ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ - LÊ THỊ THU HƢƠNG CÁC LỪA ĐẢO TRÊN MẠNG MÁY TÍNH VÀ CÁCH PHÒNG TRÁNH Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu Mạng máy tính Mã số: LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN HƢỚNG DẪN KHAO HỌC: PGS TS Trịnh Nhật Tiến HÀ NỘI 2016 i GIỚI THIỆU Lừa đảo qua mạng ( Social Engineering ) thực chủ yếu dựa việc khai thác hành vi tâm lý người sử dụng Internet; Và “lỗ hổng” hệ thống an ninh mạng máy tính Được phân làm nhóm: 1- Cố gắng đánh lừa người gửi tiền trực tiếp cho kẻ lừa đảo (ví dụ: giả gặp trục trặc) 2- Lừa đảo nhằm mục đích ăn cắp thông tin cá nhân liệu máy tính Một hình thức lừa đảo qua mạng phổ biến “phishing – lừa đảo giả dạng” Trong phần nghiên cứu ta tập trung nghiên cứu vào hình thức lừa đảo giả dạng “phishing” Chƣơng – LÝ THUYẾT CÁC DẠNG LỪA ĐẢO QUA MẠNG 1.1 KHÁI NIỆM LỪA ĐẢO GIẢ DẠNG Lừa đảo giả dạng (phishing) loại hình gian lận (thương mại) Internet, thành phần “Social Engineering – kỹ nghệ lừa đảo” mạng Nguyên tắc lừa đảo giả dạng cách “lừa” nguời dùng gửi thông tin nhạy cảm đến kẻ lừa đảo; thông tin tên, địa chỉ, mật khẩu, số thẻ tín dụng, mã thẻ ATM, số an sinh xã hội,… Cách thực chủ yếu mô lại giao diện đăng nhập trang web website có thật, kẻ lừa đảo dẫn dụ nạn nhân điền thông tin vào trang “dỏm” truyền tải đến (thay đến server hợp pháp) để thực hành vi đánh cắp thông tin bất hợp pháp mà nguời sử dụng không hay biết 1.2 LỊCH SỬ LỪA ĐẢO GIẢ DẠNG Từ "phishing", ban đầu xuất phát từ tương đồng giống với cách mà bọn tội phạm Internet sử dụng e-mail để nhử "lừa đảo-phish" cho mật liệu tài từ biển người sử dụng Internet.Thuật ngữ đặt năm 1996 khoảng thời gian tin tặc kẻ mà ăn cắp tài khoản (account) America Online (AOL) cách lừa đảo mật từ việc người dùng AOL không nghi ngờ Đến năm 1996, tài khoản bị hack gọi "lừa đảo-phish", đến năm 1997, Phish giao dịch tích cực hacker hình thức tiền tệ điện tử Qua thời gian, định nghĩa công lừa đảo-phishing bị mờ phát triển rộng Do tỷ lệ thành công cao vụ lừa đảo, lan rộng thành lừa đảo giả dạng –phishing; 1.3 TỔNG HỢP VỀ MỘT SỐ TỔ CHỨC BỊ TẤN CÔNG LỪA ĐẢO GIẢ DẠNG IMF (Quỹ Tiền tệ Quốc tế) Tin tặc tiến hành công trước ngày 14/5/2011, Strauss-Kahn, cựu Tổng giám đốc IMF bị bắt New York Cuộc công xâm nhập vào máy chủ Quỹ Tiền tệ Quốc tế (IMF) tin tặc, làm việc cho phủ nước ngoài, thực Tin tặc đánh cắp số lượng lớn liệu bao gồm email nhiều tài liệu khác Các liệu IMF nhạy cảm chứa nhiều thông tin bí mật tình hình tài nhiều quốc gia giới ảnh hưởng đến thị trường toàn cầu Tuy nhiên, chưa có thông tin rõ ràng tài liệu mà tin tặc đánh cắp Google Hôm 1/6/2011, Google cho biết hãng phát xâm nhập đánh cắp hàng trăm tài khoản người dùng mật Gmail Trong số tài khoản bị đánh cắp, có nhiều tài khoản quan chức phủ Mỹ, quan chức khu vực châu Á, nhà báo… Sony Vụ công mạng nhằm vào hãng Sony Pictures vào lịch sử vụ xâm nhập mạng máy tính lớn năm 2014 Các thông tin số an sinh xã hội, hộp thư điện tử tiền lương nhân viên Sony, phim chưa phát hành bị tung lên mạng Nhiều người suy đoán Bắc Triều Tiên đứng