Tài liệu tổng quan về Phising và cách phòng tránh, các kiểu phising thường gặp trên mạng, cách phòng trách hiệu quả với cách thức tấn công này.
Trang 1PHISING VÀ CÁCH PHÒNG TRÁNH
1 Tìm hiểu về Phising
1.1 Giới thiệu về Phising
Phising là một thuật ngữ một thành phần của Social Engineering “Kỹ nghệ lừa đảo” trên mạng chỉ hình thức gian lận chủ yếu trong thương mại điện tử
sử dụng trên internet
Nguyên tắc của Phising đó là bằng cách nào đó lừa người sử dụng internet cung cấp những thông tin về địa chỉ, mật khẩu email, yahoo messenger, thậm chí cả mã thẻ ATM… các thông tin được lừa đảo phục vụ mục đích của những kẻ lừa đảo (Scammer)
Cách thức chủ yếu là mô phỏng lại giao diện trang web dạng đăng nhập (Login Page) của các website thật, mục đích chính là dụ người đăng nhập vào những trang giả mạo này, scammer sẽ lấy được thông tin đăng nhập của nạn nhân (Victim) và thực hiện được mục đích của chúng là ăn cắp thông tin quan trọng của nạn nhân, thực hiện hành vi ăn cắp dữ liệu mà nạn nhân không hề hay biết, vì trang giả mạo được chúng tạo ra với giao diện như website thật, nếu không có kinh nghiệm, người dùng rất dễ bị scammer lừa đảo
Phising là kết hợp của 2 từ Fish- Fishing và Phreaking Có nghĩa gốc là “câu cá” được hiểu là lấy các thông tin như mật khẩu, tài chính, các tài khoản liên quan đến người dùng, phising được biết đến lần đầu tiên bở hacker John Draper khi sử dụng “Blue Box” để tấn công hệ thống điện thoại ở Mỹ nhằm thực hiện các cuộc gọi miễn phí đường dài hoặc sử dụng điện thoải của người khác để thực hiện các cuộc gọi bất hợp pháp
Theo thời gian, các cuộc tấn công phising không còn chỉ nhằm vào tài khoản internet như là yahoo, gmail, AOL mà đã mở rộng ra nhiều mục tiêu, khi thương mại điện tử phát triển mạnh, đặc biệt là các ngân hàng trực tuyến, các dịch vụ thương mai, thanh toán điện tử trên mạng sử dụng Creat Card và hầu hết các ngân hàng lớn ở Mỹ, Anh, Úc hiện đều bị tấn công bởi Phising Với mục tiêu nhằm đánh cắp thẻ tín dụng Creat Card nó còn được gọi là Carding
Trang 2Do cách tấn công don giản nhung lại hiệu quả cao nên phishing nhanh chóng trở thành một trong những kiểu lừa dảo phổ biến nhất trên mạng – có dến gần 70% các vụ tấn công trên mạng (nguồn: Antiphishing.org)
Phương cách thực hiện Truớc dây, hacker thuờng dùng trojan (gián diệp) dến máy nạn nhân dể chuong trìnhnày gửi mật khẩu hay thông tin dến kẻ tấn công Sau này cách dùng mánh lới lừa dảo lấy thông tin duợc sử dụng nhiều hon Lừa dảo thì có rất nhiều cách, phổ biến và dễ thực hiện vẫn là phishing Nếu bạn từng nghe qua kỹ thuật “Fake Login Email” sẽ thấy phishing cung dựa theo nguyên tắc này
Để thực hiện Phising scammer thường làm theo 2 bước chính sau đây
1 Tìm cách dụ nạn nhân mở địa chỉ một website giả mạo, bằng cách click vào đường link được gửi qua email hoặc một mạng xã hội…
2 Tạo một website giả mạo giống như một website thật Khi nạn nhân click vào website giả mạo thì sẽ được dẫn đến website giải mạo của Scammer, hacker còn kết hợp nhiều xảo thuật khác như tạo những email giả có địa chỉ lẫn nội dung sao cho có sức hút, mã hóa đường link URL trên thanh address Bar, tạo IP server giả bằng cách Fake Ip…
