Tài liệu Bảo mật mạng - Chương 7: Phising - Nguyễn Tấn Thành

ện lừa đảo. 
Nếu những kẻ lừa đảo trực tuyến muốn sắp xếp một cuộc tấn công khác, 
hắn sẽ xác định tỷ lệ thành công và thất bại của một vụ lừa đảo đã thành 
công rồi bắt đầu lại quá trình. 
5. Các Kiểu Lừa Đảo Của Phising 
Dựa vào những phương thức trên, những kẽ lừa đảo bắt đầu tiến hành quá trình lừa đảo. 
Căn cứ theo cách thức hoạt động, người ta phân loại những cuộc tấn công lừa đảo ra 
thành các loại sau. 
Man-in-the-Middle Attacks 
Ở kỹ thuật này, máy tính của attacker được xem như là máy tính trung gian giữa máy 
tính của người dùng và website thật. Attecker dựng lên một máy tính trung gian để nhận 
dữ liệu của người dùng và chuyển nó cho website thật. Hoặc nhận dữ liệu của website 
thật rồi chuyển cho người dùng. Dữ liệu khi chuyển qua lại sẽ được lưu trữ lại tại máy 
tính của attecker. Thoạt nghe mô tả này chúng ta nghỉ ngay đến chức năng của Proxy 
Server. Đúng vậy, do đó proxy chính là những nơi không tin cậy cho lắm khi chúng ta 
truy cập web thông qua nó. 
Những kẽ tấn công sẽ dựng lên một Proxy Server với lời mời gọi sử dụng được tung ra 
internet. Vì lý do gì đó (để giả ip trong mua bán hàng qua mạng) người dùng sẽ tìm đến 
proxy server này để nhở giúp đỡ trong việc truy cập web. Và thế là vô tình người trở 
thành con mồi cho bọn hacker. 
Những kẽ tấn công ngoài việc dựng lên proxy server rồi dụ con mồi đến còn nghĩ đến 
việc tấn công vào các proxy server này để lấy dữ liệu. Bằng những kỹ thuật tấn công 
nào khác, hacker xâm nhập hệ thống lưu trữ của proxy để lấy dữ liệu, phân tích và có 
được những thứ mà họ cần. 
Một cách khác để tấn công trong kỹ thuật này, là tìm cách làm lệch đường đi của gói dữ 
liệu. Thay vì phải chuyển gói tin đến cho web server, thì đằng này là chuyển đến máy 
tính của hacker trước, rồi sau đó máy tính của hacker sẽ thực hiện công việc chuyển gói 
tin đi tiếp. Để làm điều này, hacker có thể sử dụng kỹ thuật DNS Cache Poisoning – là 
kỹ thuật làm lệch đường đi của gói dữ liệu bằng cách làm sai kết quả phân giải địa chỉ 
của DNS. 
Một điểm cần lưu ý rằng, kỹ thuật tấn công này không phân biệt giao thức web là HTTP 
hay HTTPS. 
URL Obfuscation Attacks 
Làm giả URL là kỹ thuật tiếp theo mà chúng ta sẽ bàn đến. Trong kỹ thuật, attacker sẽ 
làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL 
này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập 
vào web này. Ví dụ như thay vì truy cập  thì lại truy cập vào 
website  
Kỹ thuật của việc làm thay đổi một chút xíu về URL như thế được gọi là “dotless ip 
addresses”, Mọi người nghĩ rằng việc này đơn giãn, tuy nhiên nó không dẽ chút nào 
đâu. Bạn có thể tìm hiểu về kỹ thuật này tại địa chỉ 
Obfuscation.html 
Cross-site Scripting Attacks 
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay, 
đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát 
triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử 
dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều 
có thể tiềm ẩn các lỗi XSS. 
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm 
lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn công bằng cách chèn 
vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã 
script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những 
đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như 
JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML. Kĩ thuật tấn công XSS 
đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web Applications và 
mối đe doạ của chúng đối với người sử dụng ngày càng lớn. 
Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu 
(request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá 
tầm kiểm soát của server. Nó có thể là một request được gửi từ các form dữ liệu hoặc 
cũng có thể đó chỉ là các URL như là 
 was 
found !'); 
Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !". 
Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế 
bằng một file nguồn trên một server khác thông qua thuộc tính src của thẻ script. Cũng 
chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS. 
