J2TEAM Security: A must-have extension for Chrome users. Install now!

Phishing và cách phòng chống

Phishing và cách phòng chống | Juno_okyo's Blog
1. Phishing

Phishing là một hình thức gian lận để có những thông tin nhạy cảm như username, password, credit card … bằng cách giả mạo như là một thực thể đáng tin cậy trong các giao tiếp trên mạng. Quá trình giao tiếp thường diễn ra tại các trang mạng xã hội nổi tiếng, các trang web đấu giá, mua bán hàng online…mà đa số người dùng đều không cảnh giác với nó. Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang web giả mạo do các hacker lập nên.



Phishing là một ví dụ của Social Engineering được sử dụng để lừa đảo người dùng và khai thác lổ hổng trong việc sử dụng công nghệ kém an ninh của các website hiện hành. Những nỗ lực mạnh mẽ trong thời gian qua để chống lại Phising bao gồm việc ứng dụng các công nghệ an ninh mới đến việc đào tạo cho nhân viên, và nâng cao ý thức cộng đồng.

2. Những yếu tố để một cuộc tấn công Phishing thành công.

- Sự thiếu hiểu biết

- Nghệ thuật đánh lừa ảo giác

- Không chú ý đến những chỉ tiêu an toàn

3. Những phương thức của Phishing

- Email and Spam

Kỹ thuật tấn công Phising phổ biến nhất là dùng email. Hacker sẽ tiến hành gửi hành loạt các thư đến những địa chỉ email hợp lệ. Bằng những kỹ thuật và công cụ khác nhau, hacker tiến hành thu thập địa chỉ email trước. Việc thu thập địa chỉ email hàng loạt không hẳn là bất lợi nếu biết sử dụng đúng cách. Điển hình là chiến lược quảng cáo cần rất nhiều đến sự trợ giúp của hàng loạt địa chỉ email này. Tuy nhiên hacker đã lợi dung việc này để gửi những lá thư có nội dung trông có vẽ hợp lệ. Những nội dung này thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thông tin ngay lập tức.

Hacker sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo trường “Mail From” khiến cho người nhận không có chút nghi ngờ nào. Ví dụ, hacker sẽ giả email được gửi từ ngân hàng, và yêu cầu người dùng cung cấp thông tin cá nhân để mợ lại tài khoản do một sự cố nào đó.

Nội dung email được gửi thường sẽ có vài đường link cho bạn liên kết đến một trang web. Như đã trình bày ở trên, những link này nếu không cẩn thận sẽ cho là link đến một trang web giả mạo do hacker dựng nên.

- Web-based Delivery


Một kỹ thuật tiếp theo của Phising là dựa vào việc phát tán các website lừa đảo. Bạn thường thấy các website dạng như kiếm tiền online. Chúng yêu cầu bạn cung cấp các thông tin tài khoản ngân hàng để tiến hành trả tiền công. Bạn không ngần ngại gì khi đang chờ đợi số tiền công hậu hỉnh. Kết cuộc tiền công không thấy mà tiền trong tài khoản cũng không còn.

Một hình thức khác là khiêu khích sự tò mò của người dùng. Bằng cách chèn vào trang web những banner hoặc những text quảng cáo có ý khiêu khích sự tò mò của người dùng. Ví dụ như những hình ảnh khiêu dâm, những nội dung đang nóng. Kết quả sau khi click vào đó thì máy tính của bạn có thể bị nhiểm một loại malware nào đó, phục vụ cho một cộng tấn công khác.

- Irc and Instant Messaging

“Chat” là thuật ngữ quá quen thuộc với mọi người, hay còn gọi là trò chuyện trực tuyến. Nó rất hữu ích trong giao tiếp. Tuy nhiên, những kẽ lừa đảo đã bắt đầu lợi dụng vào việc “chat chit” này để tiến hành các hành động lừa đảo. Bằng những kỹ thuật tấn công, những kẽ lừa đảo tiến hành gửi tin nhắn tức thì đến hàng loạt người dùng. Những nội dung được gửi thường có liên quan đến hàng loạt người dùng, và cũng lợi dụng vào trí tò mò của mọi người.

Vì tính không nhất quán của việc trò chuyện online, những người trò chuyện online thường không thấy mặt nhau nên không thể biết người đang nói chuyện với mình có tin cậy hay không. Một kỹ thuật tinh vi của kiểu lừa đảo này là giả dạng nick chat. Bằng cách giả một nick chat của người quen để tiến hành trò chuyện và yêu cầu cung cấp thông tin hoặc lừa đảo làm một việc gì đó. Gần đây ở Việt Nam nở rộ tình trang lừa đảo này. Nhiều người dùng chat với bạn bè người thân của mình, và họ được nhờ vã việc nạp tiền điện thoại di động. Nạn nhân vì thấy nick đang chat là của người quen nên không chút ngần ngại nào trong việc được nhờ vã này.

