Báo cáo về nạn tấn công bằng phishing Theo báo cáo của Anti Phishing Working Group APWG, có khoảng 2/3 tổng số vụ tấn công bằng phishing 126,000 được ghi nhận trong thời điểm nửa cuối n
Trang 1Báo cáo về nạn tấn công bằng phishing
Theo báo cáo của Anti Phishing Working Group (APWG),
có khoảng 2/3 tổng số vụ tấn công bằng phishing (126,000) được ghi nhận trong thời điểm nửa cuối năm 2009, và được quy trách nhiệm bởi cùng 1 tổ chức những kẻ lừa đảo
Tổ chức APWG cho rằng, 1 nhóm tội phạm có quy mô với tên gọi là Avalanche có thể là nguyên nhân trực tiếp của nạn Rock Phish hiện nay
Nạn Rock Phish, đã từng khuấy động các phương tiện
truyền thông, đặc biệt vào thời điểm năm 2006 và 2007, bởi
Trang 2vì các thành viên của nhóm tội phạm thường xuyên sử dụng công cụ phishing dễ sử dụng Đây là công cụ đầu tiên hỗ trợ hệ thống mạng fast-flux, trong đó, tên miền domain
được dùng với với các trang lừa đảo trực tuyến sẽ giữ
nguyên trong khi địa chỉ IP thay đổi, và chỉ định vào những máy tính hoặc hệ thống máy tính đã bị lây nhiễm Những
kẻ tấn công sử dụng phương thức này để che đậy dấu vết và tăng cường “sức mạnh” cho hệ thống của chúng, và với cách làm này, phần lớn các nhà cung cấp dịch vụ hosting không thể can thiệp Chỉ những người chủ đứng tên đăng
ký tên miền mới có thể tạm dừng sử dụng tên miền bị lây nhiễm đó
Tổ chức APWG còn cho biết thêm rằng những kẻ lừa đảo
đã và đang sử dụng hàng trăm domain khác nhau, hiện tại đang có xu hướng đăng ký domain với những người ít,
chậm phản hồi với những cảnh báo từ phía cơ quan có chức năng Ví dụ, nếu người đăng ký hoặc chủ quản của 1
domain bất kỳ nào đó nhận thấy dấu hiệu phishing đáng ngờ, như tên hoặc hành động, số lượng giao dịch qua lại của trang web đó, ngay lập tức những kẻ lừa đảo sẽ chuyển
Trang 3sang đối tượng khác “nhẹ dạ” tiếp theo, và có thể sẽ còn nhiều người nữa
Tuy nhiên, các cuộc tấn công bởi Avalanche thường diễn ra rất nhanh chóng và hoàn hảo do sự liên quan, gắn kết giữa các hệ thống ngân hàng bị ảnh hưởng, những người chủ, đứng tên đăng ký domain và 1 số dịch vụ khác Trong vài năm gần đây, thời gian hoạt động trung bình của để hoàn tất 1 cuộc tấn công phishing từ 50 giờ vào khoảng đầu năm
2008, đã giảm xuống còn 32 giờ vào cuối năm 2009, số liệu theo báo cáo của tổ chức APWG
Với các biện pháp an ninh kịp thời và sự phối hợp từ các tổ chức liên quan, các cuộc tấn công của Avalanche đã bị
ngăn chặn, 1 trong những thời điểm mạnh nhất là khoảng 26,000 vụ với 924 domain khác nhau vào tháng 10 năm ngoái, tính đến thời điểm vừa rồi – tháng 04/2010, con số này đã gần tiến đến mức 0
Các cuộc tấn công của Avalanche hầu hết đều nhắm vào những tên miền TOP như eu (33%), com (23%), uk và .net Nếu so sánh với các vụ tấn công phishing của các
nhóm tin tặc khác, chúng chủ yếu sử dụng domain com (47%) và net (7%)
Trang 4Đáng chú ý rằng tổ chức APWG, tính đến thời điển này, đăng ký rất ít homograph spoofing attacks – cuộc tấn công giả mạo theo kiểu homograph, có liên quan hoặc nhận được
sự hỗ trợ từ tổ chức tên miền quốc tế International Domain Names (IDNs) Trong các cuộc tấn công kiểu này, 1 số ký
tự trong đường dẫn URL là đúng chuẩn, nhưng thực ra là giả mạo Ví dụ, nhiều hệ thống font chữ sẽ hiển thị ký tự a theo Cyrillic và Latin cùng 1 cách, mặc dù các ký tự này nếu hiển thị đúng theo chuẩn thì khác nhau Những kẻ tấn công thường lợi dụng điểm này để đánh lừa người dùng với những địa chỉ “loằng ngoằng”, ví dụ như www.paypal.com Tuy nhiên, tổ chức APWG nghi ngờ rằng những tên tội phạm không thực sự sử dụng cách này vì yếu tố tên miền không quá quan trọng và dễ bị phát hiện, nguyên nhân chủ yếu vẫn là do người dùng không kiểm tra kỹ các đường dẫn URL lạ
Bản báo cáo đầy đủ và chi tiết Global Phishing Survey: Trends and Domain Name Use in 2H2009, các bạn có thể xem tại đây