Spearphishing - Câu chuyện đằng sau những con số

Hợp Trương| 05/10/2019 20:52
Theo dõi ICTVietnam trên

Thật khó khi nói về tội phạm mạng mà không sử dụng cụm từ "phishing" (lừa đảo). Đây là nơi một hacker gửi cho bạn một liên kết nhìn có vẻ hợp pháp, từ một nguồn có vẻ hợp pháp. Tất nhiên, vấn đề là liên kết trong câu hỏi được tạo ra với mục đích duy nhất là đánh cắp tiền hoặc dữ liệu của bạn.

uncaptioned

Loại tội phạm này đã tồn tại hơn 20 năm và cực kỳ nguy hiểm. Một điều thậm chí còn nguy hiểm hơn là một loại tấn công lừa đảo có tên gọi Spearphising. Spear phishing thực chất là một cuộc tấn công lừa đảo được nhắm mục tiêu và nghiên cứu kỹ lưỡng. Đây là một phương pháp mà bọn tội phạm mạng sử dụng kỹ thuật nhắm mục tiêu để lừa bạn tin rằng, bạn đã nhận được một email hợp pháp từ một đối tượng đã biết, yêu cầu bạn cung cấp thông tin của mình. Email có thể là từ một người hoặc bất kỳ tổ chức nào mà bạn biết.

Một câu chuyện về sự thận trọng

Giả sử tôi là một tội phạm mạng và có một tổ chức mà tôi muốn tấn công. Có thể tổ chức đủ lớn để có những thông tin hoặc tài sản tôi muốn đánh cắp, nhưng không lớn đến mức tổ chức coi trọng an ninh mạng của mình. Với rất nhiều thông tin về các công ty trực tuyến, việc nghiên cứu một danh sách mục tiêu như thế này là rất dễ dàng. Khi tôi đã đưa ra lựa chọn của mình về một công ty, tôi chuyển sang bước tạo một chức danh công việc.

Tôi bắt đầu lập danh sách các loại vị trí trong công ty có thể có quyền truy cập vào những thứ mà tôi đang tìm cách đánh cắp. Khi tôi có các danh mục chức danh, tôi có thể tra cứu các chức danh này trên trang web của công ty, tìm kiếm chúng trên LinkedIn hoặc thậm chí gọi cho quầy lễ tân và hỏi tên của phó chủ tịch.

Khi tôi có một danh sách các tên mà tôi tin rằng có thể là con đường dẫn đến những thứ mà tôi tìm kiếm, tôi bắt đầu nghiên cứu tên của chúng. Chỉ cần nhập tên của người đó lên Google và tôi có thể thu thập được hàng loạt thông tin quan trọng. Giả sử mục tiêu mong muốn của tôi có tên là Bob Important, và bằng cách trên Google nhập tên của đối tượng, tôi phát hiện ra anh ấy có tài khoản Facebook. Tôi nhấp vào tài khoản Facebook của Bob, nhưng Bob đủ thông minh để biết cách khóa quyền riêng tư của tài khoản của mình, vì vậy tôi chưa thể tìm thấy bất cứ thông tin gì. Nhưng mặc dù anh ấy đã khóa quyền riêng tư trong tài khoản của mình, anh ấy đã không bấm riêng vào tùy chọn “Ai có thể xem danh sách Bạn bè của bạn?” và đánh dấu là "Chỉ bạn bè" hoặc "Riêng tư". Mặc dù tôi không thể nhìn thấy thông tin về Bob, nhưng tôi có thể biết bạn bè của anh ấy là ai.

Tôi chọn một trong những người bạn của Bob Important một cách ngẫu nhiên, tôi lấy ví dụ một người bạn của Bob là Sally Friend và tôi nhấp vào tài khoản của cô ấy. Tài khoản của cô ấy cũng là riêng tư, nhưng điều đó không quan trọng vì tôi không cần tài khoản của cô ấy - tôi chỉ cần lưu hình ảnh của cô ấy. Tôi có thể lưu nó ngay từ Facebook hoặc vào Google hình ảnh, tìm kiếm tên của cô ấy và từ đó tôi có thể tải xuống hình ảnh của Sally.

Tại thời điểm này, tôi tạo một tài khoản Facebook khác và tự gọi mình là Sally Friend và tôi sử dụng hình ảnh thực tế của Sally Friend làm ảnh đại diện. Hãy nhớ rằng, tôi không thực sự cần hack tài khoản của Sally, Bob hoặc bất cứ ai vào thời điểm này. Tôi chỉ đơn giản là sử dụng thông tin có sẵn trên mạng xã hội.