sau vụ rò rỉ liệu lớn công xảy vài ngày trước kiện mắt dự kiến “The Interview”, phim hài vụ ám sát hư cấu CIA nhằm vào nhà lãnh đạo Triều Tiên Kim Jong-un Chƣơng CÁC PHƢƠNG PHÁP LỪA ĐẢO GIẢ DẠNG 2.1 NHỮNG YẾU TỐ ĐỂ CUỘC TẤN CÔNG LỪA ĐẢO GIẢ DẠNG THÀNH CÔNG 2.1.1 Sự thiếu hiểu biết Sự thiếu hiểu biết hệ thống mạng máy tính giúp cho hacker khai thác thông tin nhạy cảm Đặc biệt người thường xuyên mua bán, toán qua mạng cần phải hiểu rõ việc cung cấp credit card quan trọng biết nên cung cấp, không 2.1.2 Nghệ thuật đánh lừa ảo giác Nghệ thuật đánh lừa ảo giác làm cho nạn nhân không phân biệt đâu thật đâu giả Kỹ thuật đánh lừa ảo giác tạo trang web, thư…những thứ mà ngày bạn truy cập, giống đến mức gần người ta phát giả mạo 2.1.3 Không ý đến tiêu an toàn Như nói trên, cảnh báo thường bị người dùng bỏ qua, điều tạo điều kiện cho hacker công thành công Người dùng thường không ý đến tiêu an toàn Ví dụ bạn truy cập website toán trực tuyến, bạn phải hiểu quy định an toàn website kiểu này, thông tin giấy chứng nhận (Cerificate), nhà cung cấp, nội dung, nhiều quy định khác Windows thường nhận biết quy định an toàn này, không đủ cảnh báo cho người sử dụng Tuy nhiên, có số người dùng cảm thấy phiền phức với cảnh báo tắt chức đi, mà họ dễ dàng trở thành nạn nhân 2.2 NHỮNG PHƢƠNG THỨC CỦA LỪA ĐẢO GIẢ DẠNG 2.2.1 Thƣ điện tử thƣ rác (Email and Spam) Hacker tiến hành gửi hàng loạt thư đến địa email hợp lệ Bằng kỹ thuật công cụ khác nhau, hacker tiến hành thu thập địa email trước Hacker lợi dung việc để gửi thư có nội dung bên hợp lệ Những nội dung thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thông tin Hacker sử dụng giao thức SMTP kèm theo số kỹ thuật để giả mạo trường “Mail From” khiến cho người nhận chút nghi ngờ 2.2.2 Phát tán dựa trang mạng (Web-based Delivery) Một kỹ thuật Phishing dựa vào việc phát tán website lừa đảo Bạn thường thấy website dạng kiếm tiền online Chúng yêu cầu bạn cung cấp thông tin tài khoản ngân hàng để tiến hành trả tiền công Bạn không ngần ngại chờ đợi số tiền công hậu hĩnh Kết tiền công không thấy mà tiền tài khoản không Một hình thức khác khiêu khích tò mò người dùng Bằng cách chèn vào trang web biển hiệu (banner) dòng chữ (text) quảng cáo có ý khiêu khích tò mò người dùng Ví dụ hình ảnh khiêu dâm, nội dung nóng Kết sau click vào máy tính bạn bị nhiễm loại virus malware đó, virus phục vụ cho cộng công khác 2.2.3 Mạng lƣới trò chuyện trực tuyến tin nhắn khẩn (Irc and Instant Messaging) Bằng kỹ thuật công, kẻ lừa đảo tiến hành gửi tin nhắn tức đến hàng loạt người dùng Những nội dung gửi thường có liên quan đến hàng loạt người dùng, lợi dụng vào trí tò mò người Kỹ thuật tinh vi kiểu lừa đảo giả dạng nick chat 2.2.4 Các máy tính bị nhiễm phần mềm gián điệp (Trojaned Hosts) Một kiểu lừa đảo khác lừa cho nạn nhân cài vào máy tính phần mềm gián điệp Phần mềm gián điệp (trojan, keylog) phục vụ cho mục đích công khác Điển hình công việc nạn nhân bị nhiễm trojan trở thành máy tính công tổng thể diện rộng 2.3 CÁC KIỂU LỪA ĐẢO GIẢ DẠNG Căn theo cách thức hoạt động, người ta phân loại công lừa đảo