Phishing tấn công giả mạo là hình thức tấn công mạng bằng giả mạo thành một đơn vịuy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho chúng.. Hình 1.2: Mục tiêu
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HỒ CHÍ MINH
BÁO CÁO ĐỒ ÁN MÔN BẢO MẬT THÔNG TIN
PHƯƠNG PHÁP PHISHING VÀ
CÔNG CỤ HỖ TRỢ PHISING
Nhóm SVTH:
Trang 2TP.Hồ Chí Minh, 2024
LỜI CẢM ƠN
Chúng em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến cô Nguyễn Thị Yến đã tận tình giúp đỡ và hướng dẫn chúng em hoàn thành đồ án cơ sở này Nhờ sự giúp đỡ nhiệt lòng của cô mà đồ án đã hoàn thành trong tuần, đúng tiến độ của nhà trường đề ra
Trang 3MỤC LỤC
Chương 1: GIỚI THIỆU 1
1.1 Định nghĩa và ý nghĩa của Phishing 1
1.2 Mục tiêu và hậu quả của các cuộc tấn công Phishing 1
Chương 2: PHƯƠNG PHÁP PHISING 3
2.1 Giả mạo Email (Email Phishing) 3
2.2 Website Phishing 4
2.3 SMS Phishing 4
2.4 Social Engineering 5
Chương 3: CÔNG CỤ HỖ TRỢ PHISING 7
3.1 PhishKit: 7
3.2 SocialFish: 7
3.3 Gophish: 8
3.4 Công cụ tự tạo phương tiện giả mạo: 8
Chương 4: VÍ DỤ VÀ NGHIÊN CỨU THỰC NGHIỆM 9
4.1 Các ví dụ cụ thể về cuộc tấn công Phishing 9
4.2 Kết quả và phân tích từ các nghiên cứu thực nghiệm 9
Chương 5 : PHÒNG TRÁNH VÀ BẢO MẬT 10
Chương 6 : KẾT LUẬN 11
TÀI LIỆU THAM KHẢO 12
Trang 4Chương 1: GIỚI THIỆU
1.1 Định nghĩa và ý nghĩa của Phishing.
Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo thành một đơn vị
uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho chúng
Hình 1.1:Giới thiệu Phishing Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987 Thuật ngữ là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí) Do sự tương đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ Phishing ra đời
1.2 Mục tiêu và hậu quả của các cuộc tấn công Phishing.
Trang 5Hình 1.2: Mục tiêu và hậu quả của các cuộc tấn công Phishing
Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quan trọng khác
Phương thức tấn công này thường được thực hiện thông qua việc gửi Email và tin nhắn Người dùng khi mở Email và Click vào đường Link giả mạo sẽ được yêu cầu đăng nhập Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân của người dùng ngay tức khắc
Trang 6Chương 2: PHƯƠNG PHÁP PHISING
2.1 Giả mạo Email (Email Phishing)
Đây là hình thức Phishing khá căn bản Tin tặc sẽ gửi Email đến người dùng dưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy cập đến Website giả mạo
Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ, khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công Dưới đây là một số cách mà tin tặc thường ngụy trang:
Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì sẽ được giả mạo thành sale.congtyA@gmail.com)
Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ,…)
Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng đến contyB.com)
Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy
Hình 2.1: Giả mạo Email
Trang 72.2 Website Phishing
Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phải toàn bộ Website Trang được làm giả thường là trang đăng nhập để cướp thông tin của người dùng Website giả thường có những đặc điểm sau:
Thiết kế giống đến 99% so với Website gốc
Đường dẫn chỉ khác 1 ký tự duy nhất (VD: facebook.com và fakebook.com,
microsoft.com và mircosoft.com,…)
Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin cá nhân
2.3 SMS Phishing
Hình 2.2: SMS Phishing
Trang 8SMS Phishing, hay còn được gọi là "Smishing," là một hình thức Phishing sử dụng tin nhắn văn bản (SMS) để gửi các liên kết độc hại hoặc thông điệp lừa đảo đến các điện thoại di động của người dùng Dưới đây là một số đặc điểm chính của SMS Phishing:
Thông điệp lừa đảo: Kẻ tấn công sẽ gửi các tin nhắn văn bản giả mạo từ các tổ chức hay cá nhân đáng tin cậy, như ngân hàng, dịch vụ tài chính, hay các công ty lớn Tin nhắn thường mô phỏng các thông báo cần thiết hoặc cảnh báo về vấn đề bảo mật, đồng thời yêu cầu người nhận thực hiện các hành động như truy cập vào một liên kết hoặc cung cấp thông tin cá nhân
Liên kết độc hại: Một trong những kỹ thuật phổ biến nhất của SMS Phishing là gửi liên kết độc hại đến người nhận Liên kết này thường dẫn đến các trang web giả mạo, nơi kẻ tấn công có thể thu thập thông tin cá nhân hoặc cài đặt phần mềm độc hại lên thiết bị của người dùng
Thiết lập tình trạng khẩn cấp: Một số tin nhắn SMS Phishing có thể cố gắng tạo ra tình trạng khẩn cấp hoặc sự cần thiết để thúc đẩy người nhận hành động ngay lập tức,
mà không cân nhắc kỹ lưỡng
Sử dụng công nghệ spoofing: Kẻ tấn công thường sử dụng các dịch vụ hoặc công nghệ spoofing để giả mạo số điện thoại nguồn gửi tin nhắn, làm cho nó trông giống như từ một tổ chức chính thống
SMS Phishing đặc biệt nguy hiểm vì tin nhắn văn bản thường được xem là tin cậy và không nghi ngờ từ phía người nhận
2.4 Social Engineering
Kỹ thuật Xâm nhập Xã hội là một phương pháp Phishing tập trung vào việc tận dụng con người thay vì sự lỗ hổng của công nghệ Đây là một phương pháp phổ biến và hiệu quả, bởi
vì nó dựa trên việc thao túng hoặc lừa dối con người, thường bằng cách sử dụng kỹ năng giao tiếp và tâm lý Dưới đây là một số kỹ thuật Xâm nhập Xã hội phổ biến:
Trang 9 Giả mạo: Kẻ tấn công giả mạo mình là một cá nhân hoặc tổ chức đáng tin cậy, thường thông qua email, điện thoại hoặc các kênh truyền thông xã hội Họ có thể mô phỏng nhân viên của một tổ chức, người quản lý hoặc người bạn của nạn nhân để thu thập thông tin nhạy cảm hoặc tiết lộ thông tin cá nhân
Tạo tình trạng khẩn cấp: Kẻ tấn công có thể tạo ra một tình huống cấp bách hoặc khẩn cấp để thúc đẩy nạn nhân hành động mà họ không thể hoặc không muốn suy nghĩ kỹ lưỡng Ví dụ, họ có thể tạo ra một câu chuyện về việc mất mát tài khoản hoặc một vấn đề bảo mật nghiêm trọng cần phải được giải quyết ngay lập tức
Tìm kiếm thông tin nhạy cảm: Kẻ tấn công sử dụng các kỹ thuật giao tiếp để lừa đảo nạn nhân tiết lộ thông tin nhạy cảm như mật khẩu, thông tin tài khoản ngân hàng hoặc thông tin cá nhân khác Họ có thể sử dụng các phương pháp như tạo cảm giác tin cậy, thách thức hoặc đe dọa để đạt được mục tiêu của mình
Kỹ thuật Xâm nhập Xã hội đặc biệt nguy hiểm vì nó tận dụng tính cảm tính và lòng tin của con người, và không phụ thuộc vào sự cố gắng kỹ thuật Điều này làm cho nó trở thành một trong những phương pháp Phishing phổ biến nhất và hiệu quả nhất hiện nay
Trang 10Chương 3: CÔNG CỤ HỖ TRỢ PHISING
Công cụ hỗ trợ Phishing là những ứng dụng, framework hoặc script được thiết kế để giúp kẻ tấn công triển khai các cuộc tấn công Phishing một cách dễ dàng và hiệu quả Dưới đây là một số công cụ và framework phổ biến được sử dụng trong Phishing:
3.1 PhishKit:
PhishKit là một framework Phishing mở mã nguồn được sử dụng để tạo ra các trang web giả mạo và gửi các email Phishing Nó cung cấp các mẫu trang web giả mạo cho các dịch vụ phổ biến như ngân hàng, trang web mua sắm trực tuyến, và các trang web đăng nhập PhishKit cũng có khả năng gửi các email Phishing đến nhiều địa chỉ email một cách tự động
3.2 SocialFish:
Hình 3.1: SocialFish SocialFish là một công cụ Phishing mã nguồn mở được sử dụng chủ yếu để thực hiện các cuộc tấn công Phishing dựa trên các trang đăng nhập giả mạo và các trang web xã hội Nó cung cấp các tính năng như tạo ra các trang web giả mạo của các trang web phổ biến như Facebook, Instagram, Twitter, và LinkedIn SocialFish cũng có khả năng tạo ra các liên kết ngắn giả mạo để thu thập thông tin đăng nhập
