Tấn công giả mạo là gì?
Phishing attack (tấn công giả mạo) có lẽ là thuật ngữ không lấy gì làm xa lạ với đa số người dùng internet. Trên thực tế, đây cũng là một trong những hình thức tấn công mạng phổ biến nhất. Tấn công giả mạo hướng đến việc triển khai các hoạt động ác ý nhằm lấy cắp các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử, chủ yếu thông qua internet.
Những kỹ thuật phổ biến trong tấn công lừa đảo
Macro Office
Trong các cuộc tấn công phishing, nhìn chung, tạo macro Office độc hại vẫn là kỹ thuật tấn công phổ biến nhất thường được bọn tội phạm mạng triển khai nhằm xâm nhập PC sau khi lừa thành công nạn nhân mở email lừa đảo.
Email lừa đảo chính là giai đoạn đầu tiên trong phần lớn các cuộc tấn công xâm nhập mạng nội bộ hoặc máy tính. Trong đó, tội phạm mạng sẽ sử dụng các thủ thuật tâm lý để thuyết phục nạn nhân tiềm năng mở và tương tác với các thư điện tử độc hại (đính kèm liên kết hoặc file thực thi chứa mã độc). Kỹ thuật này có thể bao gồm việc tạo email ngụy trang, tự nhận là đến từ các thương hiệu nổi tiếng, hóa đơn giả mạo, hoặc thậm chí là email được gửi đến từ đối tác, đồng nghiệp của bạn.
Có rất nhiều phương pháp mà tội phạm mạng có thể khai thác để sử dụng email lừa đảo nhằm chiếm được quyền truy cập vào hệ thống mà chúng muốn. Theo kết quả thống kê của các nhà nghiên cứu tại công ty an ninh mạng Proofpoint, macro Office chính là kỹ thuật phổ biến nhất để hacker đạt được điều này.
Macro là một chức năng của Microsoft Office, cho phép người dùng kích hoạt các lệnh tự động để thực thu hàng loạt tác vụ khác nhau. Tuy nhiên, tính năng này cũng thường xuyên bị bọn tội phạm mạng lạm dụng để xâm nhập vào máy tính. Vì các macro thường được bật theo mặc định để chạy lệnh, chúng cũng có thể bị lợi dụng để thực thi mã độc và từ đó vô tình trở thành cây cầu nối giúp hacker nắm được quyền truy cập và quyền kiểm soát PC của nạn nhân.
Đa số các chiến dịch tấn công kiểu này sẽ kết hợp với các kỹ thuật xã hội để khuyến khích nạn nhân bật macro độc hại bằng cách tuyên bố rằng đó là một chức năng cần thiết để xem tệp đính kèm Microsoft Word hoặc Microsoft Excel. Nhìn chung, đây là phương pháp tấn công mang lại hiệu quả cao cho tội phạm mạng, với các macro Office chiếm gần 1/10 trên tổng số các cuộc tấn công mạng được ghi nhận.
Tránh né Sandbox
Tuy nhiên, macro Office không phải là kỹ thuật tấn công duy nhất mà bọn tội phạm mạng thường áp dụng để thực hiện các chiến dịch tấn công lừa đảo mang lại hiệu quả cao.
Tránh né Sandbox (sandbox evasion) chính là kỹ thuật tấn công phổ biến thứ hai thường được sử dụng bởi giới hacker phát tán email lừa đảo.
Đây là khi những kẻ phát triển phần mềm độc hại xây dựng tính năng phát hiện mối đe dọa có thể ngăn phần mềm độc hại hoạt động - để mình một cách hiệu quả - khi nghi ngờ rằng có phần mềm bảo mật đang chạy trên máy ảo hoặc nhận thấy sự xuất hiện của các “lá chắn phòng thủ” do các nhà nghiên cứu bảo mật thiết lập. Nhìn chung, mục đích chính ở đây là ngăn cách nhà phân tích có thể kiểm tra cuộc tấn công - và giúp mã độc có thể ẩn mình hiệu quả.
PowerShell
Bên cạnh đó, PowerShell cũng thường xuyên bị những kẻ tấn công lạm dụng như một phương tiện để giành quyền truy cập vào các mạng sau khi có được “chỗ đứng” ban đầu nhờ một email lừa đảo.
Không giống như các cuộc tấn công liên quan đến macro, những cuộc tấn công dạng này thường dựa vào việc gửi và thuyết phục nạn nhân nhấp vào một liên kết chứa mã độc để thực thi PowerShell. Các cuộc tấn công như vậy thường rất khó phát hiện vì chúng đang sử dụng một chức năng hợp pháp của Windows. Đó cũng chính là lý do tại sao PowerShell vẫn là phương tiện phổ biến với những kẻ tấn công.
Một kỹ thuật tấn công phổ biến khác thường được sử dụng trong các cuộc tấn công lừa đảo bao gồm chuyển hướng người dùng đến các trang web có chứa mã HTML độc hại, sau đó thả phần mềm độc hại vào PC của nạn nhân khi họ truy cập.
Ngoài ra, những kẻ tấn công cũng có thể chiếm đoạt các chuỗi email, liên hệ đã biết, và lạm dụng sự tin tưởng của nạn nhân cho các mục đích xấu, chẳng hạn như gửi phần mềm độc hại hoặc yêu cầu cung cấp thông tin đăng nhập.