- Trojaned Hosts

Như đã nói ở phần trước, lừa đảo không những chỉ nhắm đến những thông tin cá nhân của nạn nhân, mà còn nhiều hình thứ khác. Một kiểu lừa đảo khác là lừa cho nạn nhân cài vào máy tính của mình một phần mềm gián điệp. Phần mềm gián điệp (trojan, keylog) này sẽ phục vụ cho một mục đích tấn công khác.

Điển hình của công việc này là nạn nhân bị nhiễm trojan và trở thành một máy tính con trong một cuộc tấn công tổng thế trên diện rộng.

4. Các kiểu lừa đảo của Phishing

Dựa vào những phương thức trên, những kẽ lừa đảo bắt đầu tiến hành quá trình lừa đảo. Căn cứ theo cách thức hoạt động, người ta phân loại những cuộc tấn công lừa đảo ra thành các loại sau.

- Main-in-the-Middle Attacks

Ở kỹ thuật này, máy tính của attacker được xem như là máy tính trung gian giữa máy tính của người dùng và website thật. Attecker dựng lên một máy tính trung gian để nhận dữ liệu của người dùng và chuyển nó cho website thật. Hoặc nhận dữ liệu của website thật rồi chuyển cho người dùng. Dữ liệu khi chuyển qua lại sẽ được lưu trữ lại tại máy tính của attecker. Thoạt nghe mô tả này chúng ta nghỉ ngay đến chức năng của Proxy Server. Đúng vậy, do đó proxy chính là những nơi không tin cậy cho lắm khi chúng ta truy cập web thông qua nó.

Những kẽ tấn công sẽ dựng lên một Proxy Server với lời mời gọi sử dụng được tung ra internet. Vì lý do gì đó (để giả ip trong mua bán hàng qua mạng) người dùng sẽ tìm đến proxy server này để nhở giúp đỡ trong việc truy cập web. Và thế là vô tình người trở thành con mồi cho bọn hacker.
Những kẽ tấn công ngoài việc dựng lên proxy server rồi dụ con mồi đến còn nghĩ đến việc tấn công vào các proxy server này để lấy dữ liệu. Bằng những kỹ thuật tấn công nào khác, hacker xâm nhập hệ thống lưu trữ của proxy để lấy dữ liệu, phân tích và có được những thứ mà họ cần.

Một cách khác để tấn công trong kỹ thuật này, là tìm cách làm lệch đường đi của gói dữ liệu. Thay vì phải chuyển gói tin đến cho web server, thì đằng này là chuyển đến máy tính của hacker trước, rồi sau đó máy tính của hacker sẽ thực hiện công việc chuyển gói tin đi tiếp. Để làm điều này, hacker có thể sử dụng kỹ thuật DNS Cache Poisoning – là kỹ thuật làm lệch đường đi của gói dữ liệu bằng cách làm sai kết quả phân giải địa chỉ của DNS.

Một điểm cần lưu ý rằng, kỹ thuật tấn công này không phân biệt giao thức web là HTTP hay HTTPS.

- Url Obfuscation Attacks

Làm giả URL là kỹ thuật tiếp theo mà chúng ta sẽ bàn đến. Trong kỹ thuật, attacker sẽ làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập vào web này. Ví dụ như thay vì truy cập http://www.amazone.com thì lại truy cập vào website http://www.amazione.com

Kỹ thuật của việc làm thay đổi một chút xíu về URL như thế được gọi là “dotless ip addresses”, Mọi người nghĩ rằng việc này đơn giản, tuy nhiên nó không dẽ chút nào đâu. Bạn có thể tìm hiểu về kỹ thuật này tại địa chỉ http://morph3us.org/blog/index.php?/...fuscation.html

- Cross-Site Scripting Attacks

Cross-Site Scripting (XSS) là một trong những kỹ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.

Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML. Kĩ thuật tấn công XSS đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web Applications và mối đe doạ của chúng đối với người sử dụng ngày càng lớn.

Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu (request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá tầm kiểm soát của server. Nó có thể là một request được gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL như là


Code:
http://www.example.com/search.cgi?query=<script>alert('XSS was found !');</script>
Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !".

Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế bằng một file nguồn trên một server khác thông qua thuộc tính src của thẻ script. Cũng chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS. Nhưng nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó. Tất nhiên đôi khi các hacker cũng sử dụng kĩ thuật này để deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website. Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ thống website nằm trên server. Mục tiêu tấn công của XSS không ai khác chính là những người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn có thể sẽ bị cài các loại virus, backdoor, worm …

- Hidden Attacks

Attacker sử dụng các ngôn ngữ lập trình HTML, DHTML, hoặc ngôn ngữ dạng script khác để chèn vào trình duyệt của người dùng. Hoặc sử dụng các ký tự đặc biệt để đánh lừa người dùng.

