An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 16

bằng pharming vừa bắt đầu gia tăng trong tháng 3 vừa qua và đây cũng chính thức được xem là một kỹ thuật mới nhất giúp cho bọn tội phạm kỹ thuật số gia tăng công lực thu thập thông tin cá nhân của người dùng nhằm vào mục đích tội phạm. Vào đầu tháng 3/2020 vừa qua, ISC đã ghi nhận được 900 địa chỉ Internet cùng với 75.000 thông điệp e-mail đã bị dẫn hướng đến các địa chỉ Web lạc điệu.

3.2.5.5. Tấn công SQL injection

SQL injection, còn được gọi là SQLi, sử dụng những lỗ hổng trong các kênh đầu vào (input) của website để nhắm mục tiêu vào cơ sở dữ liệu nằm trong phần phụ trợ của ứng dụng web, nơi lưu giữ những thông tin nhạy cảm và có giá trị nhất. Chúng có thể được kẻ tấn công sử dụng để ăn cắp hoặc xáo trộn dữ liệu, cản trở sự hoạt động của các ứng dụng và trong trường hợp xấu nhất, nó có thể chiếm được quyền truy cập quản trị vào máy chủ cơ sở dữ liệu. Dưới đây là những gì bạn cần biết về tấn công SQL Injection và cách bảo vệ website của bạn khỏi chúng.

Các cuộc tấn công SQL Injection được thực hiện bằng cách gửi lệnh SQL độc hại đến các máy chủ cơ sở dữ liệu thông qua các yêu cầu của người dùng mà website cho phép. Bất kỳ kênh input nào cũng có thể được sử dụng để gửi các lệnh độc hại, bao gồm các thẻ<input>, chuỗi truy vấn (query strings), cookie và tệp tin. Với một vài thủ thuật, kẻ tấn công có thể thêm tài khoản mới và xóa hoặc sửa đổi thông tin của các tài khoản người dùng hiện có. Cùng một cách tấn công có thể được sử dụng để lấy cắp các bản hồ sơ và thông tin của người dùng nếu chúng không bị giới hạn cho khách truy cập hoặc để thay đổi nội dung hồ sơ.

Trong các trường hợp nghiêm trọng hơn, khi kết nối với máy chủ cơ sở dữ liệu được thực hiện thông qua tài khoản quản trị (như “root” trong MySQL hoặc “sa” trong MS SQL Server), kẻ tấn công có thể đi sâu vào hệ điều hành của máy chủ. Kẻ tấn công sử dụng lỗ hổng SQL injection để cùng lúc tạo tài khoản người dùng trên máy chủ bị xâm nhập, kích hoạt tính năng Remote Desktop, cài đặt thư mục chia sẻ SMB và tải phần mềm

độc hại - ngoài việc làm rối tung mọi thứ đã được lưu trữ trong cơ sở dữ liệu.

3.2.5.6. Gian lận nhấp chuột

Gian lận nhấp chuột (Click Fraud) là thuật ngữ để chỉ hành động dùng phần mềm chuyên dụng hoặc thuê nhân công giá rẻ để Click liên tục vào một (hoặc nhiều) Banner (hay Logo, Link, quảng cáo tìm kiếm quảng bá trên mạng nhằm tạo ra sự thành công giả tạo của một chiến dịch quảng cáo. Ở Việt Nam, Click Fraud cũng đang là lo ngại lớn nhất đối với các doanh nghiệp có nhu cầu quảng cáo trực tuyến, khiến họ cân nhắc rất nhiều (thậm chí là từ chối thẳng thừng) mỗi khi nhận được lời mời quảng cáo trực tuyến.

Click Fraud đặc biệt gây nhiều thiệt hại cho những doanh nghiệp sử dụng dịch vụ quảng cáo Online và chọn cách trả tiền quảng cáo theo số lượng những cú nhấp chuột vào quảng cáo của họ vì số lượng Click càng lớn, số tiền họ phải trả càng nhiều. Những cá nhân có hiềm khích hay có ý đồ xấu với doanh nghiệp nào đó cũng có thể thực hiện Click Fraud, nghĩa là bấm liên tục vào những quảng cáo của doanh nghiệp cạnh tranh để làm thâm hụt tài chính của doanh nghiệp đối thủ.

