Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:14 | 23/02/2024
ThS. Nguyễn Văn Tuấn (Trường Cao đẳng Kỹ thuật Thông tin) , Binh chủng Thông tin Liên lạc)

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

CÁC HÌNH THỨC TẤN CÔNG PHISHING

Phishing qua email: Là kỹ thuật tấn công phổ biến nhất hiện nay, tin tặc sẽ giả mạo email từ một tổ chức hoặc dịch vụ tin cậy như ngân hàng, trang mua sắm trực tuyến hoặc các trang web chính phủ. Email yêu cầu người dùng cung cấp thông tin cá nhân hoặc nhấp vào một liên kết để truy cập vào trang web giả mạo.

Smishing (SMS phishing): Đây là hình thức tấn công phi kỹ thuật thông qua tin nhắn văn bản. Tin nhắn này có thể chứa các liên kết như các trang web độc hại, địa chỉ, email hoặc số điện thoại. Khi người dùng nhấn vào liên kết có thể tự động mở cửa sổ trình duyệt.

Voice phishing (Vishing): Với kỹ thuật tấn công này, tin tặc giả mạo cuộc gọi từ một tổ chức hoặc dịch vụ và yêu cầu người dùng cung cấp thông tin cá nhân hoặc số thẻ tín dụng.

Tabnabbing: Tin tặc sẽ lợi dụng tính năng của trình duyệt web để thay đổi nội dung của trang web mà người dùng đã truy cập. Khi người dùng mở một trang web và chuyển sang tab khác, trang web đó sẽ bị thay đổi nội dung và yêu cầu người dùng cung cấp thông tin cá nhân.

Search Engine Phishing: Tin tặc tạo ra các trang web giả mạo và tối ưu hóa chúng cho các từ khóa liên quan đến các sản phẩm, dịch vụ hoặc sự kiện nổi bật để thu hút người dùng. Khi người dùng tìm kiếm các từ khóa này trên công cụ tìm kiếm thì các trang web giả mạo sẽ được ưu tiên xuất hiện, các trang web này sẽ yêu cầu cung cấp thông tin cá nhân bao gồm: số điện thoại, địa chỉ, số căn cước công dân, số an sinh xã hội,...

EVILGINX VÀ CÁC CÔNG CỤ THƯỜNG ĐƯỢC SỬ DỤNG ĐỂ TẤN CÔNG PHISHING

Các công cụ thường dùng để tấn công phishing

Hiện nay, có nhiều công cụ được giới tin tặc sử dụng để thực hiện các cuộc tấn công phishing, dưới đây là một số công cụ phổ biến:

Social Engineering Toolkit (SET): Đây là một công cụ mã nguồn mở được phát triển để tạo ra các cuộc tấn công phishing dựa trên kỹ nghệ xã hội. SET cung cấp cho người dùng các tùy chọn để tạo ra các trang web giả mạo, email giả mạo và các tập tin tải về giả mạo.

Credential Harvester: Công cụ này là một phần của SET và được sử dụng để thu thập thông tin đăng nhập của người dùng bằng cách tạo ra các trang web giả mạo.

BeEF: Là một công cụ mã nguồn mở được sử dụng để tấn công các trình duyệt web. Nó cho phép tin tặc tạo ra các cuộc tấn công phishing bằng cách đưa ra các lời mời, quảng cáo hoặc các trang web giả mạo nhằm chiếm quyền điều khiển các trình duyệt web.

Maltego: Đây là một công cụ khai thác dữ liệu thường được các tin tặc sử dụng để tìm kiếm những thông tin có thể truy cập được thông qua những nguồn dữ liệu công khai trên Internet, ví dụ như địa chỉ email, tên miền và các tài khoản mạng xã hội của người dùng.

Phishing Frenzy: Công cụ này được xây dựng trên Ruby on Rails (nền tảng được thiết kế dựa trên ngôn ngữ lập trình Ruby). Tương tự như SET, Phishing Frenzy cung cấp cho tin tặc các tùy chọn để tạo ra trang web giả mạo, email giả mạo và các tập tin tải về giả mạo.

Công cụ EVILGINX

Ngày nay, đã có khá nhiều biện pháp để khắc phục tấn công phishing như xác thực dùng mã OTP, dùng vân tay. Tuy nhiên, trong những năm gần đây, các công cụ để tấn công phishing đã được cải tiến và phát triển trở nên phức tạp, tinh vi và khó phát hiện hơn. Ví dụ có thể kể đến công cụ EVILGINX với khả năng bỏ qua được mã OTP hay các yếu tố xác thực khác.

EVILGINX là một công cụ tấn công phishing mã nguồn mở được phát triển bởi Maxim Goncharov, là một chuyên gia bảo mật máy tính và nghiên cứu viên an ninh mạng người Nga. EVILGINX có thể tạo ra các trang web giả mạo và lừa đảo để người dùng nhập thông tin đăng nhập của họ, như tên đăng nhập và mật khẩu, tương tự như các công cụ tấn công phishing khác. Tuy nhiên, điểm khác biệt của EVILGINX là nó có khả năng Bypass - vượt qua các hệ thống bảo mật hai yếu tố, chẳng hạn như mã OTP hoặc cảm biến vân tay.

Hiện nay, EVILGINX đã được cập nhật đến phiên bản thứ ba. Kỹ thuật sử dụng của EVILGINX là điều hướng địa chỉ IP và tạo ra các trang web giả mạo giống trang web gốc, bao gồm cả giao diện và chứng chỉ SSL. Ngoài ra, EVILGINX còn sử dụng một số kỹ thuật tấn công phức tạp như Man-in-the-Middle (MITM) và Session Hijacking, để chiếm quyền điều khiển và thông tin đăng nhập của người dùng.