thành loại sau 2.3.1 Tấn công MITM Ở kỹ thuật này, máy tính kẻ công xem máy tính trung gian máy tính người dùng website thật Những kẻ công dựng lên máy tính trung gian để nhận liệu người dùng chuyển cho website thật Hoặc nhận liệu website thật chuyển cho người dùng Dữ liệu chuyển qua lại lưu trữ lại máy tính kẻ công Tấn công MITM (Main-in-the-Middle) Những kẽ công việc dựng lên Proxy Server giả dụ mồi đến nghĩ đến việc công vào Proxy Server thật để lấy liệu Một cách khác để công kỹ thuật này, tìm cách làm lệch đường gói liệu Một điểm cần lưu ý rằng, kỹ thuật công không phân biệt giao thức web HTTP hay HTTPS 2.3.2 Các công gây rối URL (URL Obfuscation Attacks) Làm rối URL (URL Obfuscation) làm ẩn giả mạo URL xuất địa cách hợp pháp Phương pháp công làm rối URL sử dụng để làm cho công lừa đảo trực tuyến trở nên hợp pháp Một trang web xem qua hợp pháp với hình ảnh, tên tuổi công ty, liên kết dẫn đến trang web hacker Việc giả mạo nhắm đến người dụng bất cẩn 2.3.3 Tấn công XSS (Cross-Site Scripting Attacks) Cross-Site Scripting hay gọi tắt XSS (thay gọi tắt CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet HTML) kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP …) Các hacker chèn đoạn script độc hại (thông thường javascript HTML) vào website thực thi phía người dùng (trong trình duyệt người dùng) Phụ thuộc vào mục đích hacker, đoạn Javascript chèn vào để lấy thông tin như: + Cookie; + Keylogging; + Phishing 2.3.4 Tấn công ẩn (Hidden Attacks) Attacker sử dụng ngôn ngữ lập trình HTML, DHTML, ngôn ngữ dạng script khác để chèn vào trình duyệt người dùng Hoặc sử dụng ký tự đặc biệt để đánh lừa người dùng Những phương thức thường attacker sử dụng làm ẩn frame Các Frame attacker làm ẩn trình duyệt người dùng, qua attacker chèn vào đoạn mã độc Một cách khác để công ghi đè nội dung trang web thay đổi hình ảnh trang web Qua nội dung bị thay đổi này, attaker chèn đoạn mã độc hại vào Chƣơng PHƢƠNG PHÁP PHÒNG TRÁNH LỪA ĐẢO GIẢ DẠNG 3.1 PHÍA MÁY TRẠM Ở phía khách hàng, khả bảo vệ chống lại lừa đảo tạo nên với: 3.1.1 Các doanh nghiệp bảo vệ máy tính để bàn Lý tưởng nhất, hệ thống máy tính để bàn nên cấu hình để sử dụng bảo vệ nhiều doanh nghiệp máy tính để bàn (ngay tính lại dịch vụ bảo vệ phạm vi công ty), có khả thực dịch vụ sau: • Bảo vệ phòng chống Virus cục (Anti-Virus) • Tường lửa cá nhân • IDS cá nhân • Phát Spyware • Phòng chống thư rác (Anti-Spam) cá nhân Ƣu điểm : - Cài đặt dễ dàng - Bảo vệ chuyên sâu (Defense-in-Depth) - Có kết hợp bảo vệ chéo (protection Overlapping) - Nâng cao nhận thức nâng cao cảnh giác phòng thủ mang tính nội Nhƣợc điểm: - Chi phí đặt mua cao (purchasing price) - Cần gia hạn thuê bao (Subscription Renewals) - Phức tạp yêu cầu khả quản lý 3.1.2 Độ nhạy thƣ điện tử (E-mail) Chức nhúng không cần thiết (thường để mặc định) khai thác công lừa đảo (cùng với tăng lên xác suất loại công khác nhau) Nói chung, ứng dụng phổ biến cho phép người dùng tắt chức nguy hiểm 3.1.2.1 HTML dựa thư điện tử 3.1.2.2 Chặn tin đính kèm (attachment Blocking) 3.1.2.3 Ưu điểm - Vượt qua làm rắc rối hóa