Bằng cách trên scammer dụ được nạn nhân click vào và thực hiện những thanh toán điện tử hay nhập thông tin mà scammer yêu cầu, thông tin sẽ được gửi tới scammer qua những đoạn mã được nhúng vào website giải mạo
để lấy thông tin của người dùng
Như vậy Scammer sử dụng cách trên để làm giải website của các tổ chức uy tín trên mạng như gmail, yahoo…Hay các trang thanh toán điện tử được người dùng tin cậy như Paypal, Egold, Moneybooker… hay những trang thanh toán Game online được rất nhiều bạn trẻ thường xuyên sử dụng
Một điều nguy hiểm nữa là nạn nhận sẽ bị chúng lấy mất thông tin cá nhân,
từ thông tin cá nhân đó scammer sẽ tiến hành tiếp những người bạn của nạn nhân, ví dụ như khi mất mật khẩu Email hay các ứng dụng Chat và mạng xã hội
Phising là kiểu tấn công nguy hiểm, đánh thẳng vào sự sơ hở của người dùng
Trang 3Bạn đang xem một email xác nhận từ ngân hàng, eBay, PayPal hay các hãng tài chính khác cảnh báo rằng bạn phải kích vào một liên kết để đăng nhập vào tài khoản của bạn với một số lý do nào đó như cập nhật, kiểm chứng thông tin hay thậm chí với mục đich bảo vệ
Trang 41.2 Các kiểu Phising thường gặp
1.2.1 : Phising qua Email
Giả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng Bạn đã từng nhận email từ ngân hàng này trước đó nhưng email này
có vẻ đáng nghi ngờ, đặc biệt là nó yêu cầu bạn trả lời ngay lập tức nếu không tài khoản của bạn sẽ bị đóng Bạn sẽ làm gì?
Những thông báo như thế này hoặc tương tự là những ví dụ của Phishing – lừa đảo trực tuyến, một phương pháp của identity theft – ăn cắp dữ liệu cá nhân Ngoài việc ăn trộm thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên lừa đảo trực tuyến (phisher) có thể lây nhiễm máy tính với virus và thuyết phục mọi người tham gia một cách vô thức vào việc rửa tiền
Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngân hàng, công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay Những email này trông rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết lộ thông tin cá nhân Tuy nhiên, thông báo dạng email chỉ là một phần nhỏ của lừa đảo trực tuyến
Từ đầu đến cuối, quá trình này bao gồm:
1 Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh
nghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ email khách hàng của doanh nghiệp đó Chúng thường sử dụng cách gửi nhiều email và phương pháp thu thập địa chỉ email như những spammer
2 Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ
tìm cách để phát tán email và thu thập dữ liệu Thông thường, chúng sử dụng địa chỉ email và một trang web nào đó
3 Tấn công: Đây là bước mọi người đều biết – phisher sẽ gửi một thông
báo giả mạo, như đến từ một nguồn đáng tin cậy
4 Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang
Web hoặc các cửa sổ pop-up
Trang 55 Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúng
thu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiện lừa đảo
Nếu những kẻ lừa đảo trực tuyến muốn sắp xếp một cuộc tấn công khác, hắn
sẽ xác định tỷ lệ thành công và thất bại của một vụ lừa đảo đã thành công rồi bắt đầu lại quá trình
