Spear phishing là một hình thức email nhắm đến cá nhân hoặc phòng ban cụ thể trong tổ chức dưới vỏ bọc một email đáng tin cậy. Thực chất, đây là chiêu trò của tội phạm mạng nhằm đánh cắp thông tin nhạy cảm. 

Cách thức hoạt động của tấn công lừa đảo qua email (Spear Phishing)

Hình thức tấn công lừa đảo qua mạng này vô cùng tinh vi và chỉ có thể được thực hiện bởi những kẻ tấn công có kỹ thuật cao. Sau đây sẽ là các bước mà kẻ lừa đảo sử dụng để thực hiện một cuộc tấn công, tiếp theo đó là các bước để giảm thiểu mối đe dọa này. Các bước tấn công được tham khảo từ bài viết của Brandon McCann, một chuyên gia bảo mật mạng nổi tiếng.

Dưới đây là 6 bước thực hiện một cuộc tấn công spear phishing của những kẻ lừa đảo:

1. Xác định địa chỉ email

Có hai cách mà hacker thực hiện chiến dịch spear phishing: cách đầu tiên là ‘spray-and-pray’, một cách tiếp cận kiểu “tung lưới bắt cá”. Chúng thu thập nhiều nhất có thể các địa chỉ email từ tổ chức mục tiêu, sau đó gửi cho tất cả cùng một email có thể khiến người nhận nhấp vào.

Cách tiếp cận thứ hai là xác định dữ liệu mong muốn, sau đó tìm ra những người có quyền truy cập vào dữ liệu đó và nhắm mục tiêu vào họ. Đó là hình thức tấn công lừa đảo qua email, và LinkedIn là công cụ cực kỳ hữu ích cho bước nhắm mục tiêu này. Có nhiều cách để có được địa chỉ email từ một tổ chức. Cách được tội phạm mạng ưa thích là sử dụng các kịch bản để thu thập địa chỉ email từ những công cụ tìm kiếm phổ biến. 

2. Né tránh phần mềm diệt virus

Để một cuộc tấn công đến được hòm thư của đối tượng mục tiêu, email cần phải vượt qua phần mềm diệt virus mà họ đang sử dụng. Một tìm kiếm nhanh trên các trang web tuyển dụng IT cho các vị trí quản trị hệ thống mở tại tổ chức mục tiêu cung cấp một lượng thông tin đáng kinh ngạc. Kẻ lừa đảo thường liệt kê chính xác phần mềm diệt virus và phiên bản mà họ sử dụng.

Ngoài ra, việc kiểm tra bộ nhớ đệm DNS và thậm chí là mạng xã hội cũng cung cấp nhiều cách khác để phát hiện ra điều này. Một khi biết được phần mềm diệt virus, nó sẽ được cài đặt trên môi trường thử nghiệm để đảm bảo email có thể đến được một cách an toàn. Metasploit có thể hỗ trợ trong việc này, đây là một dự án mã nguồn mở về an ninh máy tính, cung cấp thông tin về lỗ hổng bảo mật và hỗ trợ kiểm tra xâm nhập.

3. Lọc dữ liệu đầu ra

Để lấy được dữ liệu từ hệ thống mục tiêu, tin tặc thường sử dụng một loại mã độc gọi là ‘reverse_https’. Mã độc này sẽ tạo ra một đường hầm bảo mật, giúp cho dữ liệu bị đánh cắp được gửi về máy chủ của tin tặc một cách kín đáo. Do dữ liệu được mã hóa và đóng gói trong giao thức HTTPS (thường dùng để bảo mật các trang web), nên các hệ thống bảo mật như tường lửa hay hệ thống phát hiện xâm nhập sẽ rất khó phát hiện ra hoạt động bất thường này.

4. Kịch bản lừa đảo qua email

Cho tới nay đã có rất nhiều bài viết về vấn đề này, và đó chính là bản chất của những người dùng “phi kỹ thuật”. Nếu họ chưa được đào tạo nâng cao nhận thức bảo mật, họ sẽ là mục tiêu dễ dàng cho những kẻ lừa đảo qua mạng. Kẻ tấn công nghiên cứu về mục tiêu của chúng, tìm ra những người mà họ thường xuyên liên lạc và gửi một email cá nhân hóa tới đối tượng sử dụng một hoặc nhiều trong số 22 dấu hiệu lừa đảo phi kỹ thuật để khiến mục tiêu nhấp vào liên kết hoặc mở tệp đính kèm.

5. Gửi email

Thay vì dùng máy chủ email tạm thời và gửi email ồ ạt, vì máy chủ email này sẽ không có điểm uy tín, điều này sẽ khiến nhiều email bị chặn khỏi hộp thư đến. Một giải pháp tốt hơn là truy cập vào GoDaddy, mua một tên miền hợp lệ, sử dụng máy chủ email miễn phí đi kèm với tên miền và cấu hình, sao cho bản ghi MX được GoDaddy tự động tạo ra. Ngoài ra, việc thay đổi thông tin Whois của GoDaddy để khớp với bất kỳ tên miền mục tiêu nào cũng rất dễ dàng. Tất cả những việc này giúp email dễ dàng vượt qua cơ chế chặn, và có thể gửi email bằng bất kỳ ứng dụng email nào hoặc thông qua một kịch bản.

