Phân loại các kỹ thuật tấn công lừa đảo (phần 2)

09:55 | 09/06/2022

Phần I của bài báo đã tập trung trình bày về kỹ thuật tấn công lừa đảo dựa trên con người. Nội dung phần hai của bài báo sẽ nói về các loại tấn công lừa đảo dựa vào các kỹ thuật máy tính.

Kiểu tấn công lừa đảo dựa vào các kỹ thuật máy tính là kiểu tấn công thực hiện các kỹ thuật thu thập thông tin nhạy cảm bằng cách sử dụng sự giúp đỡ của các chương trình máy tính, mạng máy tính, mạng điện thoại… Ví dụ như sử dụng lỗi XSS trên máy chủ và gửi cho người dùng một đường dẫn siêu liên kết đến trang của ngân hàng, nhưng lại chuyển hướng sang hiển thị trang web của kẻ tấn công giống hệt ngân hàng để thu thập tài khoản và mật khẩu...

Sau đây là các kỹ thuật tấn công lừa đảo dựa vào các kỹ thuật máy tính.

Cửa sổ nhảy (Pop-up): Các cửa sổ đột nhiên xuất hiện khi lướt web trên mạng internet và yêu cầu thông tin của người dùng để đăng nhập. Pop-up đánh lừa các người dùng nhấn vào các siêu liên kết mà chuyển hướng họ sang một trang web giả mạo yêu cầu thông tin cá nhân hoặc tải về các chương trình độc hại như là Keyloggers, Trojans, Spyware…

Thư lừa đảo cảnh báo (Hoax Letters): Thư lừa đảo là các thư điện tử gửi cảnh báo cho người dùng về các loại virus, Trojan, worm mới mà nó có thể gây hại cho máy của người dùng. Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Sau đó, mã độc hại sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

Thư lừa đảo theo hệ thống hoặc Even (Chain Letters): Chain Letters là các email dùng để biếu tặng các món quà miễn phí như là tiền và phần mềm và điều kiện đưa ra là người dùng phải chuyển tiếp thư này đến một số lượng người nhất định.

Tin nhắn chat nhanh (Instant Chat Messenger): Thu thập thông tin cá nhân bằng cách tán gẫu với người dùng trực tuyến đã được chọn để lấy thông tin như ngày sinh và tên thật.

Thư điện tử rác (Spam Email): Các thư điện tử không liên quan, không mong muốn và không được yêu cầu được gửi đi để thu thập thông tin tài chính, số an sinh xã hội và các thông tin về mạng

Phishing: Thuật ngữ này áp dụng cho một thư điện tử xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Bức  thư điện tử thường chứa một đường dẫn đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu tài khoản, mật khẩu, số thẻ tín dụng hoặc số PIN.

Vishing: Thuật ngữ là sự kết hợp của “voice” (gọi điện) và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. VoIP là công nghệ tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng VoIP.

Tin nhắn điện thoại (SMS): Kẻ tấn công sử dụng tín nhắn điện thoại làm công cụ chuyển thông tin lừa đảo tới nạn nhân, trong nội dung kẻ tấn công gửi đi yêu cầu nạn nhân gửi đi thông tin nhạy cảm hoặc thực hiện các thao tác dẫn đến bị lộ thông tin cá nhân. Ngoài ra kẻ tấn công lừa đảo còn dùng biện pháp này để dụ dỗ nạn nhân nhắn tin dịch vụ để chuyển tiền từ tài khoản điện thoại.

Trong thực tế, để thực hiện thành công một cuộc tấn công lừa đảo thì kẻ tấn công thường dụng kết hợp các kỹ thuật trên một cách khéo léo chứ không thực hiện đơn lẻ một kỹ thuật.