Nếu mọi người không tiết lộ thông tin về tài khoản ngân hàng, số thẻ tin dụng hoặc mật khẩu, phisher sẽ tiến hành thêm bước phụ để lừa đảo nạn nhân đưa cho chúng những thông tin này Những kiểu lừa đảo để lấy thông tin được gọi là social engineering – kỹ thuật lừa đảo
Phisher thường sử dụng logo thực của một công ty và sao chép email hợp pháp của họ, thay thế đường link để dẫn nạn nhân tới trang lừa đảo của chúng Chúng sẽ sử dụng các địa chỉ giả mạo trong mục “From” và “Reply-to” của email và chỉnh sửa đường link để làm chúng trông hợp pháp hơn Tuy nhiên, chỉnh sửa lại diện mạo của một email chỉ là một phần của quá trình
Hình 1.2.1 : Phising qua email
Trang 6Hầu hết các thông báo lừa đảo luôn đưa ra những lý do để khiến nạn nhân hành động nhanh, làm trước nghĩ sau Những thông báo này thường cảnh báo nạn nhân rằng tài khoản của họ sẽ bị đóng nếu không phản hồi nhanh chóng Một số lừa nạn nhân với những cuộc mua bán mà họ chưa từng làm Bởi nạn nhân không muốn mất tiền mà họ thực sự không muốn, nạn nhân sẽ kích theo đường link và mở cửa cho những kẻ lừa đảo có được một số thông tin quan trọng
Ngoài ra, rất nhiều người tin vào những quy trình tự động, cho rằng chúng
vô hại bởi con người Đó là lý do tại sao rất nhiều tin nhắn khẳng định rằng những thử nghiệm trên máy tính hoặc các quy trình tự động khác có thể làm tiết lộ những sai sót liên quan tới tài khoản của nạn nhân Nạn nhân cũng rất hay tin rằng ai đó ai đó đang cố gắng đột nhập vào tài khoản của mình hơn
là tin rằng máy tính đang có lỗi
1.2.2 : Một số phương thức khác
E-mail là cách hay được sử dụng nhất để thu hút lừa đảo tuy nhiên, một số
kẻ còn tìm kiếm nạn nhân thông qua:
• Tin nhắn nhanh
• Tin nhăn điện thoại
• Phòng chat
• Quảng cáo giả
• Bảng thông báo và danh sách email
• Các trang tìm việc giả mạo
+ Sử dụng địa chỉ sai, giả mạo của một trang Web hoặc sử dụng tên miền quốc tế để tái tạo lại địa chỉ URL với những kí tự khác hơn một chút
+ Sử dụng tên công ty vào địa chỉ URL nhưng với một tên miền khác
+ Sử dụng định dạng thay thế, như hệ thập lục phân để hiển thị địa chỉ URL
+ Kết hợp sử dụng các hướng dẫn để đổi hướng tới những địa chỉ URL đáng tin cậy
+ Sử dụng HTML để hiển thị đường link giả Ví dụ, một đường link trông giống như sẽ dẫn bạn tới một bài báo nhưng thực chất nó lại hướng bạn tới toàn bộ các bài khác
Trang 7• Đồ họa Bằng cách xác định tài khoản và trình duyệt mà “con mồi” đang
sử dụng, phisher thay thế hình ảnh của thanh địa chỉ và khóa bảo vệ lên thanh địa chỉ thực
• Cửa sổ pop-up và frames Cửa sổ pop-up chứa mã độc có thể xuất hiện
trên trang web mà bạn đang xem hoặc frame ẩn xung quanh trang có thể chứa mã độc
• HTML Một số email lừa đảo trông như vô hại nhưng lại chứa các địa chỉ HTML ẩn
cùng với các đường dẫn giúp email này vượt qua được cách chương trình chống spam
• Cache DNS chứa mã độc Cách gọi khác là pharming, khi phisher thay
đổi thông tin server DNS Điều này khiến mọi người truy cập vào một địa chỉ Web giả trực tiếp từ một địa chỉ nào đó Pharming rất khó để có thể phát hiện và có thể làm hại nhiều nạn nhân trong cùng một lúc
