• Thứ Năm, 14/08/2014 16:28 (GMT+7)

    Phương thức tiên tiến nhất trong bảo vệ và chống lừa đảo

    Thạch An
    Kiểm soát các địa chỉ giả mạo được đinh kèm trong email hay qua các đường link được gửi đến người dùng là giải pháp phổ biến của doanh nghiệp trước các cuộc tấn công lừa đảo.

    Theo báo cáo từ nhóm Anti-Phishing của Internet Engineering Task Force, số lượng các trang web lừa đảo đã tăng 10,7% so với quý 1 so với năm ngoái, trong khi cùng thời điểm thì cũng có tới 32,7 % máy tính trên toàn cầu bị nhiễm phần mềm độc hại, bao gồm cả phần mềm quảng cáo lẫn phần mềm gián điệp. Điều này cho thấy vấn nạn lừa đảo trực tuyến là một vấn đề nghiêm trọng ngày càng tăng cao đối với các doanh nghiệp.

    Điều này cũng không khó để thấy lượng dữ liệu và các loại thông tin vi phạm cứ lặp đi lặp lại khiên các cuộc tấn công ngày càng trở nên nghiêm trọng hơn với doanh nghiệp. Để đối phó với nguy cơ nghiêm trọng của các mũi nhọn tấn công lừa đảo ngày nay thì cần phải thấy rõ công nghệ lựa đào mới nhất hiện nay để bảo vệ doanh nghiệp

    Mũi nhọn chiến thuật lừa đảo hiện nay

    "Những kẻ tấn công đang ngày càng trở nên thông minh hơn," Tom Gorup, Security Operations Center Manager, Rook Security cho hayi. Thay vì trông chờ vào các ứng dụng dịch trực tuyến để viết nội dung của email lừa đảo bằng tiếng Anh. Những kẻ tấn công có thể thực sự biết tiếng Anh nhưng lại cố tình sử tạo nên nhiều lỗi chính tả và ngữ pháp để gây tò mò.

    Những kẻ tấn công lão làng trong lĩnh vực này sử dụng những tên miền không có thật như yah00.com để trông giống như yahoo.com, nhằm đánh lừa thị giác của người dùng và khiến họ nhấp vào liên kết trong email lừa đảo. Theo nhóm Anti-Phishing, hiện nay những kẻ tấn công sử dụng các nhà cung cấp bên thứ ba để mua và lưu trữ những tên miền giả mạo, gây khó khăn hơn cho các doanh nghiệp sở hữu tên miền thật. Nếu doanh nghiệp muốn tránh các điều tiếng có thể bị ảnh hưởng bởi tên miền giả mạo thì cách dễ nhất là mua lại nó và gỡ nó ra khỏi internet. 

    Đường link có địa chỉ gần giống với tên miền thật của Amazon

    Khi kẻ tấn công mua và sở hữu một tên miền đó thông qua một dịch vụ như vậy, khiến các nhà cung cấp trở thành bình phong. Điều này có thể khiến những kẻ tấn công tránh được việc tra cứu thông qua dịch vụ Whois. Doanh nghiệp phải đến các nhà cung cấp dịch vụ và qua môi giới mới có thể mua được tên miền này.

    Những kẻ tấn công cũng đang sử dụng các công cụ copy nguyên trang Web như HTTrack để sao lưu và làm cho các email lừa đảo có thể dễ dàng hơn trong việc sử dụng hình ảnh đồ họa và nhúng phần mềm độc hại vào đó. Sau khi nhúng mã độc vào thì website mới này sẽ được đẩy lên internet trông không khác gì web chính hãng. Những kẻ tấn công đã giả mạo email PayPal mà trên thực tế người dùng cảm thấy hình như được gửi từ PayPal thật. Những kẻ tấn công khiến người dùng cho rằng các email đến từ những người mua sản phẩm của họ trên eBay.

