1. Trang chủ
  2. » Tất cả

email-lua-dao-va-cach-nhan-dang-chung

10 3 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 10
Dung lượng 89 KB

Nội dung

Cách nhận dạng email lừa đảo Các mối đe dọa bảo mật diễn nhiều hình thức quy mơ Bạn đã nghe nói virus, trojan, keylogger gần ransomware Vậy chúng có điểm chung? Tất chúng kết trò lừa đảo Tin tặc sử dụng mồi - thường dạng file liên kết hợp pháp - để "lừa đảo" nạn nhân Và trò lừa đảo thường lây lan qua email, nên khó để phần mềm bảo mật loại bỏ Vì vậy, nguy hiểm 100 tỷ email gửi ngày! Hãy xem hộp thư đến bạn Bạn có vài ưu đãi bán lẻ, cập nhật từ ngân hàng bạn ảnh từ kỳ nghỉ người bạn Cho dù email đến từ cửa hàng trực tuyến, ngân hàng hay bạn bạn, bạn dám chúng lừa đảo? Phishing gì? Phishing cơng quy mơ lớn, nơi hacker giả mạo email làm cho đến từ cơng ty hợp pháp (ví dụ ngân hàng), thường lừa người nhận tải xuống phần mềm độc hại nhập thơng tin bí mật vào trang web lừa đảo (một trang web giả vờ hợp pháp thực tế, trang web giả mạo sử dụng để lừa đảo người làm liệu họ), nơi mà hacker truy cập Các cơng lừa đảo gửi tới số lượng lớn người nhận email, cần số lượng nhỏ người mắc bẫy cơng đã thành cơng Spear phishing gì? Spear phishing loại phishing thường liên quan đến công chuyên dụng chống lại cá nhân tổ chức Thông thường với spear phishing, kẻ công mạo danh cá nhân phận tổ chức Ví dụ, bạn nhận email từ phận CNTT nói bạn cần phải nhập lại thông tin đăng nhập bạn trang web định từ phận nhân với “các gói lợi ích mới” đính kèm Tại phishing mối đe dọa? Phishing gây mối đe dọa lớn khó mà xác định loại thư Một số nghiên cứu đã tới 94% nhân viên khơng thể tìm khác biệt email thực lừa đảo Do đó, có đến 11% số người nhấp vào file đính kèm email này, tất nhiên chúng thường chứa phần mềm độc hại Một nghiên cứu gần từ Intel đã số khổng lồ, tới 95% công vào mạng doanh nghiệp kết spear phishing Spear phishing rõ ràng khơng phải mối đe dọa xem nhẹ Rất khó để người nhận biết khác biệt email thực email giả mạo Mặc dù đơi có manh mối rõ ràng lỗi tả file đính kèm có phần mở rộng exe, v.v… Ngay chuyên gia trở thành nạn nhân phishing Theo nghiên cứu Kapost, có đến 96% chuyên gia tồn giới đã khơng thể tìm xác 100% khác biệt email thực email lừa đảo thời gian qua Điều đáng nói người có ý thức bảo mật cao có nguy trở thành nạn nhân phishing Nhưng tỷ lệ cịn cao khơng có kiến thức bảo mật Thật dễ dàng để tạo email giả mạo Bài viết cho bạn cách đơn giản để tạo email giả mạo, cách sử dụng cơng cụ SMTP (có thể dễ dàng tải xuống từ Internet) Bạn tạo domain nhiều tài khoản người dùng từ máy chủ trực tiếp từ tài khoản Outlook riêng Ví dụ, bạn tạo tài khoản bill.gates@microsoft.com barrack.obama@whitehouse.gov, hay thứ bạn muốn Sau đó, bạn bắt đầu gửi email với địa từ Outlook Điều cho thấy hacker dễ dàng tạo địa email gửi cho bạn email giả mạo để lấy cắp thông tin cá nhân bạn Sự thật bạn mạo danh mạo danh bạn mà khơng gặp khó khăn Tuy nhiên, có số giải pháp cho vấn đề này, bao gồm Digital Certificate (Chứng kỹ thuật số) Digital Certificate gì? Một Digital Certificate giống hộ chiếu ảo Nó cho người dùng khác biết bạn bạn muốn Cũng