Ở Việt Nam, Click Fraud đã xuất hiện và có thể khẳng định là đã bước vào giai đoạn phổ biến. Những nhân công được thuê với giá rẻ để làm công việc này còn được cộng đồng gọi đùa bằng một cái tên chung "Chuyên viên ấn F5". Tuy nhiên, hành động gian lận thương mại này ở Việt Nam hầu như mới chỉ dừng ở mức nhằm tạo ra những hiệu quả giả tạo cho một chiến dịch quảng cáo hoặc tạo ra một lượng hits và visitor giả tạo cho một website để làm cơ sở mời gọi doanh nghiệp quảng cáo trên website. Cách thanh toán tiền quảng cáo tính theo số lượng nhấp chuột chưa phổ biến ở Việt Nam nên việc thực hiện Click Fraud làm thâm hụt tài chính của doanh nghiệp hiện chưa xảy ra. Mặc dù vậy, gian lận thương mại điện tử, đặc biệt là Click Fraud, vẫn là nỗi ám ảnh lớn cho các doanh nghiệp.

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

3.3. XU HƯỚNG TẤN CÔNG MỚI GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN

3.3.1. Thay đổi xu hướng tấn công mạng

An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 16

Hiện nay, xu hướng tấn công mới gây mất an toàn và bảo mật thông tin là sử dụng các công cụ kết hợp mới để tấn công vào các hệ thống mạng của tổ chức, doanh nghiệp (cyber-attack). Ngoài các kiểu tấn công đã được trình bày trọng mục 3.2, hiện nay các kiểu tấn công còn được biết đến các kiểu tấn công mới là tấn công thăm dò và tấn công truy cập.

3.3.1.1. Tấn công thăm dò (Reconnaissance attack)

Trong cuộc sống, thường thì trước khi đột nhập, kẻ tấn công phải đi thăm dò, quan sát mục tiêu và tìm các điểm sơ hở. Tương tự như vậy đối với cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn nhân), các dịch vụ đang chạy, các lỗ hổng. Các công cụ mà kẻ tấn công thường sử dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer) và bộ quét cổng (port scannner). Là hình thức tấn công nhằm thu thập các thông tin về hệ thống mục tiêu, từ đó phát hiện ra các điểm yếu, tấn công do thám thường dùng để làm bàn đạp cho cuộc tấn công truy cập hoặc tấn công từ chối dịch vụ về sau. Cách thức mà kẻ tấn công tiến hành như sau: Đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân đang có những địa chỉ IP nào đang hoạt động. Sau đó kẻ tấn công sẽ kiểm tra những dịch vụ đang chạy, những cổng đang mở trên những địa chỉ IP tìm thấy ở trên. Công cụ mà kẻ tấn công thường sử dụng ở bước này là Nmap, ZenMap. Sau khi xác định được những cổng đang mở, kẻ tấn công sẽ gửi các truy vấn tới các cổng này để biết được thông tin về các phần mềm, hệ điều hành đang chạy. Sau khi có trong tay các thông tin này, kẻ tấn công sẽ tìm cách khai thác các lỗ hổng đang tồn tại trên hệ thống đó. Kẻ tấn công có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực hiện việc khai thác lỗ hổng để tránh bị phát hiện.

Để tấn công thăm dò, kẻ tấn công thường dùng các công cụ:

Tìm hiểu thông tin từ Internet: Khi kẻ tấn công muốn tấn công mạng một tổ chức, một công ty, đầu tiên nó sẽ tìm hiểu xem tổ chức hay công ty đó có sở hữu website có tên miền là gì. Sau đó kẻ tấn công sẽ sử dụng các công cụ tìm kiếm để truy vấn các thông tin về chủ sở hữu tên miền, địa chỉ (địa lý) gắn với tên miền đó. Thêm nữa, có thể truy ra ai đang sở hữu địa chỉ IP và tên miền đang gắn với địa chỉ IP này.