HTML; - Loại virus đính kèm tệp tin 3.1.2.4 Nhược điểm - Dễ đọc; - Giới hạn ký tự tin nhắn; - Chặn lựa chọn hợp lý 3.1.3 Khả trình duyệt 3.1.3.1 Loại bỏ trình duyệt IE (Microsoft Internet Explorer) Trình duyệt web Microsoft Internet Explorer, trình duyệt web có sẵn phức tạp Do có hồ sơ theo dõi dài việc phát lỗ hổng khai thác chúng từ xa 3.1.3.2 Gắn kèm công cụ chống lừa đảo giả dạng (Anti-Phishing Plug-ins) Ngày nay, ngày tăng số lượng nhà sản xuất phần mềm chuyên dụng chống lừa đảo giả dạng (phishing) cung cấp trình duyệt plug-ins Thông thường, plug-ins thêm vào công cụ (toolbar) trình duyệt cung cấp sở giám sát hoạt động Những công cụ thường gọi "điện thoại nhà" cho URL, xác minh máy chủ lập danh sách vụ lừa đảo giả dạng 3.1.3.3 Ưu điểm - Cải tiến bảo mật thực tức thì, nhanh chóng Đồng thời chuyển dần từ trình duyệt web phức tạp thành trình duyệt với chức giảm nhẹ tức • PGP / MIME dựa PGP, phát triển nhiều cá nhân, số người gia nhập với tập đoàn PGP • S/MIME, PGP / MIME, OpenPGP MIME sử dụng để cấu trúc tin nhắn 3.1.4.3 Ưu điểm 1) Nó tích hợp vào hầu hết tiêu chuẩn e-mail khách hàng Vì làm việc mà yêu cầu phần cứng yêu cầu phần mềm bổ sung 2) Đồng đường mòn kiểm toán (audit Trail) 3) Mối quan hệ tin cậy 3.1.4.4 Nhược điểm 1) Không phải tất khách hàng dựa web mail hỗ trợ S / MIME 2) Tên miền gây hiểu lầm 3) Kiểm tra truy hồi: Người nhận không kiểm tra tình trạng thu hồi chứng 3.1.5 Cảnh giác khách hàng Khách hàng số bước để tránh trở thành nạn nhân vụ công lừa đảo trực tuyến, bước mà liên quan đến việc kiểm tra nội dung trình bày cho họ đặt câu hỏi tính xác thực 3.1.5.1 Rửa tiền (Scams Job) 3.1.5.2 Cách mà trò gian lận việc làm giả thực 3.1.5.3 Ưu điểm: mặt giá cả: Bằng cách nhận thức chiều hướng công lừa đảo giả dạng phổ biến hiểu biết làm để ứng phó lại chúng, khách hàng có hành động với mức chi phí hợp lý để tự bảo vệ 11 3.1.5.4 Nhược điểm 2) Liên tục thay đổi chiến trường (Battlefield) gây 1) Thông tin tải; nhầm lẫn cho khách hàng che dấu chất thật thông điệp 3.2 PHÍA MÁY CHỦ Ở phía máy chủ, bảo vệ chống lại lừa đảo tạo nên bởi: 3.2.1 Nhận thức khách hàng Các bước quan trọng việc giúp đỡ để đảm bảo nhận thức khách hàng tiếp tục cảnh báo là: • Nhắc nhở khách hàng liên tục • Cung cấp phương pháp dễ dàng cho khách hàng để thông báo lừa đảo giả mạo, email gian lận khác gửi tên tổ chức • Cung cấp lời khuyên cách làm để xác minh tính toàn vẹn trang web mà họ sử dụng • Xây dựng sách truyền thông công ty thực thi chúng • Để có hiệu quả, tổ chức phải đảm bảo họ gửi thông điệp rõ ràng, ngắn gọn phù hợp cho khách hàng họ • Phản ứng nhanh chóng rõ ràng âm mưu xác định lừa đảo 3.2.1.1 Ưu điểm 1) Chi phí thấp; 2) Yêu cầu kỹ thuật thấp 3.2.1.2 Nhược điểm 1) Yêu cầu tính quán cao; 2) Thông tin dễ tải hệ thống 3.2.2 Giá trị truyền thông mang tính nội 12 Bước thực tổ chức để giúp xác nhận thông tin liên lạc khách hàng thức cung cấp phương tiện để xác định liệu có khả công lừa đảo 3.2.2.1 Thư điện tử cá nhân E-mail gửi đến khách hàng nên cá nhân hóa cho đối tượng người nhận Các tổ chức phải đảm bảo chúng không bị rò rỉ chi tiết bí mật khách hàng thông tin liên lạc họ 3.2.2.2 Tham khảo thông báo trước (Previous Message Referral) Có thể tham khảo mẫu e-mail gửi đến khách hàng - cần thực việc thiết lập tin tưởng truyền tin Điều đạt thông qua phương tiện khác 3.2.2.3 Các cổng thông tin xác thực ứng dụng trang mạng (Web Application Validation Portals) Các cổng thông tin web tồn phép khách hàng chép / dán nội dung tin nhắn nhận họ vào hình thức tương tác, cho ứng dụng để hiển thị rõ tính xác thực thông điệp Tương tự vậy, Cần cung cấp giao diện mà khách hàng chép hay dán URL nghi ngờ mà họ nhận Các ứng dụng sau xác nhận liệu có phải URL hợp pháp liên quan đến tổ chức không 3.2.2.4 Hình ảnh hay âm cá nhân thư điện tử Có thể nhúng liệu hình ảnh hay âm cá nhân e-mail Tài liệu cung cấp khách hàng trước đây, có chứa tương đương với bí mật chia sẻ 13 3.2.2.5 Ưu điểm Hiệu quả: Quá trình đơn giản cá nhân hoá thông tin liên lạc làm cho dễ dàng nhiều khách hàng việc xác định thông tin thức từ email spam Làm cho trình chứng thực nguồn tin nhanh hiệu 3.2.2.6 Nhược điểm 1) Cần tài nguyên bổ sung 2) Nhận thức khách hàng: Khách hàng không sử dụng không nhận thức tầm quan trọng hành động tự bảo vệ mang tính cá nhân 3.2.3 Bảo mật ứng dụng trang mạng khách hàng Bảo mật ứng dụng web dựa cung cấp phương pháp đầu tư mang lại nhiều lợi nhuận lớn (bang for the buck) phương pháp bảo vệ khách hàng chống lại công lừa đảo 3.2.3.1 Xác thực nội dung 3.2.3.2 Xử lý phiên (Session handling) 3.2.3.3 Năng lực URL 3.2.3.4 Các quy trình thẩm định 3.2.3.5 Quy định ảnh (Image Regulation) 3.2.3.6 Ưu điểm 1) Tính mạnh mẽ; 2) Hiệu mặt chi phí; 3) Độc lập khách hàng 3.2.3.7 Nhược điểm 1) Cần yêu cầu phát triển kỹ năng; 2) Phải thử nghiệm; 3) Chi phí quản lý hiệu suất 14 3.2.4 Xác thực dựa thẻ mạnh (Strong Token) Khách hàng ứng dụng dựa web hợp pháp sử dụng thẻ vật lý giống thẻ thông minh máy tính để cung cấp mật cho lượt sử dụng mật sử dụng khoảng thời gian định (time-dependant) 3.2.4.1 Ưu điểm 1) Mật có phụ thuộc thời gian; 3) Tạo cảm giác tin tưởng 2) Truy cập thẻ (token) vật lý; 4) Chống gian lận 3.2.4.2 Nhược điểm 1) Đào tạo người sử dụng; 2) Các chi phí cho thẻ (token); 3) Mất thời gian thiết lập; 4) Chi phí quản lý cao; 5) Các vấn đề bị chia nhỏ 3.2.5 Máy chủ hiệp ƣớc liên kết Số lượng lớn công lừa đảo tận dụng nhầm lẫn bị gây tổ chức sử dụng tên phức tạp với dịch vụ lưu trữ-host URL đọc (chẳng hạn tên miền đầy đủ) Hầu hết khách hàng không hiểu kỹ thuật dễ dàng bị choáng ngợp với thông tin dài phức tạp trình bày URLs "theo sau liên kết này" Bất đâu xảy công lừa đảo này, nên tổ chức cần phải: • Luôn sử dụng domain có nguồn gốc 15 • Tự động chuyển hướng tên domain đăng ký khu vực khu vực khác tới domain công ty • Sử dụng tên máy chủ-host mà đại diện cho tính chất ứng dụng dựa web • Luôn sử dụng URL đơn giản hay máy chủ lưu trữ tên • Sử dụng chuyển đổi địa công nghệ cân tải để tránh sử dụng máy chủ đánh số • Không giữ thông tin phiên giao dịch dạng URL 3.2.5.1 Ưu điểm 1) Dễ áp dụng; 2) Xác định hữu hình; 3) Dễ dàng để giải thích 3.2.5.2 Nhược điểm Sửa đổi ứng dụng: Một số ứng dụng phức tạp với tên máy chủ mã hóa cứng yêu cầu cập nhật 3.3 PHÍA DOANH NGHIỆP Các bước quan trọng để chống lừa đảo bảo mật cho doanh nghiệp bao gồm: 3.3.1 Xác thực phía máy chủ gửi thƣ điện tử Về chất, máy chủ gửi mail người gửi xác nhận (chẳng hạn độ phân giải ngược thông tin tên miền đến địa IP cụ thể phạm vi cụ thể) máy chủ nhận mail Nếu địa IP người gửi địa uỷ quyền cho miền e-mail, e-mail bị loại bỏ máy chủ nhận mail Ngoài ra, thông qua việc sử dụng SMTP an toàn, vận chuyển e-mail thực qua liên kết SSL/TLS mã hóa Khi gửi email máy chủ mail kết nối tới máy chủ mail người nhận, giấy chứng nhận trao đổi trước liên kết mã hóa thành lập Việc xác thực chứng 16 sử dụng để nhận diện người gửi tin cậy Việc “mất tích” chứng không hợp lệ hay bị thu hồi ngăn chặn kết nối an toàn xảy không cho phép cung cấp e-mail Nếu yêu cầu, việc kiểm tra bổ sung với máy chủ DNS sử dụng để đảm bảo máy chủ mail ủy quyền gửi e-mail kết nối SMTP an toàn 3.3.1.1 Ưu điểm 1) Cấu hình dễ dàng; 2) Phòng ngừa giấu tên; 3) Nhận dạng thư điện tử doanh nghiệp 3.3.1.2 Nhược điểm 1) Dễ dàng giả mạo địa bên gửi email; 3) Dịch vụ E-mail bên thứ ba 2) Chuyển tiếp thư điện tử (E-mail Forwarding); 4) Phân phối SMTP an toàn 3.3.2 Thƣ điện tử sử dụng chữ ký số (Digitally Signed E-mail) Các doanh nghiệp cấu hình máy chủ nhận e-mail họ để tự động xác nhận chữ ký số e-mail trước chuyển đến người nhận Ngoài ra, máy chủ e-mail doanh nghiệp cấu hình để e-mail gửi ký Bằng cách làm vậy, giấy chứng nhận kỹ thuật số “của công ty” sử dụng khách hàng nhận chữ ký e-mail tự tin tin nhắn nhận họ hợp pháp 17 3.3.3 Giám sát miền Điều quan trọng tổ chức cách cẩn thận theo dõi việc đăng ký tên miền Internet liên quan đến tổ chức họ Các công ty nên giám sát liên tục việc đăng ký tên miền hệ thống tên miền cho tên miền xâm phạm tên thương hiệu họ, sử dụng để tung trang web giả mạo để đánh lừa khách hàng Có hai lĩnh vực quan tâm: 3.3.3.1 Tên miền hết hạn gia hạn 3.3.3.2 Đăng ký tên miền có tên tương tự 3.3.4 Các dịch vụ cổng (Gateway services) Các vành đai mạng doanh nghiệp nơi lý tưởng cho việc thêm dịch vụ bảo vệ cửa ngõ mà giám sát kiểm soát thông tin liên lạc nước Những dịch vụ sử dụng để xác định nội dung lừa đảo giả dạng độc hại; cho dù nằm e-mail luồng truyền thông khác Các dịch vụ cổng cấp doanh nghiệp điển hình bao gồm: • Cổng Anti-Virus Scanning; • Cổng Anti-Spam Filtering • Cổng Content Filtering; • Các dịch vụ Proxy 3.3.4.1 Ưu điểm 1) Cập nhật hiệu quả; 2) Sự độc lập ISP; 3) Chế độ bảo vệ ưu tiên trước tiên 3.3.4.2 Nhược điểm 1) Những hạn chế lưu lượng: Một số dạng lưu lượng mạng bị quét 2) Các thay đổi Firewall; 3) Yêu cầu bảo vệ người sử dụng chuyển vùng 18 3.3.5 Các dịch vụ quản lý Các dịch vụ quản lý lĩnh vực chống thư spam chống lừa đảo giả dạng cung cấp cải tiến có giá trị công tác bảo vệ an ninh 3.3.5.1 Giám sát hoạt động trang mạng Các nhà cung cấp dịch vụ quản lý triển khai dựa chương trình tổng quan để theo dõi URL nội dung web từ trang web từ xa, tích cực tìm kiếm cho tất trường hợp có logo, nhãn hiệu hàng hoá, nội dung web độc đáo