giống hộ chiếu cấp phủ, Digital Certificate cấp Certificate Authorities - tổ chức phát hành chứng (gọi tắt CA) Giống cách phủ kiểm tra danh tính bạn trước cấp hộ chiếu, CA có q trình gọi vetting để xác định bạn Có nhiều cấp độ kiểm duyệt Ở dạng đơn giản nhất, CA kiểm tra xem email có thuộc sở hữu người nộp đơn hay không Ở cấp độ thứ hai, CA kiểm tra danh tính (như hộ chiếu, v.v ) Các cấp độ cao liên quan đến việc xác minh cơng ty vị trí thực cá nhân Digital certificate cho phép bạn ký mã hóa điện tử email Bài viết tập trung vào việc ký điện tử email nghĩa Sử dụng chữ ký số email Ký điện tử email làm cho người nhận nghĩ email mà họ nhận đến từ nguồn hợp pháp Danh tính xác minh người gửi hiển thị rõ ràng email Ngoài việc chứng minh nguồn gốc email, việc ký điện tử email cịn có: • Tính khơng thể phủ nhận: Vì danh tính cá nhân sử dụng để ký email, nên sau đó, họ khơng thể phủ nhận họ khơng phải người đã ký • Tính tồn vẹn của thông báo: Khi người nhận mở email, ứng dụng email họ kiểm tra xem nội dung email có khớp với nội dung chữ ký áp dụng hay không Ngay thay đổi nhỏ tài liệu gốc khiến cho việc kiểm tra thất bại Một ví dụ đáng buồn nạn nhân của phishing Câu chuyện có thật: Vài năm trước, công đã bị buộc phải trả tiền chuộc Gần tất file liệu - gồm tài liệu Word, bảng tính Excel, v.v đã bị mã hóa đánh cắp để địi tiền chuộc Tin tặc buộc doanh nghiệp phải trả 700$ để lấy lại liệu Theo chuyên gia bảo mật thuê tới để giúp đỡ, ransomware xâm nhập có người mở file đính kèm email, có tên My resume - hành động dường vô hại, đặc biệt cơng ty có nhu cầu tìm kiếm nhân lực Phishing dẫn đến việc đánh cắp danh tính chí vơ hiệu hóa bạn khỏi điện thoại Nhưng khơng phải phần mềm bảo mật bảo vệ bạn khỏi mối đe dọa ư? Đúng vậy, phishing có nhiều “chiêu trị” để lừa nạn nhân: Nó đến hình thức email trơng vơ hại buộc bạn phải hành động - thường khiến bạn nhấp vào liên kết mở file, bạn trở thành nạn nhân phishing Trong nhiều người đã biết điều đề cao cảnh giác, cịn nhiều người trở thành nạn nhân Cách phát email giả mạo Dưới ví dụ email với số dấu hiệu lừa đảo Người nhận ví dụ người sử dụng PayPal • Nhiều người có vài địa email Nhưng thông báo gửi đến địa không liên kết với tài khoản PayPal Hơn nữa, trường "To" để trống, dấu hiệu rõ ràng cho thấy khơng thực đến từ PayPal • Ngữ pháp tả sai dấu hiệu phishing Các công ty lớn thuê copywriter (và biên tập viên) chuyên nghiệp để liên lạc qua email • Tên người nhận bị thiếu Lời chào đơn "Hello, [trống]." PayPal chắn ghi tên người nhận email • Một manh mối quan trọng khác chứng minh email giả mạo: Người chưa đăng ký email với PayPal Bây giờ, bạn nghĩ, "Ồ, khơng, đã tạo tài khoản PayPal tên tôi!" Đây chiến thuật thiết kế để giúp bạn nhấp vào nút xanh lam mời gọi Sau nhấp vào đó, bạn chuyển đến trang web trông giống PayPal, với biểu mẫu yêu cầu tất loại thông tin cá nhân - bao gồm số thẻ tín dụng Ngồi ra, bạn đưa đến trang web tàng hình, cài đặt loạt phần mềm gián điệp và/hoặc virus vào máy tính/điện thoại bạn Đây số ví dụ phishing cẩu thả Và ngồi cịn nhiều thủ đoạn tinh vi hơn, thông báo "Tài khoản bạn đã bị xâm nhập!" "FedEx có