Tấn công Spear-phishing: những gì bạn cần biết

Khi trợ lý của Ủy ban Dân chủ (DNC) John Podesta chuyển cho anh ta một email tuyên bố tài khoản Gmail của Podesta đã bị hack, Podesta đã làm những gì hầu hết chúng ta sẽ làm: Anh ta nhấp vào liên kết trong email và được chuyển đến một trang web nơi anh ta được nhắc để nhập mật khẩu mới. Ông đã làm như vậy và sau đó đi về công việc hàng ngày của mình. Thật không may cho Podesta, Đảng Dân chủ và chiến dịch tranh cử tổng thống của Hillary Clinton, email được gửi tới Podesta không phải từ Google. Thay vào đó, đó là một cuộc tấn công giáo dục từ một nhóm hack người Nga có tên là "Fancy Bear".

Ngay cả khi bạn chưa bao giờ nghe về thuật ngữ "spear-phishing", bạn chắc chắn đã nghe nói về các loại tấn công này. Bạn thậm chí có thể là một mục tiêu của họ. Các cuộc tấn công này thường ở dạng email hỗ trợ khách hàng yêu cầu bạn thay đổi thông tin đăng nhập hoặc chúng có thể được gửi qua địa chỉ email giả đến các doanh nghiệp yêu cầu dữ liệu khách hàng hoặc nhân viên rất cá nhân. Chẳng hạn, năm 2015, nhân viên của Ubiquiti Networks đã chuyển 46, 7 triệu đô la vào tài khoản ở nước ngoài theo lệnh email mà nhân viên giả định đã được gửi bởi giám đốc điều hành của Ubiquiti. Trong thực tế, tin tặc đã tạo ra các tài khoản email giả mạo giống với các tài khoản điều hành Ubiquiti thực tế và lừa nhân viên.

Dựa trên dữ liệu từ một nghiên cứu gần đây được thực hiện bởi công ty bảo mật email IronScales, 77 phần trăm các cuộc tấn công tập trung vào laser, nhắm mục tiêu 10 tài khoản trở xuống, với một phần ba các cuộc tấn công chỉ nhắm vào một tài khoản. Các cuộc tấn công rất ngắn, với 47 phần trăm kéo dài dưới 24 giờ và 65 phần trăm kéo dài dưới 30 ngày. Các bộ lọc thư rác truyền thống và các công cụ bảo vệ điểm cuối không bắt được các cuộc tấn công. Đối với mỗi năm cuộc tấn công được xác định bởi các bộ lọc thư rác, 20 cuộc tấn công đã biến nó thành hộp thư đến của người dùng.

(Ảnh qua: IronScales)

"Chúng tôi thấy những kẻ tấn công dành nhiều thời gian nghiên cứu mục tiêu của chúng hơn so với những năm trước, điều hành một quá trình trinh sát rất toàn diện", Eyal Benishti, CEO của IronScales nói. "Do đó, các email lừa đảo đã trở thành mục tiêu cao và phù hợp với công ty mục tiêu, vì những kẻ tấn công có thể thu thập thông tin thông qua trinh sát giúp chúng tạo ra các email trông giống như giao tiếp nội bộ hợp pháp. Ví dụ: chúng tôi đã thấy một số cuộc tấn công sử dụng biệt ngữ và chữ ký của các tổ chức, và nội dung rất giống với những gì hiện đang hoạt động trong công ty và giữa các bên đáng tin cậy. "

Jeff Pollard, Nhà phân tích chính tại Forrester Research, nói thêm rằng những cuộc tấn công này cũng đang phát triển một cách tinh vi. Pollard cho biết: "Các cuộc tấn công ngày càng tinh vi hơn cả về các mồi nhử được sử dụng để khiến mọi người nhấp vào và về phần mềm độc hại được sử dụng để giành quyền truy cập vào các hệ thống". "Nhưng đó là những gì chúng tôi mong đợi khi cho rằng an ninh mạng là cuộc chiến không ngừng giữa những người bảo vệ và những kẻ tấn công."

Giải pháp

Để chống lại các cuộc tấn công này, các công ty đang chuyển sang phần mềm chống lừa đảo để phát hiện và gắn cờ các cuộc tấn công sắp tới. Các công cụ chống thư rác và chống phần mềm độc hại là không có trí tuệ đối với bất kỳ công ty nào hy vọng bảo vệ dữ liệu kinh doanh. Nhưng các công ty như IronScales đang tiến một bước xa hơn bằng cách xếp lớp các công cụ học máy (ML) để chủ động quét và gắn cờ các email lừa đảo sơ sài. Ngoài ra, vì ML cho phép các công cụ biên dịch hoặc ghi nhớ dữ liệu lừa đảo, phần mềm sẽ học hỏi và cải thiện với mỗi lần quét.

