• Thứ Hai, 16/04/2007 09:32 (GMT+7)

    Bùng nổ trang web lừa đảo

    Tội phạm trực tuyến vẫn tiếp tục gia tăng dù các công cụ bảo vệ tự động có tốt mấy đi nữa.

    Bạn cho là các bộ lọc trang web lừa đảo tích hợp trong Internet Explorer 7 và Firefox 2 bảo vệ được dữ liệu cá nhân? Nếu vậy bạn hãy nghĩ lại đi. Số lượng trang web giả mạo năm vừa rồi tăng đến chóng mặt và số nạn nhân của các trang web này chỉ tính riêng tại Mỹ tăng gần gấp đôi. Vào tháng 11 năm ngoái, tổ chức Anti-Phishing Working Group báo cáo có 37.439 trang web giả mạo mới, tăng đến 709% so với tháng 11/2005 là 4630 trang.

    Vào tháng 10 năm ngoái, Mozilla và Microsoft đưa ra các phiên bản trình duyệt mới, áp dụng danh sách đen (blacklist) để đối chứng và sàng lọc trang web giả mạo. Đáp lại, những kẻ viết web lừa đảo đang tung ra cơn lũ web giả mới trên Internet, nhanh đến nỗi 2 trình duyệt này không kịp nhận biết để đưa vào sổ đen.

    Từ việc người dùng chưa thật sự quan tâm đến vấn đề này, cộng với nhiều kiểu tấn công giả mạo mới của kẻ xấu, các chuyên gia cho rằng kẻ viết web lừa đảo luôn cầm chuôi trong trận chiến chống lại tấn công trực tuyến.

    Theo một chuyên gia Symantec, các công nghệ dựa trên bảng đen gần như vô dụng.

    Dễ dàng lừa gạt

    Theo nhà cung cấp giải pháp bảo mật RSA, tháng 1 vừa rồi tin tặc bắt đầu bán các gói công cụ làm trang web giả, giúp kẻ xấu thiết lập trang web giả dễ dàng hơn rất nhiều. Trang web giả lấy hình ảnh và cách trình bày từ trang web thật, thông thường là các trang web về ngân hàng hoặc tài chính, rồi sau đó chuyển thông tin người dùng ngược về trang web thật để bắt chước đăng nhập thông thường trong khi vẫn giữ một bản sao dữ liệu tài khoản.

    Dĩ nhiên là kẻ xấu càng lúc càng thu được nhiều tiền. Công ty nghiên cứu Gartner ước tính khoảng 3,5 triệu người Mỹ đã để lộ thông tin nhạy cảm của mình cho các tay làm trang web giả trong năm 2006 vừa qua, tăng 84% so với năm trước đó, tổng thiệt hại xấp xỉ 2,8 tỉ USD. Người ta ước tính một kẻ chuyên làm trang web giả, có biệt danh Rock Phish, kiếm được hơn 100 triệu USD.

    Theo các chuyên gia bảo mật thì Rock Phish được xem là kẻ đi đầu trong nhiều kỹ thuật làm trang web giả. Các chuyên gia cho biết kiểu tấn công dạng thư rác được nhúng trong một tấm hình nào đó nhằm vượt qua bộ lọc trình duyệt chính là phát minh của Rock Phish. Theo các nhà nghiên cứu, trong khoảng thời gian trươc đây, chỉ riêng nhóm của Rock Phish (chuyên đánh vào các tổ chức tài chính ở Mỹ và châu Âu) đã chiếm đến ½ trong tổng số trang web giả mạo đang hoạt động.

    Quét web giả theo phương pháp suy đoán thông minh (heuristic) có thể giúp giải quyết vấn đề. Thay vì phụ thuộc vào danh sách đen đã biết, cách này phân tích hành vi của trang web, kiểm tra kỹ thuật mà kẻ làm giả thường thực hiện. IE7 cũng như công cụ add-on SiteAdviser cho IE và Firefox đang lọc theo cách này.

    Có một chuẩn hiện đang phổ biến để chứng thực một trang web mới tên là Extended Validation Secure Sockets Layer (EV SSL). Để có được chứng thực này, trang web phải được kiểm tra bởi một công ty thứ 3 khác như Verisign hay Entrust để ít nhất chắc chắn là nó hợp pháp. Đối với những trang web đã được xác duyệt, địa chỉ trên trình duyệt sẽ chuyển sang màu xanh lá.

    Microsoft hỗ trợ EV SSL trong trình duyệt IE7 và các trang web thương mại lớn như PayPal đã bắt đầu theo lối này.

    Việc bùng nổ các trang web giả mạo cho thấy các công cụ tự động được giới làm web giả khai thác tối đa. Theo Gartner, những công nghệ làm giả mới có thể vượt qua cả các biện pháp bảo mật như EV SSL. Một chuyên gia nghi ngờ tác dụng của chứng nhận EV SSL đối với việc giả mạo web và cho rằng các công ty công nghệ bảo mật mới là kẻ đáng phải chê trách khi đã quá tự tin.

    Bảo vệ tốt nhất

    Mặc dù không có thứ tiên dược nào có thể phòng cho mọi người nhưng có một cách đơn giản để tự bảo vệ mình khỏi các vụ lừa đảo: không bao giờ nhấn vào đường link nào có trong e-mail hay trên các trang web của hãng thứ 3 để vào bất kỳ tài khoản tài chính nào của bạn. Thay vì thế, bạn hãy gõ địa chỉ vào hoặc sử dụng bookmark trong trình duyệt, thậm chí ngay cả khi bạn biết chắc 100% e-mail đó là hợp lệ thì bạn cũng nên cẩn thận.

    Các công cụ miễn phí tự động như Password Safe (find.pcworld.com/56483) và PwdHash (find.pcworld.com/56482) có thể là phụ tá đắc lực. Nhưng để chống lại trang web giả mạo hiệu quả nhất vẫn là chính bạn.

    PC World Mỹ 04/2007

    ID: A0704_11