Spear Phishing - Hình thức lừa đảo Phishing kiểu mới

Xem kết quả: / 0
Bình thườngTuyệt vời 

Những tên tội phạm mạng đang tìm cách chiếm giữ mật khẩu và các thông tin nhạy cảm của các công ty, đơn vị bằng việc sử dụng các bức thư điện tử dỏm tự xưng là của các quan chức cao cấp của chính các tổ chức mục tiêu đó. Theo giới chuyên gia, hành vi lừa đảo này được biết đến với tên gọi "spear phishing".

Các doanh nghiệp thường không muốn thông báo khi họ bị tấn công trên mạng nhưng theo công ty bảo mật MessageLabs hồi tháng 6 thì tình trạng lừa đảo đã gia tăng tới một điểm mà mỗi tuần trung bình có từ 1-2 vụ lừa đảo phishing xảy ra.

Thay vì tự xưng là đại diện của các ngân hàng hoặc các doanh nghiệp kinh doanh trên mạng, những kẻ lừa đảo theo kiểu “spear phishing” gửi e-mail tới các nhân viên của các DN hoặc cơ quan chính phủ và làm cho bức e-mail xuất hiện như thể được gửi đến từ một quan chức cao cấp trong đơn vị đó. Không giống như e-mail trong các vụ tấn công phishing thông thường được gửi bạt mạng, những kẻ lừa đảo “spear phishing” mỗi lần chỉ nhằm vào một tổ chức. Khi chúng đã lừa được các nhân viên để lộ ra mật khẩu, chúng có thể cài “ngựa Trojan” hoặc các chương trình phần mềm hiểm độc khác để khám phá ra những bí mật của doanh nghiệp đó hoặc của chính phủ.

Spear phishing là một trong vài loại “tấn công có mục tiêu” mà theo các chuyên gia đã tăng nhiều hơn trong năm 2005. Mặc dù những kiểu tấn công đó rất khó theo dõi nhưng nhiều máy tính bị nhiễm đã tiết lộ các địa chỉ Internet là ở Viễn Đông.

Spear phishing hiệu quả rất lớn với cả những nhân viên có hiểu biết về các mối đe doạ trên mạng. Tại Học viện Quân sự Mỹ ở West Point, New York, một số thử nghiệm nội bộ đã phát hiện thấy rằng tất cả các học viên đều sẵn sàng cung cấp các thông tin nhạy cảm cho một kẻ lừa đảo tự xưng là một sĩ quan cao cấp. “Đó là hiệu ứng đại tá. Bất kỳ ai ở cấp đại tá trở lên cũng có thể ra lệnh trước rồi đưa ra các câu hỏi sau”, Tiến sĩ Aaron Ferguson phát biểu. Các học viên trong các thử nghiệm gần đây hơn đã có phần nghi ngờ các bức thư đó khi sự nhận thức của họ đã nâng lên.

Việc giáo dục các nhân viên đã góp phần làm vô hiệu hoá các mối đe doạ nhưng các vụ tấn công kiểu này sẽ còn gia tăng tiếp cho đến chừng nào các cơ chế xác thực e-mail được dùng rộng rãi, Dave Jevans, chủ tịch Nhóm Công tác Chống Phishing của Mỹ - một tổ chức của các ngân hàng và DN TMĐT thành lập ra để chống lại vấn nạn này.

Comments (0)

Subscribe to this comment's feed

Write comment

smaller | bigger
security image
Write the displayed characters

busy