HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG ~~~~~~*~~~~~~ BÀI TIỂU LUẬN MÔN HỌC : AN NINH MẠNG THÔNG TIN ĐỀ TÀI: CÁC GIẢI PHÁP KỸ THUẬT PHỊNG CHỐNG TẤN CƠNG GIẢ MẠO Giảng viên Nhóm đề tài Sinh viên thực : Phạm Anh Thư : : Nhóm.4.N6 Nguyễn Vũ Đạt - B17DCVT056 Bạch Viết Hiếu - B17DCVT126 Nguyễn Cao Kỳ - B17DCVT198 HàNội, tháng 06 /2021 Bài thi cuối kỳ môn ANM BẢNG PHÂN CHIA CƠNG VIỆC Thành viên Nội dung tìm hiểu Cơng việc 1.2 Các hình thức cơng chủ động Nguyễn Vũ Đạt 2.3 Động , mục đích kẻ công phương thức sử dụng 3.3 Giải pháp chống lừa đảo thiết bị di động Làm chỉnh sửa word 1.3 Tác hại công chủ động Bạch Viết Hiếu 2.4 Phân loại công giả mạo 3.1 Bảo vệ khối trước công giả mạo Làm chỉnh sửa word 1.1 Khái niệm công chủ động 2.1 Khái niệm công giả mạo Nguyễn Cao Kỳ 2.2 Động cơ, mục đích kẻ công phương thức sử dụng Làm chỉnh sửa word 3.2 Giải pháp ứng dụng phòng tránh trình duyệt Web Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Nhóm.4.N6 Bài thi cuối kỳ mơn ANM MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC CÁC CHỮ VIẾT TẮT LỜI MỞ ĐẦU I TỔNG QUAN VỀ TẤN CÔNG CHỦ ĐỘNG TRONG HỆ THỐNG MẠNG 1.1 Khái niệm công chủ động 1.2 Các hình thức cơng chủ động 1.3 Tác hại công chủ động II KĨ THUẬT TẤN CÔNG GIẢ MẠO 2.1 Khái niệm công giả mạo 2.2 Động , mục đích kẻ cơng phương thức sử dụng 2.3 Các kĩ thuật công giả mạo 10 2.3.1 Tấn công qua thư điện tử (Email), tin nhắn 10 2.3.2 Tấn công qua Website, mạng xã hội 11 2.3.3 Tấn công chuyển hướng lưu lượng 13 2.3.4 Tấn công qua phần mềm độc hại 13 2.4 Phân loại công giả mạo 14 III 2.4.1 Kiểu công MITM 14 2.4.2 Kiểu công gây rối URL 15 2.4.3 Kiểu công XSS 15 2.4.4 Kiểu công ẩn 16 GIẢI PHÁP BẢO VỆ TRƯỚC TẤN CÔNG GIẢ MẠO 16 3.1 Bảo vệ khối trước công giả mạo 16 3.1.1 Chữ ký số Schnorr 16 3.1.2 Hàm băm HMAC 17 3.2 Giải pháp ứng dụng phịng tránh trình duyệt Web 19 3.2.1 Vấn đề cơng giả mạo trình duyệt Web 19 3.2.2 Giải pháp ứng dụng phòng tránh 19 3.2.3 Trang web kiểm tra lừa đảo CHECKPHISH 20 3.3 Giải pháp chống lừa đảo thiết bị di động 24 3.3.1 Vấn đề công giả mạo thiết bị di dộng 24 3.3.2 Giải pháp phòng chống giả mạo 26 IV TỔNG KẾT 28 TÀI LIỆU THAM KHẢO 28 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM DANH MỤC HÌNH VẼ Hình 1.2.1 Tấn công giả mạo Hình 1.2.2 Tấn công phát lại Hình 1.2.3 Tấn cơng sửa đổi tin Hình 1.2.4 Tấn cơng từ chối dịch vụ Hình 2.3.1 Giả mạo thư điện tử 11 Hình 2.3.2 Web giả mạo 12 Hình 2.3.3 Tấn cơng chuyển hương lưu lượng 13 Hình 2.3.4 Tấn cơng qua phần mềm độc hại 14 Hình 3.1.1 Ký schnorr xác minh 17 Hình 3.1.2 Cấu trúc băm Merkle – Damgård 18 Hình 3.1.3 Xây dựng hàm băm h 18 Hình 3.2.1 Giao diện website 21 Hình 3.2.2 Giao diện đăng nhập tài khoản 21 Hình 3.2.3 Kết thu sau kiểm tra đường dẫn http://google.com 22 Hình 3.2.4 Một kết rõ an toàn đường dẫn http://google.com 22 Hình 3.2.5 Kết http://eprf.org đường dẫn khơng an tồn 23 Hình 3.2.6 Bảng điều khiển thời gian thực 24 Hình 3.3.1 Các phương pháp công giả mạo thiết bị di động 26 Nhóm.4.N6 Bài thi cuối kỳ môn ANM DANH MỤC CÁC CHỮ VIẾT TẮT Từ viết tắt Tên tiếng Anh Tên tiếng Việt AI Artificial Intelligence Trí tuệ nhân tạo API Application Programming Interface Giao diện lập trình ứng dụng CSS Cascading Style Sheets Tập tin định kiểu theo tầng DC Digital Certificate Chứng thư số DNS Domain Name System Hệ thống phân giải tên miền HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn Internet Protocol Giao thức Internet MITM Man-in-the-middle Tấn công xen OTP One Time Password Mật sử dụng lần PIN Personal Identification Number Mã số định danh cá nhân SMS Short Message Services Dịch vụ tin nhắn ngắn Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản Uniform Resource Locator Định vị tài nguyên thống initial vector vectơ ban đầu Cross-Site Scripting (XSS) Tập lệnh nhiều trang web IP SMTP URL IV XSS Nhóm.4.N6 Bài thi cuối kỳ môn ANM LỜI MỞ ĐẦU Lời chúng em xin gửi lời cảm ơn đến cô Phạm Anh Thư giảng viên học phần An ninh mạng thông tin - Khoa Viễn thông - Học viện Công nghệ Bưu Viễn thơng Trong q trình học tập tìm hiểu học phần An ninh mạng thơng tin , chúng em nhận quan tâm, giúp đỡ bảo tận tình Cơ giúp chúng em tiếp nhận kiến thức mới, để có tảng vững đường nghiên cứu chuẩn bị hành trang nghề nghiệp tương lai Lý chọn đề tài : Chúng em nhóm.4.N6 thảo luận với nhau, nhận thấy cách mạng 4.0 với xuất internet thay đổi hoàn toàn giới Ngay từ intetnet xuất an ninh mạng coi vấn đề cốt lõi hàng đầu Hiện có nhiều cơng vào người dùng nhà phát hành làm tổn thất lớn mặt kinh tế Dựa vào kiến thức học nhóm.4.N6 chúng em xin đề xuất đề tài " CÁC KỸ THUẬT PHỊNG CHỐNG TẤN CƠNG GIẢ MẠO" Mục đích phạm vi : Đề tài cho hiểu khái niệm công chủ động, mục đích, phương thức tin tặc(hacker) lợi dụng để công người dùng nhà phát hành Bên cạnh đề tài biện pháp phòng tránh, bảo vệ người dùng khỏi công giả mạo Do chưa có nhiều kinh nghiệm khả cịn hạn chế, báo cáo tiểu luận chắn không tránh khỏi thiếu sót Rất mong nhận nhận xét, ý kiến đóng góp, phê bình từ phía Cuối chúng em xin kính chúc nhiều sức khỏe, thành công hạnh phúc Xin chân thành cảm ơn! Nhóm.4.N6 Bài thi cuối kỳ mơn ANM I TỔNG QUAN VỀ TẤN CÔNG CHỦ ĐỘNG TRONG HỆ THỐNG MẠNG 1.1 Khái niệm công chủ động Tấn cơng chủ động tên gọi cơng mà người cơng hồn tồn công khai chủ động tổ chức thực cơng với mục đích làm giảm hiệu làm tê liệt hoạt động mạng máy tính hệ thống Đối với kiểu cơng chủ động hoàn nhận biết qua kết tác động 1.2 Các hình thức cơng chủ động Các công chủ động liên quan đến sửa đổi dòng liệu tạo dòng liệu sai lệch chia thành bốn loại sau: mạo danh, phát lại tin, sửa đổi tin từ chối dịch vụ Tấn công mạo danh: Tấn công mạo danh công mà kẻ công mạo danh bên gửi tin để gửi tin cho bên nhận Bên nhận khơng biết mạo danh nghĩ tin gửi từ bên gửi hợp lệ Hình 1.2.1 Tấn cơng giả mạo Tấn công phát lại: Liên quan đến việc chép thụ động liệu sau gửi lại chép cho bên nhận Thoạt đầu nghĩ việc phát lại vô hại, nhiên nhiều trường hợp gây tác hại không so với cơng mạo danh Hình 1.2.2 Tấn công phát lại Sửa đổi tin: Người công chặn tin mà người gửi muốn gửi ngăn khơng cho tin đến đích Sau người cơng thay đổi nội dung gửi tiếp đến đích Hình 1.2.3 Tấn cơng sửa đổi tin Nhóm.4.N6 Bài thi cuối kỳ môn ANM Tấn công từ chối dịch vụ: Kiểu cơng có mục tiêu cụ thể; ví dụ kẻ cơng chặn tồn tin chuyển tới đích Một loại hình khác kiểu cơng làm sập hồn tồn mạng, cách làm khả hoạt động mạng mạng tải với tin gửi liên tiếp tới mạng để suy giảm hiệu mạng Hình 1.2.4 Tấn cơng từ chối dịch vụ 1.3 Tác hại công chủ động Các cơng mạng dẫn đến thiệt hại hàng tỷ đô la lĩnh vực kinh doanh, đặc biệt máy chủ ngân hàng, bệnh viện, nhà máy điện thiết bị thông minh bị xâm nhập Điều dẫn đến thiệt hại nghiêm trọng cho xã hội số thay hỗ trợ phát triển Việc thiếu biện pháp bảo mật có khơng đầy đủ khơng gây cố nghiêm trọng ban đầu, xã hội số niềm tin, dẫn đến suy giảm nghiêm trọng phát triển Theo Diễn đàn Kinh tế Thế giới, ước tính giá trị thị trường an toàn, an ninh mạng dự kiến tăng từ 120 lên 300 tỷ vào năm 2024 Các mối đe dọa mạng gia tăng nhanh chóng với âm mưu tinh vi thâm độc, đồng thời động để xâm nhập hệ thống thông tin Việc hiểu xác định lỗ hổng bảo mật bị khai thác gián điệp mạng trở thành yêu cầu chung chuyên gia bảo mật Tác động xâm nhập khiến tổ chức phải dừng hoạt động có sức hủy hoại nghiêm trọng Tư cộng đồng an toàn, an ninh mạng chuyển từ "nếu bị công" sang "khi bị cơng": chuẩn bị thay mong đợi cơng mạng hồn tồn tránh trì hiệu đảm bảo an tồn thơng tin mạng bất chấp cơng II KĨ THUẬT TẤN CƠNG GIẢ MẠO 2.1 Khái niệm công giả mạo Trong lĩnh vực bảo mật máy tính, hành vi giả mạo ác ý nhằm lấy thông tin nhạy cảm tên người dùng, mật chi tiết thẻ tín dụng cách giả dạng thành chủ thể tin cậy giao dịch điện tử Tấn công giả mạo đơn cử kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng, khai thác bất tiện công nghệ bảo mật Web 2.2 Động , mục đích kẻ công phương thức sử dụng Động mục đích kể cơng Nhóm.4.N6 Bài thi cuối kỳ môn ANM Sự tiện lợi thương mại trực tuyến người tiêu dùng chấp nhận