6. Thu hoạch chiến lợi phẩm

Khi một người dùng vô tình nhấp vào liên kết lừa đảo, tin tặc sẽ cài đặt một phần mềm độc hại (keylogger) vào máy tính của họ. Phần mềm này âm thầm ghi lại mọi phím người dùng bấm, bao gồm cả mật khẩu. Sau đó, dữ liệu này được gửi về cho tin tặc. Với những thông tin thu thập được, tin tặc có thể đăng nhập vào tài khoản của nạn nhân, tiếp cận các dữ liệu nhạy cảm khác và thậm chí nâng quyền truy cập để kiểm soát toàn bộ hệ thống.

Đọc thêm: Phishing là gì? Làm thế nào để phòng chống tấn công Phishing hiệu quả? 

Dấu hiệu nhận biết Spear Phishing

Spear phishing là một hình thức tấn công mạng rất tinh vi, sử dụng nhiều kỹ thuật lừa đảo khiến người dùng khó nhận biết và ngăn ngừa. Sau đây là một số dấu hiệu nhận biết để phòng tránh hình thức lừa đảo này:

• Địa chỉ email không hợp lệ: Dù email có vẻ đến từ nguồn tin cậy (chẳng hạn như người quản lý hoặc đồng nghiệp), nhưng kiểm tra kỹ có thể thấy địa chỉ email có thể bị giả mạo hoặc có sự sai sót nhỏ trong tên miền (ví dụ: “gmail.co” thay vì “gmail.com”).
• Liên kết hoặc tệp đính kèm đáng ngờ: Các liên kết trong email có thể dẫn đến trang web giả mạo, và các tệp đính kèm có thể chứa mã độc. Hãy luôn kiểm tra URL (địa chỉ web) bằng cách di chuột qua liên kết trước khi nhấp vào, và không bao giờ mở các tệp đính kèm khi không chắc chắn về nguồn gốc.
• Yêu cầu thông tin nhạy cảm: Email spear phishing thường yêu cầu người nhận cung cấp thông tin nhạy cảm như mật khẩu, mã số thẻ tín dụng, hoặc thông tin tài khoản ngân hàng. Các tổ chức hợp pháp sẽ không yêu cầu cung cấp thông tin này qua email.
• Nội dung mang tính nguy cấp: Tấn công spear phishing thường lợi dụng cảm xúc của mục tiêu. Người nhận cần tỉnh táo trước những yêu cầu như: “Tôi gặp sự cố và cần sự giúp đỡ gấp” hoặc “Tôi bị mắc kẹt ở nước ngoài, bạn có thể gửi tiền cho tôi không?”

Cách ngăn chặn Spear Phishing

Ngăn chặn spear phishing đòi hỏi chiến lược bảo mật toàn diện, kết hợp giữa đào tạo nhận thức, công nghệ và quy trình kiểm soát để giảm thiểu rủi ro. Dưới đây là các cách hiệu quả để phòng chống và ngăn chặn tấn công spear phishing:

Đối với người dùng:

• Thận trọng với email bất thường: Kiểm tra kỹ các email lạ, đặc biệt là những email yêu cầu hành động gấp hoặc cung cấp thông tin nhạy cảm.
• Không nhấp vào liên kết hoặc mở tệp đính kèm: Luôn di chuột qua các liên kết để kiểm tra URL và không mở tệp đính kèm nếu bạn không chắc chắn về nguồn gốc.
• Xác minh qua kênh khác: Nếu email yêu cầu chuyển tiền hoặc cung cấp thông tin nhạy cảm, hãy xác minh với người gửi qua điện thoại hoặc các kênh giao tiếp khác.
• Sử dụng xác thực hai yếu tố (2FA): Kích hoạt 2FA trên tất cả các tài khoản quan trọng để tăng cường bảo mật.

Đối với doanh nghiệp: 

• Đào tạo nhân viên thường xuyên: Tổ chức các buổi đào tạo và mô phỏng tấn công phishing để nâng cao nhận thức bảo mật cho nhân viên.
• Sử dụng công cụ bảo mật mạnh mẽ: Cài đặt phần mềm chống virus, tường lửa, và giải pháp lọc email để phát hiện và ngăn chặn các cuộc tấn công phishing.
• Giới hạn quyền truy cập thông tin nhạy cảm: Cấp quyền truy cập vào dữ liệu quan trọng theo nguyên tắc “ít quyền nhất” và yêu cầu người dùng thay đổi mật khẩu thường xuyên.
• Giám sát và phát hiện hành vi bất thường: Sử dụng hệ thống phát hiện xâm nhập (IDS) và theo dõi các hoạt động email để phát hiện dấu hiệu tấn công sớm.
• Xây dựng quy trình phản ứng sự cố: Đảm bảo có quy trình rõ ràng để phản ứng nhanh chóng khi phát hiện tấn công spear phishing.

Đọc thêm: Đào tạo nhận thức an toàn thông tin hiệu quả cho Doanh nghiệp