1. 9 Phân tích các tấn công kiểu phishing
1.11.2 Bằng trang Web
Lừa đảo thông qua các trang Web cũng là một cách phổ biến và tương đối hiệu quả. Khi việc gửi thư rác đã quá cũ và nhan nhản hàng ngày, người dùng có xu hướng tin tưởng vào các website hơn, vì có cảm giác nó ”chính thức” hơn các email gửi vào hòm thư của mình. Các trang web lừa đảo có thể được dẫn từ một trang web nằm trong sự điều khiển của phisher, hoặc thậm chí từ một trang trung gian hoàn toàn không có mục tiêu lừa đảo.
Các kỹ thuật liên quan gồm:
Đặt các đường liên kết dẫn đến trang lừa đảo trên các trang web phổ biến, các diễn đàn.
Mua dịch vụ quảng cáo của các trang phổ biến, rồi đặt các banner quảng cáo câu kéo, dẫn đến trang lừa đảo.
Sử dụng các kỹ thuật lập trình Web, giấu đi các đối tượng lập trình, nhằm theo dõi các nạn nhân tiềm năng.
Sử dụng các cửa sổ phụ không có khung, nhằm giấu đi nguồn gốc của thông báo.
Sử dụng khả năng lập trình, tạo ra các đoạn mã hiểm độc nhằm lợi dụng các lỗ hổng bảo mật của trình duyệt web.
Lợi dụng lỗi bảo mật trong những trang web lương thiện, nhằm triển khai tấn công cross-site-script.
Hình 10: Một hình quảng cáo hoàn toàn như thật này có thể đánh lừa
1.11.3 - Bằng IRC và dịch vụ nhắn tin tức thời (Instant messaging)
Do IRC chat và dịch vụ gửi tin nhắn tức thời (instant messaging) đang trở nên ngày càng phổ biến. Phần lớn người dùng có xu hướng sử dụng dịch vụ nhắn tin tức thời cho những tin nhắn đơn giản thay cho email vì tính tiện dụng và nhanh gọn của nó.
Do sự phổ biến của dịch vụ gửi tin nhắn tức thời, nhiều nhà dịch vụ tích hợp nhiều thứ trong phần mềm, ví như gửi link, gửi tệp tin, nhạc, vân vân. Do vậy, các kỹ thuật của phishing có thể được sử dụng trong dịch vụ gửi tin nhắn này.
Các phisher có thể sử dụng các công cụ, cho phép tự động tạo hàng loạt các ID chat, sau đó sử dụng chúng như các phần mềm tự động để gửi tin nhắn tới người dùng.
1.11.4 - Bằng các máy đã bị cài Trojan
Hiểu rằng các nhà quản trị mạng có thể lần ra dấu vết khởi nguồn cho các vụ tấn công, các phisher cao tay và giàu kinh nghiệm đều sử dụng cách “mượn tay kẻ khác”. Do vậy, phisher tung ra các chú ngựa thành Tơ roa (Trojan horse) để âm thầm xâm nhập vào các máy tính khác. Sau đó, các máy bị nhiễm này sẽ được sử dụng làm nguồn cho các vụ lừa đảo. Nhờ việc “mượn đao giết người” này, mà công việc lần tìm dấu vết trở nên khó khăn gấp bội.
Điều đáng chú ý là Trojan ngày càng trở nên tinh vi và hoạt động khó lường, cho dù các phần mềm anti-virus cũng phát triển nhanh không kém. Gần đây có loại Trojan khi xâm nhập vào máy nạn nhân, không những cố gắng qua mắt các phần mềm anti-virus, còn chủ động tiêu diệt các Trojan đồng loại, nhằm chiếm quyền kiểm soát toàn bộ.
1.11.5 - Bằng VoIP
Kỹ thuật này được gọi là Vishing, xuất phát từ Voice và Phishing. Việc sử dụng điện thoại để lừa đảo không còn là điều lạ lẫm gì. Tuy nhiên việc các nhà cung cấp dịch vụ hoàn toàn có thể lần ra thậm chí vị trí nơi xuất phát cuộc gọi, khiến điện thoại cố định không còn là công cụ tốt cho phisher. Sử dụng một số di động có thể là một thay thế, tuy nhiên ở một số nước người ta yêu cầu người dùng đăng ký khi mua SIM. Ngoài ra, điện thoại di động không có được nhiều lợi điểm như VoIP.
Lý do mà điện thoại được sử dụng và có khả năng thành công cao hơn (tất nhiên cũng tốn công sức hơn) là do:
Thuyết phục bằng lời nói có hiệu quả hơn email hoặc tin nhắn
Địa chỉ email có thể giả, hoặc cũ, hoặc một người có hàng tá email. Đồng thời với các bộ lọc, thư rác có cơ hội thấp để được một người đọc, chưa kể đến việc họ có tin hay không. Sử dụng điện thoại sẽ có cơ hội cao để tiếp cận nạn nhân hơn.
