Là một phương thức tấn công thuộc kiểu social engineering. Tuy đơn giản, nhưng phương thức này hoạt động hiệu quả.
Different Types of Phishing
Tất cả các loại phishing đều dựa trên social engineering và hành động của người dùng để hoạt động. Có thể phân thành các loại sau:
- Vishing (voice phishing): các cuộc gọi lừa đảo, mạo danh, đe dọa, …
- Smishing (SMS phishing): cũng là lừa đảo nhưng thông qua tin nhắn và có thể gửi cả những liên kết độc hại.
- Web Pages: gửi những trang web giả mạo để lừa người dùng nhập vào thông tin tài khoản.
Phishing có thể được phân loại tùy thuộc vào các đối tượng tấn công. Các hacker có thể gửi hàng loạt các tin nhắn spam vào các cá nhân thuộc một tổ chức nào đó và chờ có một nạn nhân xấu số nào đó “lọt lưới”. Nếu các hacker có trước mục tiêu trong đầu và tìm hiểu về mục tiêu đó, sau đó gửi một email có vẻ như là tin cậy mà chứa các thông tin liên quan đến mục tiêu thì đó được gọi là spear phishing (có thể hiểu như là dùng ngọn giáo để đâm vào một con cá duy nhất).
Nếu hacker cải trang thành CEO của công ty hoặc chức gì đó tương tự và nhắm đến các seniors hoặc trưởng phòng của công ty thì cuộc tấn công này được gọi là whaling.
Dù cho là lừa đảo nạn nhân để chuyển tiền, để thu thập các thông tin tài khoản hay là để tải xuống các malware thì con người sẽ luôn được xem là mục tiêu đầu tiên trong các cuộc tấn công phishing.
How Does Phishing Work
Kẻ tấn công có thể sử dụng những phương thức không cần nhiều kỹ thuật, chẳng hạn như gửi email hoặc gọi điện để thực hiện lừa đảo. Ngoài những cách này, chúng còn có thể:
- Nhúng mã độc vào file PDF hoặc Word.
- Gắn kèm malware vào email.
- Tấn công social engineering khiến cho nạn nhân tải về và thực thi mã độc.
Email Spoofing
Tấn công bằng cách giả mạo các header của email.
Chúng ta có thể xem các header này thông qua option “show original” (của Gmail) như sau:
Các header này chứa nhiều thông tin có giá trị chẳng hạn như địa chỉ email để reply, IP của người gửi, … Ngoài ra, nó còn cho biết rằng email có thông qua được những giao thức chống giả mạo chẳng hạn như SPF hay DKIM hay không.
Đó là lý do mà có một số email tự động được gửi vào thư mục spam.
Bên dưới là một email không pass được SPF:
Web Pages
Sử dụng các trang web để thu thập thông tin tài khoản là một công cụ phishing cực kỳ hiệu quả.
Bởi vì các trang này thường điều hướng người dùng đến một trang web hợp lệ sau khi người dùng nhập vào thông tin tài khoản nên nạn nhân không hề hay biết là mình đã bị đánh cắp tài khoản. Các trang web phishing đôi khi còn khuyến khích chúng ta tải malware.
Kẻ tấn công thường tạo ra các trang web có tên miền gần giống với trang gốc, chẳng hạn như faacebook.com hoặc instagam.com để đánh lừa người dùng. Đây gọi là kỹ thuật typosquatting.
Thậm chí các hacker còn che đậy tên miền của chúng thông qua các công cụ rút ngắn liên kết (URL Shortener) chẳng hạn như Bitly.
Detection Techniques
Có thể dễ dàng nhận biết các phishing email hơn là các trang web.
Example 1
Trong ví dụ này, địa chỉ email của người gửi có tên miền là @gmail. Nên nhớ rằng bất cứ ai cũng có thể tạo ra một tài khoản có tên miền này. Tài khoản email chính chủ của PayPal thường có tên miền là @paypal.com.
Ngoài ra, chúng ta có thể mở devtools hoặc là công cụ nào đó tương tự để xem mã nguồn nhằm biết được các nút bấm hoặc liên kết sẽ dẫn chúng ta đi đâu.
Example 2
Có thể thấy, tên miền của đường dẫn là “goodle.com” thay vì “google.com”, đây hiển nhiên là một email lừa đảo và đường dẫn kia chắc chắn cũng sẽ là một trang web lừa đảo.
Example 3
Dấu hiệu đầu tiên giúp ta biết rằng trang web này là một trang web lừa đảo nằm ở tên miền của nó. Social Security là một chương trình hỗ trợ những người nghỉ hưu, người khuyết tật hoặc người không có khả năng tạo ra thu nhập của Mỹ. Vì lý do này mà tên miền của trang web nên là .gov thay vì .com.
Dấu hiệu thứ hai là trang web này không hề có option quên mật khẩu.