Những kẻ lừa đảo có thể sử dụng một máy tính trung gian giữa nạn nhân với trang Web để ghi lại những giao dịch của nạn nhân Chúng cũng có thể tận dụng những trang Web có bảo mật kém và điển mã độc vào một trang nào
đó Ngoài ra, những phisher sử dụng các phương pháp này sẽ không phải ngụy trang cho đường link của chúng bởi trang Web mà chúng lợi dụng là một trang hợp pháp, nạn nhân sẽ không có bất kì nghi ngờ nào về việc thông tin của họ sẽ bị ăn trộm
Ngoài ra, phisher có thể sử dụng các chương trình chứa mã độc trong các chiêu lừa của mình:
• Trojans giúp khóa phím và chụp màn hình giúp ghi lại và gửi thông báo mọi thông tin tới phisher
• Trojans truy cập từ xa, biến máy tính của nạn nhân thành máy trung gian, phisher sử dụng máy trung gian này để phát tán email lừa đảo khác hoặc là máy chủ cho một trang Web giả
• Người máy ảo thực hiện các cuộc trò chuyện với nạn nhân trong phòng chat hoặc điều phối một mạng ảo
• Spyware theo dõi và ghi lại những hoạt động của người dùng trên mạng, giúp phisher có thể lên kế hoạch cho vụ tấn công
Trang 83 Cách phòng tránh Phising
2.1 Nhận dạng Phising và Fake Login
Phần lớn Phising đánh vào tâm ly của nạn nhân do chủ quan, tò mò, hay
sự hiếu kỳ, rất hay mắc bẫy những scammer, Phising chủ yếu được gửi qua email, các diễn đàn, hay Pop Up… khi nạn nhân click vào và điền thông tin vào, những thông tin này sẽ được gửi đến Scammer, và vô tình chúng ta bị mất thông tin, trong đó có những thông tin vô cùng quan trọng, như tài khoản ngân hàng, số chứng minh thư, tài khoản mạng xã hội, email, hay yahoo, và bạn bè của chúng ta trong mạng xã hội… cũng
vô tình là nạn nhân tiếp theo của trò lừa Phising này Vì thế vấn đề nhận dạng Phising và phòng tránh là rất quan trọng đối với mỗi chúng ta
+ Chống lừa đảo qua email, Yahoo Messenger, các mạng xã hội, diễn đàn
Tuyệt đối khi nhận được email có nội dung gửi từ một ngân hàng, yêu cầu cung cấp tài khoản, hoặc một tài khoản nào đó của bạn, hoặc yêu cầu bạn click vào một trang website để làm theo yêu cầu, hoặc các đường link có nguồn gốc không rõ ràng trên YM, các mạng xã hội, diễn đàn… bạn tuyệt đối không Click vào đấy rất dễ đưa bạn đến một website giả, và
ăn cắp thông tin của bạn, vì các ngân hàng sẽ không bao giở gửi mail yêu cầu bạn cung cấp thông tin tài khoản, cũng như các Website uy tín, sẽ có những quy định rất nghiêm về vấn đề bảo mật
+ Chống lừa đảo trực tuyến.
Các bước bạn thường dùng để bảo vệ máy tính của bạn như sử dụng firewall và phần mềm diệt virus, cũng có thể giúp bạn tránh khỏi lừa đảo trực tuyến Bạn có thể hiển thị chứng chỉ số SSL của trang Web và bản
kê in sẵn của ngân hàng hoặc thẻ tín dụng để có thêm những biện pháp bảo mật
Ngoài ra, phisher có xu hướng để lại một số dấu hiệu trong email thông báo và địa chỉ Web Khi bạn đọc email, hãy chú ý tới:
1 Các câu chào chung chung, như “Dear Customer” Nếu ngân hàng
bạn đang gửi tiền gửi cho bạn một thông báo chính thức, sẽ có tên đầy
đủ của bạn trong đó (gần đây một số phisher đã chuyển sang kiểu lừa mới - spear phishing – bao gồm thông tin cá nhân của bạn)
Trang 9Hình 2.1 Nhận dạng Phising lừa đảo trực tuyến.
