III. An toàn dịch vụ Email
2. Một số hình thức tấn công Email
a. Thư rác (Spam mail)
Spam mail hay còn gọi là thư rác là các thư quảng cáo, giới thiệu hoặc do virus mà người nhận không mong đợi. Một thông điệp điện tử được cho là “Spam” nếu nó tồn tại đồng thời cả 2 thuộc tính sau:
- Định danh của người nhận và tình huống nhận là không liên quan đến thông điệp vì thông điệp được gởi đồng đều với một số rất đông người nhận.
- Người nhận chưa xác nhận quyền được gửi email của người gửi, hoặc đã từ chối nhận email.
Một số đặc điểm của thư rác (Spam mail)
- Spam thường là các thư quảng cáo
- Không có yêu cầu của người nhận
- Thường thì Spam là những email vô hại
- Được gửi đi với số lượng lớn
- Có thể làm đầy hòm thư của người nhận nếu nhận phải quá nhiều spam, dẫn đến họ không thể nhận được thư mới.
- Spam còn chiếm dụng băng thông, có thể gây tắc nghẽn đường truyền.
- Một số loại spam còn chứa nội dung lừa đảo, nhằm mục đích lừa người dùng cung cấp các thông tin cá nhân như: mã số thẻ tín dụng, mật khẩu,…
- Đặc điểm nổi bật của spam là: Không tốn nhiều chi phí khi gửi đến một số lượng lớn người nhận, vì thế mà các spammer không cần sàng lọc các đối tượng nhận thư được gửi trùng lặp nhiều lần tới cùng một địa chỉ người nhận.
Cách thức phát tán thư rác
email có thể được thu thập bằng rất nhiều cách khác nhau như: sử dụng các chương trình tự động tìm các địa chỉ email trên Internet, tấn công vào các diễn đàn để lấy trộm cơ sở dữ liệu của các thành viên, dùng phương pháp tấn công kiểu từ điển, dùng các tên thông dụng (ví dụ John, Smith, Steve,...) ghép với hàng ngàn tên miền khác nhau thành các địa chỉ đúng và có xác suất thành công rất cao.
Spammer có rất nhiều cách khác nhau để có thể gửi thư rác nhưng nhìn chung là một trong hai hình thức hợp pháp và bất hợp pháp.
- Hình thức hợp pháp: Spammer phải bỏ tiền đầu tư trang bị cho mình rất nhiều hệ thống máy tính, modem và kết nối mạng Internet,… để gửi SPAM. Đây là một cách thức hoàn toàn hợp pháp nhưng lại cần phải có chi phí cao.
- Hình thức bất hợp pháp: Spammer gửi SPAM thông qua những máy chủ uỷ nhiệm mở (open proxy servers). Nói đến phương thức gửi SPAM này thì cũng là nói đến cách thức SPAMMER bí mật đột nhập bắt cóc hệ thống máy tính của người khác để xây dựng một cái được gọi là Botnet.
Tác hại của Spam
- Gây ra cho người dùng Internet đặc biệt là email, những phiền toái và bực tức mỗi khi mở ra email ra mà phải thấy một đống những thư mà mình không có yêu cầu.
- Khi đã xác nhận được những địa chỉ email đang sử dụng, thì Spam chắc chắn sẽ được gửi càng nhiều hơn.
- Spam có thể chứa những đoạn mã virus hoặc mã độc, khi người dùng không biết mà chạy đoạn mã đó, thì nó sẽ ăn cắp dữ liệu trong máy tính để chuyển về cho các Spammer.
Một số giải pháp phòng chống Spam
- Luôn cập nhật bản vá mới nhất cho các phần mềm đang cài đặt trên máy.
- Cập nhật các phần mềm chống virus và chống spam.
- Sử dụng các firewall để bảo vệ hệ thống.
- Không trả lời các email lạ không rõ nguồn gốc. Đối với các Spammer, khi nhận được một trả lời từ hàng ngàn email gửi đi thì cũng chứng minh là phương pháp đó của họ có hiệu quả. Ngoài ra, việc trả lời lại còn xác nhận là địa chỉ email của chúng ta là có thực và hiện đang được sử dụng. Do vậy địa chỉ email của chúng ta sẽ “đáng giá” hơn rất nhiều, và các spammer sẽ gửi nhiều thư rác cho chúng ta hơn.
- Không gửi các thông tin cá nhân như: số thẻ tín dụng, mật khẩu, tài khoản ngân hàng,… qua thư điện tử. Các spammer và những kẻ lừa đảo qua mạng có thể tạo ra những trang web giả mạo các tổ chức, ngân hàng, ... đề nghị người dùng gửi mật khẩu và một số thông tin về thẻ tín dụng qua email.
- Không nên đăng địa chỉ email của chúng ta ở những nơi công cộng (ví dụ như các diễn đàn, bảng tin, chat room...) nơi các spammer thường sử dụng các tiện ích để thu thập và tìm kiếm địa chỉ email.
