A Tale of the Three *ishings: Phần 1 – Phishing là gì?

Phishing (Tấn công giả mạo) đã, đang và sẽ tiếp tục là một trong những phương thức tấn công chính được sử dụng bởi những kẻ tấn công mạng hiện nay.

 

Trong bài blog này, chúng tôi sẽ bắt đầu bằng việc trả lời câu hỏi “Phishing (Tấn công lừa đảo giả mạo) là gì?”

Phishing là gì và tại sao?

Đây có vẻ là một câu hỏi ngớ ngẩn vì mọi người đều biết phishing (tấn công lừa đảo giả mạo) là gì, nhưng bạn sẽ phải ngạc nhiên khi thấy mọi người thường có những định nghĩa khác nhau. Phishing là một loại tấn công phi kỹ thuật (social engineering attack). Social engineering là khi kẻ tấn công mạng lừa nạn nhân làm điều gì đó mà họ không nên làm, chẳng hạn như đưa tiền cho tội phạm, chia sẻ mật khẩu hoặc cấp cho kẻ tấn công quyền truy cập vào máy tính. Những kẻ tấn công này đã học được rằng cách dễ nhất để có được điều gì đó chính là “yêu cầu”. Khái niệm này không phải là mới, những kẻ lợi dụng lòng tin của người khác và những kẻ lừa đảo (con artists and scammers) đã tồn tại hàng nghìn năm, chỉ là Internet khiến những kẻ tấn công mạng có thể giả mạo thành bất kỳ ai chúng muốn và nhắm vào con mồi một cách hết sức đơn giản.

Phishing là một trong những hình thức social engineering phổ biến nhất vì đây là một trong những hình thức đơn giản và hiệu quả nhất. Chúng ta sẽ định nghĩa phishing là một cuộc tấn công social engineering dựa trên email; (smishing là bất kỳ cuộc tấn công social engineering dựa trên tin nhắn và vishing là bất kỳ cuộc tấn công social engineering nào dựa trên giọng nói/điện thoại, cả hai vấn đề này sẽ được đề cập trong các bài đăng tiếp theo của loạt blog này). Điều khiến phishing trở nên hiệu quả là hầu hết mọi người trong mọi tổ chức đều sử dụng email hàng ngày, vì vậy đó là công nghệ mà những kẻ tấn công mạng biết chúng ta đang sử dụng. Ngoài ra, việc tạo ra những email giả mạo hết sức dễ dàng, dùng để đánh lừa mọi người làm những việc mà họ không nên làm. Cuối cùng, email là cách tiếp cận hàng triệu người trên thế giới với mức chi phí thấp.

Hãy nhớ rằng, những kẻ tấn công mạng cũng là con người, chúng không được trao giải thưởng cách hack  vào một tổ chức sáng tạo nhất. Chúng có mục tiêu rõ ràng và muốn đạt được mục đích đó theo cách dễ dàng nhất có thể và điều này thường bắt đầu bằng phishing.

Phishing hoạt động như thế nào và điều gì đang thay đổi?

Hầu hết chúng ta đều quen thuộc với  email lừa đảo điển hình với mục tiêu thúc  mọi người nhấp vào liên kết hoặc mở tệp đính kèm. Nếu bạn nhấp vào một liên kết, bạn sẽ được dẫn  một trang web cố gắng xâm nhập và lây nhiễm virus, mã độc hoặc chiếm quyền kiểm soát máy tính của bạn (đôi khi được gọi là “Drive-by” hoặc “watering hole”) hoặc bạn sẽ được đưa đến một trang web giả mạo một tổ chức hợp pháp nào đó, sau đó đánh cắp thông tin mật khẩu của bạn. Trong hầu hết các trường hợp, liên kết lừa đảo trong các phishing email đều đang cố gắng thu thập mật khẩu tài khoản cá nhân của người dùng. Tương tự với việc mở tệp đính kèm. Tệp đính kèm bị nhiễm virus, mã độc sẽ lây nhiễm vào máy tính của bạn hoặc chứa các liên kết đưa mọi người đến một trang web giả mạo để đánh cắp mật khẩu. Thật không may, thời của các tệp đính kèm email bị nhiễm virus đơn giản hoặc các liên kết độc hại đã qua.

