Cách nhận dạng email lừa đảo

Các mối đe dọa bảo mật diễn ra dưới rất nhiều hình thức và quy mô. Bạn có thể đã nghe nói về virus, trojan, keylogger và gần đây là ransomware. Vậy chúng có điểm gì chung? Tất cả chúng đều có thể là kết quả của các trò lừa đảo.

Tin tặc sử dụng con mồi - thường ở dạng một file hoặc liên kết có vẻ hợp pháp - để "lừa đảo" nạn nhân. Và bởi trò lừa đảo này thường lây lan qua email, nên rất khó để phần mềm bảo mật có thể loại bỏ nó. Vì vậy, nó rất nguy hiểm.

100 tỷ email được gửi mỗi ngày! Hãy xem hộp thư đến của chính bạn. Bạn có thể có một vài ưu đãi bán lẻ, có thể là bản cập nhật từ ngân hàng của bạn hoặc những bức ảnh từ kỳ nghỉ của một người bạn. Cho dù những email đó đến từ các cửa hàng trực tuyến, ngân hàng hay bạn của bạn, thì làm sao bạn dám chắc chúng không phải là lừa đảo?

Phishing là gì?

Phishing là một cuộc tấn công quy mô lớn, nơi một hacker sẽ giả mạo một email và làm cho nó có vẻ như đến từ một công ty hợp pháp (ví dụ như ngân hàng), thường lừa người nhận tải xuống phần mềm độc hại hoặc nhập thông tin bí mật vào trang web lừa đảo (một trang web giả vờ là hợp pháp nhưng trên thực tế, nó là một trang web giả mạo được sử dụng để lừa đảo mọi người làm mất dữ liệu của họ), nơi mà hacker sẽ truy cập được. Các cuộc tấn công lừa đảo có thể được gửi tới một số lượng lớn người nhận email, và chỉ cần một số lượng nhỏ người mắc bẫy thì cuộc tấn công cũng đã thành công rồi.

Phishing là gì?

Spear phishing là gì?

Spear phishing là một loại phishing và thường liên quan đến một cuộc tấn công chuyên dụng chống lại một cá nhân hoặc một tổ chức. Thông thường với spear phishing, kẻ tấn công sẽ mạo danh một cá nhân hoặc một bộ phận của tổ chức. Ví dụ, bạn có thể nhận được một email có vẻ là từ bộ phận CNTT nói rằng bạn cần phải nhập lại thông tin đăng nhập của bạn trên một trang web nhất định hoặc từ bộ phận nhân sự với “các gói lợi ích mới” được đính kèm.

Tại sao phishing là một mối đe dọa?

Phishing gây ra mối đe dọa rất lớn vì khó mà xác định các loại thư này. Một số nghiên cứu đã chỉ ra rằng tới 94% nhân viên không thể tìm ra sự khác biệt giữa email thực và lừa đảo. Do đó, có đến 11% số người nhấp vào các file đính kèm trong các email này, và tất nhiên chúng thường chứa phần mềm độc hại. Một nghiên cứu gần đây từ Intel đã chỉ ra rằng một con số khổng lồ, tới 95% các cuộc tấn công vào các mạng doanh nghiệp là kết quả của spear phishing. Spear phishing rõ ràng không phải là một mối đe dọa có thể xem nhẹ.

Rất khó để mọi người nhận biết sự khác biệt giữa email thực và email giả mạo. Mặc dù đôi khi có những manh mối rất rõ ràng như lỗi chính tả và file đính kèm có phần mở rộng là .exe, v.v…

Ngay cả các chuyên gia cũng trở thành nạn nhân của phishing.

Theo một nghiên cứu của Kapost, có đến 96% các chuyên gia trên toàn thế giới đã không thể tìm ra chính xác 100% sự khác biệt giữa một email thực và một email lừa đảo trong thời gian qua. Điều đáng nói ở đây là ngay cả những người có ý thức bảo mật cao vẫn có thể có nguy cơ trở thành nạn nhân của phishing. Nhưng tỷ lệ này sẽ còn cao hơn nếu không có bất kỳ kiến thức về bảo mật nào.

Thật dễ dàng để tạo một email giả mạo

Bài viết này sẽ chỉ cho bạn cách đơn giản để tạo một email giả mạo, bằng cách sử dụng công cụ SMTP (có thể dễ dàng tải xuống từ Internet). Bạn có thể tạo một domain và nhiều tài khoản người dùng từ máy chủ hoặc trực tiếp từ tài khoản Outlook của riêng mình. Ví dụ, bạn có thể tạo tài khoản là bill.gates@microsoft.com hoặc barrack.obama@whitehouse.gov, hay bất cứ thứ gì bạn muốn.