Điện thoại giúp phisher tiếp cận với những đối tượng ít tiếp xúc internet. Ví dụ: người già.
Nếu khôn khéo cộng với gọi đúng thời điểm, tỷ lệ thành công sẽ cao.
Sử dụng điện thoại giúp phisher có thể tùy cơ ứng biến và có nhiều chiêu khác nhau cho từng đối tượng khác nhau.
Lý do mà VoIP được ưa thích là chúng đem lại chức năng như điện thoại, nhưng:
Chi phí rẻ hơn.
Có thể gọi xuyên quốc gia.
Che dấu vết tốt hơn.
1.11.6 - Bằng spear phishing
Đây là một trường hợp đặc biệt của phishing, khi mà đối tượng được nhắm tới không phải là đại trà, ai cũng được. Đối tượng của spear phishing là một cơ
quan, một tổ chức cụ thể. Phisher tìm cách gửi thông báo tới thành viên bằng cách lọc lấy chúng từ danh sách chung, tìm trên các thông tin được công bố, tìm các địa chỉ mà email sẽ được forward đến một nhóm rộng hơn (ví dụ:
nhanvien@congtyA.com)
Điểm đặc biệt ở loại lừa đảo này là ở chỗ, khi gửi đến thành viên tổ chức, phisher sử dụng email giả của người quản lý, của một người có trách nhiệm hoặc của một thành viên. Email sẽ đưa ra yêu cầu cung cấp các thông tin mật hoặc để nạn nhân mở các file đính kèm độc hại. Loại tấn công này thường nhằm để giúp phisher thâm nhập vào hệ thống từ thông tin thu được.
1.11.7 - Bằng whaling
Sở dĩ thuật ngữ whaling được sử dụng, vì từ phishing phát nguồn từ fish, và trong trường hợp này thì nó là “big fish”. Chính vì thế, whaling là phishing được nhắm vào các đối tượng có trọng trách trong một đơn vị, hay những “con cá lớn”. Các kỹ thuật áp dụng không có gì khác biệt, ngoại trừ việc phải cẩn trọng và tính toán kỹ hơn khi “câu cá lớn” mà thôi.
Bằng việc đoạt được thông tin mật từ nhóm này, phisher có khả năng giành được quyền kiểm soát cao hơn đối với hệ thống của tổ chức liên quan, hoặc cũng kiếm được những món hời hơn.
1.11.8 - Bằng đường bưu điện
Khả năng này không thể loại trừ, bởi nó cũng đem thông báo đến người dùng và hoàn toàn có thể che hoặc giả gốc tích không một chút dấu vết. Tuy nhiên do đặc trưng mất công sức, tốn kém và cũng không gửi ào ạt được, phương thức này chỉ được dùng khi nhắm vào một số đối tượng cụ thể và khi việc thông tin qua đường bưu điện đem lại lợi ích hơn. Ví dụ, phisher có thể gửi một đĩa CD với danh nghĩa là tặng, nhằm để khách hàng đánh giá sản phẩm. CD đó sẽ có đầy đủ chức năng như là một sản phẩm cần đánh giá thực sự, tuy nhiên nó lại ngầm chứa các chương trình gián điệp.
1.12 - Các hỗ trợ kỹ thuật cho phishing
Về bản chất, phishing là lừa đảo, và nó cần sự “tinh quái” của phisher. Tuy nhiên có những kỹ thuật mang tính công nghệ giúp đắc lực cho việc lừa đảo này. Sau đây chúng ta sẽ điểm qua một số chiêu thức phổ biến trong giới phisher.
1.12.1 - Kỹ thuật Man-in-the-middle
Có thể nói đây là một kỹ thuật kinh điển và phổ biến nhất trong giới tin tặc. Lý do là kẻ tấn công luôn có thể tiếp cận đến các kênh thông tin trao đổi giữa các bên, vấn đề là nó có được bọc kín thế nào hay không thôi. Do vậy, trong mọi môi trường giao tiếp, đều tiềm ẩn một dạng tấn công là tin tặc đứng giữa hai người mà hai người đó không hề biết. Trong các mô hình bảo mật, một điều kiện luôn đặt ra phải giả định tin tặc có thể tiếp cận được kênh thông tin.
Trong dạng tấn công này, tin tặc đứng chặn giữa kênh liên lạc hai bên A và B. Sau đó giao tiếp với bên A như thể là bên B và ngược lại. Cách tấn công này hiệu quả với giao thức HTTP, hay ngay cả HTTPS.
