Kỹ thuật lấy cắp email,credit card - PHISING

Giả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng. Bạnđã từng nhận email từ ngân hàng này trước đó nhưng email này có vẻ đáng nghi ngờ,
Nội dung trích xuất từ tài liệu:
Kỹ thuật lấy cắp email,credit card - PHISING CHƯƠNG 7: PHISINGGiả sử một ngày nào đó bạn mở email ra và nhận được thông báo từ ngân hàng. Bạnđã từng nhận email từ ngân hàng này trước đó nhưng email này có vẻ đáng nghi ngờ,đặc biệt là nó yêu cầu bạn trả lời ngay lập tức nếu không tài khoản của bạn sẽ bịđóng. Bạn sẽ làm gì?Những thông báo như thế này hoặc tương tự là những ví dụ của Phishing – lừa đ ảotrực tuyến, một phương pháp của identity theft – ăn cắp dữ liệu cá nhân. Ngoài việcăn trộm thông tin cá nhân và dữ liệu về tài chính, kẻ chuyên l ừa đ ảo tr ực tuy ến(phisher) có thể lây nhiễm máy tính với virus và thuyết phục mọi người tham gia mộtcách vô thức vào việc rửa tiền.Hầu hết mọi người gặp lừa đảo trực tuyến với email lừa đảo hoặc giả danh ngânhàng, công ty tín dụng hoặc các doanh nghiệp như Amazon và eBay. Những emailnày trông rất giống thật và cố gắng thuyết phục mọi nạn nhân tiết l ộ thông tin cánhân. Tuy nhiên, thông báo dạng email chỉ là một phần nhỏ của lừa đảo trựctuyếnTrong lĩnh vực an toàn máy tính. Phising là gì?Phising là một hình thức gian lận để có những thông tin nhạy cảm như username,password, credit card … bằng cách giả mạo như là một thực thể đáng tin cậy trongcác giao tiếp trên mạng. Quá trình giao tiếp thường diễn ra tại các trang mạng xã hộinổi tiếng, các trang web đấu giá, mua bán hàng online…mà đa số người dùng đềukhông cảnh giác với nó. Phising sử dụng email hoặc tin nhắn tức thời, gửi đ ếnngười dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quancủa mình đã cung cấp thông tin cho một trang web,trông thì có vẽ hợp pháp,nhưng lạilà trang web giã mạo do các hacker lập nên.Phising là một ví dụ của Social Engineering được sử dụng để lừa đảo người dùng vàkhai thác lổ hổng trong việc sử dụng công nghệ kém an ninh của các website hiệnhành. Những nổ lực mạnh mẽ trong thời gian qua để chống lại Phising bao gồm việcứng dụng các công nghệ an ninh mới đến việc đào tạo cho nhân viên, và nâng cao ýthức cộng đồng.Kỹ thuật lừa đảo được mô tả chi tiết vào năm 1987, và những ghi chép đầu tiên vớithuật ngữ Phising Nguồn gốc từ Phishing là kết hợp giữa 2 từ Fish - Fishing vàPhreaking. Fishing nghĩa gốc là “câu cá” nhưng đuợc hiểu là “câu” các thông tin c ủanguời dùng. Mặt khác, do tính chất của nó cũng gần giống kiểu tấn công Phreaking(Chữ “Ph” duợc các hacker thay thế cho chữ “F” dể tạo thành phishing do cách phátâm gần giống) - đuợc biết đến lần đầu tiên bởi hacker John Draper (biệt danh akaCaptain Crunch) khi sử dụng “Blue Box” để tấn công hệ thống diện thoại ở Mỹnhằm thực hiện các cuộc gọi đường dài miễn phí hoặc sử dụng đường điện thoạicủa nguời khác thực hiện các cuộc gọi bất hợp pháp,… vào đầu thập niên 1970 - têngọi khác là Phone Phreaking.Theo thời gian, những cuộc tấn công phishing không còn chỉ nhằm vào các tài khoảnInternet của AOL mà đã mở rộng đến nhiều mục tiêu, đặc biệt là các ngân hàng trựctuyến, các dịch vụ thuong mại diện tử, thanh toán trên mạng,… và hầu hết các ngânhàng lớn ở Mỹ, Anh, Úc hiện dều bị tấn công bởi phishing. Vì cũng nhắm vào mụctiêu đánh cắp credit card nên nó còn duợc gọi là Carding.Do cách tấn công đơn giản nhưng lại hiệu quả cao nên phishing nhanh chóng trởthành một trong những kiểu lừa dảo phổ biến nhất trên mạng – có đến gần 70% cácvụ tấn công trên mạng năm 2003 có liên quan đến phishing (nguồn:Antiphishing.org). Những Yếu Tố Để Một Cuộc Tấn Công Phising Thành CôngPhising là một trong những kỹ thuật của Social Engineering, nó cũng chủ yếu dựavào điểm yếu của con người. Chính những bất cẩn, sự chủ quan của người sử dụngđã giúp kẽ tấn công thành công hơn. Vài yếu tố sau đây sẽ giúp cuộc tấn côngPhising thành công tốt đẹp.Sự thiếu hiểu biếtSự thiếu hiểu biết về hệ thống mạng và máy tính đã giúp cho các hacker khai thácnhững thông tin nhạy cảm.Bạn cần hiểu rõ quá trình hoạt động của internet, hoặc ít hơn hiểu về cách thức truycập một website an toàn. Điển hình nhất bạn cần phải biết việc bấm vào nút SavePassword khi bạn truy cập web tại các điểm công cộng sẽ làm tăng nguy cơ bị xâmphạm tài khoản cá nhân. Đặc biệt đối với những người thường xuyên mua bán,thanh toán qua mạng, thì cần phải hiểu rõ việc cung cấp credit card là rất quan trọng,và biết được khi nào nên cung cấp, khi nào không. Bạn cũng nên tìm hiểu s ơ về cácgiao thức mạng, và phân biệt được giao thức nào là an toàn. Điển hình là bạn đ ừngbao giờ giao dịch trực tuyến với giao thức truy cập web là http, mà phải đảm bảo antoàn với giao thức https.Những cửa sổ cảnh báo của windows về mức độ an toàn của việc truy cập thông tin,điều mà mọi người thường hay bỏ qua, lại chính là nguy cơ biến bạn thành nạnnhân.Thói quen duyệt mail không tốt cũng làm cho bạn gặp nhiều nguy hiểm. Có vài lờikhuyên cho bạn, là cẩn thận với những email không có địa chỉ người gửi rõ ràng,không có tiêu đề, hoặc là nội dung có tính kích ...