16/01/2018
Các cuộc tấn công Phishing là một trong những thách thức an ninh phổ biến nhất mà cả cá nhân và các tổ chức, doanh nghiệp phải đối mặt trong việc đảm bảo an toàn thông tin của họ.
Phương thức Phishing được biết đến vào năm 1987. Nguồn gốc của từ Phishing là sự kết hợp của hai từ Fishing (câu cá) và Phreaking (trò đùa phạm pháp liên quan đến hệ thống điện thoại). Câu cá ở trong trường hợp nay tức là “câu” thông tin của người dùng. Thêm nữa tính chất của nó cũng gần giống như kiểu tấn công Phreaking, vì thế chữ F được thay thế bằng Ph do cách phát âm gần giống nhau. Từ đó cái tên Phishing được ra đời.
Cụ thể hơn Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩu giao dịch, những thông tin nhạy cảm khác của họ . Phương thức tấn công này còn có thể cài phần mềm độc hại vào thiết bị của người dùng. Chúng thực sự là mối quan ngại lớn nếu người dùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó.
Phương thức tấn công
Có nhiều kỹ thuật lừa đảo được sử dụng bởi hackers để thực hiện cuộc tấn công kiểu này.
Spam email
- Nhúng một liên kết trong một email chuyển hướng bạn tới một trang web không an toàn và yêu cầu bạn cung cấp những thông tin nhạy cảm
- Giả mạo địa chỉ người gửi trong một email để xuất hiện như một nguồn đáng tin cậy và yêu cầu thông tin nhạy cảm.
- Đặt một Trojan (mã độc) thông qua một tập tin đính kèm trong email hoặc quảng cáo thứ được gửi vào hòm thư của bạn. Từ đó, kẻ xâm nhập có thể khai thác lỗ hổng và có được thông tin nhạy cảm
Bạn có thể gặp PopUp tin nhắn (các tab tin nhắn đột nhiên hiện ra trên màn hình) hoặc email đáng ngờ từ những kẻ gian lận. Trong hầu hết các trường hợp lừa đảo này xảy ra thông qua email. Những thư này có thể yêu cầu bạn cập nhật thông tin về các tài khoản cá nhân của bạn. Khi yêu cầu xác nhận thông tin bí mật, những thư rác này sẽ hướng dẫn bạn truy cập các trang web có vẻ như thuộc về tổ chức hợp pháp và được ủy quyền trong nháy mắt. Nhưng các trang web này thực sự là các trang web giả mạo, được tạo ra bởi những kẻ gian lận để tiếp nhận thông tin nhạy cảm từ bạn.
Web-based Delivery
Một chiêu trò khác của Phishing là dựa vào việc phát tán các website lừa đảo. Có nhiều việc làm kiếm tiền qua mạng, người dùng phải cung cấp tài khoản ngân nhàng cho những trang web nay để được trả tiền công qua đó.
Tuy nhiên, hacker thường lợi dụng kẽ hở trong giao dịch này, đưa người dùng đến một trang web giả mạo. Và vô tình họ khai báo thông tin cá nhân của mình cho những trang web giả đó. Và tiền họ kiếm qua online thì không được trả.
Một hình thức khác là khiêu khích sự tò mò của người dùng. Bằng cách chèn vào trang web những quảng cáo có ý khiêu khích sự tò mò của người dùng. Kết quả sau khi click vào đó thì máy tính của bạn có thể bị nhiễm một loại malware nào đó, phục vụ cho một cộng tấn công khác.
Giải pháp chống Phising
Đối với cá nhân:
Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet, thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lưu ý những điểm sau :
- Hãy cẩn thận và không nên trả lời bất kỳ thư rác nào yêu cầu bạn xác nhận hoặc cập nhật bất kỳ thông tin nào về tài khoản của bạn. Thậm chí có vẻ như được cung cấp bởi một tổ chức uy tín hoặc đó là yêu cầu hoàn lại tiền cho bạn.
- Không nhấp bất kỳ liên kết đi kèm với thư rác, nếu bạn không chắc chắn về nó.- Không bao giờ gửi thông tin bí mật của bạn về tài khoản của bạn trong email
- Không trả lời những thư lừa đảo đó, những kẻ gian lận thường gửi cho bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các cuộc gọi của họ không bao giờ có thể được truy tìm.
- Để giảm thiểu rủi ro bởi những vụ lừa đảo phishing này bạn nên sử dụng tường lửa, phần mềm chống gián điệp và phần mềm chống virus. Và phải đảm bảo cập nhật phần mềm này thường xuyên để bảo mật máy tính của bạn.
- Hãy chuyển các thư rác đến spam@uce.gov. Bạn cũng có thể gửi email tới reportphishing@antiphishing.org Tổ chức này giúp chống lại các phishing khác.
Đối với các tổ chức, doanh nghiệp
- Giáo dục nhân viên của bạn và thực hiện các buổi tập huấn với các tình huống giả mạo giả mạo.
- Triển khai một bộ lọc SPAM để phát hiện vi rút, người gửi trống cho toàn bộ hệ thống mail của công ty.
- Giữ tất cả các hệ thống hiện tại với các bản vá lỗi bảo mật và cập nhật mới nhất. Cài đặt một giải pháp chống virus, lên lịch cập nhật chữ ký, và theo dõi trạng thái chống virus trên tất cả các thiết bị.
- Cùng với đó công ty phải mã hóa tất cả thông tin nhạy cảm, quan trọng.
Một vài công cụ hữu ích có thể giúp bạn
chống lại Phishing
- SpoofGuard: là một plug trình duyệt tương thích với Microsoft Internet Explore. SpoofGuard đặt một “cảnh báo” trên thanh công cụ của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô tình vào trang web giả mạo Phishing. Nếu bạn cố nhập các thông tin nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lưu dữ liệu của bạn và cảnh báo bạn. Mức độ cảnh báo có thể được thiết lập qua các thông số.
- Anti-phishing Domain Advisor: giúp bạn phát hiện, cảnh báo và ngăn chặn từ các trang web lừa đảo, chèn mã độc thông qua dữ liệu nhận dạng của hệ thống Panda Security. Nó là một công cụ tốt để bảo vệ bạn khi lướt web.
- Netcraft Tool: Netcraft cung cấp các dịch vụ bảo mật internet bao gồm các dịch vụ chống gian lận và chống Phishing, thử nghiệm ứng dụng và quét PCI. Nó cũng giúp cũng phân tích nhiều khía cạnh của Internet, bao gồm thị phần của máy chủ web, hệ điều hành, nhà cung cấp dịch vụ lưu trữ và cơ quan cấp giấy chứng nhận SSL.
Để đối phó với Phishing không phải là vấn đề đơn giản. Hiện nay, hầu hết các trình duyệt web đều tích hợp tính năng chống Phishing. Mặc dù vậy chúng ta không thể diệt nó triệt để, chỉ có cách là sống chung với nó, nhưng hãy thật cảnh giác.