V. CÁCH PHÒNG CHỐNG 1 Đối với Trojan
4. Đối với phishing:
Phịng chống phishing khơng khó, quan trọng là người dùng phải cẩn thận khi nhận được các trang đăng nhập có u cầu điền thơng tin nhạy cảm. Như đã nói trên, tấn cơng phishing qua hai giai đoạn thì phịng chống cũng qua hai giai đoạn. Với Email giả chúng ta lấy một ví dụ sau là đoạn email của ngân hàng Citibank gửi tới cho khách hàng:
Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70]) by mailserver with SMTP
id <20030929021659s1200646q1e>; Mon, 29 Sep 2003 02:17:00 +0000
Received: from sharif.edu [83.104.131.38] by host70-72.pool80117.interbusiness.it (Postfix) with ESMTP id EAC74E21484B for <e-response@securescience.net>; Mon, 29 Sep 2003 11:15:38
+0000
Date: Mon, 29 Sep 2003 11:15:38 +0000 From: Verify <verify@citibank.com>
Subject: Citibank E-mail Verification: e-response@securescience.net To: E-Response <e-response@securescience.net>
References: <F5B12412EAC2131E@securescience.net> In-Reply-To: <F5B12412EAC2131E@securescience.net> Message-ID: <EC2B7431BE0A6F48@citibank.com> Reply-To: Verify <verify@citibank.com>
Sender: Verify <verify@citibank.com> MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Dear Citibank Member,This email was sent by the Citibank server to verify your e-mail address. You must complete this process by clicking on the link below and entering in the small window your Citibank ATM/DebitCard number and PIN that you use on ATM.
This is done for your protection -t- becaurse some of our members no longer have access to their email addresses and we must verify it.To verify your e-mail address and access your bank account,click on the link below. If nothing happens when you click on the link (or if you use AOL)K, copy and paste the link into
the address bar of your web browser.
http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/3/? 3X6CMW2I2uPOVQW
y--------------------------------------------- Thank you for using Citibank! C---------------------------------------------
This automatic email sent to: e-response@securescience.net Do not reply to this email.
R_CODE: ulG1115mkdC54cbJT469
Nếu quan sát kỹ, chúng ta sẽ thấy một số điểm “thú vị” của email này:
- Về nội dung thư: Rõ là câu cú, ngữ pháp lộn xộn, có cả những từ sai chính tả, ví dụ becaurse, this automatic.. Và ai cũng rõ là điều này rất khó xảy ra đối với một ngân hàng vì các email đều được “chuẩn hóa” thành những biểu mẫu thống nhất nên chuyện “bị sai” cần phải được xem lại.
- Có chứa những ký tự hash-busters, là những ký tự đặc biệt để vượt qua các phương trình lọc thư rác (spam) dựa vào kỹ thuật hash-based spam như “-t-“, “K” ở phần chính thư và “y”, “C” ở cuối thư. Người nhận khác nhau sẽ nhận những spam với những hash-busters khác nhau. Mà một email thật, có nguồn gốc rõ ràng thì đâu cần phải dùng đến các “tiểu xảo” đó.
- Phần header của email không phải xuất phát từ mail server của Citibank. Thay vì mango2-a.citicorp.com (mail server chính của Citybank ở Los Angeles) thì nó lại đến từ Italia với địa chỉ host 70-72.pool80117.interbusiness.it (80.117.72.70) vốn khơng thuộc quyền kiểm sốt của CityBank. Lưu ý, mặc định Yahoo Mail hay các POP Mail
- Client khơng bật tính năng xem header, các bạn nên bật vì sẽ có nhiều điều hữu ích. Với liên kết ở dưới:
http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/3/? 3X6CMW2I2uPOVQ
- Nhìn thống q thì có vẻ là xuất phát từ Citibank, nhưng thực tế bạn hãy xem đoạn phía sau chữ @. Đó mới là địa chỉ thật và sd96V.pIsEm.Net là một địa chỉ giả từ Maxcova, Nga hoàn tồn chẳng có liên quan gì đến Citibank.
- Kẻ tấn cơng đã lợi dụng lỗ hổng của trình duyệt web để thực thi liên kết giả. Hai điểm yếu thường dùng:
Đề tài 13: Tấn cơng qua mạng và cách phịng chống
- Sử dụng ký tự @. Trong liên kết, nếu có chứa ký tự @ thì trình duyệt web hiểu thành phần đứng trước ký tự này chỉ là chú thích, nó chỉ thực thi các thành phần đứng sau chữ @. Ví dụ như link trên thì đường dẫn thực sự là sd96V.pIsEm.NeT/3/?
3X6CMW2I2uPOVQW.
- Sử dụng ký tự %01. Trình duyệt sẽ khơng hiển thị những thơng tin nằm sau kí tự này. Ví dụ <a href=”http://www.citibank.com...%01@http://www.sd96V.pIsEm.NeT/3/?
3X6CMW2I2uPOVQW”>Tên liên kết </a>. Lúc đó khi bạn đưa trỏ chuột vào Tên
liên kết thì trên thanh trạng thái chỉ hiển thị thơng tin ở phía trước ký tự %01. Với Website giả ta dùng các cách sau:
- Nếu nhấn vào liên kết ở email đó nó đưa bạn đến một trang đăng nhập (dỏm). Dù bên ngồi nó giống hệt trang thật, ngay cả địa chỉ hay thanh trạng thái nhìn cũng có vẻ thật.Nhưng nếu bạn xem kỹ liên kết trên thanh address bar thì bạn sẽ thấy ở phía sau chữ @ mới là địa chỉ thật. Bạn mà điền thơng tin vào thì xem như… tiêu. Tốt hơn hết là xem mã nguồn (view source) của form thì rõ là form thông tin không phải truyền đến citibank mà là đến một nơi khác.
- Với cách tiếp cận theo kiểu “biết cách tấn cơng để phịng thủ” trên, chúng ta sẽ thấy rõ hơn bản chất của một cuộc tấn công phishing – tấn cơng đơn giản, nhưng hiệu quả thì rất cao. Một khi bạn hiểu được cách thức tấn cơng thì chắc rằng bạn cũng sẽ có cách đối phó thích hợp.
KẾT LUẬN
Sau khi nghiên cứu lý thuyết, về cơ bản báo cáo đã thể hiện được nội dung cơ bản mà đề tài đề cập. Qua bài báo cáo, nhóm em đã hiểu được phần nào cách thức hoạt động của các phần mềm phá hoại và các giải pháp xâm nhập mạng dùng riêng có kết nối Internet.
Mặc dù đã có nhiều cố gắng nhưng do Internet là một vấn để vô cùng rộng, thời gian ngắn và trình độ có hạn nên bài báo cáo còn nhiều hạn chế và chưa giải quyết trọn vẹn yêu cầu đề tài nêu ra. Hướng phát triển đề tài của nhóm em trong tương lai là sẽ khắc phục các hạn chế để đề tài ngày càng hoàn thiện hơn và tạo ra một sản phẩm phần mềm - một cơng cụ để có ứng dụng trong cơng nghệ xâm nhập mạng nói riêng và nền cơng nghệ thơng tin nói chung.
Đề tài 13: Tấn công qua mạng và cách phòng chống