- Sử dụng các dịch vụ email cung cấp công cụ chống spam, ví dụ như YahooMail, Gmail.
Ngoài những cách cơ bản như đã nêu trên thì chúng ta có thể cấu hình các bộ lọc chống spam như:
- Sử dụng DNS blacklist: chặn tất cả các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Có hai loại danh sách DNS Blacklist thường được sử dụng, đó là: danh sách các miền gửi Spam đã biết và danh sách các máy chủ cho phép hoặc bị lợi dụng gửi Spam.
Hoạt động của DNS Blacklist
- Sử dụng SURBL list: Chương trình chống spam sẽ phân tích nội dung của email xem bên trong nó có chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay không. SURBL này chứa danh sách các miền và địa chỉ của các spammer đã biết.
Hoạt động của SURBL List
- Kiểm tra địa chỉ: bằng cách kiểm tra địa chỉ người gửi và người nhận trước khi gửi hoặc nhận email, phần lớn các spam sẽ được phát hiện và chặn lại.
- Chặn địa chỉ IP: phương pháp này sẽ chặn các email được gửi đến từ các địa chỉ IP biết trước. Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh sách địa chỉ bị chặn. Nếu email đó đến từ một máy có địa chỉ trong danh sách này thì nó sẽ bị coi là spam, ngược lại nó sẽ được coi là email hợp lệ.
- Sử dụng bộ lọc Bayesian: bộ lọc Bayesian hoạt động dựa trên định lý Bayes để tính xác xuất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như vậy được sử dụng để phân loại Spam. Nếu một số văn bản xuất hiện thường xuyên trong các Spam nhưng không xuất hiện trong các email thông thường, thì có thể kết luận email đó là Spam.
Bộ lọc Bayessian
- Sử dụng danh sách Black/white list: việc sử dụng các danh sách black/white list giúp cho việc lọc spam hiệu quả hơn. Thông thường các bộ lọc có tính năng tự lọc, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list.LissB
- Kiểm tra Header: phương pháp này sẽ phân tích các trường trong phần header của email để đánh giá email đó là email thông thường hay là spam. Spam thường có một số đặc điểm như: để trống trường “from” hoặc “to”, có số lượng lớn địa chỉ người nhận, …
- Sử dụng tính năng challenge/Reponse: tính năng này sẽ yêu cầu người lần đầu gửi email xác nhận lại email mà họ gửi, sau khi xác nhận, địa chỉ email của người gửi được bổ xung vào danh sách White list và từ đó trở về sau các email được gửi từ địa chỉ đó được tự động cho qua các bộ lọc.
b. Email lừa đảo (Hoax/Fishing)
Fishing là một trong những hình dạng mới nhất của Spam, Hacker gửi email cho người sử dụng nhằm mục đích lừa gạt tài liệu cá nhân của người dùng. Phishing cũng được gọi bằng danh hiệu Spoofing hoặc Carding – đây là sự biến dạng cho từ "câu cá" ý nghĩa là ném con mồi ra với hy vọng, trong khi đa số sẽ không để ý đến thì sẽ có vài con mồi bị cám dổ để mà cắn vào.
Bản chất Fishing là "trộm cắp", tạo ra homepage giả có bộ mặt đáng tin cậy với những logo và địa chỉ,… Cùng với sự giả tạo này là tạo ra thư rác để lừa gạt những
nạn nhân thiếu hiểu biết về email vào homepage giả tạo do họ lập ra. Sau đó lấy các thông tin như: số PIN tài khoản ngân hàng, mật khẩu, … mà người dùng nhập vào trang web giả mạo.
Một số giải pháp phòng chống Fishing:
Để phòng chống phishing, người dùng cần cẩn thận với những e-mail lạ, đặc biệt là những e-mail yêu cầu cung cấp thông tin cá nhân. Nếu muốn mở một link gửi kèm e-mail thì không nên click mở trực tiếp mà nên copy link rồi dán vào trình duyệt, đồng thời phải xem kỹ trên thanh địa chỉ xem liên kết có biến đổi thêm các ký tự lạ như @ hay không.
Khi được yêu cầu cung cấp thông tin quan trọng, tốt hơn hết là nên trực tiếp vào website của phía yêu cầu để điền thông tin chứ không đi theo đường link liên kết được gửi đến. Cần chú ý, thông thường các trang xác nhận thông tin quan trọng luôn dùng giao thức https (http security).
Ngoài ra người sử dụng cần chú ý một số yếu tố sau:
- Ngân hàng sẽ không bao giờ yêu cầu khách hàng xác nhận thông tin chi tiết qua một thư điện tử. Đó là cách dễ nhận biết nhất một kiểu Fishing.
- Xem tên của người nhận. Thông điệp phishing thường là "Dear Valued Customer" (Thưa quý khách hàng). Nếu nó không đề rõ tên của chúng ta, thì không nên nhấp chuột vào nó.
