Lừa đảo lấy thông tin cá nhân

Một phần của tài liệu Hệ thống thanh toán trong thương mại điện tử (Trang 38 - 42)

1. Các trò lừa đảo phổ biến hiện nay trong giao dịch điện tử

1.3 Lừa đảo lấy thông tin cá nhân

Phương pháp lừa đảo được sử dụng để trộm thông tin định danh đang không ngừng phát triển và các biến thể mới đã được thử và sử dụng để tấn công các tổ chức kinh doanh, tổ chức tài chính, và khách hàng. Sau đây là các loại phổ biến nhất của các cuộc tấn công lừa đảo.

Deceptive Phishing là phương pháp thông thường nhất hiện nay và liên quan đến việc gửi tin nhắn để yêu cầu xác minh thông tin tài khoản, lỗi hệ thống yêu cầu người dùng nhập lại thông tin của họ, chi phí tài khoản hư cấu, thay đổi tài khoản không mong muốn, dịch vụ miễn phí mới đòi hỏi phải có hành động nhanh chóng, và nhiều thông tin lừa đảo được truyền cho một nhóm rộng của người nhận với hy vọng rằng họ không thận trọng sẽ trả lời bằng cách nhấn vào một liên kết hoặc ký kết vào một trang web không có thật mà thông tin bí mật của họ có thể được thu thập.

Malware - Based Phishing đề cập đến những trò gian lận có liên quan đến người dùng vô tình chạy phần mềm độc hại trên máy tính của họ. Phần mềm độc hại như một file đính kèm email, như một tập tin tải về từ một trang web,

GVHD: TS. Hoàng Thị Phương Thảo Trang 39 hoặc bằng cách khai thác lỗ hổng bảo mật được biết đến - một vấn đề cụ thể cho các doanh nghiệp vừa và nhỏ (SMBs) không phải là luôn luôn có thể để giữ cho các ứng dụng phần mềm của họ được cập nhật.

Keylogger và Screenloggers là dạng đặc biệt của phần mềm độc hại theo dõi

đầu vào bàn phím và gửi thông tin đến hacker thông qua Internet. Họ tự nhúng vào các trình duyệt web như các chương trình tiện ích nhỏ được gọi là đối tượng hỗ trợ chạy tự động khi trình duyệt được bắt đầu cũng như vào các tập tin hệ thống như trình điều khiển thiết bị hoặc màn hình màn hình.

Session Hijacking là lừa đảo tấn công vào các hoạt động của người sử dụng được theo dõi cho đến khi họ đăng nhập vào một tài khoản mục tiêu hoặc giao dịch và thiết lập các thông tin cá nhân của họ. Vào thời điểm đó các phần mềm độc hại sẽ tiếp nhận và cam kết hành động trái phép, chẳng hạn như chuyển tiền, mà không cần thông tin của người dùng.

Web Trojans là một loại cửa sổ được bung ra chạy vô hình trên máy người

dùng. Khi người dùng cố gắng đăng nhập, họ thu thập thông tin của người sử dụng tại địa phương và chuyển chúng đến các phisher.

Hosts File Poisoning liên quan đến việc thay đổi các tập tin máy chủ của hệ điều hành có chứa các địa chỉ IP tương ứng với địa chỉ web.Khi một người dùng gõ một địa chỉ nào đó một trang web đầu tiên nó phải được dịch ra một địa chỉ IP trước khi nó được truyền qua Internet. Phần lớn các máy tính SMB của người sử dụng chạy hệ điều hành Microsoft Windows đầu tiên tìm kiếm cho những "tên máy chủ" trong "hosts" tập tin của họ trước khi thực hiện một hệ thống tên miền (DNS). Bằng việc "poisoning" các tập tin host, tin tặc có một địa chỉ không có thật truyền, lấy người sử dụng vô tình để giả mạo trang web tương tự với trang web thật và thông tin của họ có thể bị đánh cắp.

System Reconfiguration Attacks sửa đổi cài đặt trên máy tính của người dùng

cho các mục đích độc hại. Ví dụ: URL trong một tập tin yêu thích có thể được sửa đổi để người sử dụng trực tiếp để tìm các trang web như nhau. Ví dụ: một URL của trang web ngân hàng có thể được thay đổi từ "mybank.com" để "mybanc.com".

