Tìm hiểu về phương thức tấn công phishing Adversary-in-the-Middle

Các cuộc tấn công phishing hiện đang cực kỳ phổ biến. Phương pháp này của tội phạm mạng có thể rất hiệu quả trong việc đánh cắp dữ liệu và không yêu cầu một lượng lớn công việc ở cấp cơ sở. Tuy nhiên, phishing cũng có nhiều dạng, một trong số đó là các cuộc tấn công phishing Adversary-in-the-Middle. Vậy, các cuộc tấn công phishing Adversary-in-the-Middle là gì? Và làm thế nào bạn có thể tránh khỏi chúng?

Tấn công Adversary-in-the-Middle là gì?

Một cuộc tấn công phishing Adversary-in-the-Middle (AiTM) liên quan đến việc đánh cắp cookie phiên để lấy cắp dữ liệu cá nhân và thậm chí bỏ qua các lớp xác thực.

Bạn có thể đã nghe nói về cookie trước đây. Ngày nay, hầu hết các trang web mà bạn nhấp vào sẽ yêu cầu bạn cho phép sử dụng cookie để điều chỉnh trải nghiệm trực tuyến của bạn tốt hơn. Tóm lại, cookie theo dõi hoạt động trực tuyến để hiểu thói quen của bạn. Chúng là các file văn bản nhỏ của dữ liệu có thể được gửi đến máy chủ của bạn mỗi khi bạn nhấp vào một trang web mới, do đó cung cấp cho một số bên nhất định khả năng giám sát hoạt động của bạn.

Có rất nhiều loại cookie. Một số là cần thiết, và một số đơn giản là không. Các cuộc tấn công AiTM liên quan đến cookie phiên. Đây là những cookie tạm thời lưu trữ dữ liệu người dùng trong một phiên web. Các cookie này ngay lập tức bị mất sau khi bạn tắt trình duyệt của mình.

Như những gì thường xảy ra trong phishing, một cuộc tấn công phishing AiTM bắt đầu bằng việc tội phạm mạng giao tiếp với mục tiêu, thường là qua email. Những chiêu trò lừa đảo này cũng sử dụng các trang web độc hại để ăn cắp dữ liệu.

Các cuộc tấn công AiTM là một vấn đề đặc biệt cấp bách đối với người dùng Microsoft 365, với những kẻ tấn công liên lạc với mục tiêu và yêu cầu họ đăng nhập vào tài khoản 365 của mình. Kẻ độc hại sẽ mạo danh một địa chỉ chính thức của Microsoft trong cuộc tấn công phishing này, đây cũng là một điều điển hình trong các cuộc tấn công phishing.

Mục tiêu ở đây không chỉ là ăn cắp thông tin đăng nhập mà là để vượt qua lớp xác thực đa yếu tố (MFA) hoặc xác thực hai yếu tố (2FA) của nạn nhân. Đây là các tính năng bảo mật được sử dụng để xác minh đăng nhập tài khoản bằng cách yêu cầu quyền từ một thiết bị hoặc tài khoản riêng biệt, chẳng hạn như điện thoại thông minh hoặc email của bạn.

Tội phạm mạng cũng sẽ sử dụng máy chủ proxy để giao tiếp với Microsoft và lưu trữ trang đăng nhập 365 giả mạo. Proxy này cho phép kẻ tấn công đánh cắp cookie phiên và thông tin đăng nhập của nạn nhân. Khi nạn nhân nhập thông tin đăng nhập của họ vào trang web độc hại, nó sẽ đánh cắp cookie phiên để cung cấp xác thực sai. Điều này cung cấp cho kẻ tấn công khả năng bỏ qua yêu cầu 2FA hoặc MFA của nạn nhân, cấp cho chúng quyền truy cập trực tiếp vào tài khoản của họ.

Cách bảo vệ chống lại các cuộc tấn công phishing AiTM

Mặc dù cuộc tấn công phishing AiTM khác với một cuộc tấn công phishing thông thường, nhưng bạn vẫn có thể áp dụng các phương pháp tương tự để phòng tránh.

Hãy bắt đầu với bất kỳ liên kết nào được cung cấp trong email của bạn. Nếu bạn nhận được email từ một người gửi được cho là đáng tin cậy nói rằng bạn cần sử dụng liên kết được cung cấp để đăng nhập vào một trong các tài khoản trực tuyến của mình, hãy thận trọng. Đây là một thủ thuật phishing cổ điển và có thể khiến nhiều nạn nhân sập bẫy, đặc biệt nếu kẻ tấn công sử dụng ngôn ngữ thuyết phục hoặc khẩn cấp thúc giục mục tiêu đăng nhập vào tài khoản càng sớm càng tốt.