Những phương thức thường được attacker sử dụng là làm ẩn các frame. Các Frame sẽ được attacker làm ẩn đi trên trình duyệt của người dùng, qua đó attacker có thể chèn vào những đoạn mã đọc. Một cách khác để tấn công là ghi đè nội dung trang web hoặc thay đổi hình ảnh trên trang web. Qua những nội dung bị thay đổi này, attaker sẽ chèn những đoạn mã độc hại vào đó.

5. Tool chống Phishing

Do kiến thức có hạn nên chỉ nói vài tool thông dụng thôi

- PhishTank SiteChecker: Đây là một website miễn phí cho mọi người có thể kiểm tra, theo dõi và chia sẻ dữ liệu về phishing. Bạn truy cập vào địa chỉ http://www.phishtank.com/ để có thể sử dụng trang web này.


- SpoofGuard: là một phần bổ sung (plug-in) tương thích với Internet Explorer. SpoofGuard đặt một "đèn cảnh báo" tại thanh công cụ (toolbar) của trình duyệt web, và chuyển màu từ xanh sang vàng hoặc đỏ nếu bạn truy cập vào một trang web phishing. Nếu bạn cố gắng cung cấp thông tin, SpoofGuard sẽ cứu dữ liệu và cảnh báo bạn. Mức độ cảnh báo cao hay thấp có thể được điều chỉnh qua các thông số.




- Netcraft Tool: đây là add-on sử dụng một phương pháp khác để giải quyết cùng vấn đề này. Netcraft Toolbar cài đặt một thanh công cụ để hiển thị mức độ rủi ro, hạng của site và cung cấp một liên kết báo cáo (báo cáo này cung cấp cho bạn các thông tin mà Netcraft thu thập được về site). Cũng trên công cụ này, thanh bar là một menu sổ xuống, với menu này bạn có thể báo cáo một site.

Bạn có thể báo cáo để khóa một site bị gán nhãn sai

Tính năng quan trọng nhất của công cụ này đối với người dùng là xếp hạng rủi ro (Risk Rating). Thanh bar này sẽ có màu xanh (nếu site có mức rủi ro thấp) hoặc đỏ (nếu site có mức rủi ro cao). Có một số hệ số đi kèm với việc tính toán độ rủi ro. Hệ số chính là tuổi đời của site. Chính vì vậy bạn có thể ghé thăm một site mà bạn biết chắc đó là an toàn (nó có thể thậm chí là site của riêng bạn) nhưng vẫn nhận được mức cảnh báo cao vì công cụ này hoàn toàn mới với site của bạn. Không cần quan tâm lý do tại sao, đây vẫn là cách tốt nhất để phòng tránh rủi ro với các site kiểu này.

- Anti-phishing Domain Adviso: Anti-phishing Domain Advisor thực chất là một phần nhỏ của Panda Cloud được phát triển riêng biệt để cung cấp thêm giải pháp bảo vệ bạn khi đang lướt web bằng cách phát hiện, ngăn chặn và cảnh báo từ các trang web lừa đảo, chèn mã độc thông qua dữ liệu nhận dạng của hệ thống Panda Security.







Khi bạn truy cập vào một trang web giả mạo, lừa đảo hoặc có chèn mã độc, tiện ích sẽ hiển thị cảnh báo như minh hoạ. Bạn chú ý đến phần cuối tác giả đặt trong khung đỏ tại thanh địa chỉ của trình duyệt đó chính là địa chỉ của trang web tác giả thực hiện kiểm tra với Anti-phishing Domain Advisor.


Để kiểm tra tính xác thực của Anti-phishing Domain Advisor bạn có thể truy cập vào trang bên dưới sao chép các đường dẫn đang hiển thị tại khung Domain và dán lên thanh địa chỉ của trình duyệt > Enter để kiểm tra kết quả.

http://www.malwaredomainlist.com/mdl.php

6. Kết luận:

Hiện nay, các trình duyệt web đều có chức năng chống phishing nên bạn có thể yên tâm phần nào hơn. Đối mặt với Phishing có lẽ là vấn đề nan giải nhất. Chúng ta không thể diệt nó, chỉ có cách là sống chung với nó, nhưng hãy thật cảnh giác.





Minh họa với trình duyệt Firefox
Leader at J2TEAM. Website: https://j2team.dev/

Đăng nhận xét

Cảm ơn bạn đã đọc bài viết!

- Bạn có gợi ý hoặc bình luận xin chia sẻ bên dưới.

- Hãy viết tiếng Việt có dấu nếu có thể!