Thứ Ba, 24 tháng 2, 2015

Chap 17 - Những kiến thức cơ bản để trở thành hacker : phishing




 1. Phishing

Phishing là một hình thức gian lận để có những thông tin nhạy cảm như username, password, credit card … bằng cách giả mạo như là một thực thể đáng tin cậy trong các giao tiếp trên mạng. Quá trình giao tiếp thường diễn ra tại các trang mạng xã hội nổi tiếng, các trang web đấu giá, mua bán hàng online…mà đa số người dùng đều không cảnh giác với nó. Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang web giả mạo do các hacker lập nên.

Phishing là một ví dụ của Social Engineering được sử dụng để lừa đảo người dùng và khai thác lổ hổng trong việc sử dụng công nghệ kém an ninh của các website hiện hành. Những nỗ lực mạnh mẽ trong thời gian qua để chống lại Phising bao gồm việc ứng dụng các công nghệ an ninh mới đến việc đào tạo cho nhân viên, và nâng cao ý thức cộng đồng.

Kỹ thuật lừa đảo được mô tả chi tiết vào năm 1987, và những ghi chép đầu tiên với thuật ngữ Phising Nguồn gốc từ Phishing là kết hợp giữa 2 từ Fish - Fishing và Phreaking. Fishing nghĩa gốc là “câu cá” nhưng đuợc hiểu là “câu” các thông tin của người dùng. Mặt khác, do tính chất của nó cũng gần giống kiểu tấn công Phreaking (Chữ “Ph” duợc các hacker thay thế cho chữ “F” dể tạo thành phishing do cách phát âm gần giống) - đuợc biết đến lần đầu tiên bởi hacker John Draper (biệt danh aka Captain Crunch) khi sử dụng “Blue Box” để tấn công hệ thống diện thoại ở Mỹ nhằm thực hiện các cuộc gọi đường dài miễn phí hoặc sử dụng đường điện thoại của nguời khác thực hiện các cuộc gọi bất hợp pháp,… vào đầu thập niên 1970 - tên gọi khác là Phone Phreaking.

Theo thời gian, những cuộc tấn công phishing không còn chỉ nhằm vào các tài khoản Internet của AOL mà đã mở rộng đến nhiều mục tiêu, đặc biệt là các ngân hàng trực tuyến, các dịch vụ thương mại điện tử, thanh toán trên mạng,… và hầu hết các ngân hàng lớn ở Mỹ, Anh, Úc hiện đều bị tấn công bởi phishing. Vì cũng nhắm vào mục tiêu đánh cắp credit card nên nó còn được gọi là Carding.

Do cách tấn công đơn giản nhưng lại hiệu quả cao nên phishing nhanh chóng trở thành một trong những kiểu lừa dảo phổ biến nhất trên mạng – có đến gần 70% các vụ tấn công trên mạng năm 2003 có liên quan đến phishing (nguồn: Antiphishing.org).

2. Những yếu tố để một cuộc tấn công Phishing thành công.

- Sự thiếu hiểu biết


Sự thiếu hiểu biết về hệ thống mạng và máy tính đã giúp cho các hacker khai thác những thông tin nhạy cảm.

Bạn cần hiểu rõ quá trình hoạt động của internet, hoặc ít hơn hiểu về cách thức truy cập một website an toàn. Điển hình nhất bạn cần phải biết việc bấm vào nút Save Password khi bạn truy cập web tại các điểm công cộng sẽ làm tăng nguy cơ bị xâm phạm tài khoản cá nhân. Đặc biệt đối với những người thường xuyên mua bán, thanh toán qua mạng, thì cần phải hiểu rõ việc cung cấp credit card là rất quan trọng, và biết được khi nào nên cung cấp, khi nào không. Bạn cũng nên tìm hiểu sơ về các giao thức mạng, và phân biệt được giao thức nào là an toàn. Điển hình là bạn đừng bao giờ giao dịch trực tuyến với giao thức truy cập web là http, mà phải đảm bảo an toàn với giao thức https.

Những cửa sổ cảnh báo của windows về mức độ an toàn của việc truy cập thông tin, điều mà mọi người thường hay bỏ qua, lại chính là nguy cơ biến bạn thành nạn nhân.

Thói quen duyệt mail không tốt cũng làm cho bạn gặp nhiều nguy hiểm. Có vài lời khuyên cho bạn, là cẩn thận với những email không có địa chỉ người gửi rõ ràng, không có tiêu đề, hoặc là nội dung có tính kích động trí tò mò.

- Nghệ thuật đánh lừa ảo giác

Nghệ thuật của sự đánh lừa ảo giác chính là làm cho nạn nhân không còn phân biệt được đâu là thật đâu là giả. Chắc hẳn bạn cũng biết trò chơi tìm những điểm khác nhau giữa hai tấm hình. Kỹ thuật đánh lừa ảo giác sẽ tạo ra một trang web, hoặc một lá thư…những thứ mà ngày nào bạn cũng truy cập, nó giống như đến mức gần như người ta không thể phát hiện ra sự giả mạo.

Lời khuyên dành cho bạn là cẩn thận với những trang web mà mình thường truy cập, đặc biệt là những email của ngân hàng, của những người thân, mà nó lại yêu cầu chúng ta cung cấp thông tin. Bởi những trang đó có nguy cơ giả mạo rất cao. Một ý thứ hai, là bạn hãy tự ghõ địa chỉ trang web vào trình duyệt, thay vì click vào đường link từ trang web khác.

- Không chú ý đến những chỉ tiêu an toàn

Như đã nói ở trên, những cảnh báo thường bị người dùng bỏ qua, chính điều đó đã tạo điều kiện cho hacker tấn công thành công hơn. Người dùng cũng thưởng không chú ý đến những chỉ tiêu an toàn. Ví dụ khi bạn truy cập một website thanh toán trực tuyến, bạn phải hiểu những quy định an toàn của website kiểu này, như thông tin Cerificate, nhà cung cấp, nội dung, và nhiều quy định khác. Windows thường nhận biết những quy định toàn này, và nếu không đủ nó sẽ cảnh báo cho bạn. Tuy nhiên, vài người dùng cảm thấy phiền phức với những cảnh báo này và đã tắt chức năng này đi, và thế là bạn trở thành nạn nhân.

Thỉnh thoảng, chúng ta cũng nên dành thời gian cho việc đọc tin tức về thế giới hacker, để biết được những thủ đoạn lừa lọc mới phát minh, từ đó có ý thức về sự cảnh giác an toàn hơn.

Tổng hợp từ internet

Related Posts

Chap 17 - Những kiến thức cơ bản để trở thành hacker : phishing
4/ 5
Oleh

Theo dõi qua email

Giống như bài viết ở trên ? Hãy đăng ký vào bài viết mới nhất trực tiếp qua email.