• Thứ Hai, 01/07/2013 15:41 (GMT+7)

    Nhận dạng tội phạm mạng

    Chí Thịnh
    PC World Việt Nam điểm qua một số chuyên án tội phạm mạng do Cục Phòng chống tội phạm sử dụng công nghệ cao thụ lý trong năm 2011 – 2012. Theo đánh giá chung, hình thức tấn công của hacker ngày càng tinh vi hơn và mục đích cuối cùng là chiếm đoạt tài sản.

    Virus - Công cụ tấn công

    Theo báo cáo của Cục Phòng chống tội phạm sử dụng công nghệ cao (C50), cũng như báo cáo của Hội An toàn Thông tin (VNISA), trong năm 2012 tình hình an ninh mạng tiếp tục diễn tiến phức tạp với mức độ tăng. Các loại hình tấn công phổ biến của hacker là phát tán virus, phần mềm gián điệp thông qua thư rác (spam mail), diễn đàn, mạng xã hội… Ngoài ra, các loại virus do thám còn được nhúng trong các phần mềm ứng dụng thường dùng.

    Hơn nữa, cũng xảy ra nhiều trường hợp hacker có nguồn gốc nước ngoài tấn công hệ thống mạng của một số cơ quan nhà nước, doanh nghiệp lớn – đánh cắp dữ liệu “nhạy cảm” gây thiệt hại cho tổ chức, doanh nghiệp Việt Nam.

    Các trang web, hệ thống mạng của doanh nghiệp còn bị tấn công DDOS gây tắc nghẽn đường truyền. Hacker sử dụng mạng máy tính botnet truy cập liên tục, lặp đi lặp lại vào một địa chỉ trang web định trước. Ở cuộc tấn công vào báo điện tử Vietnamnet, lượng truy cập vào lúc cao điểm lên đến một triệu kết nối.

    Hacker còn sử dụng loại virus “siêu đa hình” nhằm qua mặt các phần mềm phòng chống virus trên máy tính. Một số vụ tấn công còn sử dụng phần mềm tạo địa chỉ giả mạo trên Internet, Fake email (giả mạo email), che giấu địa chỉ trên mạng (Hide IP)…

    Mấy năm gần đây xuất hiện loại virus “Sinh Tử Lệnh” chuyên thâm nhập máy tính tạo mạng lưới máy tính ma (botnet). Botnet này khi tấn công sẽ được điều khiển bởi virus cài đặt trên hệ thống máy chủ ở nước ngoài. Virus này có đủ các tính năng như keylogger, backdoor, đánh cắp thông tin, tấn công DDOS…

    Chứng cứ điện tử
    Chứng cứ điện tử dựa trên các loại dấu vết được hệ điều hành máy tính hoặc phần mềm quản lý thiết bị tạo ra một cách tự động. Nó tồn tại dưới hình thức những tín hiệu điện tử và được lưu giữ trong bộ nhớ của các thiết bị số. Những dấu vết này có thể được các đơn vị an ninh mạng, cơ quan điều tra… phát hiện, thu thập và bảo quản dưới dạng tín hiệu điện tử trên ổ cứng, đĩa CD, USB... để làm chứng cứ pháp lý.

    Tội phạm mạng đang hình thành xu hướng quốc tế, có sự cấu kết giữa các nhóm tội phạm mạng trong và ngoài nước. Các vụ tấn công gần đây có mục đích chiếm đoạt tài sản là chủ yếu. Trong 2 năm 2011 – 2012, số lượng các vụ tấn công trên mạng tăng nhanh, có vụ có mức thiệt hại lên đến hàng triệu USD…

    Trong năm 2010 – 2011, hàng trăm trang web tại Việt Nam bị tấn công Deface (thay đổi nội dung thông qua lỗ hổng bảo mật). Như trường hợp báo điện tử Vietnamnet bị nhóm hacker Team Mosta tấn công Deface vào ngày 22/11/2010. Tấn công Deface là truy cập bất hợp pháp vào hệ thống mạng nhằm phá hoại, sửa đổi hoặc đánh cắp dữ liệu.

    Email lưu trữ tổng số 28.000 tài khoản thẻ tín dụng đánh cắp
    Đánh cắp thông tin

    Hacker truy cập vào các trang web mua bán trực tuyến nhằm đánh cắp thông tin về tài khoản thẻ tín dụng. Hoặc lây nhiễm các loại keylogger (virus ghi ký tự bàn phím) hoặc spyware (virus do thám) để lấy thông tin thẻ tín dụng.