Lừa đảo, giả mạo hành vi đánh cắp thông tin cá nhân qua internet nhằm mục đích gian lận tài đánh cắp thơng tin, trở thành hoạt động kẻ tẫn công đáng kể internet.Lừa đảo lừa đảo nở rộ năm gần tình hình kinh tế thuận lợi vàđiều kiện công nghệ phát triển Các kẻ công nhắm mục tiêu thông tin người dùng kiếm lợi từ việc tăng cường áp dụng dịch vụ trực tuyến cho nhiều hoạt động hàng ngày, bao gồm ngân hàng, mua sắm giải trí hoạt động Các phương thức sử dụng công giả mạo Các tài nguyên kỹ thuật cần thiết để thực cơng lừa đảo dễ dàng có thơng qua nguồn cơng cộng tư nhân Một số tài nguyên kỹ thuật có xếp hợp lý tự động, cho phép sử dụng tội phạm phi kỹ thuật Điều làm cho lừa đảo mặt kinh tế kỹ thuật khả thi lượng lớn dân số tội phạm tinh vi Trước sử dụng rộng rãi internet, kẻ công sử dụng điện thoại để đóng vai trị trung gian quản lí đáng tin cậy để thu thập thơng tin Ngày nay, phương thức mà kẻ công sử dụng cho việc công giả mạo phương diện là:  Thành phần xã hội – Kẻ công thường sử dụng kỹ thuật xã hội với lỗ hổng ứng dụng trình duyệt web ứng dụng email để lừa người dùng cài đặt mã độc máy tính họ  Cơ sở hạ tầng chung - Chúng quan sát việc sử dụng công cụ chung kỹ thuật gửi email lừa đảo phát tán phần mềm độc hại Bao gồm việc sử dụng botnet, chuyển tiếp thư mở trang web bị xâm nhập để lưu trữ lừa đảo trang web phần mềm độc hại  Bức tranh tổng quát - Khi biện pháp đối phó thực để ngăn chặn phương pháp đánh cắp thông tin, bọn tội phạm có thêm hội để chúng Điều quan trọng phải hiểu khả kỹ thuật có sẵn cho tội phạm để biện pháp hiệu để bảo vệ thơng tin khách hàng phát triển nhân viên thực thi pháp luật có nhiệm vụ theo dõi truy tố tội phạm thực trị gian lận lừa đảo hiệu Các kẻ cơng có mạng lưới lớn hộp công cụ thưc nhiều chức khác ,phục vụ cho việc giả mạo 2.3 Các kĩ thuật công giả mạo 2.3.1 Tấn công qua thư điện tử (Email), tin nhắn Thủ đoạn thường gặp tin tặc tạo Email, tin nhắn có nội dung, hình thức hấp dẫn, tin cậy để dẫn dụ, thuyết phục người dung khai báo thông tin yêu cầu, tải mở tập tin đính kèm nhúng mã độc hay mở đường dẫn gửi kèm dẫn đến nguồn chứa mã độc, truy cập trang web giả mạo Một số dạng Email, tin nhắn giả mạo thường gặp như: 10 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Các thao tác nhấn phím, chụp ảnh hình, nội dung khay nhớ tạm hoạt động thiết bị đầu cuối thứ mà phần mềm độc hại thu thập Mật trình duyệt hay phần mềm cụ thể, ví dụ chữ hiển thị dạng hoa thị, dễ dàng bị đọc phần mềm độc hại Nó hỗ trợ kỹ thuật lừa đảo khác Đối với giả mạo Website, cài đặt chứng khóa cơng khai kẻ lừa đảo vào danh sách chứng xác thực vào máy chủ cục Đối với Hình 2.3.4 Tấn cơng qua phần mềm độc hại công chuyển hướng lưu lượng xuất việc thay đổi tệp máy chủ lưu trữ DNS cuối đưa máy tính cá nhân vào mạng botnet, để gửi Email giả mạo hoạt động máy chủ trang Web giả mạo 2.4 Phân loại công giả mạo Dựa vào phương thức trên, kẻ lừa đảo bắt đầu tiến hành trình lừa đảo Căn theo cách thức hoạt động, người ta phân loại công lừa đảo thành loại sau 2.4.1 Kiểu công MITM Ở kỹ thuật này, máy tính kẻ cơng xem máy tính trung gian máy tính người dùng website thật Những kẻ cơng dựng lên máy tính trung gian để nhận liệu người dùng chuyển cho website thật Hoặc nhận liệu website thật chuyển cho người dùng Dữ liệu chuyển qua lại lưu trữ lại máy tính kẻ công Thoạt nghe mô tả nghĩ đến chức Proxy Server Đúng vậy, proxy nơi khơng tin cậy cho truy cập web thơng qua Những kẽ công dựng lên Proxy Server với lời mời gọi sử dụng tung internet Vì lý (để giả IP q trình mua bán hàng qua mạng) người dùng tìm đến Proxy Server để nhờ giúp đỡ việc truy cập web Và vơ tình người dùng trở thành mồi cho bọn hacker 14 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Những kẽ cơng ngồi việc dựng lên Proxy Server giả dụ mồi đến cịn nghĩ đến việc cơng vào Proxy Server thật để lấy liệu Bằng kỹ thuật công khác nhau, hacker xâm nhập hệ thống lưu trữ Proxy để lấy liệu, phân tích có thứ mà chúng cần Một cách khác để cơng kỹ thuật này, tìm cách làm lệch đường gói