gói hàng chờ bạn" - email lừa đảo phân biệt Mẹo xác định email phishing spoofing Phishing diễn tràn lan hết, tăng 162% từ năm 2010 đến năm 2014 Chúng khiến tổ chức toàn cầu tới 4,5 tỷ đô la năm nửa số người dùng Internet nhận email lừa đảo ngày Các công ty chống lại công lừa đảo cách chặn email độc hại trước chúng tiếp cận khách hàng tiêu chuẩn DMARC (Domain-based Message Authentication Reporting and Conformance) Nhưng số email lừa đảo gửi vào hộp thư đến Và chúng hiệu — 97% người tồn cầu khơng thể nhận dạng email lừa đảo tinh vi Dưới 10 mẹo cách xác định email giả mạo lừa đảo Mẹo 1: Không tin tưởng tên hiển thị Một chiến thuật lừa đảo yêu thích tội phạm mạng giả mạo tên hiển thị email Return Path đã phân tích 760.000 email đe dọa, nhắm mục tiêu vào 40 thương hiệu lớn giới nhận thấy gần nửa số email giả mạo thương hiệu tên hiển thị Dưới cách hoạt động: Nếu kẻ gian lận muốn giả mạo thương hiệu “My Bank”, email trơng giống sau: Vì My Bank khơng sở hữu tên miền “secure.com”, DMARC không chặn email thay cho My Bank, My Bank đã đặt sách DMARC cho mybank.com để từ chối thư không xác thực Email lừa đảo này, gửi, xuất hợp pháp hầu hết hộp thư đến người dùng có tên hiển thị Đừng tin vào tên hiển thị Kiểm tra địa email tiêu đề Nếu đáng ngờ, đừng mở email Mẹo 2: Xem không nhấp Di chuột qua liên kết nhúng nội dung email Nếu địa liên kết lạ, đừng nhấp vào địa Nếu bạn muốn kiểm tra liên kết, hãy mở cửa sổ nhập trực tiếp địa trang web, thay nhấp vào liên kết từ email Mẹo 3: Không đánh thông tin cá nhân Các ngân hàng hợp pháp hầu hết công ty khác không yêu cầu thông tin đăng nhập cá nhân qua email Mẹo 4: Hãy coi chừng lời lẽ mang tính khẩn cấp đe dọa dòng tiêu đề Gây cảm giác cấp bách sợ hãi chiến thuật lừa đảo phổ biến Cẩn thận với dòng chủ đề tuyên bố “tài khoản bạn đã bị tạm ngưng” tài khoản bạn có “nỗ lực đăng nhập trái phép” Mẹo 5: Xem lại chữ ký Một email thiếu thông tin chi tiết người ký tên cách bạn liên hệ với cơng ty đó, đến từ kẻ lừa đảo Các doanh nghiệp hợp pháp cung cấp chi tiết liên hệ Mẹo 6: Khơng nhấp vào file đính kèm Đính kèm file độc hại chứa virus phần mềm độc hại chiến thuật lừa đảo phổ biến Phần mềm độc hại làm hỏng file máy tính bạn, ăn cắp mật cài phần mềm gián điệp mà bạn Không mở file đính kèm email mà bạn không mong đợi Mẹo 7: Không tin tưởng tiêu đề từ địa email Kẻ gian lận không giả mạo thương hiệu tên hiển thị mà tiêu đề từ địa email Return Path gần 30% số 760.000 email giả mạo thương hiệu giả mạo tiêu đề từ địa email (tính riêng domain email hai phần ba) Mẹo 8: Đừng tin thứ bạn thấy Những kẻ lừa đảo tinh vi Một email có logo thương hiệu, ngơn ngữ địa email hợp lệ, khơng có nghĩa hợp pháp Hãy đặt nghi vấn với thứ Nếu trơng đáng ngờ, đừng mở Ngay bạn có phần mềm bảo mật, phishing mối đe dọa nghiêm trọng Dưới cách tránh email nguy hiểm Cách phòng tránh email phishing Luôn nghi ngờ: Email lừa đảo thường cố gắng làm bạn bối rối với cảnh báo thơng tin bị đánh cắp sau cung cấp cách khắc phục dễ dàng - bạn cần "nhấp vào đây" (Hoặc ngược lại: "Bạn đã giành giải thưởng! Bấm vào để xác nhận!") Khi nghi ngờ, đừng bấm vào thứ Thay vào đó, hãy