Theft Data đề cập đến việc ăn cắp tập hợp con của thông tin nhạy cảm được lưu trữ trên máy tính cá nhân không có bảo đảm được lưu trữ ở những nơi khác trên các máy chủ được bảo đảm. Chắc chắn máy tính được sử dụng để truy cập

GVHD: TS. Hoàng Thị Phương Thảo Trang 40 vào máy chủ đó và có thể bị tấn công dễ dàng hơn.Trộm cắp dữ liệu là một phương pháp sử dụng rộng rãi để các hacker kinh doanh. Bằng cách ăn cắp thông tin bí mật, tài liệu thiết kế, ý kiến pháp lý và hồ sơ nhân viên liên quan, vv, kẻ trộm thulợi nhuận từ việc bán cho những ngườimuốn gây rắc rối hoặc gây thiệt hại kinh tế cho đối thủ cạnh tranh.

DNS-Based Phishing thường được gọi là Pharming, Pharming cũng tương tự như Phishing. Tuy nhiên, thay vì cố gắng lấy trực tiếp các thông tin cá nhân, pharming chiếm đoạt các URL hợp pháp ví dụ như www.mybank.com và thay đổi trên DNS để lái sang các địa chỉ IP lừa đảo của chúng. Và những địa chỉ IP đó gần giống như địa chỉ IP hợp pháp của URL. Những URL sẽ có giao diện đồ hoạ tổ chức giống như các URL hợp pháp => người dùng tương tác, cung cấp thông tin mà không hề hay biết là đã cung cấp cho kẻ xấu. Pharming yêu cầu kỹ thuật mức cao hơn để thực thi, và vì DNS cũng khó bị thao túng hơn => Pharming ít hơn phishing.Tuy nhiên, có thể đánh giá rằng Pharming sẽ trở thành mối đe doạ nghiêm trọng hàng đầu cho các doanh nghiệp trong tương lai gần.

Content-Injection Phishing được sử dụng để mô tả các tình huống mà các tin

tặc thay thế một phần nội dung của một trang web hợp pháp với nội dung sai thiết kế để đánh lừa hoặc đánh lạc hướng người sử dụng vào bỏ thông tin bí mật của họ cho hacker. Ví dụ, tin tặc có thể chèn mã độc để đăng nhập thông tin của người dùng hoặc một lớp phủ mà có thể bí mật thu thập thông tin và cung cấp cho máy chủ lừa đảo của hacker.

Man-in-the-Middle Phishing là dạng khó phát hiện nhất trong các hình thức lừa

đảo. Dạng này đề cập đến vị trí của hacker với người sử dụng và các trang web hợp pháp hay hệ thống. Họ ghinhận lại các thông tin được nhập vào, kế đến họ cho qua thông tin trên để giao dịch của người sử dụng không bị ảnh hưởng. Sau đó họ có thể bán hoặc sử dụng thông tin thu thập được khi người dùng không hoạt động trên hệ thống. Công cụ tìm kiếm Phishing xảy ra khi những kẻ lừa đảo tạo ra các trang web với những lời đề nghị hấp dẫn kèm những chỉ dẫn hợp lý thông qua công cụ tìm kiếm.Người dùng tìm thấy các trang web trong quá trình hoạt động tìm kiếm sản phẩm hoặc dịch vụ, những thao tác đó dẫn đến việc mất thông tin định danh. Ví dụ, kẻ lừa đảo đã thiết lập các trang web ngân hàng giả cung cấp chi phí tín dụng thấp hơn hoặc lãi suất tốt hơn so với các ngân hàng khác. Nạn nhân là người sử dụng các trang web để tiết kiệm hay kiếm lợi nhiều

GVHD: TS. Hoàng Thị Phương Thảo Trang 41 hơn từ chi phí lãi vay được khuyến khích chuyển các tài khoản hiện có và khi đó họ đã bị lừa dối dẫn đến việc mất thông tin định danh.

