Giả mạo Email là một chiến thuật phổ biến được tin tặc sử dụng trong các chiến dịch lừa đảo, bởi người dùng có nhiều khả năng truy cập Email khi nghĩ rằng nó đã được gửi bởi một nguồn hợp pháp hoặc quen thuộc và thúc đẩy người nhận thực hiện một hành động cụ thể, chẳng hạn như nhấp chuột vào đường dẫn liên kết lừa đảo, chuyển tiền, tải xuống một tệp tin độc hại… Để tăng thêm độ tin cậy, tin tặc có thể sao chép thiết kế và phong cách Email của một người gửi cụ thể, nhấn mạnh tính cấp thiết của các hành động cần người nhận thực hiện và sử dụng các kỹ thuật xã hội khác.
Sau đây là một số hình thức giả mạo Email thường gặp:
Giả mạo tên miền hợp lệ
Hình thức đơn giản nhất của kỹ thuật này là giả mạo tên miền hợp lệ. Điều này liên quan đến việc chèn tên miền của tổ chức bị giả mạo vào tiêu đề của trường gửi, khiến người dùng cực kỳ khó phân biệt Email giả với Email thật.
Để chống giả mạo, một số phương pháp xác thực Email đã được tạo ra để nâng cao và bổ sung cho nhau như SPF, DKIM và DMARC. Bằng nhiều cách khác nhau, các cơ chế này xác minh rằng Email thực sự được gửi từ những địa chỉ hợp lệ.
- SPF cho phép chủ sở hữu tên miền của Email giới hạn một tập hợp các địa chỉ IP có thể gửi từ tên miền này và cho phép máy chủ kiểm tra xem địa chỉ của người gửi có được chủ sở hữu tên miền ủy quyền hay không. Tuy nhiên, SPF không kiểm tra tiêu đề của người gửi mà là tên miền của người gửi được chỉ định trong bao thư SMTP, được sử dụng để truyền tải thông tin về đường đi của Email giữa ứng dụng Email, máy chủ Email và không được hiển thị cho người nhận.
- DKIM giải quyết vấn đề xác thực người gửi bằng chữ ký số được tạo trên cơ sở khóa cá nhân được lưu trữ trên máy chủ của người gửi. Khóa công khai để xác thực chữ ký được đặt trên máy chủ DNS chịu trách nhiệm về tên miền của người gửi. Trong thực tế, Email được gửi từ một tên miền khác, chữ ký sẽ không hợp lệ. Tuy nhiên, tin tặc vẫn có thể gửi một Email giả mạo mà không có chữ ký DKIM và Email sẽ không thể xác thực.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) được sử dụng để kiểm tra tên miền trong trường gửi (From) so với tên miền được xác thực bởi DKIM/SPF. Với DMRAC, một Email có tên miền giả mạo sẽ không được xác thực. Tuy nhiên, nếu chính sách nghiêm ngặt, DMARC cũng có thể chặn các Email mong muốn.
Giả mạo tên hiển thị
Tên hiển thị là tên của người gửi được hiển thị trong phần người gửi trước địa chỉ Email. Trong trường hợp Email của các công ty, thường là tên thật của cá nhân hoặc bộ phận có liên quan.
Để làm cho Email bớt lộn xộn đối với người nhận, nhiều ứng dụng Email ẩn địa chỉ của người gửi và chỉ hiển thị tên hiển thị. Điều này cho phép tin tặc thay thế tên, nhưng để lại địa chỉ thực của chúng ở trong trường gửi và địa chỉ này thường được bảo vệ bằng chữ ký DKIM, SPF, vì vậy các cơ chế xác thực sẽ cho rằng Email này là hợp lệ.
Giả mạo gần giống tên miền
Các cuộc tấn công tinh vi hơn sử dụng các tên miền được đăng ký đặc biệt, tương tự hoặc gần giống như tên miền của mục tiêu giả mạo. Điều này đòi hỏi tin tặc phải nỗ lực nhiều hơn trong việc tìm và mua một tên miền cụ thể, sau đó thiết lập Email, chữ ký DKIM/SPF và xác thực DMARC trên tên miền đó, việc này khó khăn hơn so với việc chỉ sửa đổi một chút ở trường gửi (From) để giả mạo. Nhưng việc thiết lập thành công với tên miền gần giống tên miền của nạn nhân sẽ gây ra nhiều khó khăn, phức tạp cho người nhận trong việc phát hiện Email giả mạo.