Ping sweep và Port scan: Là 2 công cụ dùng để phát hiện lỗ hổng trên các thiết bị và hệ thống. Các công cụ này sẽ kiểm tra thông tin về địa chỉ IP, cổng, hệ điều hành, phiên bản hệ điều hành, dữ liệu trên cổng TCP và UDP. Kẻ tấn công sử dụng các thông tin này cho mục đích tấn công. Ping sweep là kỹ thuật quét một dải địa chỉ IP để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP trong dải đó. Công cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất cả các địa chỉ IP trong dải và chờ đợi gói tin ICMP echo reply phản hồi từ các thiết bị. Port scan là công cụ quét cổng. Mỗi dịch vụ chạy trên máy đều gắn với một cổng (well-known port). Công cụ quét cổng sẽ quét một dải các cổng để phát hiện xem cổng nào đang lắng nghe yêu cầu. Nguyên lý là gửi bản tin đến cổng và chờ đợi phản hồi. Nếu có phản hồi từ cổng nào đó tức là cổng đó đang được sử dụng. Kẻ tấn công sẽ sử dụng kết hợp các công cụ trên theo nguyên lý: đầu tiên truy vấn thông tin trên Internet để lấy thông tin về địa chỉ IP của tên miền mà hắn muốn tấn công. Tiếp đó dùng công cụ ping sweep để quét tìm các máy đang hoạt động. Tiếp theo sử dụng công cụ port scan để lấy được thông tin về các cổng và dịch vụ đang hoạt động trên các máy. Sau đó kẻ tấn công tiếp tục rà soát các dịch vụ này để tìm ra những điểm yếu có thể khai thác.

3.3.1.2. Tấn công truy cập (Access attack)

Tấn công truy cập hay tấn công xâm nhập thường khai thác các lỗ hổng của hệ thống thông tin của nạn nhân. Các lỗ hổng này thường là: lỗ hổng trong các dịch vụ xác thực, dịch vụ FTP, dịch vụ web. Sau khi khai

thác lỗ hổng, kẻ tấn công sẽ có quyền truy cập vào tài khoản web, cơ sở dữ liệu và các dữ liệu nhạy cảm khác. Kiểu tấn công này thường rất đa dạng về hình thức nhưng có điểm chung là kẻ tấn công thường dùng từ điển để đoán mật khẩu. Tấn công xâm nhập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền. Thông thường chia thành hai nhóm: Tấn công truy nhập hệ thống là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở đó kẻ tấn công không có tài khoản sử dụng; tấn công truy nhập thao túng dữ liệu là tấn công mà kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu.

3.3.2. Tấn công phá mã mật khẩu

Tấn công phá mã mật khẩu (Hack Password) là một hình thức tấn công không mới, tuy nhiên nó vẫn gây không ít phiền toái cho cả người dùng cá nhân và tổ chức, doanh nghiệp. Trong một số trường hợp, nó có thể gây thiệt hại lớn cho một tổ chức, doanh nghiệp nếu nó nằm trong một cuộc tấn công APT quy mô lớn. Có 3 dạng tấn công phá mã mật khẩu phổ biến:

Tấn công dò mật khẩu (Brute Force Attack): Kẻ tấn công sử dụng một công cụ mạnh, có khả năng thử nhiều username và password cùng lúc (từ dễ đến khó) cho tới khi đăng nhập thành công. Ví dụ: đặt mật khẩu đơn giản như 123456, password123, daylamatkhau,... rất dễ bị tấn công brute force.

Tấn công từ điển (Dictionary Attack): Là một biến thể của Brute Force Attack, tuy nhiên thay vì phải dò thử tất cả mọi khả năng, kẻ tấn công nhằm vào các từ có nghĩa. Trên thực tế, nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản chẳng hạn như motconvit, iloveyou,... Đây là lý do khiến Dictionary Attack có tỉ lệ thành công cao.

