Giáo trình Bảo mật mạng - Chương 7: Phising - Nguyễn Tấn Thành

CHƯƠNG 7: PHISING Nguyễn Tấn Thành Giả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng. Bạn đã từng nhận email từ ngân hàng này trước đó nhưng email này có vẻ đáng nghi ngờ, đặc biệt là nó yêu cầu bạn trả lời ngay lập tức nếu không tài khoản của bạn sẽ bị đóng. Bạn sẽ làm gì? Những thông báo như thế này hoặc tương tự là những ví dụ của Phishing – lừa đảo trực tuyến, một phương pháp của identity theft – ăn cắp dữ liệu cá nhân. Ngoài việc ăn trộm thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên lừa đảo trực tuyến (phisher) có thể lây nhiễm máy tính với virus và thuyết phục mọi người tham gia một cách vô thức vào việc rửa tiền. Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngân hàng, công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay. Những email này trông rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết lộ thông tin cá nhân. Tuy nhiên, thông báo dạng email chỉ là một phần nhỏ của lừa đảo trực tuyếnTrong lĩnh vực an toàn máy tính. 1. Phising là gì? Phising là một hình thức gian lận để có những thông tin nhạy cảm như username, password, credit card bằng cách giả mạo như là một thực thể đáng tin cậy trong các giao tiếp trên mạng. Quá trình giao tiếp thường diễn ra tại các trang mạng xã hội nổi tiếng, các trang web đấu giá, mua bán hàng onlinemà đa số người dùng đều không cảnh giác với nó. Phising sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web,trông thì có vẽ hợp pháp,nhưng lại là trang web giã mạo do các hacker lập nên. Phising là một ví dụ của Social Engineering được sử dụng để lừa đảo người dùng và khai thác lổ hổng trong việc sử dụng công nghệ kém an ninh của các website hiện hành. Những nổ lực mạnh mẽ trong thời gian qua để chống lại Phising bao gồm việc ứng dụng các công nghệ an ninh mới đến việc đào tạo cho nhân viên, và nâng cao ý thức cộng đồng. Kỹ thuật lừa đảo được mô tả chi tiết vào năm 1987, và những ghi chép đầu tiên với thuật ngữ Phising Nguồn gốc từ Phishing là kết hợp giữa 2 từ Fish - Fishing và Phreaking. Fishing nghĩa gốc là “câu cá” nhưng đuợc hiểu là “câu” các thông tin của nguời dùng. Mặt khác, do tính chất của nó cũng gần giống kiểu tấn công Phreaking (Chữ “Ph” duợc các hacker thay thế cho chữ “F” dể tạo thành phishing do cách phát âm gần giống) - đuợc biết đến lần đầu tiên bởi hacker John Draper (biệt danh aka Captain Crunch) khi sử dụng “Blue Box” để tấn công hệ thống diện thoại ở Mỹ nhằm thực hiện các cuộc gọi đường dài miễn phí hoặc sử dụng đường điện thoại của nguời khác thực hiện các cuộc gọi bất hợp pháp, vào đầu thập niên 1970 - tên gọi khác là Phone Phreaking. Theo thời gian, những cuộc tấn công phishing không còn chỉ nhằm vào các tài khoản Internet của AOL mà đã mở rộng đến nhiều mục tiêu, đặc biệt là các ngân hàng trực tuyến, các dịch vụ thuong mại diện tử, thanh toán trên mạng, và hầu hết các ngân hàng lớn ở Mỹ, Anh, Úc hiện dều bị tấn công bởi phishing. Vì cũng nhắm vào mục tiêu đánh cắp credit card nên nó còn duợc gọi là Carding. Do cách tấn công đơn giản nhưng lại hiệu quả cao nên phishing nhanh chóng trở thành một trong những kiểu lừa dảo phổ biến nhất trên mạng – có đến gần 70% các vụ tấn công trên mạng năm 2003 có liên quan đến phishing (nguồn: Antiphishing.org). 2. Những Yếu Tố Để Một Cuộc Tấn Công Phising Thành Công Phising là một trong những kỹ thuật của Social Engineering, nó cũng chủ yếu dựa vào điểm yếu của con người. Chính những bất cẩn, sự chủ quan của người sử dụng đã giúp kẽ tấn công thành công hơn. Vài yếu tố sau đây sẽ giúp cuộc tấn công Phising thành công tốt đẹp. Sự thiếu hiểu biết Sự thiếu hiểu biết về hệ thống mạng và máy tính đã giúp cho các hacker khai thác những thông tin nhạy cảm. Bạn cần hiểu rõ quá trình hoạt động của internet, hoặc ít hơn hiểu về cách thức truy cập một website an toàn. Điển hình nhất bạn cần phải biết việc bấm vào nút Save Password khi bạn truy cập web tại các điểm công cộng sẽ làm tăng nguy cơ bị xâm phạm tài khoản cá nhân. Đặc biệt đối với những người thường xuyên mua bán, thanh toán qua mạng, thì cần phải hiểu rõ việc cung cấp credit card là rất quan trọng, và biết được khi nào nên cung cấp, khi nào không. Bạn cũng nên tìm hiểu sơ về các giao thức mạng, và phân biệt được giao thức nào là an toàn. Điển hình là bạn đừng bao giờ giao dịch trực tuyến với giao thức truy cập web là http, mà phải đảm bảo an toàn với giao thức https. Những cửa sổ cảnh báo của windows về mức độ an toàn của việc truy cập thông tin, điều mà mọi người thường hay bỏ qua, lại chính là nguy cơ biến bạn thành nạn nhân. Thói quen duyệt mail không tốt cũng làm cho bạn gặp nhiều nguy hiểm. Có vài lời khuyên cho bạn, là cẩn thận với những email không có địa chỉ người gửi rõ ràng, không có tiêu đề, hoặc là nội dung có tính kích động trí tò mò. Đánh lừa ảo giác Nghệ thuật của sự đánh lừa ảo giác chính là làm cho nạn nhân không còn phân biệt được đâu là thật đâu là giả. Chắc hẳn bạn cũng biết trò chơi tìm những điểm khác nhau giữa hai tấm hình. Kỹ thuật đánh lừa ảo giác sẽ tạo ra một trang web, hoặc một lá thưnhững thứ mà ngày nào bạn cũng truy cập, nó giống như dấn mức gần như người ta không thể phát hiện ra sự giả mạo. Lời khuyên dành cho bạn là cẩn thận với những trang web mà mình thường truy cập, đặc biệt là những email của ngân hàng, của những người thân, mà nó lại yêu cầu chúng ta cung cấp thông tin. Bởi những trang đó có nguy cơ giả mạo rất cao. Một ý thư hai, là bạn hãy tự rõ địa chỉ trang web vào trình duyệt, thay vì click vào đường link từ trang web khác. Có nghĩa là bạn hãy tự gõ vào trình duyệt địa chỉ https://www.amazone.com thay vì click vào một liên kết trong email để nó chuyển bạn đến với trang https://www.amazona.com có nội dung giống hệt trang amazone. Không chú ý đến những chỉ tiêu an toàn Như đã nói ở trên, những cảnh báo thường bị người dùng bỏ qua, chính điều đó đã tạo điều kiện cho hacker tấn công thành công hơn. Người dùng cũng thưởng không chú ý đến những chỉ tiêu an toàn. Ví dụ khi bạn truy cập một website thanh toán trực tuyến, bạn phải hiểu những quy định an toàn của website kiểu này, như thông tin Cerificate, nhà cung cấp, nội dung, và nhiều quy định khác. Windows thường nhận biết những quy định toàn này, và nếu không đủ nó sẽ cảnh báo cho bạn. Tuy nhiên, vài người dùng cảm thấy phiền phức với những cảnh báo này và đã tắt chức năng này đi, và thế là bạn trở thành nạn nhân. Thỉnh thoảng, chúng ta cũng nên dành thời gian cho việc đọc tin tức về thế giới hacker, để biết được những thủ đoạn lừa lọc mới phát minh, từ đó có ý thức về sự cảnh giác an toàn hơn. 3. Những Phương Thức Của Phising Email and Spam Kỹ thuật tấn công Phising phổ biến nhất là dùng email. Hacker sẽ tiến hành gửi hành loạt các thư đến những địa chỉ email hợp lệ. Bằng những kỹ thuật và công cụ khác nhau, hacker tiến hành thu thập địa chỉ email trước. Việc thu thập địa chỉ email hàng loạt không hẳn là bất lợi nếu biết sử dụng đúng cách. Điển hình là chiến lược quảng cáo cần rất nhiều đến sự trợ giúp của hàng loat địa chỉ email này. Tuy nhiên hacker đã lợi dung việc này để gửi những lá thư có nội dung trông có vẽ hợp lệ. Những nội dung này thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thông tin ngay lập tức. Hacker sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo trường “Mail From” khiến cho người nhận không có chút nghi ngờ nào. Ví dụ, hacker sẽ giả email được gửi từ ngân hàng, và yêu cầu người dùng cung cấp thông tin cá nhân để mợ lại tài khoản do một sự cố nào đó. Nội dung email được gửi thường sẽ có vài đường link cho bạn liên kết đến một trang web. Như đã trình bày ở trên, những link này nếu không cẩn thận sẽ cho là link đến một trang web giả mạo do hacker dựng nên. Web-based Delivery Một kỹ thuật tiếp theo của Phising là dựa vào việc phát tán các website lừa đảo. Bạn thường thấy các website dạng như kiếm tiền online. Chúng yêu cầu bạn cung cấp các thông tin tài khoản ngân hàng để tiến hành trả tiền công. Bạn không ngần ngại gì khi đang chờ đợi số tiền công hậu hỉnh. Kết cuộc tiền công không thấy mà tiền trong tài khoản cũng không còn. Một hình thức lừa đảo tinh vi hơn cũng liên quan đến việc kiếm tiền online. Theo các chuyên gia đánh giá có đến 90% là không thể lấy tiền sau một khoản thời gian làm việc miệt mài của bạn. Cái mà những kẽ lừa đảo thu được không phải là tiền của bạn, mà chính là công sức đọc quảng cáo của bạn, được trả bởi các công ty quảng cáo. Một hình thức khác là khiêu khích sự tò mò của người dùng. Bằng cách chèn vào trang web những banner hoặc những text quảng cáo có ý khiêu khích sự tò mò của người dùng. Ví dụ như những hình ảnh khiêu dâm, những nội dung đang nóng. Kết quả sau khi click vào đó thì máy tính của bạn có thể bị nhiểm một loại malware nào đó, phục vụ cho một cộng tấn công khác. IRC and Instant Messaging “Chat” là thuật ngữ quá quen thuộc với mọi người, hay còn gọi là trò chuyện trực tuyến. Nó rất hữu ích trong giao tiếp. Tuy nhiên, những kẽ lừa đảo đã bắt đầu lợi dụng vào việc “chat chit” này để tiến hành các hành động lừa đảo. Bằng những kỹ thuật tấn công, những kẽ lừa đảo tiến hành gửi tin nhắn tức thì đến hàng loạt người dùng. Những nội dung được gửi thường có liên quan đến hàng loạt người dùng, và cũng lợi dụng vào trí tò mò của mọi người. Vì tính không nhất quán của việc trò chuyện online, những người trò chuyện online thường không thấy mặt nhau nên không thể biết người đang nói chuyện với mình có tin cậy hay không. Một kỹ thuật tinh vi của kiểu lừa đảo này là giả dạng nick chat. Bằng cách giả một nick chat của người quen để tiến hành trò chuyện và yêu cầu cung cấp thông tin hoặc lừa đảo làm một việc gì đó. Gần đây ở Việt Nam nở rộ tình trang lừa đảo này. Nhiều người dùng chat với bạn bè người thân của mình, và họ được nhờ vã việc nạp tiền điện thoại di động. Nạn nhân vì thấy nick đang chat là của người quen nên không chút ngần ngại nào trong việc được nhờ vã này. Trojaned Hosts Như đã nói ở phần trước, lừa đảo không những chỉ nhắm đến những thông tin cá nhân của nạn nhân, mà còn nhiều hình thứ khác. Một kiểu lừa đảo khác là lừa cho nạn nhân cài vào máy tính của mình một phần mềm gián điệp. Phần mềm gián điệp (tronjan, keylog) này sẽ phục vụ cho một mục đích tấn công khác. Điển hình của công việc này là nạn nhân bị nhiễm tronjan và trở thành một máy tính con trong một cuộc tấn công tổng thế trên diện rộng. 4. Quá Trình Phising Từ đầu đến cuối của một vụ lừa đảo phising bao gồm các khâu sau. 1. Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh nghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ email khách hàng của doanh nghiệp đó. Chúng thường sử dụng cách gửi nhiều email và phương pháp thu thập địa chỉ email như những spammer. 2. Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ tìm cách để phát tán email và thu thập dữ liệu. Thông thường, chúng sử dụng địa chỉ email và một trang web nào đó. 3. Tấn công: Đây là bước mọi người đều biết – phisher sẽ gửi một thông báo giả mạo, như đến từ một nguồn đáng tin cậy. 4. Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang Web hoặc các cửa sổ pop-up. 5. Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúng thu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiện lừa đảo. Nếu những kẻ lừa đảo trực tuyến muốn sắp xếp một cuộc tấn công khác, hắn sẽ xác định tỷ lệ thành công và thất bại của một vụ lừa đảo đã thành công rồi bắt đầu lại quá trình. 5. Các Kiểu Lừa Đảo Của Phising Dựa vào những phương thức trên, những kẽ lừa đảo bắt đầu tiến hành quá trình lừa đảo. Căn cứ theo cách thức hoạt động, người ta phân loại những cuộc tấn công lừa đảo ra thành các loại sau. Man-in-the-Middle Attacks Ở kỹ thuật này, máy tính của attacker được xem như là máy tính trung gian giữa máy tính của người dùng và website thật. Attecker dựng lên một máy tính trung gian để nhận dữ liệu của người dùng và chuyển nó cho website thật. Hoặc nhận dữ liệu của website thật rồi chuyển cho người dùng. Dữ liệu khi chuyển qua lại sẽ được lưu trữ lại tại máy tính của attecker. Thoạt nghe mô tả này chúng ta nghỉ ngay đến chức năng của Proxy Server. Đúng vậy, do đó proxy chính là những nơi không tin cậy cho lắm khi chúng ta truy cập web thông qua nó. Những kẽ tấn công sẽ dựng lên một Proxy Server với lời mời gọi sử dụng được tung ra internet. Vì lý do gì đó (để giả ip trong mua bán hàng qua mạng) người dùng sẽ tìm đến proxy server này để nhở giúp đỡ trong việc truy cập web. Và thế là vô tình người trở thành con mồi cho bọn hacker. Những kẽ tấn công ngoài việc dựng lên proxy server rồi dụ con mồi đến còn nghĩ đến việc tấn công vào các proxy server này để lấy dữ liệu. Bằng những kỹ thuật tấn công nào khác, hacker xâm nhập hệ thống lưu trữ của proxy để lấy dữ liệu, phân tích và có được những thứ mà họ cần. Một cách khác để tấn công trong kỹ thuật này, là tìm cách làm lệch đường đi của gói dữ liệu. Thay vì phải chuyển gói tin đến cho web server, thì đằng này là chuyển đến máy tính của hacker trước, rồi sau đó máy tính của hacker sẽ thực hiện công việc chuyển gói tin đi tiếp. Để làm điều này, hacker có thể sử dụng kỹ thuật DNS Cache Poisoning – là kỹ thuật làm lệch đường đi của gói dữ liệu bằng cách làm sai kết quả phân giải địa chỉ của DNS. Một điểm cần lưu ý rằng, kỹ thuật tấn công này không phân biệt giao thức web là HTTP hay HTTPS. URL Obfuscation Attacks Làm giả URL là kỹ thuật tiếp theo mà chúng ta sẽ bàn đến. Trong kỹ thuật, attacker sẽ làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập vào web này. Ví dụ như thay vì truy cập thì lại truy cập vào website Kỹ thuật của việc làm thay đổi một chút xíu về URL như thế được gọi là “dotless ip addresses”, Mọi người nghĩ rằng việc này đơn giãn, tuy nhiên nó không dẽ chút nào đâu. Bạn có thể tìm hiểu về kỹ thuật này tại địa chỉ Obfuscation.html Cross-site Scripting Attacks Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS. Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML. Kĩ thuật tấn công XSS đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web Applications và mối đe doạ của chúng đối với người sử dụng ngày càng lớn. Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu (request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá tầm kiểm soát của server. Nó có thể là một request được gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL như là was found !'); Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !". Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế bằng một file nguồn trên một server khác thông qua thuộc tính src của thẻ script. Cũng chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS. Nhưng nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó. Tất nhiên đôi khi các hacker cũng sử dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website. Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ thống website nằm trên server. Mục tiêu tấn công của XSS không ai khác chính là những người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn có thể sẽ bị cài các loại virus, backdoor, worm Hidden Attacks Attacker sử dụng các ngôn ngữ lập trình HTML, DHTML, hoặc ngôn ngữ dạng script khác để chèn vào trình duyệt của người dùng. Hoặc sử dụng các ký tự đặc biệt để đánh lừa người dùng. Những phương thức thường được attacker sử dụng là làm ẩn các frame. Các Frame sẽ được attacker làm ẩn đi trên trình duyệt của người dùng, qua đó attacker có thể chèn vào những đoạn mã đọc. Một cách khác để tấn công là ghi đè nội dung trang web hoặc thay đổi hình ảnh trên trang web. Qua những nội dung bị thay đổi này, attaker sẽ chèn những đoạn mã độc hại vào đó. 6. Chống Lừa Đảo Trực Tuyến Các bước bạn thường dùng để bảo vệ máy tính của bạn như sử dụng firewall và phần mềm diệt virus, cũng có thể giúp bạn tránh khỏi lừa đảo trực tuyến. Bạn có thể hiển thị chứng chỉ số SSL của trang Web và bản kê in sẵn của ngân hàng hoặc thẻ tín dụng để có thêm những biện pháp bảo mật. Ngoài ra, phisher có xu hướng để lại một số dấu hiệu trong email thông báo và địa chỉ Web. Khi bạn đọc email, hãy chú ý tới: 1. Các câu chào chung chung, như “Dear Customer”. Nếu ngân hàng bạn đang gửi tiền gửi cho bạn một thông báo chính thức, sẽ có tên đầy đủ của bạn trong đó (gần đây một số phisher đã chuyển sang kiểu lừa mới - spear phishing – bao gồm thông tin cá nhân của bạn) 2. Đe dọa về tài khoản của bạn và yêu cầu người dùng phải có hành động ngay, ví dụ như “hãy trả lời trong vòng 5 ngày, nếu không chúng tôi sẽ đóng tài khoản của bạn”. 3. Yêu cầu thông tin cá nhân. Hầu hết các doanh nghiệp không yêu cầu bạn cung cấp thông tin cá nhân thông qua điện thoại hoặc email trước khi lừa đảo trực tuyến trở nên phổ biến. 4. Những đường link khả nghi. Đường link dài hơn bình thường, sai chính tả cũng có thể là dấu hiệu của lừa đảo trực tuyến. Sẽ an toàn hơn nếu bạn địa chỉ của trang Web trong trình duyệt, hơn là kích vào bất kì đường link nào trong email. 5. Sai chính tả trầm trọng May mắn thay, các doanh nghiệp và chính phủ vẫn đang chiến đấu với nạn lừa đảo trực tuyến. Cuối năm 2006, chính phủ Mỹ đã hướng dẫn các ngân hàng sử dụng các phương pháp bảo mật, bao gồm cả mật khẩu lẫn các phương pháp như thẻ bài xác nhận, máy quét vân tay, đối với giao dịch trực tuyến. Rất nhiều nhà cung cấp dịch vụ Internet (ISP) và lập trình viên đã cung cấp những thanh công cụ phishing giúp nhận dạng bảo mật, thông báo cho bạn những địa chỉ bạn muốn truy cập đã được đằng kí và xử lý. Họ cũng cung cấp những công cụ thông báo hiện tượng phishing. Các phần mềm khác sử dụng các dấu hiệu nhận biết để xác nhận bạn đã truycập địa chỉ hợp pháp. Đối mặt với phishing Nếu nhận được một email mà bạn tin là của những kẻ lừa đảo trực tuyến, bạn không nên: trả lời lại, kích vào đường link có trong email hoặc điền những thông tin cá nhân. Thay vào đó, bạn nên tìm cách thông báo với doanh nghiệp đang bị chúng giả mạo. sử dụng trang Web hoặc số điện thoại của họ hơn là đi theo các đường link trong email giả mạo. Nếu bạn tin rằng mình đã gửi thong tin cá nhân