liệu Thay phải chuyển gói tin đến cho Web-server, đằng chuyển đến máy tính hacker trước, sau máy tính hacker thực cơng việc chuyển gói tin tiếp Để làm điều này, hacker sử dụng kỹ thuật DNS Cache Poisoning kỹ thuật làm lệch đường gói liệu cách làm sai kết phân giải địa DNS Một điểm cần lưu ý rằng, kỹ thuật công không phân biệt giao thức web HTTP hay HTTPS 2.4.2 Kiểu công gây rối URL URL thường sử dụng địa trình duyệt để truy cập vào trang web cụ thể Làm rối URL (URL Obfuscation) làm ẩn giả mạo URL xuất địa cách hợp pháp Ví dụ địa http://204.13.144.2/Citibanj xuất địa hợp pháp cho ngân hành Citibank, nhiên thực tế khơng Phương pháp công làm rối URL sử dụng để làm cho công lừa đảo trực tuyến trở nên hợp pháp Một trang web xem qua hợp pháp với hình ảnh, tên tuổi cơng ty, liên kết dẫn đến trang web hacker Việc giả mạo nhắm đến người dụng bất cẩn Ví dụ bạn vào trang với địa http://ebay.com thực giao dịch bình thường Tuy nhiên, bạn vào trang giả mạo hacker, trang web ebay https://ebay.com Khác biệt chổ giao thức http https 2.4.3 Kiểu công XSS Cross-Site Scripting (XSS) kỹ thuật công phổ biến nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web Bất kì website cho phép người sử dụng đăng thông tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS Cross-Site Scripting hay gọi tắt XSS (thay gọi tắt CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet HTML) kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP …) Các hacker chèn đoạn script độc hại (thông thường javascript HTML) vào website thực thi phía người dùng (trong trình duyệt người dùng) Đối với XSS, người bị công người dùng khơng phải website, hacker dùng XSS để gửi đoạn script độc hại tới người dùng bất kỳ, trình duyệt người dùng thực thi đoạn script gửi cho hacker thông tin người dùng thông qua email server hacker định sẵn từ trước Phụ thuộc vào mục đích hacker, đoạn Javascript chèn vào để lấy thơng tin như: 15 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM + Cookie: hacker lấy cookie người dùng dùng thông tin cookie để giả mạo phiên truy cập lấy thông tin nhạy cảm khác lưu cookie + Keylogging: hacker ghi lại thao tác gõ phím người dùng cách sử dụng kiện addEventListener Javascript gửi tất thao tác gõ phím cho để thực mục đích đánh cắp thơng tin nhạy cảm, lấy mật truy cập website mã số thẻ tín dụng… + Phishing: hacker thay đổi giao diện website cách thay đổi cấu trúc HTML trang web để đánh lừa người dùng Hacker tạo dạng đăng nhập giả nhằm lừa người dùng đăng nhập vào để đánh cắp mật 2.4.4 Kiểu công ẩn Attacker sử dụng ngôn ngữ lập trình HTML, DHTML, ngơn ngữ dạng script khác để chèn vào trình duyệt người dùng Hoặc sử dụng ký tự đặc biệt để đánh lừa người dùng Những phương thức thường attacker sử dụng làm ẩn frame Các Frame attacker làm ẩn trình duyệt người dùng, qua attacker chèn vào đoạn mã độc Một cách khác để công ghi đè nội dung trang web thay đổi hình ảnh trang web Qua nội dung bị thay đổi này, attaker chèn đoạn mã độc hại vào III GIẢI PHÁP BẢO VỆ TRƯỚC TẤN CÔNG GIẢ MẠO 3.1 Bảo vệ khối trước công giả mạo 3.1.1 Chữ ký số Schnorr Chữ ký số Schnorr tạo để cải thiện chữ ký số ElGamal giảm thiểu kích thước chữ ký Nó hữu ích, đủ điều kiện tạo kích thước chữ ký ngắn Việc tạo xác minh chữ ký bao gồm bước: Phát sinh khóa: chọn hai số nguyên tố lớn q p q thừa số p-1; q≥ 2140 , p 2512 thực bước sau: Chọn g ∈ ℤ p* cho gq =1 mod p • Chọn x ∈ ℤ p* , khóa riêng x, khóa chung y= gx mod p • Các phần tử public (g,p,q,y) Tạo chữ ký(g,x,M) : Với đầu vào gồm tin (M), khóa riêng (x), hàm nối (||) thuật toán hàm băm H Sau đó: • Chọn số ngẫu nhiên k ∈ Zq , đặt r = gk mod p • Chữ ký E =H(M|| r) • Chữ ký thứ hai S= k +xE mod q • Gửi (M,E,S) để xác minh Xác minh(M,E,S): nhận M,E,S phần tử public( g,p,q,y), trình xác minh thực điều sau: • Đặt V= gsy-e =gk+xEg-xE =gk 16 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Tính EV=H(M||V mod p) • So sánh EV≟E, chúng trùng khớp, tin chấp nhận Nếu không, tin bị từ chối bị từ chối Hình 3.1.1 thể trình chuyền chữ ký