mở trình duyệt bạn, truy cập trang web cơng ty, sau đăng nhập bình thường để xem có dấu hiệu hoạt động lạ không Nếu bạn lo lắng, hãy thay đổi mật Kiểm tra tả ngữ pháp: Hầu hết văn người ngữ viết có lỗi tả ngữ pháp Nhưng đã nói trước đó, công ty lớn thuê chuyên gia để đảm bảo email họ khơng có lỗi tả Nếu bạn thấy lỗi tả email nhận được, gần chắn email giả mạo Tăng cường thêm cho trình duyệt bạn: Một nhấp chuột tình cờ vào liên kết lừa đảo dẫn tới thảm họa McAfee SiteAdvisor Web of Trust trình duyệt bổ sung miễn phí cảnh báo bạn trang web bạn truy cập bị nghi ngờ độc hại Chúng giống cảnh sát giao thông, ngăn bạn trước bạn rẽ vào phố nguy hiểm Sử dụng điện thoại bạn: Nếu bạn kiểm tra email điện thoại mình, thực khó phát dấu hiệu lừa đảo Bạn "di chuột qua" liên kết có vấn đề hình nhỏ khiến bạn có khả phát dấu hiệu rõ ràng Mặc dù nhiều trình duyệt điện thoại (và hệ điều hành) miễn nhiễm với trang web nội dung tải xuống độc hại, cần phải thận trọng xử lý liên kết đáng ngờ (Rõ ràng bạn khơng nên hồn thành biểu mẫu yêu cầu mật thông tin cá nhân khác bạn) Người dùng Android nói riêng cần biết rủi ro tiềm ẩn Hầu hết tất dựa trực giác: Bạn thắng thi mà bạn chưa tham gia Ngân hàng bạn không liên lạc với bạn địa email mà bạn chưa đăng ký Microsoft không "phát virus từ xa PC bạn." Biết dấu hiệu cảnh báo, suy nghĩ trước bạn nhấp không đưa mật thơng tin tài bạn, trừ bạn đã đăng nhập vào tài khoản điều hoang tưởng phishing Đóng góp quan trọng MailFrontier kết nghiên cứu lần này, họ đã điều người ta hoang tưởng phishing "Ồ, phát trị lừa dễ bóc kẹo ý mà!" Sai lầm lớn người sử dụng họ ln q tự tin vào khả Mặc dù trình độ nhận biết email phishing người sử dụng đã có nhiều tiến bộ, song điều khơng có nghĩa lúc họ đủ tỉnh táo kiến thức để biết bị lừa Đa số họ đánh đồng email phishing với email hợp pháp Thế lọc thư rác đống sắt vụn à? Đại phận người dùng có xu hướng thần thánh hóa lọc thư rác, cho chúng phát ngăn chặn công phishing Và họ yên tâm, vô tư click vào email xuất hịm thư Nên biết để "tóm" email lừa đảo cần phải có loạt cơng cụ phân tích đánh giá phức tạp, lọc thư rác biết "cười trừ" mà thơi Có thể chặn email phishing xác thực tên miền? Dùng xác thực tên miền công cụ để chặn email lừa đảo điều hoang đường thứ ba Những kẻ phát tán thư rác, dân phisher chuyên nghiệp, đã cho thấy chúng hồn tồn vượt qua cửa ải Phát hiển lỗ hổng URL phải chặn email phishing chứ? Lỗ hổng địa URL dấu hiệu tốt để nhận biết có điều khơng đúng, thân lại làm chứng thuyết phục Nhiều công ty hợp pháp sử dụng kỹ thuật redirect địa URL, sử dụng URL dài (vượt độ dài biểu tượng) kể địa IP thơ email Bọn phisher hiểu rõ thực tế nên đã lợi dụng chúng Sao lại cần phải hành động để bảo vệ cơng ty khỏi email phishing chứ? Đây điều hoang tưởng cuối có lẽ quan trọng Người sử dụng nghĩ họ chẳng cần phải làm cả, làm chẳng ích Thế nhưng, "lười biếng" dẫn tới hậu khôn lường: đánh thông tin cá nhân, tài liệu tối mật cơng ty Theo dự đoán MailFrontier, số tiền mà bọn phisher lừa đảo năm tăng 25% so với năm ngoái lên tỷ USD

Ngày đăng: 17/04/2022, 12:00

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w