Benishti nói: "Công nghệ này khiến kẻ tấn công gặp khó khăn hơn trong việc đánh lừa hậu vệ bằng các tinh chỉnh nhỏ thường bỏ qua một giải pháp dựa trên chữ ký". "Với ML, chúng tôi có thể nhanh chóng phân cụm các biến thể khác nhau của cùng một cuộc tấn công và chống lại lừa đảo hiệu quả hơn. Thực tế, từ phân tích của chúng tôi, ML là cách tốt nhất để đào tạo một hệ thống để phân biệt sự khác biệt giữa các email hợp pháp đến từ một đối tác đáng tin cậy hoặc đồng nghiệp so với một người không hợp pháp. "

Công nghệ không phải là biện pháp bảo vệ duy nhất chống lại các hình thức tấn công này. Giáo dục và thận trọng có lẽ là sự bảo vệ quan trọng nhất chống lại các cuộc tấn công lừa đảo. "Một số doanh nghiệp nhận thức được các mối đe dọa, mặc dù những người khác nhầm tưởng rằng giải pháp hiện tại của họ đang bảo vệ chống lại các cuộc tấn công có chủ đích", Benishti nói. "Điều rất quan trọng là phải hiểu rằng sử dụng cùng một cơ chế phòng thủ và mong đợi những kết quả khác nhau trong các cuộc tấn công trong tương lai sẽ không xảy ra. Sử dụng công nghệ một mình chống lại các cuộc tấn công tiên tiến, đặt con người làm mục tiêu, sẽ luôn thất bại, vì chỉ dựa vào nhận thức của nhân viên và đào tạo Người và máy móc phối hợp chặt chẽ với nhau để thu hẹp khoảng cách các cuộc tấn công chưa biết này là cách duy nhất để giảm thiểu rủi ro. "

(Ảnh qua: IronScales)

Cách giữ an toàn

Dưới đây là một số cách rất đơn giản để đảm bảo rằng bạn và công ty của bạn không bị lừa đảo:

• Đảm bảo email của công ty được gắn nhãn "NỘI BỘ" hoặc "NGOẠI THẤT" trong dòng chủ đề.
• Xác minh các yêu cầu đáng ngờ hoặc rủi ro qua điện thoại. Ví dụ: nếu Giám đốc điều hành của bạn gửi email cho bạn và yêu cầu bạn gửi dữ liệu sức khỏe cá nhân của ai đó, sau đó gọi cho người đó hoặc gửi tin nhắn trò chuyện để xác minh yêu cầu.
• Nếu một công ty yêu cầu bạn thay đổi mật khẩu, thì đừng sử dụng liên kết trong thông báo email; thay vào đó hãy truy cập trực tiếp vào trang web của công ty và thay đổi mật khẩu của bạn từ đó.
• Không bao giờ, trong mọi trường hợp, bạn nên gửi mật khẩu, số an sinh xã hội hoặc thông tin thẻ tín dụng của mình cho ai đó trong cơ thể của một email.
• Đừng nhấp vào liên kết trong các email không chứa văn bản hoặc thông tin khác.

"Khi phòng thủ được cải thiện, các cuộc tấn công cũng vậy, " Pollard nói. "Tôi nghĩ rằng chúng ta sẽ thấy nhiều chiến dịch lừa đảo và lừa đảo nhắm mục tiêu hơn. Chúng ta cũng sẽ thấy sự gia tăng của lừa đảo và lừa đảo trên phương tiện truyền thông xã hội, đó là một lĩnh vực chưa trưởng thành từ quan điểm bảo mật như bảo mật email."

Thật không may, cho dù bạn có cẩn thận đến đâu, các cuộc tấn công sẽ tăng cường và trở nên thông minh hơn. Bạn có thể làm mọi thứ trong khả năng của mình để giáo dục bản thân và nhân viên của mình, bạn có thể xây dựng một hệ thống phòng thủ chống lừa đảo được hỗ trợ bởi các công nghệ mới và bạn có thể thực hiện mọi biện pháp phòng ngừa có thể. Nhưng, như Pollard lưu ý, "chỉ mất một ngày tồi tệ, một lần bấm nhầm hoặc một người dùng vội vàng cố gắng dọn sạch hộp thư đến, để dẫn đến thảm họa."