Sau đó, bạn có thể bắt đầu gửi email với các địa chỉ này ngay lập tức từ Outlook. Điều này cho thấy hacker có thể dễ dàng tạo địa chỉ email và gửi cho bạn một email giả mạo để lấy cắp thông tin cá nhân của bạn như thế nào. Sự thật là bạn có thể mạo danh bất kỳ ai và bất kỳ ai cũng có thể mạo danh bạn mà không gặp khó khăn gì. Tuy nhiên, cũng có một số giải pháp cho vấn đề này, bao gồm Digital Certificate (Chứng chỉ kỹ thuật số).

Digital Certificate là gì?

Một Digital Certificate giống như một hộ chiếu ảo. Nó cho người dùng khác biết rằng bạn là bất kỳ ai bạn muốn. Cũng giống như hộ chiếu được cấp bởi chính phủ, các Digital Certificate được cấp bởi Certificate Authorities - các tổ chức phát hành chứng chỉ (gọi tắt là CA). Giống như cách chính phủ kiểm tra danh tính của bạn trước khi cấp hộ chiếu, CA sẽ có một quá trình gọi là vetting để xác định bạn là ai.

Có nhiều cấp độ kiểm duyệt. Ở dạng đơn giản nhất, CA chỉ kiểm tra xem email có thuộc sở hữu của người nộp đơn hay không. Ở cấp độ thứ hai, CA kiểm tra danh tính (như hộ chiếu, v.v...). Các cấp độ cao hơn sẽ liên quan đến việc xác minh công ty và vị trí thực của cá nhân đó.

Digital certificate cho phép bạn ký và mã hóa điện tử một email. Bài viết này sẽ chỉ tập trung vào việc ký điện tử một email nghĩa là gì.

Sử dụng chữ ký số trong email

Ký điện tử một email làm cho người nhận nghĩ rằng email mà họ nhận được đến từ một nguồn hợp pháp.

Danh tính được xác minh của người gửi được hiển thị rõ ràng trong email. Ngoài việc chứng minh nguồn gốc của email, việc ký điện tử một email còn có:

  • Tính không thể phủ nhận: Vì danh tính của một cá nhân được sử dụng để ký email, nên sau đó, họ không thể phủ nhận rằng họ không phải là người đã ký.
  • Tính toàn vẹn của thông báo: Khi người nhận mở email, ứng dụng email của họ sẽ kiểm tra xem nội dung của email có khớp với nội dung của chữ ký được áp dụng hay không. Ngay cả sự thay đổi nhỏ nhất đối với tài liệu gốc sẽ khiến cho việc kiểm tra này thất bại.

Một ví dụ đáng buồn về nạn nhân của phishing

Câu chuyện có thật: Vài năm trước, một công đã bị buộc phải trả tiền chuộc. Gần như tất cả các file dữ liệu - gồm cả tài liệu Word, bảng tính Excel, v.v... đã bị mã hóa và đánh cắp để đòi tiền chuộc. Tin tặc buộc doanh nghiệp này phải trả 700$ để lấy lại dữ liệu.

Theo một chuyên gia bảo mật được thuê tới để giúp đỡ, ransomware xâm nhập khi có người mở một file đính kèm email, có tên là My resume - một hành động dường như vô hại, đặc biệt là khi công ty đang có nhu cầu tìm kiếm nhân lực.

Phishing cũng có thể dẫn đến việc đánh cắp danh tính và thậm chí vô hiệu hóa bạn ra khỏi chiếc điện thoại của chính mình. Nhưng không phải phần mềm bảo mật sẽ bảo vệ bạn khỏi những mối đe dọa như vậy ư? Đúng là như vậy, nhưng phishing có rất nhiều “chiêu trò” để lừa các nạn nhân: Nó đến dưới hình thức của những email trông có vẻ vô hại và buộc bạn phải hành động - thường khiến bạn nhấp vào một liên kết hoặc mở một file, và thế là bạn trở thành nạn nhân của phishing.

Trong khi nhiều người đã biết điều này và đề cao cảnh giác, thì vẫn còn rất nhiều người có thể trở thành nạn nhân.

