Báo cáo về nạn tấn công bằng phishing

Theo báo cáo của Anti Phishing Working Group, có khoảng 2/3 tổng số vụ tấn công bằng phishing (126,000) được ghi nhận trong thời điểm nửa cuối năm 2009, và được quy trách nhiệm bởi cùng 1 tổ chức những kẻ lừa đảo.
Tổ chức Anti Phishing Working Group (APWG) cho rằng, 1 nhóm tội phạm có quy mô với tên gọi là Avalanche có thể là nguyên nhân trực tiếp của nạn Rock Phish hiện nay.

Nạn Rock Phish, đã từng khuấy động các phương tiện truyền thông, đặc biệt vào thời điểm năm 2006 và 2007, bởi vì các thành viên của nhóm tội phạm thường xuyên sử dụng công cụ phishing dễ sử dụng. Đây là công cụ đầu tiên hỗ trợ hệ thống mạng fast-flux, trong đó, tên miền domain được dùng với với các trang lừa đảo trực tuyến sẽ giữ nguyên trong khi địa chỉ IP thay đổi, và chỉ định vào những máy tính hoặc hệ thống máy tính đã bị lây nhiễm. Những kẻ tấn công sử dụng phương thức này để che đậy dấu vết và tăng cường “sức mạnh” cho hệ thống của chúng, và với cách làm này, phần lớn các nhà cung cấp dịch vụ hosting không thể can thiệp. Chỉ những người chủ đứng tên đăng ký tên miền mới có thể tạm dừng sử dụng tên miền bị lây nhiễm đó.

Tổ chức APWG còn cho biết thêm rằng những kẻ lừa đảo đã và đang sử dụng hàng trăm domain khác nhau, hiện tại đang có xu hướng đăng ký domain với những người ít, chậm phản hồi với những cảnh báo từ phía cơ quan có chức năng. Ví dụ, nếu người đăng ký hoặc chủ quản của 1 domain bất kỳ nào đó nhận thấy dấu hiệu phishing đáng ngờ, như tên hoặc hành động, số lượng giao dịch qua lại của trang web đó, ngay lập tức những kẻ lừa đảo sẽ chuyển sang đối tượng khác “nhẹ dạ” tiếp theo, và có thể sẽ còn nhiều người nữa.


Tuy nhiên, các cuộc tấn công bởi Avalanche thường diễn ra rất nhanh chóng và hoàn hảo do sự liên quan, gắn kết giữa các hệ thống ngân hàng bị ảnh hưởng, những người chủ, đứng tên đăng ký domain và 1 số dịch vụ khác. Trong vài năm gần đây, thời gian hoạt động trung bình của để hoàn tất 1 cuộc tấn công phishing từ 50 giờ vào khoảng đầu năm 2008, đã giảm xuống còn 32 giờ vào cuối năm 2009, số liệu theo báo cáo của tổ chức APWG.

Với các biện pháp an ninh kịp thời và sự phối hợp từ các tổ chức liên quan, các cuộc tấn công của Avalanche đã bị ngăn chặn, 1 trong những thời điểm mạnh nhất là khoảng 26,000 vụ với 924 domain khác nhau vào tháng 10 năm ngoái, tính đến thời điểm vừa rồi – tháng 04/2010, con số này đã gần tiến đến mức 0.

Các cuộc tấn công của Avalanche hầu hết đều nhắm vào những tên miền TOP như .eu (33%), .com (23%), .uk và .net. Nếu so sánh với các vụ tấn công phishing của các nhóm tin tặc khác, chúng chủ yếu sử dụng domain .com (47%) và .net (7%).

Đáng chú ý rằng tổ chức APWG, tính đến thời điển này, đăng ký rất ít homograph spoofing attacks – cuộc tấn công giả mạo theo kiểu homograph, có liên quan hoặc nhận được sự hỗ trợ từ tổ chức tên miền quốc tế International Domain Names (IDNs). Trong các cuộc tấn công kiểu này, 1 số ký tự trong đường dẫn URL là đúng chuẩn, nhưng thực ra là giả mạo. Ví dụ, nhiều hệ thống font chữ sẽ hiển thị ký tự a theo Cyrillic và Latin cùng 1 cách, mặc dù các ký tự này nếu hiển thị đúng theo chuẩn thì khác nhau. Những kẻ tấn công thường lợi dụng điểm này để đánh lừa người dùng với những địa chỉ “loằng ngoằng”, ví dụ như www.paypal.com. Tuy nhiên, tổ chức APWG nghi ngờ rằng những tên tội phạm không thực sự sử dụng cách này vì yếu tố tên miền không quá quan trọng và dễ bị phát hiện, nguyên nhân chủ yếu vẫn là do người dùng không kiểm tra kỹ các đường dẫn URL lạ.

Xem bình luận

bình luận