số xác Hình 3.1.1 Ký schnorr xác minh Việc sử dụng chữ ký schnorr hệ thống tạo chữ ký nhanh chóng tiện lợi chiều dài chữ ngắn Chữ ký số schnorr giúp người sử dụng kiểm tra tính tồn vẹn tin, giúp việc trao đổi thông tin internet an tồn xác 3.1.2 Hàm băm HMAC HMAC hàm băm có khóa để xác thực thông điệp truyền bên hợp pháp Nó lấy cách chạy hàm băm mật mã MDS, SH-A1,SHA256… Đây chức an toàn hiệu để thực Đầu tiên, hàm băm mật mã xây dựng dựa Merkle-damgard’s construction Do chứa IV (initial vecter) hàm nén f Với IV khác hàm nén thực khác 17 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Hình 3.1.2 Cấu trúc băm Merkle – Damgård Ta xây dựng họ hàm băm sau: H= {hs: s € {0,1}n} hs hàm băm H với số IV= s Với IV số, HMAC xây dựng sau: m € { 0,1}*  hs1(m) hs2(hs1(m)) Chọn số k ngẫu nhiên thuộc {0, 1}r Ta xác định hs(m)=h(k||m) Với s=f(k, IV0) Vậy tin biến đổi sau: m € {0,1}*  h(k1||m) h(k2||(h(k1||m) Hình 3.1.3 Xây dựng hàm băm h Với ý tưởng từ hình 3.1.2, HMAC xây dựng dựa hàm hăm h sau: HMAC(k, m) = h(kin||h(kout||m) Trong kin kout sinh từ khóa k kin =XOR(k, opad) kout =XOR(k, ipad) 18 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM ipad opad số, ipad byte x’36’ lặp B lần, opad byte x’5c’ lặp B lần, B kích cỡ khối hàm băm h đơn vị byte Dễ dàng nhận thấy cỡ k tùy thuộc vào việc cài đặt cụ thể Tuy nhiên kích cỡ k nhỏ khối B h ta phải thêm bit k, ngược lại phải cắt bỏ bớt bit k>B Tính an toàn HMAC phụ thuộc vào khả chống xung đột hàm băm h, hàm nén f thực hàm ngẫu nhiên 3.2 Giải pháp ứng dụng phịng tránh trình duyệt Web 3.2.1 Vấn đề cơng giả mạo trình duyệt Web Trình duyệt web phổ biến điện thoại di động tìm thấy chứa lỗ hổng bảo mật cho phép kẻ công thực công giả mạo trang web có nhiều lượt truy cập địa Các chuyên gia bảo mật đưa thông tin chi tiết lỗ hổng bảo mật nghiêm trọng địa ảnh hưởng trực tiếp đến nhiều trình duyệt web điện thoại di động, Apple Safari Opera Touch, mở cánh cổng để kẻ cơng thực cơng hình thức giả mạo lây lan mã độc Một vài trình duyệt ảnh hưởng trình duyệt khác bị ảnh hưởng cịn có UCWeb, Yandex Browser, Bolt Browser, RITS Browser UCWeb Bolt Browser chưa vá lỗi, Opera Mini kỳ vọng nhận vá lỗi vào ngày 11/11/2020 3.2.2 Giải pháp ứng dụng phịng tránh Ln ln kiểm tra đường dẫn trước truy cập vào địa lạ Người dùng Internet cần dành thời gian kiểm tra đường dẫn nhận qua thư điện tử hay mạng xã hội Đường dẫn website giả mạo làm giống website thống thường chứa thêm số từ ngữ, chuỗi ký tự khác Xem trước đường dẫn đầy đủ trước nhấp vào truy cập cách nhận biết để phịng tránh cơng phising Kiểm tra đường dẫn trước điền thông tin đăng nhập, thơng tin cá nhân Khi vơ tình nhấp vào đường dẫn website giả mạo, tìm kiếm dấu hiệu giả mạo đường dẫn Đường dẫn website giả mạo thường chứa nhiều ký tự vô nghĩa và/hoặc chuỗi văn bổ sung Nếu có dấu hiệu nghi ngờ nào, người dùng không nên tiếp tục thao tác, khai báo thông tin mà trang web yêu cầu Kiểm tra SSL chứng thư số website Hầu hết website hợp pháp sử dụng giao thức bảo mật SSL (Secure Sockets Layer) chứng thư số (Digital Certificate) để bảo vệ khách hàng giao dịch trực tuyến Vì vậy, tìm dấu hiệu SSL chứng thư số website để kiểm tra độ tin cậy đường dẫn Kiểm tra địa để biết thông tin chi tiết tổ chức 19 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Chứng SSL/TLS có vai trị quan trọng trình bảo mật web cách mã hóa phiên bảo vệ thơng tin gửi trình duyệt máy chủ web Chứng thư số cấp cao (EV SSL Certificate) chứng thư số cấp cao theo chuẩn X.509, thường thể địa màu xanh chuyên dụng Phần lớn website thống thương hiệu hàng đầu sử dụng EV SSL, giúp người dùng dễ dàng xác minh website truy cập Khi khách hàng nhấp chuột vào phần màu xanh địa chỉ, thông tin chi tiết đơn vị chủ quản website đơn vị cấp chứng thực hiển thị Cẩn thận với công homograph – công từ đồng âm tên miền quốc tế Kỹ thuật công homograph lợi dụng tập hợp từ đánh vần giống nhau, có ý nghĩa khác để tạo tên miền giả mạo Nhiều ký tự Unicode dùng để biểu diễn cho bảng chữ tiếng Hy Lạp, Cyrillic