Hình 11: Tấn công kiểu man-in-the-middle.
Để đảm bảo được việc lái luồng thông tin của nạn nhân vào máy của mình (gọi là proxy) và lái luồng thông tin của một trang web thật cũng vào proxy, phisher có thể áp dụng các cách sau:
Proxy ẩn:
Có trường hợp, máy proxy này nằm cùng mạng với máy chủ thật hoặc đường dẫn đến máy chủ thật buộc phải đi qua proxy này. Phishing có thể sử dụng ARP spoofing để bắt tất cả các gói tin đến và đi từ máy chủ thật
Kỹ thuật này tạo ra các ánh xạ giả giữa tên miền và địa chỉ IP. Nếu bộ định tuyến sử dụng đến ánh xạ giả này, các gói tin được gửi đến tên miền của máy chủ thật sẽ bị lái đến địa chỉ IP của máy proxy.
Lừa URL:
Bằng những tiểu xảo nào đó, khiến nạn nhân nhận nhầm URL và chọn phải URL của proxy. Tuy nhiên, do phisher thực hiện man-in-the-middle, nên sau đó máy proxy vẫn chuyển tiếp các thông tin đến máy chủ thật. Do vậy, nạn nhân vẫn sử dụng bình thường mà không hề hay biết thông tin của mình bị lấy mất.
Đặt thông số proxy tại máy nạn nhân:
Bằng một cách nào đó, thông số proxy tại trình duyệt của máy nạn nhân bị thay đổi, nó trỏ thẳng đến proxy của phisher.
1.1.2 - Kỹ thuật URL giả
Nguyên tắc của kỹ thuật này là người dùng nhận được một liên kết mà không phát hiện ra nó là liên kết giả, bằng việc nó trông giống hệt như thật, hoặc che giấu nó đi. Sau đây là các chiêu thức phổ biến.
Tên miền giả
Kỹ thuật này tạo ra các tên miền trông có vẻ như tương tự như tên miền hợp pháp. Xét ví dụ của một ngân hàng hợp pháp với tên miền
http://privatebanking.mybank.com. Phisher có thể đăng ký cho mình những tên miền sau nhằm qua mặt khách hàng
http://privatebanking.mybank.com.ch
http://mybank.privatebanking.com
http://privatebanking.mybonk.com
http://privatebanking.mybánk.com
http://privatebanking.mybank.hackproof.com
Các tên miền trông giống thật này thì muôn hình vạn trạng, tùy theo khả năng sáng tạo của phisher.
Dựa vào đăng nhập qua URL
Một số trình duyệt cho phép một số site được để thông tin đăng nhập ngay trên URL. Định dạng sẽ như sau:
URL ://username:password@hostname/path
Các website ngân hàng có độ bảo mật cao, tất nhiên không cho phép điều này. Tuy nhiên, do trình duyệt cho phép, phisher sẽ lợi dụng nó để khách hàng nhầm tưởng mình đang đăng nhập vào trang chính thức. Ví dụ đường link sau bắt đầu với chữ mybank.com, nhưng nó lại dẫn đến site lừa đảo.
http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm
Dựa vào dịch vụ làm ngắn đường link
Có một số công ty cung cấp dịch vụ làm ngắn đường liên kết. Nguyên lý là họ đưa ra các đường liên kết ngắn gọn, rồi các liên kết đó sẽ lái (redirect) đến đường liên kết thật rất dài. Ý tưởng của dịch vụ này rất đem lại lợi ích cho người dùng. Tuy nhiên, nó lại được phisher lợi dụng.
Phisher sẽ đưa cho khách hàng một đường liên kết rất dài, gần như giống hệt như đường liên kết thật nhưng có để một lỗi nào đó khiến không thể vào được. Bên cạnh đó, phisher sẽ đưa ra một đường liên kết rút gọn, từ một công ty cung cấp đường liên kết rút gọn hợp pháp. Tuy nhiên, nơi mà đường liên kết rút gọn dẫn đến lại là trang lừa đảo.
Viết ra URL ở định dạng khác
Khi trình duyệt nhận một URL ở dạng tên miền, thực chất nó phải chuyển về địa chỉ IP. Phisher lợi dụng điều này, đưa ra các dạng địa chỉ không ở dạng tên miền, nhằm vượt qua các bộ lọc và làm cho người dùng không dễ dàng nhận ra đó là trang lừa đảo. Kỹ thuật này có thể kết hợp với cả các kỹ thuật trên, tạo sức mạnh tổng hợp.