tổ chức 3.3.5.2 Ưu điểm 1) Dễ sử dụng; 2) Tầm nhìn rộng hơn; 3.3.5.3 Nhược điểm 1) Tốn kém; 2) Quản lý xác thực lỗi 19 3) Sự can thiệp kịp thời Chƣơng ỨNG DỤNG PHÒNG TRÁNH TRONG TRÌNH DUYỆT 4.1 SPOOFGUARD Là phần bổ sung (plug-in) tương thích với Internet Explorer 4.1.1 Kiến trúc SpoofGuard Sự tương tác phân hệ chính, mô tả đây, thể hình: Các phân hệ hàm lập trình tạo nên chương trình SpoofGuard, với vai trò cụ thể sau: 4.1.2 Cài đặt Tải phần mềm SpoofGuard link: https://crypto.stanford.edu/SpoofGuard/ Chạy file cài đặt, khởi động lại trình duyệt, cửa sổ trình duyệt, công cụ, nhấn chuột phải chọn WarnBar Class 4.1.3 Giao diện Thanh công cụ SpoofGuard có nút: Settings (nơi người dùng thiết lập thông số), Status (hiển thị miền website mà bạn truy cập) Reset (xóa liệu mà SpoofGuard thu thập được, không xóa History Internet Explorer) 20 4.1.4 Nguyên lý hoạt động Khi người dùng truy cập vào trang web, SpoofGuard đưa kiểm tra (check) vòng (round): Domain Name Check, URL check, Email Check, Password Field check Image check Mức độ kiểm tra check thể thông qua số gọi weight người dùng thiết lập (có thể thiết lập weight cho check check có giá trị lớn check kia) Kết check cộng lại với nhau, sau so sánh với giá trị thiết lập weight để đưa kết có phải phishing hay không 4.1.5 Ƣu điểm nhƣợc điểm 4.1.5.1 Ưu điểm + Giúp vá số điểm yếu bảo mật phần lớn trang web + thông tin cảnh báo SpoofGuard giúp người dùng tự xác định mối nguy hiểm tiềm tàng (nếu có) Website + SpoofGuard có khả phát công lừa đảo Web mà không cần hợp tác từ trang web 4.1.5.2 Nhược điểm + Chỉ áp dụng với trình duyệt Internet Explorer (IE) + Kỹ thuật chống lại số dạng giả mạo nguy hiểm Do áp dụng phù hợp cho phía Client, thông thường với chuyên gia (hay phía Server) không cần dùng đến ứng dụng 4.2 TRANG WEB KIỂM TRA LỪA ĐẢO GIẢ DẠNG PHISH TANK 4.2.1 Cơ Phish Tank PhishTank website miễn phí cho người kiểm tra, theo dõi chia sẻ liệu phishing 21 Truy cập vào địa http://www.phishtank.com/ để sử dụng trang web 4.2.2 Ƣu điểm + Giao diện thân thiện, đơn giản, dễ sử dụng + Thông tin Phishing cập nhật nhanh chóng 4.2.3 Nhƣợc điểm + Chỉ có khả phòng Phishing, khả chống Phishing 4.3 NETCRAFT Netcraft công ty khảo sát Internet từ 1995 thu thập biến thiên Internet vòng gần 20 năm qua Đây công ty Anh Quốc có độ tin cậy cao Netcraft add-on sử dụng để giải vấn đề phishing 4.3.1 Cài đặt Tải phần mềm Netcraft link: http://toolbar.netcraft.com/install chọn trình duyệt muốn cài đặt làm theo hướng dẫn 4.3.2 Nguyên lý hoạt động Netcraft Toolbar cài đặt công cụ để hiển thị mức độ rủi ro (Risk rating), hạng site (rank) cung cấp liên kết báo cáo (Site Report- báo cáo cung cấp cho bạn thông tin mà Netcraft thu thập site) Cũng công cụ này, bar menu sổ xuống, với menu bạn báo cáo site Giải thích tính Netcraft Firefox (với Google Chrome tương tự) 22 4.3.3 Ƣu điểm nhƣợc điểm 4.3.3.1 Ưu điểm + Giao diện đơn giản, dễ hiểu dễ sử dụng, Extension gọn nhẹ ảnh hưởng đến hiệu suất vận tốc duyệt web + Cung cấp chi tiết thông tin trang Web nhờ giúp người dùng có lựa chọn đắn tính toàn vẹn trang