Kỹ thuật nhận diện email lừa đảo

[whf]

Email lừa đảo là gì?​

Email lừa đảo là một dạng tấn công kỹ thuật xã hội (social engineering), thường được sử dụng để đánh cắp thông tin cá nhân như mật khẩu và số thẻ tín dụng hoặc ép buộc nạn nhân thực hiện hành động có lợi cho kẻ tấn công. Những email này có vẻ như đến từ một công ty hoặc người gửi đáng tin cậy, nhưng chúng thực sự bắt nguồn từ tội phạm mạng.

Lừa đảo là khi kẻ tấn công bắt chước một người hoặc thương hiệu đáng tin cậy để đánh cắp thông tin nhạy cảm hoặc chiếm chỗ đứng trong mạng của công ty. Đây là một mối đe dọa mạng nghiêm trọng được sử dụng trong phần lớn các cuộc tấn công mạng chống lại các tổ chức. Email lừa đảo là một hình thức lừa đảo phổ biến, nhưng những cuộc tấn công này cũng có thể được thực hiện thông qua tin nhắn văn bản, mạng xã hội, cuộc gọi điện thoại hoặc các phương tiện khác.

Trong hầu hết các trường hợp, mục tiêu của kẻ tấn công gửi email lừa đảo là khiến người nhận nhấp vào liên kết hoặc mở tệp đính kèm email triển khai phần mềm độc hại. Các liên kết lừa đảo thường chuyển hướng đến một trang đăng nhập giả trông giống như một trang web hợp pháp. Khi nạn nhân nhập thông tin đăng nhập thực của họ, kẻ tấn công sẽ nhận được những thông tin đăng nhập đó.

Khi nạn nhân mở tệp đính kèm đó sẽ cài đặt phần mềm độc hại trực tiếp trên thiết bị của người dùng. Phần mềm độc hại có thể âm thầm thu thập dữ liệu và thao tác gõ phím rồi gửi thông tin này cho kẻ tấn công. Điều này cho phép kẻ tấn công chiếm quyền kiểm soát liên tục trên thiết bị và nếu thiết bị thuộc mạng công ty, có thể cho phép chúng kết nối với các hệ thống khác và thực hiện các cuộc tấn công sâu hơn.

Dấu hiệu nhận biết email lừa đảo​

Email lừa đảo được thiết kế để lừa nạn nhân tin rằng chúng là thông tin liên lạc thực sự. Tuy nhiên, đây thực sự là những thông tin liên lạc giả mạo với nội dung độc hại. Vì mục tiêu là lừa nạn nhân nên những kẻ tấn công thường cố gắng tạo ra các email trông có vẻ hợp pháp. Tuy nhiên, tùy vào độ tinh vi khác nhau đối với những email này và cách để xác định chúng cũng khác nhau. Dưới đây là những đặc điểm chung của email lừa đảo:

1. Địa chỉ người gửi ​

Những kẻ tạo email lừa đảo thường cố mạo danh các thương hiệu hợp pháp bằng các công cụ hỗ trợ để tạo các email đáng tin cậy. Mặc dù các chúng có thể đánh cắp logo và thậm chí sao chép email thật khá dễ dàng, nhưng việc tạo một địa chỉ người gửi có vẻ hợp pháp lại khó khăn hơn. Những kẻ tấn công sử dụng các kỹ thuật giả mạo để tạo địa chỉ người gửi giả, có vẻ hợp pháp.

Dưới đây là các kỹ thuật giả mạo phổ biến:

Email spoofing: Kẻ gian tạo các địa chỉ email giả trông giống với địa chỉ email của thương hiệu hợp pháp. Chúng khai thác thực tế là tên người gửi hiển thị trong khi địa chỉ email thường bị ẩn, đặc biệt là trên các ứng dụng di động. Ví dụ: bí danh hiển thị có thể là “Hai Chan Bank” trong khi email ẩn là “[email protected]”.