Ví dụ, đường liên kết sau:
http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm có thể được chuyển thành dạng
Thậm chí, câu chuyện còn phức tạp hơn ở mức, trang sau đây: http://www.evilsite.com/
có thể viết dưới bất cứ dạng nào dưới các dạng sau:
Decimal – http://210.134.161.35/
Dword – http:// 3532038435/
Octal – http://0322.0206.0241.0043/
Hexadecimal – http://0xD2.0x86.0xA1.0x23/ or even http://0xD286A123/
Trong một số trường hợp, liên kết có thể được trộn lẫn các dạng. Ví dụ: http://0322.0x86.161.0043/.
Pha trộn mã hóa
Kỹ thuật này lợi dụng các trình duyệt hay email cho phép sử dụng pha trộn các mã hóa khác nhau, nhằm hỗ trợ cho nhiều dạng ngôn ngữ khác nhau. Tuy nhiên phisher lại lợi dụng điều này để khiến cho người dùng bằng mắt thường không thể nào phát hiện ra liên kết giả.
1.12.3 - Kỹ thuật tấn công Cross-site-Scripting
Kỹ thuật này cho phép nhồi một nội dung lừa đảo vào ngay trong một trang web thật. Kỹ thuật này hiện tại phổ biến trong giới tin tặc và lỗ hổng an ninh khi xây dựng trang web tạo điều kiện cho tin tặc thực thi kiểu tấn công này.
Các kiểu lợi dụng thường thấy là như sau:
Thay hẳn một liên kết con trong liên kết lớn như:
http://mybank.com/ebanking?URL=http://evilsite.com/phishing/fakepage.ht m
Nhồi một đoạn mã.
script:http://mybank.com/ebanking?page=1&client=<SCRIPT>evilcode...
Buộc site thật phải tải một đoạn mã .
http://mybank.com/ebanking?page=1&response=evilsite.com%21evilcode.js &go=2
Phần ngòai là trang web của ngân hàng thật
Hình 12 – Vỏ bọc thật – Nội dung giả
1.12.4 - Kỹ thuật đặt trước Session ID
Do các giao thức HTTP và HTTPS là các giao thức không lưu trạng thái, do vậy việc phân biệt liên lạc giữa một website và với máy của người dùng nào đó được thông qua session ID. Lỗ hổng nằm ở chỗ, những trang web có độ bảo mật kém, có thể cho phép session ID được đặt ra bởi phía máy người dùng.
Do vậy, khi phisher gửi liên kết đến một nạn nhân, trong liên kết đó đã chứa sẵn một session ID mà hắn biết. Việc còn lại chỉ là hắn ngồi chờ đợi, cứ sau một khoảng thời gian ngắn lại sử dụng cái session ID đó để xem có vào được trang web thật kia không (bằng một chương trình tự động).
1.12.5 - Kỹ thuật ẩn
Nội dung lại lấy từ trang web lừa đảo
Bản chất của kỹ thuật này là sử dụng khả năng lập trình HTML, DHTML hoặc những ngôn ngữ kịch bản khác để che dấu những phần có thể làm người dùng phát hiện ra. Cụ thể có những chiêu thức sau.
Frame ẩn
Nguyên tắc của kỹ thuật này là trang web thực chất có 2 frame. Frame thứ nhất trỏ đến trang web thật và chỉ có nó được hiện ra trên trình duyệt. Frame thứ hai được ẩn đi và bí mật theo dõi người dùng.
Ví dụ một đoạn mã như sau:
<frameset rows="100%,*" framespacing="0">
<frame name="real" src="http://mybank.com/" scrolling="auto"> <frame name="hiddenContent" src="http://evilsite.com/bad.htm" scrolling="auto">
</frameset>
Che trang thật
Có một số kỹ thuật lập trình cho phép một trang web có thể hiện che một trang khác. Một phương pháp phổ biến là sử dụng hàm DIV của DHTML.
Lừa bằng ảnh
Một vấn đề khiến phisher e ngại là cho dù ngụy trang khéo đến mấy, người dùng cao tay vẫn có thể phát hiện ra URL, hoặc những chứng thực về mã hóa đường truyền là giả. Sử dụng một số kỹ thuật lập trình, phisher có thể đưa hình ảnh tràn ra ngoài trang web, che những hình ảnh thật và hiện ra những hình ảnh giả. Phisher thậm chí có thể che đi những menu, address bar thật, vv.
1.12.6 - Kỹ thuật theo dõi thông tin nạn nhân
Đây là một kỹ thuật phổ biến trong giới tin tặc, giờ nó đã bắt đầu được các phisher sử dụng.
Key log
Kỹ thuật này ghi lại tòan bộ các phím được bấm trên máy tính của nạn nhân. Key logger có thể là một chương trình ngầm, theo dõi tất cả các chương trình chạy
trên máy tính nạn nhân, hoặc chỉ là một đoạn mã script để theo dõi phím được bấm