Để ý đến đường liên kết (URL) khi chúng ta truy cập. Nếu URL có tên khác với tên của công ty chúng ta biết, đừng mở nó.
c. Thư điện tử đính kèm Virus, Worm, Trojan
Thư điện tử đã và đang được sử dụng như một công cụ cho việc gửi các tệp dữ liệu dạng nhị phân dưới hình thức các tệp đính kèm. Ban đầu, chúng không gây ra các rủi ro cho sự an toàn vì các tệp đính kèm thường chỉ là các tài liệu hoặc các tệp hình ảnh dung lượng nhỏ. Ngày nay có rất nhiều thư điện tử được gửi với các tệp đính kèm là các chương trình chạy, tranh ảnh, âm thanh, … Đây chính là một nguy cơ cực kỳ nguy hiểm đối với hệ thống mạng vì tệp tin đính kèm là một con đường rất hiệu quả để Hacker phát tán virus.
Virus có thể được truyền qua các thư điện tử theo dạng virus thư hoặc là virus đính kèm. Các loại virus trên là đặc trưng của kết quả hỗ trợ các nội dung tích cực của các trạm thư điện tử, chẳng hạn các thông điệp HTML. Việc ngăn cấm hoặc cho phép các nội dung có tính hoạt động (ActiveX, JavaScrip, …) như trên cần được thực hiện bởi các nhà xây dựng các ứng dụng thư điện tử.
Một số giải pháp phòng chống Virus, Worm, Trojan đính kèm Email
Để phòng chống virus và các mã nguy hiểm được đính kèm theo email một cách hiệu quả thì người sử dụng cần có ý thức tự bảo vệ mình trong quá trình sử dụng hệ thống thư điện tử, cụ thể:
- Không mở những thư có nguồn gốc không rõ ràng
- Không tải về các tệp đính kèm ở dạng file chạy (.exe, .bat, …) mà không xác định được rõ ràng.
- Không kích hoạt những liên kết (link) lạ gửi kèm theo thư điện tử. Ngoài ra có thể áp dụng một số biện pháp kỹ thuật như:
- Quét virus: để bảo vệ email khỏi virus và các mã nguy hiểm khác, nhất thiết phải thực thi việc quét virus tại một hay nhiều khâu trong quá trình phân phối thư điện tử. Việc quét virus có thể được thực hiện trên tường lửa nơi dữ liệu thư điện tử bắt đầu vào mạng của một cơ quan, tổ chức nào đó; ngay trên máy chủ thư điện tử hay trên các máy trạm của người sử dụng đầu cuối. Mỗi lựa chọn đều có điểm mạnh, điểm yếu riêng. Nếu nguồn tài nguyên cho phép, việc sử dụng nhiều hơn một sự lựa chọn ở trên sẽ đem lại sự an toàn cao hơn.
- Lọc nội dung thư: làm việc theo nguyên lý tương tự thực hiện quét virus trên tường lửa hoặc máy chủ thư. Về bản chất, đây là quá trình thực hiện việc tìm một đặc tính nào đó có xuất hiện trong nội dung thư hay không. Khi thực thi việc quét virus hoặc ngăn cấm một loại tệp nào đó (căn cứ vào phần mở, tên tệp hay định dạng tệp) thì chỉ đảm bảo được một mức độ an toàn nào đó. Thực tế đã chứng minh khả năng gây tổn hại cho hệ thống xuất phát từ các nội dung thư và các tệp đính kèm còn lớn hơn nhiều so với virus hay các loại mã phá hoại. Chính vì thế, một số biện pháp lọc nội dung cần được triển khai đối với một hệ thống thư điện tử. Hiện tại có nhiều ứng dụng lọc nội dung khác nhau có thể hỗ trợ cho hầu hết các hệ thống truyền thông điệp thư điện tử. Một bộ lọc nội dung được xem là hiệu quả nhất là bộ lọc có thể lọc được tất cả các thư đi và đến một mạng của một công ty hay tổ chức nào đó. Nhiều sản phẩm mới đã kết hợp được các chức năng như lọc nội dung, quét virus và hạn chế kiểu tệp được phép gửi qua thư điện tử. Việc kết hợp các tính năng trên trong cùng một sản phẩm sẽ giúp giảm nhẹ việc quản trị cơ chế an toàn của một mạng.
d. Nguy cơ từ Mail Relay
Mail Relay là cơ chế mà một mail server cho phép trung chuyển mail của các Account hoặc domain mà không thuộc nó quản lý. Những Server này được gọi là OpenRelay Server.
OpenRelay server hoạt động theo cơ chế cho phép gửi thư mà không cần kiểm tra xác thực người gửi. Lợi dụng điểm yếu này, Hacker có thể giả mạo một người dùng nào đó để gửi thư nhằm phá hoại danh tiếng, vu khống hoặc gửi Spam.
Giải pháp hiệu quả nhất để phòng chống gửi thư giả mạo qua hình thức mail relay là người quản trị cấu hình tắt chức năng gửi mail relay của mail server.