2 Đe dọa về tài khoản của bạn và yêu cầu người dùng phải có hành động ngay, ví dụ như “hãy trả lời trong vòng 5 ngày, nếu không chúng tôi sẽ đóng tài khoản của bạn”
3 Yêu cầu thông tin cá nhân Hầu hết các doanh nghiệp không yêu cầu bạn cung cấp thông tin cá nhân thông qua điện thoại hoặc email trước khi lừa đảo trực tuyến trở nên phổ biến
4 Những đường link khả nghi Đường link dài hơn bình thường, sai chính tả cũng có thể là dấu hiệu của lừa đảo trực tuyến Sẽ an toàn hơn nếu bạn địa chỉ của trang Web trong trình duyệt, hơn là kích vào bất kì đường link nào trong email
5 Sai chính tả trầm trọng
Trang 10Hình 2.2
Số liệu thống kê Quy 4/2012 (Nguồn
antiphishing.org)
Nếu nhận được một email mà bạn tin là của những kẻ lừa đảo trực tuyến, bạn không nên: trả lời lại, kích vào đường link có trong email hoặc điền những thông tin cá nhân Thay vào đó, bạn nên tìm cách thông báo với
doanh nghiệp đang bị chúng giả mạo sử dụng trang Web hoặc số điện thoại của họ hơn là đi theo các đường link trong email giả mạo
Nếu bạn tin rằng mình đã gửi thong tin cá nhân cho một phisher, bạn nên gửi thông báo tới:
• Công ty đã bị giả mạo
• Các ngân hàng, tổ chức tín dụng để họ đóng các thông tin cá nhân của bạn
• Thông báo tới trụ sở công an gần nhất
Trang 11Ngoài ra, bạn nên đổi mật khẩu tại trang mà bạn vừa mới bị lừa Nếu sử dụng mật khẩu chung cho nhiều trang Web, bạn cũng nên đổi hết mật khẩu cho các trang đó
Chúng ta thử lấy một ví dụ một email giả mạo danh ngân hàng Citibank gửi dến kháchhàng
//
-
-Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70]) by mailserver with
SMTP id <20030929021659s1200646q1e>; Mon, 29 Sep
2012 02:17:00 +0000Received: from sharif.edu [83.104.131.38] by host70-72.pool80117.interbusiness.it (Postfix) with ESMTP id EAC74E21484B for
<e-response@securescience.net>; Mon, 29 Sep 2003 11:15:38 +0000Date: Mon, 29 Sep 2003 11:15:38 +0000 From: Verify
<verify@citibank.com>Subject: Citibank E-mail Verification:
e-response@securescience.net To: E-Response <e-e-response@securescience.net> References: <F5B12412EAC2131E@securescience.net> In-Reply-To:
<F5B12412EAC2131E@securescience.net> Message-ID:
<EC2B7431BE0A6F48@citibank.com>Reply-To: Verify <verify@citibank.com> Sender: Verify <verify@citibank.com> MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 8bit
Dear Citibank Member, This email was sent by the Citibank server to verify your e-mail address You must complete this process by clicking
on the link below and entering in the small window your Citibank
ATM/Debit Card number and PIN that you use on ATM This is done for your protection -t- becaurse some of our members no longer have access to their email addresses and we must verify it.
To verify your e-mail address and access your bank account, click on the link below If nothing happens when you click on the link (or if you use AOL)K, copy and paste the link into the address bar of your web browser http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/3/?
3X6CMW2I2uPOVQW y - Thank you for using Citibank!
C -This automatic email sent to: e-response@securescience.net Do not reply
to this email.
R_CODE: ulG1115mkdC54cbJT469
//
Nếu quan sát kỹ, chúng ta sẽ thấy một số diểm “thú vị” của email này: Về nội dung thu: Rõ là câu cú, ngữ pháp lộn xộn, có cả những từ sai chính tả, ví dụbecaurse, this automatic,… Và ai cung rõ là diều này rất khó xảy ra dối với một ngân hàng vì các email dều duợc “chuẩn hóa” thành những biểu mẫu thống nhất nên chuyện “bị sai” cần phải duợc xem lại