Web 4.3.3.2 Nhược điểm + Không có hiệu với trang có chứa sẵn mã độc hại hay gắn kèm virus + Có số trang phishing không block, có lẽ chưa bị thông báo chưa cập nhật sở liệu Netcraft 4.4 DR.WEB ANTI-VIRUS LINK CHECKER 4.4.1 Cơ Dr.Web Anti-Virus Link Checker Dr.Web Anti-Virus Link Checker phần mở rộng cho trình duyệt web (hỗ trợ Chrome, Firefox, IE, Safari Opera) trình quản lí email Thunderbird Dr.Web Anti-Virus Link Checker phát tất file không an toàn trang web Add-on có chức tự động quét tất đường link mạng xã hội Facebook, Vk.com hay Google+ Dịch vụ xuất từ năm 2003 cập nhật theo định kỳ 4.4.2 Ƣu điểm + Dễ sử dụng, dung lượng chương trình nhỏ (hơn 100Mb) nên không ảnh hưởng đến hiệu máy tính Có khả phòng chống Phishing cao 4.4.3 Nhƣợc điểm + Thông tin Phishing nhà cung cấp cập nhật theo định kỳ, tác dụng mối đe dọa 23 4.5 TỔNG KẾT CHƢƠNG Trong phần nghiên cứu này, đưa số phương pháp để phòng chống Phishing Tuy nhiên thực tế, đối mặt với Phishing có lẽ vấn đề nan giải nhất, diệt nó, chưa có phương pháp để diệt Trong phần đề xuất nên kết hợp nhiều phương pháp với để đạt hiệu phòng chống Phishing tốt nhất: Bước 1: Trước đăng nhập nên sử dụng công cụ Phish Tank để kiểm tra xem có phải trang web lừa đảo không; Bước 2: Khi xác nhận trang web lừa đảo, sử dụng công cụ Dr.Web để kiểm tra xem có chứa virus hay phần mềm độc hại không; Bước 3: Sử dụng Netcraft để xác thực thông tin trang Web nhằm đảo bảo độ tin cậy cao người sử dụng Bước 4: Trường hợp sử dụng trình duyệt IE thay dùng Netcraft ta sử dụng công cụ SpoofGuard để xem thông tin cảnh báo khả Phishing trang WEB KẾT LUẬN Luận văn với đề tài “Lừa đảo qua mạng cách phòng tránh” có kết sau: 1/ Tìm hiểu nghiên cứu lừa đảo mạng máy tính 2/ Thử nghiệm ứng dụng phòng tránh lừa đảo trình duyệt Web Việc ý thức vấn nạn lừa đảo giả dạng (phishing) giới Việt nam quan trọng Việt Nam tiếng giới với việc ăn cắp phần mềm có quyền lý mà “phishing” có điều kiện không phát triển Để phòng chống lại kiểu công này, cách hiệu cách giáo dục cho người dùng máy tính thủ đoạn lừa đảo kẻ công, lừa đảo để họ tự biết cảnh giác 24 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Nguyễn Khắc Cửu, “Bảo mật nhóm hệ thống viễn thông”, đề tài luận văn thạc sỹ, Học Viện Công Nghệ Bưu Chính Viễn Thông [2] Nguyễn Minh Đức – Chuyên gia Big Data, làm việc Ban Công Nghệ tập đoàn FPT, báo “Phishing gì? Và cách để bạn bảo vệ mình”, http://securitydaily.net/phishing-la-gi-va-cach-de-ban-bao-ve-minh/ [3] Bài báo “Tấn công giả mạo” trang wikipedia, https://vi.wikipedia.org/wiki/T%E1%BA%A5n_c%C3%B4ng_gi%E1%BA%A 3_m%E1%BA%A1o Tài liệu tiếng anh [1] Christopher Hadnagy, “Social Engineering: The Art of Human hacking”, Published by Wiley Publishing, Inc [2] Markus Jakobsson, “Modeling and Preventin Phishing Attacks”, School of Informatics Indiana University at Bloomington Bloomington, IN 47408 [3] Gunter Ollmann, “The Phishing Guide: Understanding and Preventing phishing attacks”, Directer of Security Strategy IBM Internet Security Systems [4] The Anti-phishing working group, http://www.antiphishing.org 25