- vừa được xem lúc

Tìm hiểu về phishing email

#phishing

0 0 1

Người đăng: Nguyen Nguyen

Theo Viblo Asia

Giới thiệu

Tấn công lừa đảo là loại tấn công thường nhằm mục đích đánh cắp thông tin cá nhân của người dùng bằng cách lừa họ nhấp vào các liên kết độc hại trong email hoặc chạy các tệp độc hại trên máy tính của họ. Những kẻ tấn công thường nhắm đến việc dụ nạn nhân nhấp vào liên kết độc hại trong email bằng cách sử dụng các cụm từ khó hiểu như "bạn đã trúng quà", "đừng bỏ lỡ đợt giảm giá lớn", "nếu bạn không nhấp vào liên kết trong email, tài khoản của bạn sẽ bị đình chỉ".

Các cuộc tấn công lừa đảo rơi vào giai đoạn "Delivery" của mô hình Cyber Kill Chain được tạo ra để phân tích các cuộc tấn công mạng. Giai đoạn "Delivery" là lúc kẻ tấn công chuyển nội dung độc hại đã được sắp xếp trước đến hệ thống/người dùng của nạn nhân.

image.png

Spoofing

Vì email không nhất thiết phải có cơ chế xác thực, kẻ tấn công có thể gửi email dưới danh nghĩa của người khác. Chúng có thể thực hiện việc này bằng cách sử dụng một kỹ thuật gọi là giả mạo (spoofing) để khiến người dùng tin rằng email đến là đáng tin cậy. Một số giao thức đã được tạo ra để ngăn chặn kỹ thuật giả mạo email này. Các giao thức SPF - Khung chính sách người gửi , DKIM - thư được xác định bằng khóa tên miền và DMARC có thể được sử dụng để xác định xem địa chỉ người gửi là giả hay thật

Cách kiểm tra thủ công xem địa chỉ email có bị giả mạo hay không:

  • Xác định địa chỉ SMTP của email: lấy các bản ghi SPF, DKIM, DMARC và MX của tên miền bằng các công cụ như Mxtoolbox.
  • kiểm tra xem địa chỉ SMTP có thuộc về tổ chức đó hay không bằng cách xem hồ sơ Whois của địa chỉ IP SMTP

Phân tích tĩnh

Kẻ tấn công có thể sử dụng HTML để tạo email ẩn các URL độc hại đằng sau các nút hoặc văn bản trông có vẻ vô hại. Như có thể thấy trong hình ảnh trên, địa chỉ mà người dùng nhìn thấy khi nhấp vào liên kết có thể khác nhau (địa chỉ thực sẽ được nhìn thấy khi người dùng di chuột qua liên kết).

image.png

Bằng cách truy vấn VirusTotal để tìm địa chỉ web trong email, có thể biết liệu các công cụ diệt virus có phát hiện địa chỉ web đó là độc hại hay không.

Phân tích động

các trang web và tệp trong email nên được chạy trong sand box và những thay đổi được thực hiện trên hệ thống nên được kiểm tra xem chúng có gây hại hay không

có thể sử dụng các trình duyệt web trực tuyến như Browserling để kiểm tra nhanh các địa chỉ web trong email. Ưu điểm của các dịch vụ này là không phải lo lắng về lỗ hổng zero-day có thể ảnh hưởng đến trình duyệt

image.png

Môi trường sandbox cho phép kiểm tra các tệp và trang web đáng ngờ mà không sợ máy tính bị nhiễm phần mềm độc hại. Nhiều dịch vụ/sản phẩm sandbox có sẵn cho cả mục đích sử dụng trả phí và miễn phí. có thể chọn một hoặc nhiều dịch vụ này tùy theo nhu cầu của mình.

Một số sandbox thường được sử dụng:

  • VMRay
  • JoeSandbox
  • AnyRun
  • Phân tích lai (Falcon Sandbox)

việc không có URL và tệp trong email không có nghĩa là nó không độc hại. Kẻ tấn công cũng có thể gửi phần mềm độc hại dưới dạng hình ảnh để tránh bị các công cụ phân tích phát hiện

Các kỹ thuật bổ sung

Ngoài các kỹ thuật tấn công lừa đảo đã đề cập trong bài học trước, kẻ tấn công cũng có thể sử dụng các trang web hợp pháp. Một số trong số đó bao gồm:

  • Sử dụng các dịch vụ cung cấp dịch vụ lưu trữ đám mây như Google và Microsoft: lừa người dùng nhấp vào các liên kết Google/Microsoft Drive có vẻ vô hại để lừa người dùng tải xuống các tệp độc hại
  • Sử dụng các dịch vụ cho phép tạo tên miền phụ miễn phí, chẳng hạn như Microsoft, WordPress, Blogspot, Wix: Kẻ tấn công cố gắng đánh lừa các sản phẩm bảo mật và nhà phân tích bằng cách tạo một tên miền phụ miễn phí từ các dịch vụ này. Vì thông tin whois không thể được tìm kiếm dưới dạng tên miền phụ
  • Đơn xin biểu mẫu

Bình luận

Bài viết tương tự

- vừa được xem lúc

Lộ SỐ TÀI KHOẢN ngân hàng, tôi đã mất TẤT CẢ!!!

Trending

Ngày nay, việc sở hữu một tài khoản ngân hàng đã trở nên vô cùng đơn giản. Kể cả khi bạn lười ra ngân hàng thì chúng ta vẫn được phép đăng ký trực tuyến và thẻ cùng với thông tin tài khoản sẽ được gửi

0 0 47