Một tên miền tương tự như tên miền của tổ chức đang bị giả mạo, nhưng có một vài thay đổi nhỏ. Nếu người dùng nhấp vào liên kết trong một email như vậy và trả tiền để giao nhận một bưu kiện, người dùng không chỉ mất 3 Euro mà còn tiết lộ chi tiết thẻ của mình cho những tin tặc.
Tuy nhiên, khi người dùng chú ý thì họ có thể phát hiện ra các tên miền sai chính tả. Nhưng trong một số trường hợp nhất định, người nhận khó có thể không nhận biết sự khác biệt trong tên miền của Email mà họ nhận được.
Hack Password
Hack Password, hay còn gọi là tấn công mật khẩu, là một hình thức tấn công đã cũ, tuy nhiên vẫn gây không ít phiền toái cho cả người dùng cá nhân và doanh nghiệp. Trong một vài trường hợp, nó có thể gây thiệt hại lớn cho một tổ chức nếu nó nằm trong một cuộc tấn công APT quy mô lớn.
Có 3 dạng tấn công mật khẩu phổ biến:
- Brute Force Attack (tấn công dò mật khẩu): kẻ tấn công sử dụng một công cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ dễ đến khó) cho tới khi đăng nhập thành công. VD: đặt mật khẩu đơn giản như 123456, password123,… rất dễ bị tấn công brute force.
- Dictionary Attack (tấn công từ điển): là một biến thể của Brute Force Attack, tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa thay vì thử tất cả mọi khả năng. Nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản VD: motconvit, iloveyou,… Đây là lý do khiến Dictionary Attack có tỉ lệ thành công cao hơn.
- Key Logger Attack (tấn công Key Logger): đúng như cái tên của nó, tin tặc lưu lại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, password hay nhiều nội dung khác. Tấn công Key Logger nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp không giúp ích gì trong trường hợp này. Để tấn công, tin tặc cần phải sử dụng một phần mềm độc hại (malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn nhân nhập vào máy tính và gửi về cho kẻ tấn công. Phần mềm này được gọi là Key Logger.
Trên đây chỉ là các dạng tấn công mật khẩu trực tiếp. Ngoài ra, tin tặc có thể tấn công gián tiếp thông qua việc lừa đảo người dùng tự cung cấp mật khẩu (Tấn công giả mạo Phishing), tiêm nhiễm Malware, tấn công vào cơ sở dữ liệu – kho lưu trữ mật khẩu người dùng của các dịch vụ…
Vì vậy bạn nên thay đổi mật khẩu định kỳ: Mật khẩu nên nhiều hơn 8 ký tự, bao gồm in hoa, chữ số, ký tự đặc biệt. Hãy nhớ không bao giờ sử dụng lại mật khẩu đã sử dụng trước đây, chỉ sử dụng các kết nối an toàn (TLS /SSL/HTTPS) để truy cập vào tài khoản của bạn, sử dụng mật khẩu mạnh và tận dụng các tính năng bảo mật bổ sung của nhà cung cấp dịch vụ Email của bạn.
Trên đây là những chia sẻ về các thủ đoạn lừa đảo qua email giả mạo vô cùng phổ biến. Có rất nhiều cách tin tặc sử dụng để thuyết phục người nhận Email được gửi từ một nguồn tin cậy. Một số trong số các cách này có vẻ khá đơn giản nhưng cũng cho phép tin tặc vượt qua xác thực. Đồng thời, kỹ thuật giả mạo được sử dụng để thực hiện nhiều loại tấn công khác nhau, từ lừa đảo thông thường đến xâm nhập Email doanh nghiệp một cách nâng cao. Ngoài ra, đây có thể chỉ là một bước trong cuộc tấn công có chủ đích tinh vi. Thiệt hại từ việc giả mạo Email có thể từ đánh cắp danh tính đến ngừng hoạt động của tổ chức, mất danh tiếng và tổn thất tài chính. Vì vậy cần phải hết sức cảnh giác và nâng cao sự thận trọng trong bất kì tình huống nào.