Cách phát hiện email giả mạo

Dưới đây là ví dụ về email với một số dấu hiệu lừa đảo. Người nhận trong ví dụ này là của một người sử dụng PayPal.

  • Nhiều người có một vài địa chỉ email. Nhưng thông báo này gửi đến một địa chỉ không được liên kết với tài khoản PayPal. Hơn nữa, trường "To" để trống, một dấu hiệu rõ ràng cho thấy nó không thực sự đến từ PayPal.
  • Ngữ pháp và chính tả sai cũng là dấu hiệu của phishing. Các công ty lớn thuê copywriter (và biên tập viên) chuyên nghiệp để liên lạc qua email.
  • Tên của người nhận bị thiếu. Lời chào chỉ đơn thuần là "Hello, [trống]." PayPal chắc chắn sẽ ghi tên người nhận trong email.
  • Một manh mối quan trọng khác chứng minh đây là email giả mạo: Người này chưa từng đăng ký email này với PayPal. Bây giờ, bạn có thể nghĩ, "Ồ, không, ai đó đã tạo một tài khoản PayPal bằng tên của tôi!". Đây là một chiến thuật được thiết kế để giúp bạn nhấp vào nút xanh lam mời gọi. Sau khi nhấp vào đó, bạn sẽ được chuyển đến một trang web trông khá giống PayPal, với một biểu mẫu yêu cầu tất cả các loại thông tin cá nhân - bao gồm cả số thẻ tín dụng. Ngoài ra, bạn có thể được đưa đến một trang web tàng hình, có thể cài đặt một loạt các phần mềm gián điệp và/hoặc virus vào máy tính/điện thoại của bạn.

Đây là một số ví dụ về phishing khá cẩu thả. Và ngoài kia còn rất nhiều thủ đoạn tinh vi hơn, như thông báo "Tài khoản của bạn đã bị xâm nhập!" hoặc "FedEx có một gói hàng đang chờ bạn" - những email lừa đảo không thể phân biệt được.

Mẹo xác định một email phishing hoặc spoofing

Phishing đang diễn ra tràn lan hơn bao giờ hết, tăng hơn 162% từ năm 2010 đến năm 2014. Chúng khiến các tổ chức trên toàn cầu mất tới 4,5 tỷ đô la mỗi năm và hơn một nửa số người dùng Internet nhận được ít nhất một email lừa đảo mỗi ngày.

Các công ty chống lại các cuộc tấn công lừa đảo bằng cách chặn các email độc hại trước khi chúng tiếp cận khách hàng bằng tiêu chuẩn DMARC (Domain-based Message Authentication Reporting and Conformance).

Nhưng một số email lừa đảo vẫn sẽ được gửi vào hộp thư đến. Và chúng cực kỳ hiệu quả — 97% người trên toàn cầu không thể nhận dạng được email lừa đảo tinh vi.

Dưới đây là 10 mẹo về cách xác định email giả mạo hoặc lừa đảo.

Mẹo 1: Không tin tưởng tên hiển thị

Một chiến thuật lừa đảo yêu thích của tội phạm mạng là giả mạo tên hiển thị của một email. Return Path đã phân tích hơn 760.000 email đe dọa, nhắm mục tiêu vào 40 thương hiệu lớn nhất thế giới và nhận thấy rằng gần một nửa số email giả mạo thương hiệu trong tên hiển thị.

Dưới đây là cách hoạt động: Nếu một kẻ gian lận muốn giả mạo thương hiệu “My Bank”, email có thể trông giống như sau:

Ví dụ

Vì My Bank không sở hữu tên miền “secure.com”, DMARC sẽ không chặn email này thay cho My Bank, ngay cả khi My Bank đã đặt chính sách DMARC cho mybank.com để từ chối các thư không xác thực được. Email lừa đảo này, khi được gửi, xuất hiện hợp pháp vì hầu hết các hộp thư đến của người dùng chỉ có tên hiển thị. Đừng tin vào tên hiển thị. Kiểm tra địa chỉ email trong tiêu đề. Nếu có vẻ đáng ngờ, đừng mở email đó.

Mẹo 2: Xem nhưng không nhấp

Di chuột qua bất kỳ liên kết nào được nhúng trong nội dung email. Nếu địa chỉ liên kết có vẻ lạ, đừng nhấp vào địa chỉ đó. Nếu bạn muốn kiểm tra liên kết, hãy mở một cửa sổ mới và nhập trực tiếp địa chỉ trang web, thay vì nhấp vào liên kết từ các email.