Vì vậy, nếu bạn nhận được email bao gồm bất kỳ loại liên kết nào, hãy đảm bảo rằng bạn chạy nó qua một trang web kiểm tra liên kết trước khi nhấp vào. Trên hết, nếu email cho biết bạn cần đăng nhập vào tài khoản, chỉ cần tìm kiếm trang đăng nhập trên trình duyệt và truy cập tài khoản của bạn ở đó. Bằng cách này, bạn có thể xem liệu có bất kỳ vấn đề nào bạn cần giải quyết trên tài khoản của mình mà không cần nhấp vào bất kỳ loại liên kết được cung cấp nào hay không.

Bạn cũng nên tránh mở bất kỳ file đính kèm nào được gửi cho bạn từ một địa chỉ không quen thuộc, ngay cả khi người gửi tuyên bố là một cá nhân đáng tin cậy. Các file đính kèm độc hại cũng có thể được sử dụng trong các cuộc tấn công phishing AiTM, vì vậy bạn cần cảnh giác với những gì mình mở.

Tóm lại, nếu thực sự không có nhu cầu mở file đính kèm, hãy để yên nó ở đó.

Mặt khác, nếu bạn cần mở file đính kèm, hãy thực hiện một số bài kiểm tra nhanh trước khi làm điều đó. Bạn nên xem loại file của phần đính kèm để xác định xem nó có bị coi là đáng ngờ hay không. Ví dụ, các file .pdf, .doc, zip và .xls được biết là được sử dụng trong những file đính kèm độc hại, vì vậy hãy cảnh giác nếu file đính kèm là một trong các loại file này.

Trên hết, hãy kiểm tra ngữ cảnh của email. Nếu người gửi tuyên bố rằng file đính kèm có chứa tài liệu, chẳng hạn như bảng sao kê ngân hàng, nhưng file có phần mở rộng .mp3, bạn có thể đang xử lý file đính kèm phishing và tiềm ẩn nguy hiểm, vì file MP3 sẽ không được sử dụng cho tài liệu.

Hãy xem địa chỉ người gửi của bất kỳ email đáng ngờ nào mà bạn nhận được. Tất nhiên, mọi địa chỉ email là duy nhất, vì vậy kẻ tấn công không thể sử dụng địa chỉ email chính thức của công ty để liên lạc với bạn, trừ khi nó bị tấn công. Trong trường hợp phishing, những kẻ tấn công thường sử dụng các địa chỉ email trông hơi giống với địa chỉ chính thức của tổ chức.

Ví dụ, nếu bạn nhận được email từ ai đó tuyên bố là Microsoft, nhưng bạn nhận thấy rằng địa chỉ ghi "micr0s0ft" thay vì "Microsoft", bạn đang gặp phải một chiêu trò lừa đảo trực tuyến. Tội phạm cũng sẽ thêm một chữ cái hoặc số bổ sung vào địa chỉ email để nó trông rất giống với địa chỉ hợp pháp.

Bạn thậm chí có thể xác định xem một liên kết có đáng ngờ hay không bằng cách xem xét nó. Các trang web độc hại thường có những liên kết trông khác thường. Ví dụ, nếu một email nói rằng liên kết được cung cấp sẽ đưa bạn đến trang đăng nhập của Microsoft, nhưng URL cho biết đây là một trang web hoàn toàn khác, rõ ràng đó là một trò lừa bịp. Kiểm tra domain của trang web có thể đặc biệt hữu ích trong việc phòng tránh phishing.

Cuối cùng, nếu bạn nhận được email từ một nguồn được cho là chính thức có nhiều lỗi chính tả và ngữ pháp, bạn có thể đang bị lừa đảo. Các công ty chính thức thường đảm bảo rằng email của họ được viết chính xác, trong khi tội phạm mạng đôi khi có thể cẩu thả trong vấn đề này. Vì vậy, nếu email bạn nhận được viết quá cẩu thả, hãy thận trọng với mọi hành động bạn sẽ thực hiện tiếp theo.

Phishing đang rất phổ biến và được sử dụng để nhắm mục tiêu vào cả cá nhân và tổ chức, có nghĩa là không ai thực sự an toàn trước mối đe dọa này. Vì vậy, để tránh các cuộc tấn công phishing AiTM và lừa đảo nói chung, hãy xem xét các mẹo được cung cấp ở trên để giữ an toàn cho dữ liệu của bạn.