một hệ thống hay tài khoản.
Phiên bản cổ điển của hình thức này liên quan đến việc gửi email được thiết kế riêng. Sao cho giống như một thông báo từ một ngân hàng lớn. Sau đó gửi thông báo đến hàng triệu người khác nhau, chắc chắn sẽ có ít nhất một người là khách hàng của ngân hàng đó.
Sau đó, nạn nhân này sẽ nhấp vào một liên kết trong tin nhắn, điều hướng đến trang web giả mạo và được thiết kế giống với trang web ngân hàng. Khi nạn nhân đã nhập username và password trên trang web này, hacker có thể truy cập được vào tài khoản của nạn nhân.
Tải phần mềm độc hại
Các loại email lừa đảo nhắm vào mục đích khiến nạn nhân làm nhiễm độc máy tính của họ với malware.
Lấy ví dụ: Các hacker có thể giả mạo email đơn xin việc để gửi cho một nhân viên nhân sự. Các tệp đính kèm thường ở dạng .zip hoặc các tài liệu Microsoft Office có mã nhúng độc hại. Các email này còn được gọi là “soft targeted” email. Hình thức phổ biến nhất của mã độc là Ransomware – 2017.
Người ta ước tính rằng có đến 93% email lừa đảo có tệp đính kèm chứa ransomeware.
Không có mục tiêu cố định
Các email phishing có thể nhằm vào nhiều mục tiêu khác nhau. Nhưng như chúng tôi đã nói, nhiều email không có mục tiêu cụ thể. Các email này được gửi đến hàng triệu người ngẫu nhiên, cố lừa họ đăng nhập vào các phiên bản giả mạo của những trang web phổ biển.
Trong số hơn 50.000 trang đăng nhập giả mạo, Ironscales đã chỉ ra các thương hiệu được dùng nhiều nhất bởi hacker:
- PayPal :22%
- Microsoft: 19%
- Facebook: 15%
- eBay: 6%
- Amazon: 3%
>> Xem thêm: Phishing Email là gì? Hướng dẫn xác định, nhận biết một Email lừa đảo
Spear phishing
Khi các hacker cố gắng gửi thông báo để thu hút một cá nhân cụ thể, đó được gọi là spear phishing. (Đây là hình ảnh ẩn dụ của một người câu cá đang nhắm đến một con xác định, không để ý những con khác).
Các hacker xác định mục tiêu (thường sử dụng thông tin trên LinkedIn) và giả mạo các địa chỉ để gửi email đến.
Lấy ví dụ, một hacker spear phishing có thể nhắm đến ai đó trong một bộ phận tại chính. Sau đó, chúng sẽ giả vở là người quản lý của nạn nhân. Rồi yêu cầu chuyển khoản gấp đến một ngân hàng lớn.
Whaling
Whaling là một hình thức của spear phishing, nhằm vào những “con cá” rất lớn. Có thể là các CEO hay những mục tiêu giá trị khác. Các cuộc tấn công này thường nhằm vào những người thuộc Hội đồng quản trị của công ty. Họ có nhiều thẩm quyền trong công ty, nhưng lại không phải là nhân viên toàn thời gian. Do đó thường sử dụng các email cá nhân để làm việc. Các email này lại thường không được trang bị biện pháp bảo vệ như email công ty.
Việc thu thập đủ thông tin để lừa mục tiêu có thể tốn nhiều thời gian, nhưng lợi nhuận thu được là cực kỳ lớn. Ngoài ra, còn có nhiều hình thức khác của phishing. Chẳng hạn như clone phishing, vishing, snowshoeing…
Lý do cho sự gia tăng của hiện nay phishing là gì?
Các hacker thường dựa vào khả năng giả mạo, lừa gạt và tạo cảm giác cấp bách, làm nạn nhân bối rối và dễ dàng thành công. Các cuộc khủng hoảng như đại dịch COVID-19 lại mang đến cho những hacker một cơ hội lớn để thực hiện phishing.
Trong thời kỳ đại dịch, tất cả mọi người đều mong muốn có được thông tin nhanh chóng. Những nhân viên thì mong đợi thông báo từ những người quản lý hay chính phủ…Khi đó, một email giả tạo, có vẻ uy tín, cung cấp thông tin, hướng dẫn để thực hiện việc nào đó…thường sẽ dễ đánh lừa người dùng hơn. Chỉ cần một cú click chuột, mọi thông tin, thiết bị đều sẽ bị nhiễm mã độc.
Đây là một ví dụ về chiến dịch phishing của Mimecast, cố gắng đánh cắp thông tin từ tài khoản OneDrive của nạn nhân. Các hacker đã lợi dụng thông tin về COVID-19 để giả mạo các email.
Hay thậm chí là email giả mạo cách chữa trị COVID-19. Ứng dụng này, tất nhiên, chính là một malware.
Đã tìm hiểu khái niệm và mục tiêu tấn công Fhishing là gì? Đến đây là một số cách phòng chống và lưu ý cần thiết để né được các hacker tấn công giả mạo.
Cách phòng chống tấn công phishing
Cách tốt nhất để nhận biết được các email lừa đảo là tìm hiểu về các ví dụ cụ thể. Một trang web được duy trì bởi Trường Đại học Lehigh có một danh sách các email phishing gần đây được gửi đến các nhân viên và học sinh.
Bên cạnh đó, dưới đây là một số bước để có thể phòng chống phishing hiệu quả:
- Luôn kiểm tra chính tả của URL trong email trước khi nhấn vào, hoặc trước khi cung cấp các thông tin nhạy cảm.
- Để ý các chuyển hướng URL. Đặc biệt là khi được chuyển hướng liên tục đến các trang web giống hệt nhau.
- Nếu nhận được một email khả nghi, hãy liên hệ lại địa chỉ trong email đó bằng một tài khoản mail khác của bạn.
- Không đăng các dữ liệu cá nhân (ngày sinh nhật, kế hoạch kỳ nghỉ, địa chỉ, SĐT…) công khai trên mạng xã hội.
Ngoài ra, nếu bạn là một nhân viên của bộ phận CNTT trong công ty, có một số biện pháp sau có thể được thực hiện:
- “Sandbox” các email, kiểm tra an toàn của từng liên kết.
- Kiểm tra, phân tích lưu lượng truy cập trang web.