Mẹo 3: Không đánh mất thông tin cá nhân

Các ngân hàng hợp pháp và hầu hết các công ty khác sẽ không bao giờ yêu cầu thông tin đăng nhập cá nhân qua email.

Mẹo 4: Hãy coi chừng những lời lẽ mang tính khẩn cấp hoặc đe dọa trong dòng tiêu đề

Gây một cảm giác cấp bách hoặc sợ hãi là một chiến thuật lừa đảo phổ biến. Cẩn thận với các dòng chủ đề tuyên bố “tài khoản của bạn đã bị tạm ngưng” hoặc tài khoản của bạn có “nỗ lực đăng nhập trái phép”.

Mẹo 5: Xem lại chữ ký

Một email thiếu thông tin chi tiết về người ký tên hoặc cách bạn có thể liên hệ với công ty đó, có thể đến từ một kẻ lừa đảo. Các doanh nghiệp hợp pháp luôn cung cấp chi tiết liên hệ.

Mẹo 6: Không nhấp vào file đính kèm

Đính kèm các file độc hại chứa virus và phần mềm độc hại là một chiến thuật lừa đảo phổ biến. Phần mềm độc hại có thể làm hỏng các file trên máy tính của bạn, ăn cắp mật khẩu hoặc cài phần mềm gián điệp mà bạn không biết. Không mở bất kỳ file đính kèm email nào mà bạn không mong đợi.

Mẹo 7: Không tin tưởng tiêu đề từ địa chỉ email

Kẻ gian lận không chỉ giả mạo các thương hiệu trong tên hiển thị mà còn trong tiêu đề từ địa chỉ email. Return Path chỉ ra rằng gần 30% trong số hơn 760.000 email giả mạo các thương hiệu giả mạo trong tiêu đề từ địa chỉ email (tính riêng trong domain của email là hơn hai phần ba).

Mẹo 8: Đừng tin mọi thứ bạn thấy

Những kẻ lừa đảo rất tinh vi. Một email có logo thương hiệu, ngôn ngữ và địa chỉ email có vẻ hợp lệ, không có nghĩa là nó hợp pháp. Hãy đặt nghi vấn với mọi thứ. Nếu nó trông có vẻ đáng ngờ, đừng mở nó ra.

Ngay cả khi bạn có phần mềm bảo mật, phishing vẫn là một mối đe dọa nghiêm trọng. Dưới đây là cách tránh những email nguy hiểm này.

Cách phòng tránh email phishing

Luôn luôn nghi ngờ: Email lừa đảo thường cố gắng làm bạn bối rối với cảnh báo về thông tin bị đánh cắp và sau đó cung cấp một cách khắc phục dễ dàng - bạn chỉ cần "nhấp vào đây". (Hoặc ngược lại: "Bạn đã giành được một giải thưởng! Bấm vào đây để xác nhận!"). Khi nghi ngờ, đừng bấm vào bất cứ thứ gì. Thay vào đó, hãy mở trình duyệt của bạn, truy cập trang web của công ty, sau đó đăng nhập bình thường để xem có bất kỳ dấu hiệu hoạt động lạ nào không. Nếu bạn lo lắng, hãy thay đổi mật khẩu của mình.

Kiểm tra chính tả và ngữ pháp: Hầu hết các văn bản không phải do người bản ngữ viết đều có những lỗi chính tả và ngữ pháp. Nhưng như đã nói trước đó, các công ty lớn sẽ thuê chuyên gia để đảm bảo email của họ không có lỗi chính tả. Nếu bạn thấy lỗi chính tả trong email nhận được, gần như chắc chắn đó là một email giả mạo.

Tăng cường thêm cho trình duyệt của bạn: Một cái nhấp chuột tình cờ vào liên kết lừa đảo có thể dẫn tới một thảm họa. McAfee SiteAdvisor và Web of Trust là các trình duyệt bổ sung miễn phí sẽ cảnh báo bạn nếu trang web bạn sắp truy cập bị nghi ngờ là độc hại. Chúng giống như cảnh sát giao thông, ngăn bạn trước khi bạn rẽ vào một con phố nguy hiểm.

