Spearphishing - Câu chuyện đằng sau những con số

Hợp Trương| 05/10/2019 20:52
Theo dõi ICTVietnam trên

Thật khó khi nói về tội phạm mạng mà không sử dụng cụm từ "phishing" (lừa đảo). Đây là nơi một hacker gửi cho bạn một liên kết nhìn có vẻ hợp pháp, từ một nguồn có vẻ hợp pháp. Tất nhiên, vấn đề là liên kết trong câu hỏi được tạo ra với mục đích duy nhất là đánh cắp tiền hoặc dữ liệu của bạn.

uncaptioned

Loại tội phạm này đã tồn tại hơn 20 năm và cực kỳ nguy hiểm. Một điều thậm chí còn nguy hiểm hơn là một loại tấn công lừa đảo có tên gọi Spearphising. Spear phishing thực chất là một cuộc tấn công lừa đảo được nhắm mục tiêu và nghiên cứu kỹ lưỡng. Đây là một phương pháp mà bọn tội phạm mạng sử dụng kỹ thuật nhắm mục tiêu để lừa bạn tin rằng, bạn đã nhận được một email hợp pháp từ một đối tượng đã biết, yêu cầu bạn cung cấp thông tin của mình. Email có thể là từ một người hoặc bất kỳ tổ chức nào mà bạn biết.

Một câu chuyện về sự thận trọng

Giả sử tôi là một tội phạm mạng và có một tổ chức mà tôi muốn tấn công. Có thể tổ chức đủ lớn để có những thông tin hoặc tài sản tôi muốn đánh cắp, nhưng không lớn đến mức tổ chức coi trọng an ninh mạng của mình. Với rất nhiều thông tin về các công ty trực tuyến, việc nghiên cứu một danh sách mục tiêu như thế này là rất dễ dàng. Khi tôi đã đưa ra lựa chọn của mình về một công ty, tôi chuyển sang bước tạo một chức danh công việc.

Tôi bắt đầu lập danh sách các loại vị trí trong công ty có thể có quyền truy cập vào những thứ mà tôi đang tìm cách đánh cắp. Khi tôi có các danh mục chức danh, tôi có thể tra cứu các chức danh này trên trang web của công ty, tìm kiếm chúng trên LinkedIn hoặc thậm chí gọi cho quầy lễ tân và hỏi tên của phó chủ tịch.

Khi tôi có một danh sách các tên mà tôi tin rằng có thể là con đường dẫn đến những thứ mà tôi tìm kiếm, tôi bắt đầu nghiên cứu tên của chúng. Chỉ cần nhập tên của người đó lên Google và tôi có thể thu thập được hàng loạt thông tin quan trọng. Giả sử mục tiêu mong muốn của tôi có tên là Bob Important, và bằng cách trên Google nhập tên của đối tượng, tôi phát hiện ra anh ấy có tài khoản Facebook. Tôi nhấp vào tài khoản Facebook của Bob, nhưng Bob đủ thông minh để biết cách khóa quyền riêng tư của tài khoản của mình, vì vậy tôi chưa thể tìm thấy bất cứ thông tin gì. Nhưng mặc dù anh ấy đã khóa quyền riêng tư trong tài khoản của mình, anh ấy đã không bấm riêng vào tùy chọn “Ai có thể xem danh sách Bạn bè của bạn?” và đánh dấu là "Chỉ bạn bè" hoặc "Riêng tư". Mặc dù tôi không thể nhìn thấy thông tin về Bob, nhưng tôi có thể biết bạn bè của anh ấy là ai.

Tôi chọn một trong những người bạn của Bob Important một cách ngẫu nhiên, tôi lấy ví dụ một người bạn của Bob là Sally Friend và tôi nhấp vào tài khoản của cô ấy. Tài khoản của cô ấy cũng là riêng tư, nhưng điều đó không quan trọng vì tôi không cần tài khoản của cô ấy - tôi chỉ cần lưu hình ảnh của cô ấy. Tôi có thể lưu nó ngay từ Facebook hoặc vào Google hình ảnh, tìm kiếm tên của cô ấy và từ đó tôi có thể tải xuống hình ảnh của Sally.

Tại thời điểm này, tôi tạo một tài khoản Facebook khác và tự gọi mình là Sally Friend và tôi sử dụng hình ảnh thực tế của Sally Friend làm ảnh đại diện. Hãy nhớ rằng, tôi không thực sự cần hack tài khoản của Sally, Bob hoặc bất cứ ai vào thời điểm này. Tôi chỉ đơn giản là sử dụng thông tin có sẵn trên mạng xã hội.

