1. Tận dụng hình ảnh để vượt qua bộ lọc email
Chất lượng hình ảnh có thể rất quan trọng đối với tính xác thực của một email giả mạo, nhưng chính những gì đang diễn ra đằng sau hình ảnh tạo nên sự khác biệt giữa phát hiện và gửi. Những email giả mạo đã biết trước đó hoặc những email giả mạo đã bị đưa vào danh sách đen vẫn có thể tìm đường quay trở lại hộp thư đến, bằng một loạt kỹ thuật thao tác hình ảnh. Thật không may, hầu hết các bộ lọc email đều không thể phát hiện chúng.
Thực tế, những hình ảnh đã bị xử lý rất khó để phát hiện bằng mắt thường. Bằng cách làm sai lệch màu sắc, tông màu hoặc hình dạng của hình ảnh, tin tặc có thể làm mới các email giả mạo trong danh sách đen bằng hình ảnh mới và vượt qua bộ lọc email không thể trích xuất, phân tích nội dung từ hình ảnh.
Gần đây, các chuyên gia nhận thấy sự gia tăng số lượng email có chứa nội dung văn bản độc hại điều khiển từ xa. Được nhúng trong nội dung email nhưng được lưu trữ trên các miền bên ngoài, hình ảnh từ xa phải được tìm nạp qua mạng để phân tích. Quá trình này không thể được thực hiện trong thời gian thực. Chỉ trong tháng 11/2020, Vade Secure (công ty bảo mật email của Mỹ) đã phân tích 26,2 triệu hình ảnh từ xa và chặn 261,1 triệu email chứa hình ảnh từ xa.
Việc trích xuất và phân tích nội dung từ hình ảnh yêu cầu khả năng của máy tính, một lĩnh vực trí tuệ nhân tạo tốn kém, tốn nhiều tài nguyên và vẫn chưa trở thành tiêu chuẩn trong bảo mật email.
2. Gửi email độc hại qua kết nối IMAP
Vào cuối tháng 11/2020, Vade Secure đã phát hiện một làn sóng hàng loạt email rác được gửi vào hộp thư mà không đi qua lớp vận chuyển (transport layers). Các chuyên gia nghi ngờ rằng tin tặc đã sử dụng một công cụ mới có tên là Email Appender có sẵn trên web đen để gửi thư rác.
Email Appender cho phép tin tặc xác thực thông tin đăng nhập tài khoản bị xâm phạm và kết nối trực tiếp với tài khoản thông qua IMAP. Sau khi kết nối, tin tặc có thể cấu hình proxy để tránh bị phát hiện và gửi email trực tiếp vào hàng loạt tài khoản. Vì email được gửi từ các tài khoản bị xâm nhập, nên tin tặc không cần thiết phải giả mạo địa chỉ email. Tuy nhiên, chúng có thể điều chỉnh tên hiển thị của người gửi để phù hợp với kế hoạch của chiến dịch thư rác.
Hiện nay, người dùng tại các tổ chức/doanh nghiệp được đào tạo nâng cao nhận thức về bảo mật và an toàn thông tin. Các doanh nghiệp cũng đang áp dụng các hệ thống bảo mật ngày càng phức tạp, nên tin tặc có xu hướng thử nghiệm các kỹ thuật mới trên người dùng thông thường trước khi chuyển sang mục tiêu là các tổ chức/doanh nghiệp.
Các chuyên gia bày tỏ mong đợi các nền tảng như Microsoft 365 sẽ trở thành mục tiêu. Các giải pháp bảo mật email dựa trên API được tích hợp nguyên bản với Microsoft 365 cung cấp khả năng khắc phục hậu quả không có trong các cổng email an toàn. Nếu mối đe dọa email vượt qua bảo mật, các doanh nghiệp sẽ có thể tiếp cận và loại bỏ chúng trước khi người dùng có cơ hội nhấp vào.
3. Đánh cắp chuỗi email
Khi phần mềm độc hại Emotet quay trở lại vào tháng 7/2020, nó đã trở nên khó phát hiện hơn do thực hiện tấn công chuỗi email. Tận dụng tài khoản người dùng đã bị xâm nhập bởi Emotet và các loại mã độc khác, tin tặc đã ẩn mình vào các chuỗi email hợp pháp, đóng giả là đồng nghiệp hay người quen của tổ chức/doanh nghiệp để gửi email phát tán các liên kết lừa đảo và đính kèm tài liệu chứa phần mềm độc hại.
Mặc dù, nhiều người dùng ý thức và có kỹ năng kiểm tra email để tìm dấu hiệu giả mạo, nhưng người dùng thông thường không có khả năng xem xét kỹ lưỡng email vẫn còn rất nhiều. Đây là lý do khiến cho việc chiếm quyền điều khiển chuỗi email trở nên nguy hiểm. Với cuộc trò chuyện đã được thiết lập, tin tặc có thể tự do trò chuyện với những người dùng khác trong chuỗi. Người dùng đa phần sẽ bị mắc bẫy do mất cảnh giác.
Với một kỹ thuật như chiếm quyền điều khiển chuỗi email, tin tặc có thể bỏ qua bảo mật đường biên và dễ dàng xâm nhập vào một tổ chức/doanh nghiệp từ bên trong.
Kết luận
Các kỹ thuật trên chứng minh rằng tin tặc không chỉ theo kịp những tiến bộ trong bảo mật email mà còn vượt xa nó ở nhiều khía cạnh khác. Những đổi mới trong trí tuệ nhân tạo hứa hẹn sẽ mang lại khả năng phát hiện và khắc phục sớm trong thời gian tới. Tuy nhiên, khi các mối đe dọa bỏ qua các bước bảo mật, việc đào tạo người dùng liên tục, kể cả vào các thời điểm cần thiết sẽ trở nên quan trọng để vô hiệu hóa các cuộc tấn công.