Cousin domain: Kẻ tấn công làm cho địa chỉ email lừa đảo trông giống với địa chỉ email của thương hiệu hợp pháp nhưng thực chất khi quan sát kỹ chúng là khác nhau. Ví dụ: “[email protected]” thay vì “[email protected]”.

2. Dòng tiêu đề​

Email lừa đảo giống như email tiếp thị ở chỗ cả hai đều cố gắng thúc giục người dùng hành động. Mục tiêu của email lừa đảo là lừa người dùng mở email rồi nhấp vào liên kết độc hại hoặc tệp đính kèm tải xuống phần mềm độc hại hoặc nhấp vào liên kết hướng dẫn người dùng nhập thông tin nhạy cảm hoặc trả lời email bằng thông tin tài chính.

Một email lừa đảo lưu trữ mục tiêu của nó bằng cách mạo danh các thương hiệu hợp pháp và các tổ chức như ngân hàng. Dòng chủ đề của email thường bao gồm một dòng chủ đề khơi gợi sự quan tâm của người dùng hoặc đưa ra cảnh báo. Nó được tạo ra để khiến người dùng nghĩ rằng việc không mở email có thể làm gián đoạn hoạt động công việc.

Dưới đây là những dòng chủ đề phổ biến:

• Đã phát hiện hoạt động đáng ngờ trên tài khoản của bạn
• Toài khoản của bạn đã bị khóa
• Vui lòng cập nhật thông tin của bạn ngay

3. Lỗi ngữ pháp và chính tả ​

Không phải tất cả các email lừa đảo đều phức tạp như những email do các nhà tiếp thị chuyên nghiệp làm việc cho các thương hiệu hợp pháp tạo ra và gửi đi. Các chuyên gia tiếp thị thường sử dụng công cụ kiểm tra chính tả hoặc một số hình thức đánh giá khác trước khi gửi email, đó là lý do tại sao email của họ không có lỗi chính tả và ngữ pháp. Mặt khác, email lừa đảo có thể và thường chứa lỗi ngữ pháp do sử dụng các công cụ dịch tự động hoặc sai lỗi chính tả.

4. Tệp đính kèm ​

Email lừa đảo thường bao gồm các tệp đính kèm độc hại, dấu hiệu dễ nhận diện là các tệp đính kèm có dạng file nén như .zip .rar được đặt mật khẩu và email có gửi kèm mật khẩu của file nén. Một dấu hiệu nữa là tệp tài liệu gửi kèm là file .doc/docx/.xls/xlsx lại được gửi dạng .doc.exe /.docx.exe /.xls.exe /xlsx.exe đặt trong file nén.

5. Liên kết ​

Các email lừa đảo thường chứa các liên kết hướng người dùng đến một trang web mạo danh một thương hiệu thực sự. URL thường được ẩn đằng sau văn bản liên kết bao gồm lời kêu gọi hành động, chẳng hạn như “Xem tại đây”, “Đăng nhập”, “Nhấp vào đây”, “Cập nhật cài đặt tài khoản”. Người dùng có thể di chuột qua văn bản liên kết để hiển thị URL lừa đảo. Để tránh bị phát hiện, những kẻ tấn công thường làm rối (obfuscate) nhằm tránh phát hiện các URL lừa đảo bằng các kỹ thuật sau:

Công cụ rút gọn URL: bằng cách tạo các phiên bản rút gọn để rút ngắn liên kết. Những kẻ đe dọa thường sử dụng các công cụ phổ biến như Bit.ly và TinyURL, thường được các nhà tiếp thị sử dụng, để lừa người dùng tìm kiếm các URL đáng ngờ và các bộ lọc email tìm kiếm các chữ ký đã biết.

Chuyển hướng URL: một kỹ thuật cho phép kẻ tấn công sử dụng các URL hợp pháp trong email và tạo chuyển hướng đến các trang web lừa đảo sau khi email đã vượt qua máy quét và được gửi thành công.