Khi tôi đã tạo tài khoản Facebook Sally Friend giả mạo của mình, tôi gửi yêu cầu kết bạn tới Bob Important. Sau khi anh ta chấp nhận yêu cầu kết bạn từ Sally giả, anh ta hiện có hai Sally trong danh sách bạn bè trên Facebook của mình. Một là Sally thật và một là tội phạm mạng.

Bây giờ với tư cách là tội phạm mạng, tôi thấy mọi thứ tôi cần biết về Bob để xây dựng một cuộc tấn công spearphishing hiệu quả. Tôi biết anh ấy đã kết hôn hay chưa, sinh nhật, sở thích, tên của các thành viên trong gia đình và những gì anh ấy đã làm vào cuối tuần. Tôi có thể sử dụng những kiến ​​thức đó để gửi cho anh ấy một thông điệp rất thuyết phục. Không chỉ vậy, đây sẽ là một tin nhắn từ một nguồn đáng tin cậy.

Tin nhắn của tôi chỉ đơn giản là: “Này Bob, tôi biết anh rất thích bộ phim Avengers. Hãy xem đoạn trailer mới tuyệt vời này”. Và cũng như vậy, tôi có thể thuyết phục anh ấy nhấp vào một liên kết tôi đã thêm vào thông điệp được thiết kế cho mục đích duy nhất là tạo ra sự phá hoại.

Những gì các doanh nghiệp có thể làm để ngăn chặn các cuộc tấn công Sphear Fishing

Đây chỉ là một ví dụ về một cuộc tấn công spear phishing. Điều quan trọng là phải kể qua những câu chuyện như thế này với nhóm của bạn, để giải thích cho họ rằng những câu chuyện đằng sau những con số về số vụ vi phạm trên thực tế là rất thật. Tội phạm mạng thích thú khi người dùng thường chỉ lướt qua và tưởng nó là thật, rơi vào những thói quen thông thường và tiếp tục nhấp vào bất cứ đường link nào được hiển thị. Cách duy nhất người dùng có thể chiến thắng trong cuộc chiến chống tội phạm mạng là trước tiên hiểu rằng chúng ta thực sự đang chiến đấu, và cách tốt nhất để làm điều đó là chia sẻ những câu chuyện về cách các kịch bản này diễn ra.

Ngoài nhận thức thông qua các câu chuyện, các tổ chức nên tiến hành tìm kiếm thường xuyên để phát hiện các email lừa đảo. Những cuộc tấn công này được cá nhân hóa đến mức nhân viên thậm chí không thể nhận ra nếu nó xảy ra. Và cho dù bạn đang tìm cách bảo vệ tổ chức của mình hay chỉ các tài khoản cá nhân của mình, thì nó luôn luôn là một ý tưởng tốt để tận dụng xác thực đa yếu tố. Có nhiều phiên bản miễn phí này cung cấp một lớp bảo mật bổ sung tuyệt vời qua tên người dùng và mật khẩu đơn giản. Một ví dụ về điều này là khi nền tảng phương tiện truyền thông xã hội của bạn yêu cầu bạn cung cấp số điện thoại của bạn. Sau đó, nó có thể nhắn tin cho bạn để xác minh bạn thực sự là bạn.

Với tất cả những gì đã nói, cách tuyệt đối tốt nhất để tránh spearphishing là không bao giờ nhấp trực tiếp vào một liên kết được gửi cho bạn - ngay cả khi nó dường như là từ một người bạn. Mở một cửa sổ tìm kiếm riêng biệt và nghiên cứu liên kết đầu tiên. Hãy tự hỏi mình: "Tôi có mong đợi điều này hay không? Có điều gì trong số này có ý nghĩa gì không?" Và nếu người gửi email cho bạn đang yêu cầu một số dữ liệu nhạy cảm, hãy xem xét việc gọi lại cho người mà bạn nghĩ đã gửi email cho mình và xác nhận với họ rằng thực tế họ là những người yêu cầu thông tin.

Khi nói đến spear phishing, một vài phút thận trọng có thể giúp bạn tiết kiệm hàng giờ, hàng ngày và thậm chí có thể nhiều năm tránh xa rắc rối.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Chuyển đổi số thành công không thể thiếu “niềm tin số”
    Muốn triển khai hiệu quả chiến lược số hóa quốc gia cần triển khai theo hướng tiếp cận từ trên xuống dưới và phải phù hợp với thực tế, đảm bảo có tầm nhìn rộng trong tương lai.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
Spearphishing - Câu chuyện đằng sau những con số
POWERED BY ONECMS - A PRODUCT OF NEKO