Giúp bạn phòng chống Email giả mạo nhằm mục đích phá hoại
Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT HƯỚNG DẪN PHÁT HIỆN THƯ GIẢ MẠO Phương thức tạo thư giả mạo tin tặc Thông thường soạn gửi thư điện tử, người gửi thư biên soạn nội dung, tiêu đề thư (title), địa nơi nhận, lựa chọn tệp tin đính kèm, thơng tin cịn lại khác máy chủ gửi thư tự động cập nhật như: địa hòm thư nhận phản hồi thư bị trả lại (Return-Path); địa hòm thư tiếp nhận thư trả lại (Reply-To) địa hòm thư người gửi (from) Để đánh lừa người nhận tin, bước đầu tin tặc tìm cách tự biên soạn thư điện tử với thơng tin giả mạo về: địa hịm thư nhận phản hồi thư bị trả lại (ReturnPath); địa hòm thư tiếp nhận thư trả lời (Reply-To) địa hịm thư người gửi (from) Sau tin tặc tìm máy chủ thư điện tử tự cài đặt phần mềm gửi thư (MTA) không yêu cầu xác thực hòm thư người gửi để phát tán thư điện tử giả mạo tới người cần lừa đảo Tìm hiểu nguồn gốc thật phát tán thư điện tử Trong nội dung thư điện tử gửi đến người nhận bao gồm đầy đủ thông tin về: địa IP máy gửi thư; địa hòm thư nhận; địa hòm thư nhận phản hồi thư bị trả lại (Return-Path); địa hòm thư tiếp nhận thư trả lời (Reply-To) địa hòm thư người gửi (from); nội dung thư; Tiêu đề thư; Các tệp tin đính kèm Nhưng chế độ hiển thị thơng thường (mặc định) để đơn giản hóa giao diện, hầu hết chương trình duyệt thư điện tử thơng tin: địa hịm thư tiếp nhận thư trả lời (Reply); Địa hòm thư người nhận; nội dung thư; tiêu đề thư; tệp tin đính kèm thời gian liên quan Các thông tin chi tiết nguồn gốc thư như: địa IP máy gửi thư; địa hòm thư nhận phản hồi thư bị trả lại (Return-Path); địa hòm thư tiếp nhận thư trả lời (Reply-To) địa hòm thư người gửi (from) lưu phần đầu (header) thư thị chi tiết người nhận thư sử dụng chức cho xem nguồn gốc (original) thư xem nội dung phần đầu (header) thư (Chú ý: trình duyệt hệ quản trị thư điện tử khác có cách khác để xem nguồn gốc thư điện tử, nhiên tất phần mềm hỗ trợ chức show original) Cách xem nguồn gốc thư điện tử số hệ thống thư điện tử phổ biến trình bày Phụ lục A Phát thư giả mạo Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Qua phân tích thư điện tử giả mạo gửi đến quan nhà nước thời gian vừa qua, có hai dấu hiệu để phát thư giả mạo theo phương thức là: Khi mở xem nguồn gốc chi tiết thư điện tử, địa hòm thư “Return-Path” khơng trùng với địa hịm thư người gửi đến (From) Hầu hết thư điện tử gửi từ hệ thống thư điện tử quan nhà nước (có gov.vn) có hai địa trùng Địa IP máy chủ gửi thư không trùng với địa IP hệ thống thư điện tử thật nơi bị giả mạo gửi thư điện tử Hiện nay, địa IP giả mạo thường có nguồn gốc từ nước địa chi IP hệ thống quan nhà nước thường có địa IP nước Ví dụ minh họa : Dưới ví dụ minh họa thư điện tử giả mạo ông Vũ Xn Hồng có địa thư điện tử hoangvx@abc.gov.vn tin tặc gửi tới hòm thư chị Nguyễn Thanh Huyền có địa huyennt@xyz.gov.vn Tin tặc tạo thư giả mạo ơng Vũ Xn Hồng có tiêu đề “Thông báo lớp đào tạo” với địa hòm thư gửi, hòm thư nhận hoangvx@abc.gov.vn, hòm thư trả lại root@nbr.com Sau tin tặc sử dụng máy gửi thư có địa IP xxx.xxx.xxx.xxx để gửi thư giả mạo soạn tới hòm thư chị Nguyễn Thanh Huyền có địa huyennt@xyz.gov.vn Địa hòm thư trả lại - Return Địa IP máy chủ gửi thư Địa hòm thư nhận cần lừa đảo Địa hòm thư gửi (bị giả mạo) Địa hòm thư nhận trả lời (bị giả mạo) Báo cáo nhận thư giả mạo Khi phát thư giả mạo, đề nghị gửi thư giả mạo theo hình thức dạng tệp tin đính kèm (attachment forward as attachment) tới địa antoanthudientu@report.vncert.vn Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam Cách gửi thư giả mạo dạng tập tin đính kèm trình