Armenian tên miền quốc tế, nhìn mắt thường trơng khơng khác chữ Latin gây dễ nhầm lẫn Tuy nhiên, ký tự máy tính xử lý ký tự khác nhau, trở thành địa website hoàn toàn khác biệt Với cách thức này, kẻ lừa đảo tạo tên miền giả mạo, chí sử dụng chứng thư số bảo mật, khiến người dùng dễ bị lừa Do đó, phương pháp cơng giả mạo “gần phát ra” Nếu người dùng cảm thấy đường dẫn đáng ngờ, chép dán đường dẫn vào thẻ khác trình duyệt, tên miền thật tiết lộ Một cách khác người dùng nhấp vào chi tiết chứng SSL để xem tên miền thực chứng nhận Sử dụng Website check Phishing Dựa vào thông tin URL, IP /tên miền người yêu cầu kiểm tra Các trang Web sử dụng giao diện lập trình ứng dụng API với mục đích nhận thơng tin trang Web lừa đảo Sau đưa điều bảo vệ đến người dùng trực tuyến 3.2.3 Trang web kiểm tra lừa đảo CHECKPHISH CHECKPHISH tạo vận hành đội ngũ phát triển Bolster Thực truy cập vào địa https://checkphish.ai/ để sử dụng trang web Đây vài hình ảnh giao diện Website 20 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Hình 3.2.1 Giao diện website CHECKPHISH sử dụng giao diện lập trình ứng dụng API, Phát lừa đảo lừa đảo theo thời gian thực, dựa AI với công nghệ tự động hóa để gỡ xuống khơng chạm Bắt đầu truy nhập giao diện đăng nhập tài khoản Hình 3.2.2 Giao diện đăng nhập tài khoản Sau đăng nhập ,chúng ta thực Scan đường dẫn URL: 21 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Kết kiểm tra với địa https://google.com cho thấy đường dẫn an tồn với nhứng thơng tin vô đầy đủ : nhãn hiệu ,nhà cung cấp dịch vụ lưu trữ, Chi tiết chứng chỉ,… Hình 3.2.3 Kết thu sau kiểm tra đường dẫn http://google.com Hình 3.2.4 Một kết rõ an tồn đường dẫn http://google.com 22 Nhóm.4.N6 Bài thi cuối kỳ môn ANM Kết kiểm tra website lạ http://eprf.org đưa đường dẫn khơng an tồn khơng có thơng tin hiển thị nhãn hiệu, vị trí ,nhà cung cấp dịch vụ hay chứng chi tiết Hình 3.2.5 Kết http://eprf.org đường dẫn không an toàn Bảng điều khiển thời gian thực Gỡ bỏ trang web lừa đảo lừa đảo vài phút Hơn 90 triệu trang web khoảng thời gian 90 ngày này; triệu trang web theo dõi ngày Xem công lỗi tả, xem số URL sử dụng cho trang web lừa đảo lừa đảo Theo dõi tìm kiếm Google / Bing để phát trang web lừa đảo / gian lận xuất kết tìm kiếm khơng phải trả tiền Biểu đồ trực quan hiển thị số lượng trang web phát hiện, hoạt động bị gỡ xuống Thị giác máy tính phát logo Xem quốc gia nơi lưu trữ trang web nhà cung cấp dịch vụ lưu trữ 23 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Hình 3.2.6 Bảng điều khiển thời gian thực 3.3 Giải pháp chống lừa đảo thiết bị di động 3.3.1 Vấn đề công giả mạo thiết bị di dộng Trong vịng 20 năm qua, cơng nghệ thiết bị di động phát triển nhanh chóng gia tăng hàng ngày số lượng người dùng sở vật chất Số lượng người dùng di động lên đến 4,92 tỷ người dùng toàn cầu vào năm 2017 Ngày điện thoại di động sử dụng cho nhiều ứng dụng khác như: Tài cá nhân (ngân hàng, quản lý tài chính,…), mạng xã hội (Facebook, Instagram,…), ứng dụng quản lý,… Androi iOS hai hệ điều hành thống trị thị phần ngày Do tính nhạy cảm liệu lưu trữ thiết bị di động, thiết bị trở thành mục tiêu tuyệt vời cho kẻ lừa đảo thực cơng chúng Mục đích cơng giả mạo vào thiết bị di động để có quyền truy cập vào thông tin đăng nhập để lợi dụng dịch vụ mà người sử dụng đăng ký Các dịch vụ gồm quay số, SMS, tốn ngân hàng, rị rỉ liệu nhạy cảm Kẻ lửa đảo hồn tồn mạo danh người dùng di động sử dụng chúng để thực tác vụ mà không lo người dùng thức  Thuộc tính thiết bị di động tạo điều kiện cho cơng giả mạo Sự gia tăng nhanh chóng số lượng người sử dụng di động toàn giới thu hút kẻ công thay đổi công nghệ tinh vi để giả mạo thiết bị di động Kích thước hình hạn chế khiến người dùng di động khó xác định xác trang web thật hay giả mạo Bên cạnh hình nhỏ cịn khiến trình duyệt bị kẻ cơng thay đổi, lừa đảo người dùng di động Do tính chất di động việc sử dụng điện thoại di động nên việc thiết bị chủ yếu gần người dùng, người dùng có xu hướng tin tưởng vào thiết bị Điều 24 Nhóm.4.N6 Bài thi