Key Logger Attack (tấn công Key Logger): Đúng như tên gọi của nó, trong kiểu tấn công này, tin tặc lưu lại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, Password hay nhiều nội dung khác. Tấn công Key

Logger nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp không giúp ích gì trong trường hợp này. Để tấn công, tin tặc sử dụng một phần mềm độc hại (Malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn nhân nhập vào máy tính và gửi về cho kẻ tấn công.

Trên đây chỉ là các dạng tấn công mật khẩu trực tiếp. Ngoài ra, tin tặc có thể tấn công gián tiếp thông qua việc lừa đảo người dùng tự cung cấp mật khẩu (như trong hình thức tấn công giả mạo Phishing), tiêm nhiễm Malware, tấn công vào cơ sở dữ liệu - kho lưu trữ mật khẩu người dùng của các dịch vụ,...

3.3.3. Tấn công Social Engineering

Social Engineering (Kỹ nghệ xã hội) là một kiểu tấn công dựa vào sự tương tác của con người và thường liên quan đến việc thao túng mọi việc bằng cách phá vỡ các quy trình bảo mật thông thường, truy cập vào hệ thống thông tin, hệ thống mạng để đạt được lợi ích tài chính. Kẻ tấn công sử dụng các kỹ thuật Social engineering để che giấu danh tính và động cơ thực sự của chúng bằng vẻ ngoài của một nguồn thông tin hoặc cá nhân đáng tin cậy. Mục tiêu là ảnh hưởng, thao túng hoặc lừa người dùng từ bỏ thông tin đặc quyền hoặc quyền truy cập trong một tổ chức. Ví dụ, kẻ tấn công có thể giả vờ là một đồng nghiệp có vấn đề khẩn cấp nào đó, đòi hỏi phải truy cập vào các tài nguyên mạng bổ sung. Social engineering là một chiến thuật phổ biến của các tin tặc vì khai thác điểm yếu của người dùng sẽ dễ dàng hơn là tìm ra lỗ hổng của mạng hoặc phần mềm. Tin tặc thường sử dụng các chiến thuật Social engineering như là bước đầu tiên trong một chiến dịch lớn hơn để thâm nhập vào hệ thống hoặc mạng và ăn cắp dữ liệu nhạy cảm hoặc phân tán các malware.

Social engineering là nghệ thuật điều khiển mọi người để họ tiết lộ những thông tin bí mật. Các loại thông tin mà bọn tội phạm đang tìm kiếm có thể khác nhau, nhưng thường khi một cá nhân bị nhắm làm mục tiêu, bọn tội phạm thường cố lừa người đó cung cấp mật khẩu, thông tin ngân hàng hoặc cách truy cập máy tính để cài đặt phần mềm độc hại. Social

128

engineering sử dụng nhiều chiến thuật khác nhau để thực hiện các cuộc tấn công.

Bước đầu tiên trong hầu hết các cuộc tấn công social engineering là kẻ tấn công sẽ thực hiện nghiên cứu và khảo sát về mục tiêu. Ví dụ, nếu mục tiêu là một doanh nghiệp, kẻ tấn công có thể thu thập thông tin tình báo về cấu trúc nhân viên, hoạt động nội bộ, những thuật ngữ chung được sử dụng trong ngành và các đối tác kinh doanh,... Một chiến thuật phổ biến của các social engineering là tập trung vào các hành vi và mô hình của nhân viên cấp thấp nhưng có khả năng tiếp cận trước tiên, chẳng hạn như nhân viên bảo vệ hoặc nhân viên tiếp tân. Tin tặc có thể quét profile mạng xã hội của người đó để biết thông tin và nghiên cứu hành vi của họ.

Từ đó, kẻ tấn công có thể thiết kế một cuộc tấn công dựa trên những thông tin thu thập được và khai thác những điểm yếu phát hiện được trong giai đoạn khảo sát. Nếu cuộc tấn công thành công, tin tặc có quyền truy cập vào các dữ liệu nhạy cảm - chẳng hạn như thẻ tín dụng hoặc thông tin ngân hàng để kiếm tiền từ các mục tiêu hoặc có quyền truy cập vào các hệ thống hay mạng được bảo vệ.