Trang 113.3 Gophish:
Hình 3.2: Gophish Gophish là một framework Phishing mã nguồn mở được sử dụng để triển khai các cuộc tấn công Phishing và thử nghiệm bảo mật trong môi trường kiểm thử Nó cung cấp một giao diện web dễ sử dụng để tạo ra và gửi các email Phishing, theo dõi các chiến dịch Phishing,
và phân tích kết quả Gophish cũng cung cấp các mẫu email và trang web giả mạo để giúp người dùng bắt đầu một cách dễ dàng
3.4 Công cụ tự tạo phương tiện giả mạo:
Ngoài các framework và công cụ có sẵn, kẻ tấn công cũng có thể tự tạo các phương tiện giả mạo như hình ảnh, video, và trang web để sử dụng trong các cuộc tấn công Phishing Công
cụ như Photoshop và GIMP có thể được sử dụng để chỉnh sửa hình ảnh, trong khi các trình soạn thảo trang web như HTML, CSS và JavaScript có thể được sử dụng để tạo ra các trang web giả mạo
Các công cụ và framework này giúp kẻ tấn công triển khai các cuộc tấn công Phishing một cách nhanh chóng và dễ dàng, đồng thời tăng cường tính hiệu quả của chúng
Trang 12Chương 4: VÍ DỤ VÀ NGHIÊN CỨU THỰC NGHIỆM
4.1 Các ví dụ cụ thể về cuộc tấn công Phishing
Cuộc tấn công Email Phishing vào một Tổ chức Tài chính:
Một tổ chức tài chính lớn đã trở thành mục tiêu của một cuộc tấn công Phishing thông qua email Kẻ tấn công đã gửi các email giả mạo từ địa chỉ email chính thức của tổ chức, yêu cầu người nhận cung cấp thông tin cá nhân như tên người dùng và mật khẩu để truy cập vào tài khoản của họ Cuộc tấn công này đã gây ra sự hoang mang và mất mát lớn cho tổ chức Cuộc tấn công Website Phishing vào một Trang web Ngân hàng:
Một trang web ngân hàng đã bị sao chép và tạo ra một trang web giả mạo với giao diện giống hệt trang chính thức Kẻ tấn công đã gửi các email hoặc tin nhắn văn bản cho các khách hàng của ngân hàng, yêu cầu họ cập nhật thông tin tài khoản bằng cách truy cập vào liên kết trong tin nhắn Nhiều khách hàng đã bị lừa và tiết lộ thông tin cá nhân của họ
4.2 Kết quả và phân tích từ các nghiên cứu thực nghiệm
Nghiên cứu về Hiệu quả của Các Biện pháp Phòng tránh Phishing:
Một nghiên cứu đã được thực hiện để đánh giá hiệu quả của các biện pháp phòng tránh Phishing như giáo dục người dùng, sử dụng công nghệ phát hiện Phishing, và cải thiện bảo mật email Kết quả cho thấy rằng việc kết hợp nhiều biện pháp phòng tránh là hiệu quả nhất trong việc ngăn chặn các cuộc tấn công Phishing
Phân tích Mô hình Hành vi của Nạn nhân trong Các Cuộc tấn công Phishing:
Một nghiên cứu đã phân tích mô hình hành vi của nạn nhân trong các cuộc tấn công Phishing, bao gồm việc phản ứng của họ đối với các tin nhắn, email, và trang web giả mạo Kết quả cho thấy rằng người dùng có thể dễ dàng bị lừa bởi các chiêu thức Phishing phổ biến và cần có sự giáo dục và hỗ trợ để nhận biết và tránh xa các cuộc tấn công này Các nghiên cứu thực nghiệm cung cấp cái nhìn chi tiết về tác động và hiệu quả của các cuộc tấn công Phishing, cũng như cách ngăn chặn và phòng tránh chúng
Trang 13Chương 5 : PHÒNG TRÁNH VÀ BẢO MẬT
Hình 5.1 Phòng tránh và bảo mật
Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet, thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn Hãy lưu ý những điểm sau :
Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạy cảm Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng VD: bạn mới mua sắm online, đột nhiên có email từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đã dùng để thanh toán Có tin được không ?!
