"Gót chân Achile" trong công nghệ chống phishing

Các chuyên gia về bảo mật đã từng cảnh báo rằng công nghệ chống lừa đảo trực tuyến (“anti-phishing”) mà nhiều tổ chức tài chính đang sử dụng có thể làm cho người dùng ngân hàng trực tuyến lầm tưởng rằng họ được bảo vệ an toàn. Hiện nay, hai nhà nghiên cứu ở một trường đại học đã cho ra đời một bản chương trình chạy thử (demo) để làm sáng tỏ điều này.

Đối phó với sự bùng nổ của nạn gian lận trực tuyến trong những năm gần đây và để tăng thêm áp lực cho những nhà điều hành ngành ngân hàng, một số tổ chức tài chính – trong đó có Bank of America – đã đưa thêm các dịch vụ đảm bảo cho khách hàng dùng qua Internet sẽ truy cập được đến trang Web hợp pháp của họ, thay vì một trang Web giả nào đó có giao diện giả mạo giống như website thật. Một trong những công nghệ được sử dụng nhiều nhất là “SiteKey” – công nghệ được hãng bảo mật khổng lồ RSA Security giành được vào năm ngoái từ tay công ty PassMark Security Inc.

Lỗi trong công nghệ chống phishing có thể khiến cả ngân hàng và khách hàng bị kẻ lừa đảo qua mặt. Ảnh: deepnetexplorer

SiteKey cho phép các ngân hàng hiện thị một ảnh cá nhân mà khách hàng lựa chọn khi họ đăng nhập vào tài khoản ngân hàng trực tuyến của mình. Khi có sự kiện khách hàng đăng nhập vào tài khoản từ một máy tính công cộng hoặc từ một máy có địa chỉ IP chưa từng gắn với sự ủy nhiệm của khách hàng, SiteKey sẽ yêu cầu người dùng trả lời một trong những “câu hỏi bảo mật” cho trước.

Theo báo cáo của Security Fix năm ngoái thì vấn đề của phương pháp này nằm ở chỗ nó giả thiết rằng các trang lừa đảo không có khả năng đóng vai trò như “người trung gian” (“man in the middle”). Nói cách khác, tội phạm không có cách nào để chặn và chuyển tiếp ảnh hoặc câu hỏi bảo mật của khách hàng khi họ đang giao tiếp với trang Web hợp pháp của ngân hàng. Tuy nhiên, thực tế đã cho thấy điều ngược lại.

Để chứng minh điều này, hai nhà nghiên cứu của trường đại học Indiana đã đưa ra một đoạn chương trình để minh họa cách những kẻ lừa đảo có thể đóng vai trò như “người trung gian” để vượt qua bức tường bảo vệ của SiteKey.

Trong đoạn video chỉ ra cách tấn công có dạng như trên, nghiên cứu sinh Christopher Soghoian và giáo sư của trường đại học Indiana Markus Jakobssen đã giải thích cách chương trình này chống lại bản SiteKey được cài đặt tại Bank of America (BoA).

“Chúng tôi nhắc người dùng nhập tên và bang cư trú. Thông tin này sau đó được gửi đi từ server của chúng tôi tới BoA chứ không phải từ máy của người dùng. Chúng tôi chuyển tiếp các câu hỏi bảo mật mà BoA hỏi người dùng và sau đó gửi lại phần trả lời của người dùng cho BoA. Ngân hàng hồi đáp lại bằng cách gửi ảnh và chú thích SiteKey."

"Nắm được thông tin này, chúng tôi sẽ thuyết phục được khách hàng rằng mình là website BoA hợp pháp và nhắc khách hàng nhập mật khẩu, đăng nhập vào trang của BoA, và từ đó chúng tôi khống chế được toàn bộ phiên làm việc của họ."

Chú ý rằng khách hàng không hề kết nối trực tiếp tới BoA cũng như ngân hàng không hề giao tiếp trực tiếp với khách hàng qua mạng. Mỗi bên đều tưởng rằng chúng tôi (đang đóng vai trò “kẻ lừa đảo”) là đầu kia (ngân hàng hoặc người sử dụng) hợp pháp trong phiên đăng nhập.

Vì kẻ tấn công trong ví dụ trên có thể đăng nhập từ một địa chỉ Internet chưa từng được nạn nhân sử dụng trước đó nên ngân hàng Bank of America sẽ nhắc người dùng trả lời câu hỏi bí mật của họ, điều này được các nhà nghiên cứu chỉ ra là cũng có thể bị chuyển tiếp.

“Bằng cách giả mạo, chúng tôi có thể thuyết phục khách hàng nhập câu hỏi bảo mật và sau đó lấy ảnh SiteKey. Có nhiều cách thuyết phục được khách hàng trả lời câu hỏi như mức đe dọa tấn công tương đối cao, yêu cầu bảo mật tăng do nạn lừa đảo trên Internet, hoặc dữ liệu bị mất trong hệ thống BoA. Ví dụ, kẻ tấn công có thể nhắc người dùng ’Do yêu cầu an ninh tăng, chúng tôi yêu cầu bạn trả lời câu hỏi bảo mật trong mỗi lần đăng nhập sau. Cảm ơn đã giúp Bank of America trở thành ngân hàng trực tuyến an toàn nhất’”.

Lỗi nguy hiểm, nhưng vẫn có thể phát hiện

AntiPhishing của Yahoo mail. Nguồn. wyman

Louie Gasparini, giám đốc công nghệ của tập đoàn RSA’s Site to User Authentication, nói rằng ví dụ trên của các nhà nghiên cứu tại trường đại học Indiana đã bỏ sót một số công nghệ hỗ trợ gián tiếp (“back-end”) mà các tổ chức tài chính sử dụng để phát hiện ra các giao dịch lừa đảo.

“Cái mà họ chỉ trích là phần dễ thấy nhất của công nghệ này” Gasparini nói. “Có cả một tập hợp công nghệ quản trị rủi ro và phát hiện gian lận hỗ trợ phía sau, do đó nếu tài khoản của người dùng bị xâm hại, ngân hàng vẫn có thể phát hiện ra người đó”.

SiteKey và các công nghệ xác thực người dùng khác là mục tiêu được quan tâm của Bruce Schneier, giám đốc công nghệ của BT Counterpane đồng ý với ý kiến cho rằng mặc dù các hệ thống này vẫn có thể bị qua mặt, nhưng những kẻ gian lận có xu hướng tránh những nơi có sử dụng chúng. Ông nói, điều này còn đúng cho tới khi có một số lượng lớn các ngân hàng chấp nhận sử dụng công nghệ này.

“Nếu bạn là một tội phạm, bạn sẽ nhắm tới các mục tiêu dễ tấn công hơn, đó là các ngân hàng không sử dụng những công nghệ này”, ông nói. “Khi tất cả mọi người đều sử dụng chúng, những kẻ xấu sẽ thay đổi kĩ thuật tấn công. Do đó không thể giải quyết được vấn đề gian lận trực tuyến một cách lâu dài, nhưng cho đến giờ nó cũng giúp làm thay đổi tình hình”.

Cách đáng tin cậy nhất để bảo vệ bạn không trở thành nạn nhân của trò lừa đảo trên mạng là đừng bao bao giờ click vào những link gửi đến qua thư điện tử hay tin nhắn nhắc bạn đăng nhập vào tài khoản ngân hàng. Những người sử dụng ngân hàng trực tuyến nên gõ địa chỉ trang web của ngân hàng vào trình duyệt, sau đó đánh dấu địa chỉ đó (bookmark) để sử dụng cho những lần sau. Ngoài ra, cả hai trình duyệt Internet Explorer 7 và Firefox 2.0 đều tích hợp công nghệ có khả năng cảnh báo cho người dùng biết khi họ đang di chuyển đến một trang web lừa đảo trên mạng.

Hợi Lê