Những kẻ tấn công mạng đang tạo ra nhiều email lừa đảo mới hơn, bao gồm:

Hình thức lừa đảo qua thư điện tử của doanh nghiệp – Business Email Compromise

Business Email Compromise (BEC) (đôi khi được gọi là lừa CEO fraud) là các email được thiết kế riêng cho từng đối tượng cụ thể trong doanh nghiệp, không hề có bất kỳ liên kết hoặc tệp đính kèm nào trong email. Thay vào đó, chỉ chứa văn bản cố gắng đánh lừa ai đó thực hiện một hành động. Những email này thường nhằm vào các mục tiêu trong lĩnh vực tài chính với mục đích lừa nạn nhân cho chuyển khoản ngân hàng, thanh toán hoặc thay đổi tài khoản thanh toán để những kẻ tấn công mạng nhận được tiền. Những cuộc tấn công này thường khiến tổ chức thiệt hại hàng triệu đô la sau mỗi vụ việc. Điều khiến chúng trở nên hiệu quả là những kẻ tấn công mạng thực hiện nghiên cứu và tự tạo ra các email, vì vậy những email này nhìn có vẻ đến từ một người nào đó mà nhóm tài chính biết và tin tưởng, chẳng hạn như CEO, CFO hoặc một nhà cung cấp mà họ làm việc cùng. Bạn thường không đọc được tin tức về những cuộc tấn công này vì các công ty bị tấn công không cần phải công khai mà thay vào đó thường âm thầm liên hệ và làm việc với cơ quan thực thi pháp luật.

Call Back – Gọi lại

Một lần nữa, không có bất kỳ liên kết hoặc tệp đính kèm nào trong email, thay vào đó là  số điện thoại. Mục đích là để nạn nhân gọi đến số điện thoại đó, và khi nói chuyện với bạn thì những kẻ tấn công đưa ra những lý lẽ RẤT thuyết phục. Chúng thường nói rằng bạn đang có một hóa đơn hoặc một khoản phí trong thẻ tín dụng chưa trả tiền, và cần trả gấp – tạo ra một cảm giác vô cùng cấp . Anthony Davis đưa ra mô tả chi tiết về một trong những cuộc tấn công này.

Mã QR 

Thay vì đưa các liên kết vào email, những kẻ tấn công mạng đưa mã QR vào. Lúc đầu điều này nghe có vẻ kỳ quặc nhưng nó thực sự là một ý tưởng tuyệt vời. Mã QR hoạt động giống như các liên kết đưa bạn đến các trang web. Nhưng có những lợi thế khi sử dụng mã QR trong email. Đầu tiên, không phải bộ lọc  nào cũng có thể phân tích mã QR. Thứ hai, nếu kẻ tấn công có thể khiến nạn nhân sử dụng thiết bị di động của họ để truy cập trang web, thì các nhóm bảo mật thường không có khả năng nhìn  hoặc kiểm soát thiết bị di động đó, khiến thiết bị di động đó dễ bị tấn công hơn nhiều.

Trong phishing, bạn sẽ thường nghe thấy các thuật ngữ phishing hoặc whaling. Đây là những thuật ngữ được sử dụng để chỉ các email lừa được thiết kế chuyên biệt nhắm đến những đối tượng cụ thể. Những thuật ngữ này ngụ ý rằng chỉ có hai loại email lừa đảo, nhằm vào tất cả mọi người hoặc tập trung vào số ít đối tượng cụ. Tuy nhiên, vẫn có có một sự đa dạng và mức độ tùy chỉnh khác nhau, như các email phishing được tùy chỉnh một phần nào đó nhưng vẫn nhắm vào các nhóm mục tiêu lớn ở nhiều công ty khác nhau.

Cuối cùng, phishing sẽ ngày càng phức tạp hơn. Nhiều kẻ tấn công mạng không còn thực hiện các cuộc tấn công email lừa đảo hoặc xây dựng cơ sở hạ tầng lừa đảo của riêng mình nữa, thay vào đó chúng đơn giản chỉ thuê email phishing như một dịch vụ. Bạn có thể đã nghe nói về Software-as-a-Service (SaaS), giờ đây tội phạm mạng sẽ cho thuê Phishing-as-a-Service (PaaS). Với một khoản phí hàng tháng đơn giản, bất kỳ ai cũng có thể có quyền truy cập vào tất cả các mẫu và cơ sở hạ tầng lừa đảo tiên tiến nhất cần cho các cuộc tấn chỉ bằng một nút nhấn. Nó thậm chí thường bao gồm cả hỗ trợ kỹ thuật!

Chúng ta cần làm gì?

