|
e-Gold
MoneyBookers
StormPay
StudioPay
An ninh - Bảo mật
Spear-Phishing
|
| CHUYÊN MỤC: Spear Phishing -
Hình thức lừa đảo phishing kiểu mới |
Spear Phishing - Hình thức lừa đảo Phishing kiểu mới
Những tên tội phạm mạng đang tìm cách chiếm giữ mật
khẩu và các thông tin nhạy cảm của các công ty, đơn vị
bằng việc sử dụng các bức thư điện tử dỏm tự xưng là của
các quan chức cao cấp của chính các tổ chức mục tiêu đó.
Theo giới chuyên gia, hành vi lừa đảo này được biết đến
với tên gọi “spear phishing”.
Các doanh nghiệp thường không muốn thông báo khi họ bị
tấn công trên mạng nhưng theo công ty bảo mật
MessageLabs hồi tháng 6 thì tình trạng lừa đảo đã gia
tăng tới một điểm mà mỗi tuần trung bình có từ 1-2 vụ
lừa đảo phishing xảy ra.
Thay vì tự xưng là đại diện của các ngân hàng hoặc các
doanh nghiệp kinh doanh trên mạng, những kẻ lừa đảo theo
kiểu “spear phishing” gửi e-mail tới các nhân viên của
các DN hoặc cơ quan chính phủ và làm cho bức e-mail xuất
hiện như thể được gửi đến từ một quan chức cao cấp trong
đơn vị đó. Không giống như e-mail trong các vụ tấn công
phishing thông thường được gửi bạt mạng, những kẻ lừa
đảo “spear phishing” mỗi lần chỉ nhằm vào một tổ chức.
Khi chúng đã lừa được các nhân viên để lộ ra mật khẩu,
chúng có thể cài “ngựa Trojan” hoặc các chương trình
phần mềm hiểm độc khác để khám phá ra những bí mật của
doanh nghiệp đó hoặc của chính phủ.
Spear phishing là một trong vài loại “tấn công có mục
tiêu” mà theo các chuyên gia đã tăng nhiều hơn trong năm
2005. Mặc dù những kiểu tấn công đó rất khó theo dõi
nhưng nhiều máy tính bị nhiễm đã tiết lộ các địa chỉ
Internet là ở Viễn Đông.
Spear phishing hiệu quả rất lớn với cả những nhân viên
có hiểu biết về các mối đe doạ trên mạng. Tại Học viện
Quân sự Mỹ ở West Point, New York, một số thử nghiệm nội
bộ đã phát hiện thấy rằng tất cả các học viên đều sẵn
sàng cung cấp các thông tin nhạy cảm cho một kẻ lừa đảo
tự xưng là một sĩ quan cao cấp. “Đó là hiệu ứng đại tá.
Bất kỳ ai ở cấp đại tá trở lên cũng có thể ra lệnh trước
rồi đưa ra các câu hỏi sau”, Tiến sĩ Aaron Ferguson phát
biểu. Các học viên trong các thử nghiệm gần đây hơn đã
có phần nghi ngờ các bức thư đó khi sự nhận thức của họ
đã nâng lên.
Việc giáo dục các nhân viên đã góp phần làm vô hiệu hoá
các mối đe doạ nhưng các vụ tấn công kiểu này sẽ còn gia
tăng tiếp cho đến chừng nào các cơ chế xác thực e-mail
được dùng rộng rãi, Dave Jevans, chủ tịch Nhóm Công tác
Chống Phishing của Mỹ - một tổ chức của các ngân hàng và
DN TMĐT thành lập ra để chống lại vấn nạn này.
[Bài viết được trích từ: thuongmaidientu.com] |
Phishing: The act of sending an e-mail to a user
falsely claiming to be an established legitimate
enterprise in an attempt to scam the user into
surrendering private information that will be used for
identity theft. The e-mail directs the user to visit a
Web site where they are asked to update personal
information, such as passwords and credit card, social
security, and bank account numbers, that the legitimate
organization already has. The Web site, however, is
bogus and set up only to steal the users information.
For example, 2003 saw the proliferation of a phishing
scam in which users received e-mails supposedly from
eBay claiming that the users account was about to be
suspended unless he clicked on the provided link and
updated the credit card information that the genuine
eBay already had. Because it is relatively simple to
make a Web site look like a legitimate organizations
site by mimicking the HTML code, the scam counted on
people being tricked into thinking they were actually
being contacted by eBay and were subsequently going to
eBays site to update their account information. By
spamming large groups of people, the phisher counted on
the e-mail being read by a percentage of people who
actually had listed credit card numbers with eBay
legitimately.
Phishing, also referred to as brand spoofing or carding,
is a variation on fishing, the idea being that bait is
thrown out with the hopes that while most will ignore
the bait, some will be tempted into biting. |
|
|