    Thông qua các thẻ tín dụng lấy được, hacker sử dụng mua sắm trên các trang web mua bán trực tuyến. Hacker cũng tìm cách “rửa tiền” từ các tài khoản thẻ ngân hàng bằng cách mua bán lòng vòng trên mạng. Đã có trường hợp sử dụng thẻ cào nạp tiền điện thoại lừa đảo được để rao bán mã thẻ với giá rẻ.

    Một số tội phạm còn dùng Skimming (ăn trộm mật khẩu ATM) gài chip vào đầu đọc thẻ (trên máy ATM) để ghi trộm mã số thẻ ATM. Thông qua thiết bị đọc mã số và camera quay lén thao tác gõ mật khẩu, hacker có thể tạo thẻ ATM giả mạo để rút tiền.

    Bọn tội phạm còn có thể “rửa tiền” bằng cách nạp tiền thông qua các hệ thống thanh toán trực tuyến với dạng “tiền điện tử” như Liberty Reserve, e-Gold, WebMoney… Sau đó, số “tiền điện tử” này có thể được rút ra để sử dụng như tiền hợp pháp.

    C50 cũng dự báo các nhóm tội phạm công nghệ cao sẽ chuyển dần hướng tấn công sang điện thoại di động. Các loại điện thoại thông minh hiện nay lưu trữ nhiều thông tin cá nhân nhưng lại dễ bị virus thâm nhập và đánh cắp.

    Trong thời gian tới, có thể các nhóm hacker sẽ khai thác ứng dụng Điện toán đám mây để tấn công vào các lỗ hổng bảo mật trên máy chủ, đánh cắp thông tin trên các trang web dịch vụ trực tuyến…

    Một số loại virus nguy hiễm
    + Trojan “Sinh Tử Lệnh” lây nhiễm qua phần mềm Unikey – tạo ra Botnet.
    + Zeus, loại virus lây lan trên diện rộng từ tháng 3/2009.
    + Mã độc SpyEye chuyên đánh cắp tài khoản ngân hàng trực tuyến (tháng 12/2009).
    + Trojan Banker chủ yếu tấn công vào tài khoản ngân hàng trực tuyến (tháng 9/2009).
    + Mã độc Ainslot.L xuất hiện từ tháng 9/2011, chuyên ghi nhận hoạt động của người dùng, tải thêm mã độc để chiếm quyền kiểm soát máy tính.

    Ngày càng tinh vi

    Đại tá Trần Văn Hoà, Phó Cục trưởng Cục Phòng chống tội phạm sử dụng công nghệ cao đánh giá hình thức phát tán virus của tội phạm mạng ngày càng trở nên tinh vi hơn. Đồng thời, đối tượng bị phát tán virus hiện nay đã chuyển sang nhóm người dùng có chức vụ cao trong các cơ quan nhà nước.

    Tập hợp các mạng lưới máy tính chuẩn bị tấn công DDOS.
    C50 từng phát hiện các email giả mạo được ngụy trang cẩn thận dưới danh nghĩa thư trao đổi công việc, có danh tính kèm theo số điện thoại, địa chỉ liên hệ… Hacker đã nhúng loại virus backdoor (tạo cửa hậu) để đánh cắp dữ liệu.

    Vào ngày lễ Tình yêu (14/2/2012), một nhóm hacker đã cài một virus backdoor vào trang web www.bkav.com.vn và sao chép toàn bộ cơ sở dữ liệu.
    Sau đó, số dữ liệu này được đăng tải công khai trên diễn đàn http://forum.bkav.com.vn.

    Hoặc như virus Zeus có khả năng tạo ra một biến thể ZitMo trên điện thoại di động nhằm đánh cắp mã bảo mật ngân hàng. Virus ZitMo sẽ thâm nhập vào điện thoại di động để chặn tin nhắn SMS và lấy cắp mã số giao dịch TANs (Transaction Authorization Number). Sau đó, hacker có thể xác nhận giao dịch chuyển tiền qua ngân hàng mà nạn nhân không hề hay biết.

    Trong một số chuyên án, hacker còn dùng đến công cụ tạo Proxy có tên gọi TOR để che giấu địa chỉ IP. Khi sử dụng TOR, hacker có thể chuyển đổi liên tục máy chủ Proxy kết nối Internet. Ví dụ: Khi dùng mạng lưới Proxy này, các nhóm hacker sẽ cứ tuần tự 10 phút/lần thay đổi kết nối Internet từ nhiều quốc gia khác nhau.

    Từ khóa: hacker, virus
    ID: A1305_4