cuối kỳ môn ANM cho kẻ công dễ dàng điều khiển, theo dõi điện thoại mà người sử dụng hoàn toàn Đặt thân vào người sử dụng ln chủ quan muốn sử dụng thao tác, tương tác câu hỏi bảo mật đưa ra, điều khiến cho kẻ giả mạo đánh vào thao tác khiến người dùng bị dính bẫy bị thông tin vào tay kẻ công Mục đích lừa đảo để có thơng tin xác thực sử dụng để mạo danh người dùng thông tin đăng nhập Trong công nghệ di động, có cách khác mà kẻ cơng sử dụng để phát động công giả mạo họ đánh lừa nạn nhân  Phương pháp công giả mạo thiết bị di động Gian lận tài chính: Gian lận tài nhằm mục đích thu thập thơng tin tài nạn nhân, thơng tin sau sử dụng để mạo danh người thực giao dịch tài thay mặt cho người dùng Kẻ tân cơng giả mạo ngân hàng gửi cho người dùng liên kết tin nhắn bình thường, người dùng sau nhấp dẫn đến trang tương tự giống hệt ngân hàng Để tránh điều xảy ngân hàng làm dịch vụ thực xác thức qua mã OTP, mã PIN dạng SMS đến điện thoại di động người dùng Nếu so sánh mã PIN đăng nhập khơng giống việc đăng nhập bị cấm Mời quảng cáo: Những kẻ công tự động gửi khuyến giả cho số người dùng, ưu đãi dạng phiếu giảm giá, quà tặng, vé…người dùng yêu cầu tạo tài khoản để nhận ưu đãi Kẻ cơng sau sử dụng thơng tin đăng nhập để cố gắng đăng nhập vào hệ thống khác với hy vọng người dùng sử dụng thông tin đăng nhập giống Giả mạo Spear: Loại hình cơng nhắm vào cá nhân hay tổ chức Dựa chức xã hội kẻ công tự nhận có chức xã hội như: Tịa án, luật sư, cơng an,…đánh lừa người dùng thông tin giả mạo, sai thật gây hoang mang cho người dùng Kiểu công Cá voi: Nạn nhận kiểu công cá nhân cụ thể Kẻ công dành nhiều thời gian thu thập thơng tin có đủ thơng tin, kẻ cơng sử dụng thơng tin để khởi động công Kẻ công dựa vào thông tin biết xây dựng lịng tin với nạn nhân Một lịng tin đủ tốt, kẻ cơng chiếm đoạt tài sản bí mật người dùng Thật nguy hiểm người dùng nhân viên tài cơng ty, hay người nắm giữ chức vụ cao 25 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Hình 3.3.1 Các phương pháp công giả mạo thiết bị di động 3.3.2 Giải pháp phòng chống giả mạo Các kỹ thuật lừa đảo ứng dụng di động thực thơng qua trình duyệt Web sử dụng trang đăng nhập cho ứng dụng di động cụ thể Vì vậy, kỹ thuật chống giả mạo phải có khả phát công giả mạo thông qua trình duyệt ứng dụng Các kỹ thuật chống giả mạo điện thoại sử dụng trình duyệt dựa như: - Kỹ thuật chống giả mạo dựa nội dung: Trong kỹ thuật này, nội dung trang web sử dụng để xác định có phải trang web giả mạo hay không Kỹ thuật chống giả mạo dựa danh sách đen danh sách trắng : Kỹ thuật so sánh URL yêu cầu so với danh sách đen danh sách URL giả mạo, lừa đảo danh sách trắng danh sách uy tín, khơng giả mạo Đã có nghiên cứu đề xuất đưa ra, theo hướng phát triển công nghệ, phương pháp đề xuất xây dựng dựa việc người dùng đăng ký vào trang web, sau trang web tạo mã cho người dùng Người dùng đăng nhập yêu cầu nhập số chữ số mã người đó, trang web phải phản hồi lại Mã xác có nghĩa trang web xác Phương pháp yêu cầu người dùng đăng ký ghi nhớ mã họ cho trang web khác Giải pháp có nhược điểm với trang web phải tạo mật mã điều làm người dùng thời gian quản lý mật điện thoại di động, dễ gây nhầm lẫn mã trang web với trang web khác Một phương pháp vào năm 2015 Phương pháp sử dụng trích xuất ảnh chụp hình để tính tốn điểm tương đồng trực quan Các tác giả đề xuất thông số gọi tỷ lệ giả mạo để tính tốn độ tương đồng Phương pháp dành riêng cho điện thoại di động hình đăng nhập ứng dụng khơng hoạt động cho đăng nhập web 26 Nhóm.4.N6 Bài thi cuối kỳ môn ANM Vào năm 2014, phương pháp mật mã trực quan sử dụng để phát giả mạo Nó đề xuất khung làm việc tương tác sử dụng mật mã xác thức dựa mã ngẫu nhiên (captcha) Cả người dùng máy chủ sở hữu phần hình ảnh xác thực hai làm việc để tạo lại hình ảnh captcha hoàn chỉnh Nhược điểm giải pháp dễ bị cơng kẻ trung gian với người dùng phải sẻ bí mật với máy chủ Trong hội nghị Quốc tế IEEE vào năm 2015 Liverpool đề xuất phương pháp MP-shield Phương pháp dựa vào tìm kiếm Google cho URL nằm danh sách