bày Phụ lục B Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Để gửi thông tin cho xin vui lòng làm theo mẫu sau sau: Địa chỉ: antoanthudientu@report.vncert.vn Tiêu đề: Báo cáo thư giả mạo Nội dung: Báo cáo thư giả mạo Tên người gửi: Nguyễn Văn A Địa Email liên lạc:nva@zyx.gov.vn Số điện thoại liên hệ: 09xxxxxxx Thông tin chi tiết vấn đề: Tôi nhận email nghi vấn giả mạo từ địa XXX với nội dung lừa đảo để gửi thông tin lãnh đạo quan Tập tin đính kèm chứa nội dung nguyên ( chứa đầy đủ phần đầu thư điện tử): msg001.mail Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Phụ lục A : Hướng dẫn hiển thị tiêu đề thư điện tử Phần mềm Microsoft Outlook 2010 phiên hơn: Kích đúp vào tin nhắn để mở cửa sổ Từ công cụ -> tab Message -> kích vào nhỏ có hình mũi tên khung Tags Options Cửa sổ Properties mở hiển thị phần tiêu đề thư: Phần mềm Microsoft Outlook phiên trước 2010: Kích phải vào tin nhắn muốn hiển thị chọn Message Options Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Sau cửa sổ Properties chứa tiêu đề thư hiển thị Phần mềm Thunder Bird : Mở tin nhắn chọn “View” sau chọn “Message Source” Headers -> All: Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Phần mềm Apple Mail : Mở tin nhắn chọn “View” menu sau chọn “Message”, tiếp chọn All Header Raw Source Webmail với hệ quản trị email Zimbra: Ấn chuột phải vào thư điện tử cần xem Lựa chọn mục Show Original: Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Đối với Webmail Gmail Sau mở email cần hiển thị ta kích vào mũi tên nhỏ bên phải kích vào "hiển thị thư gốc": Đối với Webmail Yahoomail Thực lựa chọn tin nhắn cần hiển thị Chọn nút "Thao tác" công cụ -> "Xem tiêu đề đầy đủ" để hiển thị tiêu đề thư: Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Đối với Webmail mail Mdaemon 13.5 Lựa chọn tin nhắn cần hiển thị Kích vào mục "View Source" công cụ để hiển thị nội dung gốc tin nhắn Sau click vào công cụ hiển thị phần nội dung gốc thư điện tử cần kiểm tra Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Phụ lục B : Hướng dẫn gửi thư giả mạo dạng tệp Đối với Outlook 2010 Lựa chọn tin nhắn muốn gửi Lựa chọn tab "Home" công cụ Trong mục "Respond" chọn "More"->"Forward as Attachment" Đối với Outlook 2007 Lựa chọn tin nhắn muốn gửi Lựa chọn "Action" menu kích vào "Forward as Attachment" Đối với Thurnderbird Lựa chọn tin nhắn, menu "Message" -> Foward As -> Attachment Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Đối với Apple Mail Click chuột phải vào tin nhắn muốn gửi lựa chọn "Forward as Attachment" 10 Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Đối với Gmail Yahoo Ta cần phải hiển thị thư gốc hướng dẫn Phụ lục A lưu chúng lại thành tập tin dạng văn Sau thực gửi email đính kèm tập tin văn cho chúng tơi Webmail Mdaemon 13.5 Mở tin nhắn nghi vấn cần gửi kích vào nút "Forward As Attachment" công cụ: Một giao diện soạn thư hiển thị Ta cần điền đầy đủ thông tin theo mẫu phần gửi hòm thư antoanthudientu@report.vncert.vn 11 Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT 12 Tài liệu hướng dẫn phát thư giả mạo ... antoanthudientu@report.vncert.vn 11 Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT 12 Tài liệu hướng dẫn phát thư giả mạo ... gốc thư điện tử cần kiểm tra Tài liệu hướng dẫn phát thư giả mạo Trung Tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam - VNCERT Phụ lục B : Hướng dẫn gửi thư giả mạo dạng tệp Đối với Outlook 2010 Lựa... Địa hòm thư gửi (bị giả mạo) Địa hòm thư nhận trả lời (bị giả mạo) Báo cáo nhận thư giả mạo Khi phát thư giả mạo, đề nghị gửi thư giả mạo theo hình thức dạng tệp tin đính kèm (attachment forward