Hầu hết các tổ chức đang tích cực giải quyết rủi ro lừa đảo thông qua cả biện pháp kiểm soát kỹ thuật và đào tạo lực lượng lao động. Trong khi các biện pháp kiểm soát kỹ thuật không ngừng cải thiện và hiệu quả hơn trong việc phát hiện các phishing email, thì một số email trong đó vẫn có lọt qua được khi những kẻ tấn công mạng ngày càng tinh  và nghĩ ra các phương pháp mới. Từ góc độ đào tạo, chúng tôi không khuyến khích việc dạy tất cả các loại tấn công phishing và tất cả các phương tiện lừa đảo có thể. Điều này không chỉ gây áp lực lớn cho đội ngũ nhân viên mà những kẻ tấn công mạng còn liên tục thay đổi phương tiện và kỹ thuật của chúng. Thay vào đó, hãy tập trung vào các dấu hiệu phổ biến nhất của một cuộc tấn công. Bằng cách này, lực lượng lao  của bạn sẽ được đào tạo và chuẩn bị sẵn sàng  bất kể phương pháp hoặc chiêu thức mà kẻ tấn công mạng sử dụng. Ngoài ra, cần nhấn mạnh rằng các cuộc tấn công lừa đảo không chỉ giới hạn trong email mà bao gồm  các công nghệ nhắn tin khác nhau.

Đó là lý do tại sao những chỉ báo này rất hiệu quả, chúng phổ biến trong hầu hết mọi cuộc tấn công lừa đảo, bất kể là qua email hay tin nhắn.

• Khẩn cấp: Bất kỳ email hoặc tin nhắn nào tạo ra cảm giác cực kỳ khẩn cấp, cố gắng đẩy nạn nhân mắc sai lầm. Một ví dụ là thông báo từ chính phủ cho biết thuế đã quá thời hạn đóng thế và và phải đóng ngay nếu không muốn ngồi tù.
• Gây áp lực: Bất kỳ email hoặc tin nhắn nào gây áp lực buộc nhân viên bỏ qua các chính sách và thủ tục của công ty. Các cuộc tấn công BEC là một ví dụ.
• Sự tò mò: Bất kỳ email hoặc tin nhắn nào tạo ra sự tò mò cực lớn hoặc cảm giác rằng điều gì đó quá tốt để trở thành sự thật, chẳng hạn như gói hàng UPS chưa được gửi hoặc nhận tiền hoàn lại của Amazon.
• Tone: An email or message that appears to be coming from a coworker, but the wording does not sound like them, or the overall tone or signature is wrong.
• Giọng điệu: Một email hoặc tin nhắn có vẻ như đến từ đồng nghiệp nhưng cách diễn đạt không giống hoặc giọng điệu hoặc chữ ký nhìn chung không giống với phong cách của họ.
• Email gửi chung: Một email đến từ một tổ chức đáng tin cậy nhưng sử dụng lời chào chung chung, chẳng hạn như “Kính gửi quý khách hàng”. Nếu FedEx hoặc Apple chào , họ sẽ biết tên bạn.
• Địa chỉ Email Cá nhân: Bất kỳ email nào có vẻ như đến từ một tổ chức, nhà cung cấp hoặc đồng nghiệp hợp pháp nhưng lại sử dụng địa chỉ email cá nhân như @gmail.com.

 

Các chỉ báo lừa đảo (Phishing Indicators) mà bạn có thể không muốn sử dụng nữa

Dưới đây là các chỉ báo điển hình đã được khuyến nghị trước đây nhưng hiện nay không còn được khuyến khích nữa.

• Lỗi chính tả: Sai chính tả hoặc sai ngữ pháp là một dấu hiệu. Trong thế giới ngày nay, bạn có nhiều khả năng nhận được một email hợp pháp có lỗi chính tả hơn là một cuộc tấn công lừa đảo được thực hiện cẩn thận.
• Hovering: One method commonly taught is to hover your mouse cursor over the link to determine if its legitimate.  We no longer recommend this method except for highly technical audiences.  Problems with this method include having to teach people how to decode a URL, which is a confusing, time consuming, and technical skill.  In addition, many of today’s links are hard to decode as they are re-written by phishing security solutions such as Proofpoint. Finally, it can be difficult to hover over links with mobile devices, one of the most common ways people read email.
• Di chuột: Một phương pháp thường được dạy là di con trỏ chuột lên liên kết để xác định xem nó có hợp pháp hay không. Chúng tôi không còn đề xuất phương pháp này ngoại trừ những học viên có nền tảng cao về kỹ thuật. Các Phương pháp này bao gồm việc phải dạy mọi người cách giải mã URL, một kỹ năng khó hiểu, tốn thời gian và đòi hỏi người học phải có một trình độ kỹ thuật nhất định. Ngoài ra, nhiều liên kết ngày nay khó giải mã vì chúng được viết lại bởi các giải pháp bảo mật lừa đảo như Proofpoint. Cuối cùng, có thể khó di chuột qua các liên kết bằng thiết bị di động, một trong những cách phổ biến nhất mà mọi người đọc email.

Phishing has been and will continue to be one of the primary attack methods used by cyber attackers today simply because it’s easy to do and it works. To learn more about the latest in how cyber attackers are targeting people and how to secure your workforce, register now or sign up for a free demo of SANS Institute’s three-day LDR433 Managing Human Risk course.