    Những kẻ tấn công cũng làm cho nội dung email lừa đảo ngày càng hấp dẫn bằng cách khiến người dùng nghĩ rằng đây là thông báo là từ quản lý cấp trên và yêu cầu phản hồi ngay lập tức. Thông tin về ai là quản lý và nhân viên là ai phổ biến rộng rãi trên mạng Internet, trên các trang mạng xã hội.

    Chống lừa đảo

    Điểm đầu tiên của việc hệ thống bảo vệ là nhằm ngăn chặn, block các tên miền tương tự ở vòng ngoài. Những tên miền tương tự tên miền gốc nhưng được thay bằng các ký tự hoặc biến nó gần giống bản gốc. Những loại tên miền có thể dễ dàng đánh lừa một số người sử dụng thận trọng nhất. Cơ chế bảo vệ này sẽ giúp ngăn chặn người dùng trên mạng truy cập tới các trang web này.

    Có thêm một lớp bảo vệ  luôn sẵn bằng cách ngăn chặn các loại trang web trong hệ thống quản lý email của bạn. Không chỉ ngăn chặn emal được gửi đi từ tên miền giả mạo và còn phải chặn những nội dung được liên kết hoặc đề cập trong đó. Các doanh nghiệp cần tiếp tục cập nhật blacklist- danh sách đen những lỗ hổng và botnet. Duy trì danh sách đen và chặn người dùng truy cập đối với doanh nghiệp là nền tảng để ngăn chặn các trang web nguy hiểm có khả năng tạo nên các cuộc tấn công mang tính lây lan.

    Theo Joan Pepin- CISO của Sumo Logic cho hay, sử dụng proxy web để đảm bảo người dùng không thể vào được các trang web danh sách đen. "Đây phải là proxy trong suốt hoặc nhân viên chỉ đơn giản là sẽ điều chỉnh cài đặt trình duyệt của họ để bỏ qua xung quanh proxy. Hãy chắc chắn để thiết bị định tuyến công cộn thông qua các proxy web. Các danh sách đen phải đầy đủ và phần mềm proxy phải được cập nhật liên tục."

    Trong khi điều này sẽ hạn chế tiếp xúc của doanh nghiệp với những rắc rối từ các cuộc tấn công lừa đảo, nhưng điều này không hoàn toàn có thể an toàn khi xuất hiện loạt website không nằm trong blacklist được nêu ra.

    Hệ thống phòng chống mất dữ liệu

    Nếu hệ thống bảo mật thông tin nhìn thấy một máy chủ doanh nghiệp tiếp cận với các URL giả mạo trong một khoảng thời gian 4 giờ, có thể có loạt phishing email  đã được gửi đi khắp nơi. Các quản trị viên cần phải nghiên cứu các URL và nhìn vào xu hướng dữ liệu  để xem những gì đang xảy ra.

    Trong hầu hết các trường hợp, một cuộc tấn công có thể  chuyển giao trái phép các thông tin nhạy cảm từ máy tính nạn nhân. Một công cụ phòng chống mất dữ liệu (DLP) có gắn nhãn phù hợp các dữ liệu thẻ meta mô tả mức độ bảo mật sẽ giúp xác định khi nào cuộc tấn công bắt đầu. Những cách tiếp cận với chi phí cao phù hợp với các tổ chức lớn nhưng với doanh nghiệp nhỏ có thể xem xét DLP với tính năng ít hơn nhưng vẫn có thể đảm bảo được an toàn dữ liệu.

    Hệ thống phát hiện xâm phạm IDS được kì vọng sẽ phát hiện các hoạt động bất thường hoặc các cuộc tấn công lừa đảo từ phần mềm độc hại được thiết lập sẵn. Khi điều này xảy ra, các nghiệp vụ an ninh cần thiết để thực hiện theo bản ghi và tiến hành khắc phục vấn đề xảy ra. Nhìn vào các thông tin đăng nhập thời gian thực, kiểm tra các bản ghi email, các bản ghi DHCP nhằm tìm ra luồn dữ liệu hoạt động tại thời điểm bị tấn công