Các loại tấn công Social Engineering phổ biến bao gồm:

Baiting: Baiting là hình thức tấn công mà kẻ tấn công để lại một thiết bị vật lý bị nhiễm phần mềm độc hại, chẳng hạn như ổ flash USB, ở một nơi chắc chắn sẽ được tìm thấy. Sau đó, khi người tìm thấy sẽ sử dụng thiết bị đó, kết nối thiết bị với máy tính của mình và vô tình đã làm cho máy tính của người dùng bị nhiễm phần mềm độc hại.

Phishing: Phishing là hình thức tấn công mà kẻ tấn công gửi một email lừa đảo nhưng được cải trang thành một email hợp pháp (thường giả mạo là từ một nguồn đáng tin cậy). Thông điệp này nhằm lừa người nhận chia sẻ thông tin cá nhân hay thông tin tài chính hoặc nhấp vào liên kết có cài đặt phần mềm độc hại.

Spear Phishing: Spear phishing là kiểu tấn công giống như Phishing nhưng được thiết kế riêng cho một cá nhân hoặc một tổ chức cụ thể.


129

Vishing: Vishing còn được gọi là lừa đảo bằng giọng nói là việc tin tặc sử dụng social engineering qua điện thoại để thu thập thông tin cá nhân và thông tin tài chính từ mục tiêu tấn công. (Xem thêm: Những "ngón nghề" lừa đảo qua điện thoại).

Pretexting: Pretexting là kiểu ấn công được sử dụng trong trường hợp kẻ tấn công muốn truy cập vào dữ liệu đặc quyền. Ví dụ, một vụ lừa đảo pretexting có thể liên quan đến việc một kẻ tấn công giả vờ cần dữ liệu cá nhân hoặc thông tin tài chính để xác nhận danh tính của người nhận.

Scareware: Scareware liên quan đến việc lừa nạn nhân nghĩ rằng máy tính của anh ta bị nhiễm phần mềm độc hại hoặc vô tình tải xuống nội dung bất hợp pháp. Kẻ tấn công sau đó cung cấp cho nạn nhân một giải pháp để khắc phục vấn đề không có thật này. Trong thực tế, nạn nhân đơn giản là bị lừa tải xuống và cài đặt phần mềm độc hại của kẻ tấn công.

Water-holing: Một cuộc tấn công water-holing được kẻ tấn công thực hiện sự cố gắng để thỏa hiệp với một nhóm người cụ thể bằng cách lây nhiễm phần mềm độc hại vào các trang web mà họ thường truy cập vào hoặc tin tưởng.

Diversion theft: Trong loại tấn công này, các social engineering sẽ lừa một công ty giao hàng hoặc chuyển phát nhanh nhận hoặc giao sai vị trí, do đó ngăn chặn các giao dịch được thực hiện.

Quid pro quo: Quid pro quo là một cuộc tấn công trong đó social engineering giả vờ cung cấp một cái gì đó để đổi lấy thông tin hoặc sự hỗ trợ của mục tiêu tấn công. Ví dụ, một kẻ tấn công chọn ngẫu nhiên các số điện thoại trong một tổ chức và giả vờ gọi lại để hỗ trợ kỹ thuật. Cuối cùng, kẻ tấn công sẽ tìm thấy một người đang có vấn đề liên quan đến công nghệ và giả vờ giúp đỡ. Thông qua điều này, kẻ tấn công có thể buộc mục tiêu tấn công thêm các lệnh để khởi chạy phần mềm độc hại hoặc có thể thu thập thông tin mật khẩu.

Honey trap: Đây là một kiểu tấn công trong đó các social engineering giả vờ là một người “hấp dẫn” để tương tác với một người trực tuyến hoặc giả mạo một mối quan hệ trực tuyến và thu thập thông tin nhạy cảm thông qua mối quan hệ đó.


130

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023