Microsoft: Phishing không mấy thành công

Thông qua một dịch vụ bổ sung tích hợp trong Windows Live Toolbar, bộ phận nghiên cứu của Microsoft thời gian qua đã lặng lẽ thu thập dữ liệu nhằm tìm hiểu nguyên nhân vì sao người dùng web dễ trở thành nạn nhân của lừa đảo trực tuyến (phishing).

Kết quả nghiên cứu đã chính thức được trình bày tại Hội nghị thượng đỉnh về tội phạm điện tử do Tổ chức chống lừa đảo trực tuyến (APWG) tổ chức tại Pittsburgh hồi cuối tuần trước.

Trong khoảng thời gian 3 tháng, Microsoft Research theo dõi chặt chẽ việc tái sử dụng lại mật khẩu trong số 500.000 người dùng web đã tải về dịch vụ Phish Detective tích hợp sẵn trong gói Windows Live oneCare dành cho Windows Live Toolbar. Dịch vụ này đã giúp Microsoft đếm được số lượng người dùng dịch vụ đã trở thành nạn nhân của tấn công lừa đảo trực tuyến.

Kết quả nghiên cứu cho thấy trung bình mỗi năm chỉ có khoảng 0,4% người dùng web bị lừa cung cấp nội dung cho các trang lừa đảo trực tuyến. Microsoft không tính toán được số lượng tiền đã bị mất, ông Cormac Herley, một chuyên gia nghiên cứu của Microsoft Research, cho biết.

Ông Herley cho biết thách thức đối với các nhà nghiên cứu là khi phải đưa ra nhận định về mức độ thường xuyên của các vụ tấn công lừa đảo trực tuyến so với số người dùng web áp dụng phương thức sử dụng email và lướt web an toàn. Theo họ mức độ xảy ra tấn công là không cao.

Theo dõi việc tái sử dụng mật khẩu là một giải pháp hợp lý hiệu quả nhằm đánh giá tìm hiểu tấn công lừa đảo trực tuyến bởi hình thức này cũng tương tự như các bẫy tấn công lừa đảo. Khi người dùng bị lừa đảo họ sẽ đăng nhập vào website lừa đảo bằng tên và mật khẩu thực. Những kẻ lừa đảo lấy thông tin đó để đăng nhập vào website thực để lấy tiền của họ.

Phish Detetive gửi thông tin về các website mà người dùng đã sử dụng cùng một mật khẩu đã được dùng để đăng nhập vào website khác về máy chủ của Microsoft. Một số website hoàn toàn hợp pháp nhưng một số lại không. Ví dụ, có người dùng sử dụng cùng một mật khẩu cho Yahoo Mail và eBay.

Song ông Herley từ chối cho biết liệu Microsoft có ứng dụng Phish Detective trong các sản phẩm khác không, ví dụ Internet Explorer 7 có trang bị tính năng chống lừa đảo trực tuyến hay trong phiên bản IE 8 sẽ ra mắt trong khoảng cuối năm 2008 hoặc đầu năm 2009 tới đây.

Hoàng Dũng