Cách thức hoạt động của EVILGINX

Khi tin tặc cấu hình web lừa đảo và gửi cho người dùng, EVILGINX sẽ chặn lưu lượng mạng và hiển thị một trang web giả mạo tương tự như trang đăng nhập của website gốc. Người dùng sẽ cung cấp thông tin đăng nhập của họ trên trang giả mạo và EVILGINX sẽ ghi lại thông tin này.

Sau đó, công cụ sẽ chuyển hướng người dùng đến trang đăng nhập chính thức của web gốc, giảm thiểu khả năng bị phát hiện. Không chỉ vậy, nó còn sử dụng các kỹ thuật phức tạp để giả mạo các trang web đăng nhập, bao gồm kỹ thuật tạo bản sao của trang web gốc, sử dụng các chứng chỉ SSL giả mạo để tạo ra một kết nối an toàn với trang web giả mạo và sử dụng các kỹ thuật đánh lừa trình duyệt để chặn các cảnh báo bảo mật.

Cách thức hoạt động của EVILGINX

Bên cạnh đó, EVILGINX còn có thể đánh lừa các biện pháp xác thực hai yếu tố (2FA) của các trang web và ứng dụng trực tuyến, 2FA là một kỹ thuật bảo mật mà người dùng phải cung cấp thêm một yếu tố khác ngoài mật khẩu để xác thực danh tính của họ, ví dụ như mã xác thực OTP được gửi qua tin nhắn điện thoại hoặc ứng dụng di động. Với EVILGINX, tin tặc có thể tạo ra một trang web giả để lừa người dùng cung cấp thông tin xác thực 2FA của họ. Khi người dùng cung cấp thông tin này, EVILGINX sẽ thu thập toàn bộ và sử dụng chúng để đăng nhập vào tài khoản của người dùng trên trang web thật, qua đó tránh bị phát hiện.

CÁC BIỆN PHÁP ĐỐI PHÓ VỚI TẤN CÔNG PHISHING BẰNG EVILGINX

Về phía người quản trị

Để phòng chống tấn công phishing sử dụng EVILGINX, các trang web và ứng dụng trực tuyến, quản trị viên cần áp dụng các biện pháp bảo mật như sau:

- Sử dụng kỹ thuật xác thực hai yếu tố mạnh hơn, hoặc sử dụng các giải pháp bảo mật đa lớp để ngăn chặn các cuộc tấn công.

- Cập nhật các phần mềm bảo mật và theo dõi các dấu hiệu của các cuộc tấn công để ngăn chặn sự xâm nhập của EVILGINX.

 - Đào tạo, nâng cao nhận thức của người dùng về các kỹ thuật tấn công phishing, cách phát hiện các email giả mạo, tránh truy cập và không cung cấp thông tin cá nhân hay tài khoản đăng nhập trên các trang web và địa chỉ không đáng tin cậy.

- Thực hiện kiểm thử xâm nhập bảo mật thường xuyên để đảm bảo rằng hệ thống được bảo vệ đầy đủ và chống lại các cuộc tấn công mới nhất.

- Cập nhật các chính sách và quy trình bảo mật để đối phó với các mối đe dọa phishing.

- Thực hiện các biện pháp bảo mật liên quan đến quản lý danh tính và quản lý dữ liệu để giảm thiểu nguy cơ bị chiếm đoạt thông tin cá nhân.

Về phía người dùng cá nhân

Người dùng cuối cũng cần tự bảo vệ mình khỏi các cuộc tấn công của EVILGINX bằng cách sử dụng các giải pháp bảo mật cá nhân như:

- Sử dụng mật khẩu và các ứng dụng xác thực mạnh, không cung cấp thông tin đăng nhập và xác thực cho bất kỳ trang web nào.

- Kiểm tra kỹ địa chỉ trang web và chắc chắn rằng đó là địa chỉ web chính thức của tổ chức hoặc dịch vụ mà mình đang cần sử dụng.

- Không nhấp vào các liên kết được đưa ra trong email hoặc tin nhắn văn bản nếu không chắc chắn về tính xác thực của chúng.

- Luôn cài đặt phần mềm bảo mật và chương trình chống virus để bảo vệ khỏi các tấn công phishing và các hình thức lừa đảo trực tuyến khác.

- Chủ động cập nhật thông tin về các hình thức tấn công mới và tìm hiểu cách phát hiện cũng như phòng tránh những hình thức tấn công này thông qua các tổ chức bảo mật hay các tạp chí, bài báo uy tín.

KẾT LUẬN

Tấn công phishing với công cụ EVILGINX là một mối đe dọa đối với người dùng mạng. Với khả năng tạo ra các trang web giả mạo để đánh lừa người dùng cung cấp thông tin xác thực và đăng nhập vào các tài khoản. EVILGINX đe dọa tính bảo mật của các trang web và ứng dụng trực tuyến, cũng như thông tin cá nhân của người dùng.

Để đối phó với hình thức tấn công khá nguy hiểm này, người dùng mạng cần nhận thức rõ về công cụ EVILGINX, cách thức thực hiện các cuộc tấn công phishing và đưa ra các biện pháp bảo vệ an toàn thông tin cá nhân trước những cuộc tấn công của EVILGINX và cũng như các công cụ khác. Các tổ chức cần tăng cường các biện pháp bảo vệ để đảm bảo an toàn cho khách hàng và người dùng của họ. Ngoài ra, các cơ quan chức năng cũng cần có những biện pháp hỗ trợ, truy vết và xử lý nghiêm tội phạm mạng đang ngày càng tinh vi và trở nên khó lường.