Phising attack – P2: Các kiểu tấn công lừa đảo

Tháng Chín 16, 2022
Chuyên mục: Cẩm nang an toàn, Công cụ bảo mật

Chúng ta đã tìm hiểu sơ về Phishing attack (tấn công lừa đảo) tuy nhiên còn nhiều loại hình tấn công khác mà chúng tôi muốn giới thiệu với bạn. Theo nghiên cứu của Barracuda, , phishing attack đã trở nên tràn lan đến mức số lượng các cuộc tấn công giả mạo liên quan đến coronavirus đã tăng 667% từ tháng 1 đến tháng 3 năm 2021. Điều đáng báo động hơn nữa là theo một nghiên cứu của Intel, có tới 97% người dùng không thể nhận ra email phishing. Những con số rất đáng báo động.

1. Phishing qua email (Email Phishing)

Theo phương thức này, các email thường giả dạng các công ty, tổ chức uy tính. Đây là kiểu tấn công ít phức tạp nhất. Chúng không nhắm đến một người cụ thể mà thường được gửi đến hàng triệu người dùng với hy vọng rằng một số người cả tin sẽ nhấp vào liên kết, tải xuống tệp hoặc làm theo hướng dẫn trong email.

Các email và tin nhắn dạng này thường không gọi tên người nhận mà dùng các đại từ chung chung. Đôi khi họ sẽ dùng bot để tự lấy tên email, facebook của bạn. Đó là lý do vì sao tôi thường để format tên trên Facebook khác thông thường để khỏi bị vạ lây. Đặc biệt các email dạng này thường nhấn mạnh vào tính khẩn cấp để tạo cảm giác thúc ép người đọc. Như chỉ còn vài giờ, chỉ trong trong ngày hôm nay v.v…

2. Spear phishing

Đấy là loại hình phức tạp hơn khi nhắm đến một cá nhân, tổ chức cụ thể. Từ đó chúng xây dựng kế hoạch khai thác thông tin và tấn công liên tục khiến nạn nhân rất khó để thoát. Nói vậy không có nghĩa là Spear Phishing chỉ nhắm đến các cá nhân nổi tiếng hoặc công ty tập đoàn mà thực tế là bất cứ ai để lộ thông tin hớ hên trên mạng đủ nhiều thì lại càng dễ trở thành nạn nhân.

Những kẻ lừa đảo nghiên cứu sâu rộng về nạn nhân, lý lịch của họ hoặc những người mà họ thường xuyên tương tác để có thể tạo ra một thông điệp cá nhân hơn. Bởi vậy nạn nhân của nó thường không nghĩ rằng có gì đó không ổn.

3. Whaling (Săn cá voi)

Thuật ngữ cá voi thường được dùng cho những đối tượng dễ khai thác về mặt kinh tế. Săn được 1 lần là vô được một mớ. Các ca voi thường là người nổi tiếng, CEO, người giàu có v.v… Những kẻ tấn công sẽ dành nhiều thời gian để nghiên cứu sâu rộng về nạn nhân và tạo ra một thông điệp chuyên biệt nhắm vào những người chủ chốt trong một tổ chức, những người thường có quyền truy cập vào các tài khoản hoặc thông tin nhạy cảm.

Nạn nhân sẽ được gửi liên kết đến một trang đăng nhập trông có vẻ thuyết phục, qua đó tin tặc sẽ lấy được mã truy cập hoặc thông tin đăng nhập. Một số tội phạm mạng cũng sẽ yêu cầu nạn nhân tải xuống tệp đính kèm để xem phần còn lại của trát đòi hầu tòa hoặc thư. Các tệp đính kèm này có phần mềm độc hại có thể xâm nhập vào máy tính.

4. Vishing

Vishing (kết hợp của voice – giọng nói và phishing) hoặc lừa đảo bằng giọng nói là một loại phishing nhưng thay vì gửi email, những kẻ tấn công sẽ cố gắng lấy thông tin đăng nhập hoặc chi tiết ngân hàng qua điện thoại.

Những kẻ tấn công sẽ đóng giả nhân viên từ một tổ chức hoặc nhân viên hỗ trợ từ một công ty dịch vụ, sau đó sử dụng nhiều mánh khóe để yêu cầu nạn nhân cung cấp thông tin chi tiết về ngân hàng hoặc thẻ tín dụng.

Chúng có thể thông báo cho nạn nhân về một số tiền quá hạn như thuế, tiền thắng cuộc thi hoặc đóng giả một nhân viên hỗ trợ công nghệ yêu cầu quyền truy cập từ xa vào máy tính. Chúng cũng có thể sử dụng tin nhắn được ghi âm trước và giả mạo số điện thoại, khiến một cuộc gọi từ nước ngoài trông giống như từ nội địa. Điều này được thực hiện nhằm giúp cuộc tấn công đáng tin hơn và khiến nạn nhân tin rằng cuộc gọi là hợp pháp.

Các chuyên gia khuyên mọi người không bao giờ cung cấp thông tin nhạy cảm như chi tiết đăng nhập, số CMND hoặc chi tiết ngân hàng và thẻ tín dụng qua điện thoại. Hãy gác máy và gọi ngay cho ngân hàng hoặc nhà cung cấp dịch vụ của bạn.

DSHvietnam