Spear Phishing là một thuật ngữ thông dụng, có thể được sử dụng để mô tả bất

kỳ cuộc tấn công lừa đảo nào. Spear Phishing gửi email giả mạo như thật cho một nhóm người cụ thể sử dụng Internet, chẳng hạn như người dùng nhất định của một sản phẩm hoặc dịch vụ cụ thể, chủ sở hữu tài khoản trực tuyến, nhân viên hoặc thành viên của một công ty cụ thể, cơ quan chính phủ, tổ chức, nhóm, hoặc mạng xã hội. Giống như một email lừa đảo tiêu chuẩn, thông điệp dường như đến từ một nguồn đáng tin cậy, chẳng hạn như sử dụng thông tin một đồng nghiệp là người sẽ có khả năng gửi một email đến tất cả mọi người hoặc một nhóm trong công ty (ví dụ, người đứng đầu của nguồn nhân lực hoặc một quản trị hệ thống máy tính). Bởi vì nó đến từ một nguồn đáng tin cậy và đã được biết đến, thông tin nguồn có yêu cầu dữ liệu có giá trị như tên người dùng hoặc mật khẩu có vẻ hợp lý. Trong khi mưu đồ lừa đảo truyền thống được thiết kế để ăn cắp thông tin từ các cá nhân, một số Spear Phishing trực tuyến cũng có thể kết hợp các kỹ thuật khác, từ hack máy tính để "giả vờ " (thực hành nhận được thông tin cá nhân giả tạo), để có được những thông tin cá nhân bổ sung cần thiết từ một nhóm cụ thể hoặc để nâng cao độ tin cậy các email lừa đảo. Về bản chất, một số tội phạm sẽ sử dụng bất kỳ thông tin mà họ có để cá nhân hoá kẻ lừa đảo như là một nhóm cụ thể càng tốt (Microsoft - 2005).Một trường hợp lừa đảo gần đây của dạng này đã được phát hiện tại AT & T, một công ty viễn thông rất lớn (Lazarus- 2006).

Vishing or Voice phishing có thể thực hiện trong hai cách khác nhau. Trong

một phiên bản của lừa đảo, người tiêu dùng nhận được một email được thiết kế theo cùng một cách như là một email lừa đảo, thường chỉ ra rằng có một vấn đề với tài khoản. Thay vì cung cấp một liên kết gian lận để bấm vào, email này cung cấp một số dịch vụ khách hàng mà khách hàng phải gọi điện và sau đó được nhắc nhở để " đăng nhập" bằng cách sử dụng số tài khoản và mật khẩu. Các phiên bản khác của lừa đảo là để gọi người tiêu dùng trực tiếp và thúc đẩy họ gọi số điện thoại dịch vụ khách hàng gian lận ngay lập tức để bảo vệ tài khoản của họ. Tội phạm vishing thậm chí cũng có thể thiết lập một hướng đi sai về bảo mật cho người tiêu dùng bởi thông tin cá nhân mà họ có trong hồ sơ, như một tên đầy đủ, địa chỉ hoặc số thẻ tín dụng (FCAC - 2006). Vishing đặt ra một vấn đề cụ thể vì hai lý do. Đầu tiên, bọn tội phạm có thể tận dụng lợi thế giá rẻ, gọi điện thoại Internet vô danh có sẵn bằng cách sử dụng Voice over Internet

GVHD: TS. Hoàng Thị Phương Thảo Trang 42 Protocol (VoIP), mà còn cho phép tội phạm sử dụng chương trình phần mềm đơn giản để thiết lập một đường dây dịch vụ khách hàng ghi âm tự động chuyên nghiệp, chẳng hạn như những người sử dụng trong hầu hết các công ty lớn. Thứ hai, không giống như nhiều cuộc tấn công lừa đảo trực tuyến, nơi mà các tổ chức hợp pháp sẽ không sử dụng email để yêu cầu thông tin cá nhân từ chủ thẻ, vishing thực sự mô phỏng một hình thức giao dịch ngân hàng điển hình, ví dụ như các ngân hàng khuyến khích khách hàng gọi và xác thực thông tin (Schulman - 2006).

Một phần của tài liệu Hệ thống thanh toán trong thương mại điện tử (Trang 38 - 42)

Tải bản đầy đủ (PDF)

(45 trang)