Khi tôi đã tạo tài khoản Facebook Sally Friend giả mạo của mình, tôi gửi yêu cầu kết bạn tới Bob Important. Sau khi anh ta chấp nhận yêu cầu kết bạn từ Sally giả, anh ta hiện có hai Sally trong danh sách bạn bè trên Facebook của mình. Một là Sally thật và một là tội phạm mạng.

Bây giờ với tư cách là tội phạm mạng, tôi thấy mọi thứ tôi cần biết về Bob để xây dựng một cuộc tấn công spearphishing hiệu quả. Tôi biết anh ấy đã kết hôn hay chưa, sinh nhật, sở thích, tên của các thành viên trong gia đình và những gì anh ấy đã làm vào cuối tuần. Tôi có thể sử dụng những kiến ​​thức đó để gửi cho anh ấy một thông điệp rất thuyết phục. Không chỉ vậy, đây sẽ là một tin nhắn từ một nguồn đáng tin cậy.

Tin nhắn của tôi chỉ đơn giản là: “Này Bob, tôi biết anh rất thích bộ phim Avengers. Hãy xem đoạn trailer mới tuyệt vời này”. Và cũng như vậy, tôi có thể thuyết phục anh ấy nhấp vào một liên kết tôi đã thêm vào thông điệp được thiết kế cho mục đích duy nhất là tạo ra sự phá hoại.

Những gì các doanh nghiệp có thể làm để ngăn chặn các cuộc tấn công Sphear Fishing

Đây chỉ là một ví dụ về một cuộc tấn công spear phishing. Điều quan trọng là phải kể qua những câu chuyện như thế này với nhóm của bạn, để giải thích cho họ rằng những câu chuyện đằng sau những con số về số vụ vi phạm trên thực tế là rất thật. Tội phạm mạng thích thú khi người dùng thường chỉ lướt qua và tưởng nó là thật, rơi vào những thói quen thông thường và tiếp tục nhấp vào bất cứ đường link nào được hiển thị. Cách duy nhất người dùng có thể chiến thắng trong cuộc chiến chống tội phạm mạng là trước tiên hiểu rằng chúng ta thực sự đang chiến đấu, và cách tốt nhất để làm điều đó là chia sẻ những câu chuyện về cách các kịch bản này diễn ra.

Ngoài nhận thức thông qua các câu chuyện, các tổ chức nên tiến hành tìm kiếm thường xuyên để phát hiện các email lừa đảo. Những cuộc tấn công này được cá nhân hóa đến mức nhân viên thậm chí không thể nhận ra nếu nó xảy ra. Và cho dù bạn đang tìm cách bảo vệ tổ chức của mình hay chỉ các tài khoản cá nhân của mình, thì nó luôn luôn là một ý tưởng tốt để tận dụng xác thực đa yếu tố. Có nhiều phiên bản miễn phí này cung cấp một lớp bảo mật bổ sung tuyệt vời qua tên người dùng và mật khẩu đơn giản. Một ví dụ về điều này là khi nền tảng phương tiện truyền thông xã hội của bạn yêu cầu bạn cung cấp số điện thoại của bạn. Sau đó, nó có thể nhắn tin cho bạn để xác minh bạn thực sự là bạn.

Với tất cả những gì đã nói, cách tuyệt đối tốt nhất để tránh spearphishing là không bao giờ nhấp trực tiếp vào một liên kết được gửi cho bạn - ngay cả khi nó dường như là từ một người bạn. Mở một cửa sổ tìm kiếm riêng biệt và nghiên cứu liên kết đầu tiên. Hãy tự hỏi mình: "Tôi có mong đợi điều này hay không? Có điều gì trong số này có ý nghĩa gì không?" Và nếu người gửi email cho bạn đang yêu cầu một số dữ liệu nhạy cảm, hãy xem xét việc gọi lại cho người mà bạn nghĩ đã gửi email cho mình và xác nhận với họ rằng thực tế họ là những người yêu cầu thông tin.

Khi nói đến spear phishing, một vài phút thận trọng có thể giúp bạn tiết kiệm hàng giờ, hàng ngày và thậm chí có thể nhiều năm tránh xa rắc rối.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Spearphishing - Câu chuyện đằng sau những con số
POWERED BY ONECMS - A PRODUCT OF NEKO