đen, ngồi cịn trích xuất tính URL chuyển chúng sang mơ hình phân loại thích hợp Với việc cơng nghệ ngày đại kẻ cơng lại ngày tinh vi Chúng ln ln tìm cách để công giả mạo, lừa đảo mới, đại hơn, mạnh mẽ Điều đòi hỏi người sử dụng điện thoại di động không chủ quan phải nắm bắt cách để tránh bị công giả mạo  Tránh giả mạo thiết bị di động Để tránh giả mạo, người dùng cần nhận biết URL, nhiên hình nhỏ thiết bị di động khiến người dùng khó kiểm tra URL Sau đây, nhóm chúng em cung cấp số gợi ý hữu ích cho người dùng thiết bị di động để tránh công giả mạo: - - - - - Vấn đề quan trọng cài đặt sử dụng ứng dụng chủ cung câp nhà cung cấp đáng tin cậy Điều làm cho an tâm tin tưởng ứng dụng phần công giả mạo Người dùng sử dụng cơng cụ chống giả mạo từ nhà cung cấp tin cậy, điều cho phép phát công lừa đảo tránh chúng Không trả lời Email SMS đáng nghi ngờ Nếu bạn nhận dấu hiệu nghi ngờ Email hay SMS giao cho bạn ví dụ như: Email không rõ nguồn gốc, tin nhắn người quen biết,… nguy cơcao trở thành mục tiêu công giả mạo Một cách nhỏ hữu ích sử dụng “đánh dấu trang tự động” trang web uy tín truy cập Điều tránh truy cập web giả mạo Điều quan trọng phải bảo mật thiết bị di động mật phương pháp kiểm soát truy cập Điều bảo vệ hành vi trộm cắp danh tính thiết bị di động chẳng may bị thất lạc Khi nhận gọi không rõ nguồn gốc, nghe điện thoại có người giả mạo người có chức vụ để lừa đảo cần phải tắt gọi ln tránh bị chúng dụ dỗ 27 Nhóm.4.N6 Bài thi cuối kỳ môn ANM IV TỔNG KẾT Tiểu luận với đề tài “Các giải pháp kỹ thuật phòng chống công giả mạo” đưa kết sau: Tìm hiểu Tấn công chủ động Đưa phương pháp cơng có phương pháp cơng chủ đề tiểu luận: Tấn công giả mạo Đưa kỹ thuật cơng giả mạo bao gồm khái niệm, động mục đích giúp hiểu “Tại lại công giả mạo ?” Sau kỹ thuật cơng giả mạo gồm nhiều kỹ thuật khác cuối đưa phân loại Chúng em đưa giải pháp từ nghiên cứu, tìm hiểu thực tiểu luận bao gồm: Giải pháp trước công giả mạo, giải pháp phịng tránh trình duyệt Web giải pháp chống giả mạo thiết bị di động Việc ý thức vấn nạn công giả mạo giới Việt Nam quan trọng Việt Nam đất nước có điều kiện để công giả mạo dễ dàng, ngày với cách giả mạo đơn giản Việt Nam như: Gọi điện thoại cho người lạ giả mạo người có chức có quyền, gửi tin nhắn giả mạo ngân hàng giả mạo người tiếng mạng xã hội,… người dùng đứng trước nhiều lượng thơng tin khiến họ khơng đề phịng để kẻ gian lợi dụng Khi giả mạo diễn ra, người dùng bị lừa đảo thật khó có cách để khắc phục lại hậu phần tài thơng tin bí mật Điều làm tiêu tốn tài nguyên đáng kể Đứng trước thách thức đó, người Việt Nam cần phịng chống lại kiểu cơng nguy hiểm này, khơng có cách hiệu cách giáo dục cho người dùng thiết bị đầu cuối như: máy tính, điện thoại di động, máy tính bảng,…những thủ đoạn giả mạo, lừa đảo kẻ công để họ tự đề cao cảnh giác TÀI LIỆU THAM KHẢO [1] Luận văn thạc sỹ công nghệ thông tin tác giả: Lê Thị Thu Hương, CÁC LỪA ĐẢO TRÊN MẠNG MÁY TÍNH VÀ CÁCH PHỊNG TRÁNH trường Đại học Cơng Nghệ - Đại học Quốc gia Hà Nội (2016) [2] Bài báo khoa học tác giả: Belal Amro, Phishing Techniques in Mobile Devices hội nghị Scientific Research Publishing (2018) [3] Tác giả Jason Milletary viết Technical Trends in Phishing Attacks tạp chí Cybersecurity & Infrastructure security agency (2012) [4] Bài báo khoa học tác giả: Rachna Dhamija J.D.Tygar, The Battle Against Phising: Dynamic Security Skins hội nghị SOUPS (2005) 28 Nhóm.4.N6 ... lại công giả mạo ?” Sau kỹ thuật cơng giả mạo gồm nhiều kỹ thuật khác cuối đưa phân loại Chúng em đưa giải pháp từ nghiên cứu, tìm hiểu thực tiểu luận bao gồm: Giải pháp trước công giả mạo, giải. .. thể Vì vậy, kỹ thuật chống giả mạo phải có khả phát cơng giả mạo thơng qua trình duyệt ứng dụng Các kỹ thuật chống giả mạo điện thoại sử dụng trình duyệt dựa như: - Kỹ thuật chống giả mạo dựa nội... viên tài công ty, hay người nắm giữ chức vụ cao 25 Nhóm.4.N6 Bài thi cuối kỳ mơn ANM Hình 3.3.1 Các phương pháp cơng giả mạo thiết bị di động 3.3.2 Giải pháp phòng chống giả mạo Các kỹ thuật lừa