Không click vào bất kỳ đường link nào được gửi qua email nếu bạn không chắc chắn 100% an toàn
Không bao giờ gửi thông tin bí mật qua email
Không trả lời những thư lừa đảo Những kẻ gian lận thường gửi cho bạn số điện thoại
để bạn gọi cho họ vì mục đích kinh doanh Họ sử dụng công nghệ Voice over Internet Protocol Với công nghệ này, các cuộc gọi của họ không bao giờ có thể được truy tìm
Sử dụng Tường lửa và phần mềm diệt virus Hãy nhớ luôn cập nhật phiên bản mới nhất của các phần mềm này
Hãy chuyển tiếp các thư rác đến spam@uce.gov Bạn cũng có thể gửi email tới reportphishing@antiphishing.org Tổ chức này giúp chống lại các phishing khác
Trang 14Chương 6 : KẾT LUẬN
Phishing không chỉ là một vấn đề cá nhân mà còn là một thách thức lớn đối với an ninh mạng toàn cầu Trong suốt thời gian qua, chúng ta đã thấy sự tiến triển của Phishing từ các cuộc tấn công thông qua email đơn giản đến các chiến lược lừa đảo phức tạp và tinh vi hơn Điều này đặt ra một câu hỏi lớn: làm thế nào chúng ta có thể đối phó với một mối đe dọa mạng lưới ngày càng phức tạp như Phishing?
Tóm tắt các điểm chính:
o Đa dạng hóa Phương pháp Phishing: Phishing không chỉ giới hạn trong việc sử dụng email Nó bao gồm cả các hình thức như website giả mạo, tin nhắn văn bản, mạng xã hội và thậm chí là cuộc gọi điện thoại giả mạo
o Công cụ và Framework Phổ biến: Có nhiều công cụ và framework phổ biến được sử dụng để triển khai các cuộc tấn công Phishing, nhưng đồng thời cũng có những công
cụ và phương pháp phòng tránh đáng tin cậy để đối phó với chúng
o Hậu quả Nguy hiểm: Các cuộc tấn công Phishing có thể gây ra những thiệt hại nghiêm trọng, từ mất mát tài chính cho đến mất dữ liệu quan trọng và danh dự cá nhân
o Biện pháp Phòng tránh và Bảo mật: Đào tạo người dùng, triển khai các biện pháp bảo mật mạng và duy trì tinh thần cảnh giác là những yếu tố quan trọng trong việc ngăn chặn và phòng tránh các cuộc tấn công Phishing
Nhận định về tầm quan trọng của việc hiểu và phòng tránh Phishing:
Phishing không chỉ đòi hỏi sự chú ý từ các chuyên gia an ninh mạng mà còn là trách nhiệm của mỗi người trong cộng đồng mạng Việc hiểu và phòng tránh Phishing không chỉ giúp bảo vệ thông tin cá nhân và tài sản, mà còn là một phần không thể thiếu trong việc xây dựng một môi trường kỹ thuật số an toàn và đáng tin cậy
Trong một thế giới kỹ thuật số ngày nay, mối đe dọa từ Phishing không ngừng gia tăng Chúng ta cần hành động ngay bây giờ, cùng nhau tạo ra một cộng đồng mạng an toàn và bảo
vệ chính mình khỏi những cuộc tấn công đáng sợ này
Trang 15TÀI LIỆU THAM KHẢO
Danh sách các nguồn tham khảo đã sử dụng:
1 https://phunhuan.nhuthanh.thanhhoa.gov.vn/web/trang-chu/tin-tuc-su-kien/chuyen-doi-so/phishing-la-gi-cach-phong-chong-tan-cong-phishing-hieu-qua.html
2 https://www.ods.vn/tai-lieu/cac-hinh-thuc-tan-cong-mang-pho-bien-hien-nay-va-cach-phong-tranh.html
3 https://securitybox.vn/1797/tan-cong-phishing-la-gi-giai-phap-chong-phishing/
4 https://cystack.net/blog/phishing-la-gi