Sử dụng điện thoại của bạn: Nếu bạn đang kiểm tra email trên điện thoại của mình, có thể thực sự khó phát hiện ra dấu hiệu lừa đảo. Bạn không thể "di chuột qua" một liên kết có vấn đề và màn hình nhỏ hơn khiến bạn ít có khả năng phát hiện ra những dấu hiệu rõ ràng. Mặc dù nhiều trình duyệt điện thoại (và hệ điều hành) miễn nhiễm với các trang web và nội dung tải xuống độc hại, nhưng vẫn cần phải thận trọng khi xử lý các liên kết đáng ngờ. (Rõ ràng bạn vẫn không nên hoàn thành một biểu mẫu yêu cầu mật khẩu hoặc các thông tin cá nhân khác của bạn). Người dùng Android nói riêng cần biết về những rủi ro tiềm ẩn.

Hầu hết tất cả đều dựa trên trực giác: Bạn không thể thắng một cuộc thi mà bạn chưa từng tham gia. Ngân hàng của bạn sẽ không liên lạc với bạn bằng địa chỉ email mà bạn chưa bao giờ đăng ký. Microsoft sẽ không "phát hiện virus từ xa trên PC của bạn." Biết các dấu hiệu cảnh báo, suy nghĩ trước khi bạn nhấp và không bao giờ đưa ra mật khẩu hoặc thông tin tài chính của bạn, trừ khi bạn đã đăng nhập đúng vào tài khoản của mình.

5 điều hoang tưởng về phishing

Đóng góp quan trọng nhất của MailFrontier trong kết quả nghiên cứu lần này, là họ đã chỉ ra được 5 điều người ta vẫn hoang tưởng về phishing.

1. "Ồ, phát hiện trò lừa dễ như bóc kẹo ý mà!"

Sai lầm lớn nhất của người sử dụng là họ luôn quá tự tin vào khả năng của mình. Mặc dù trình độ nhận biết email phishing của người sử dụng đã có khá nhiều tiến bộ, song điều đó không có nghĩa bất cứ lúc nào họ cũng đủ tỉnh táo và kiến thức để biết rằng mình đang bị lừa. Đa số họ vẫn đánh đồng một email phishing với email hợp pháp.

2. Thế bộ lọc thư rác là đống sắt vụn à?

Đại bộ phận người dùng có xu hướng thần thánh hóa các bộ lọc thư rác, cho rằng chúng có thể phát hiện và ngăn chặn mọi cuộc tấn công phishing. Và thế là họ yên tâm, vô tư click vào mọi email xuất hiện trong hòm thư mình. Nên biết rằng để "tóm" được một email lừa đảo cần phải có một loạt công cụ phân tích và đánh giá phức tạp, chứ một mình bộ lọc thư rác thì chỉ biết... "cười trừ" mà thôi.

3. Có thể chặn email phishing bằng xác thực tên miền?

Dùng xác thực tên miền như một công cụ để chặn email lừa đảo là điều hoang đường thứ ba. Những kẻ phát tán thư rác, cũng như dân phisher chuyên nghiệp, đã cho thấy chúng hoàn toàn có thể vượt qua cửa ải này.

4. Phát hiển lỗ hổng trong URL chắc cũng phải chặn được email phishing chứ?

Lỗ hổng trong địa chỉ URL là một dấu hiệu tốt để nhận biết có điều gì đó không đúng, nhưng bản thân nó lại không thể làm một bằng chứng thuyết phục. Nhiều công ty hợp pháp vẫn sử dụng các kỹ thuật như redirect địa chỉ URL, sử dụng URL dài (vượt quá độ dài của thanh biểu tượng) và kể cả là địa chỉ IP thô trong các email của mình.

Bọn phisher hiểu rất rõ thực tế này nên đã lợi dụng chúng.

5. Sao tôi lại cần phải hành động để bảo vệ mình và công ty của mình khỏi email phishing cơ chứ?

Đây là điều hoang tưởng cuối cùng và có lẽ cũng là quan trọng nhất. Người sử dụng luôn nghĩ rằng họ chẳng cần phải làm gì cả, hoặc làm cũng chẳng được ích gì. Thế nhưng, sự "lười biếng" này có thể dẫn tới hậu quả khôn lường: đánh mất thông tin cá nhân, tài chính và cả dữ liệu tối mật của công ty nữa.

Theo dự đoán của MailFrontier, số tiền mà bọn phisher lừa đảo được trong năm nay sẽ tăng 25% so với năm ngoái lên... 1 tỷ USD.

Xem thêm:

Thứ Ba, 31/07/2018 19:49
51 👨 2.406