Nhưng nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của 
web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website 
ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó. Tất nhiên đôi 
khi các hacker cũng sử dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn 
công vào bề mặt của website. Thật vậy, XSS là những Client-Side Script, những đoạn 
mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ 
thống website nằm trên server. Mục tiêu tấn công của XSS không ai khác chính là những 
người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy 
hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, 
hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn có thể sẽ bị cài các 
loại virus, backdoor, worm  
Hidden Attacks 
Attacker sử dụng các ngôn ngữ lập trình HTML, DHTML, hoặc ngôn ngữ dạng script 
khác để chèn vào trình duyệt của người dùng. Hoặc sử dụng các ký tự đặc biệt để đánh 
lừa người dùng. 
Những phương thức thường được attacker sử dụng là làm ẩn các frame. Các Frame sẽ 
được attacker làm ẩn đi trên trình duyệt của người dùng, qua đó attacker có thể chèn 
vào những đoạn mã đọc. Một cách khác để tấn công là ghi đè nội dung trang web hoặc 
thay đổi hình ảnh trên trang web. Qua những nội dung bị thay đổi này, attaker sẽ chèn 
những đoạn mã độc hại vào đó. 
6. Chống Lừa Đảo Trực Tuyến 
Các bước bạn thường dùng để bảo vệ máy tính của bạn như sử dụng firewall và phần 
mềm diệt virus, cũng có thể giúp bạn tránh khỏi lừa đảo trực tuyến. Bạn có thể hiển thị 
chứng chỉ số SSL của trang Web và bản kê in sẵn của ngân hàng hoặc thẻ tín dụng để 
có thêm những biện pháp bảo mật. 
Ngoài ra, phisher có xu hướng để lại một số dấu hiệu trong email thông báo và địa chỉ 
Web. Khi bạn đọc email, hãy chú ý tới: 
1. Các câu chào chung chung, như “Dear Customer”. Nếu ngân hàng bạn đang gửi 
tiền gửi cho bạn một thông báo chính thức, sẽ có tên đầy đủ của bạn trong đó 
(gần đây một số phisher đã chuyển sang kiểu lừa mới - spear phishing – bao gồm 
thông tin cá nhân của bạn) 
2. Đe dọa về tài khoản của bạn và yêu cầu người dùng phải có hành động ngay, ví 
dụ như “hãy trả lời trong vòng 5 ngày, nếu không chúng tôi sẽ đóng tài khoản 
của bạn”. 
3. Yêu cầu thông tin cá nhân. Hầu hết các doanh nghiệp không yêu cầu bạn cung 
cấp thông tin cá nhân thông qua điện thoại hoặc email trước khi lừa đảo trực 
tuyến trở nên phổ biến. 
4. Những đường link khả nghi. Đường link dài hơn bình thường, sai chính tả cũng 
có thể là dấu hiệu của lừa đảo trực tuyến. Sẽ an toàn hơn nếu bạn địa chỉ của 
trang Web trong trình duyệt, hơn là kích vào bất kì đường link nào trong email. 
5. Sai chính tả trầm trọng 
May mắn thay, các doanh nghiệp và chính phủ vẫn đang chiến đấu với nạn lừa đảo trực 
tuyến. Cuối năm 2006, chính phủ Mỹ đã hướng dẫn các ngân hàng sử dụng các phương 
pháp bảo mật, bao gồm cả mật khẩu lẫn các phương pháp như thẻ bài xác nhận, máy 
quét vân tay, đối với giao dịch trực tuyến. Rất nhiều nhà cung cấp dịch vụ Internet (ISP) 
và lập trình viên đã cung cấp những thanh công cụ phishing giúp nhận dạng bảo mật, 
thông báo cho bạn những địa chỉ bạn muốn truy cập đã được đằng kí và xử lý. Họ cũng 
cung cấp những công cụ thông báo hiện tượng phishing. Các phần mềm khác sử dụng 
các dấu hiệu nhận biết để xác nhận bạn đã truycập địa chỉ hợp pháp. 
Đối mặt với phishing 
Nếu nhận được một email mà bạn tin là của những kẻ lừa đảo trực tuyến, bạn không 
nên: trả lời lại, kích vào đường link có trong email hoặc điền những thông tin cá nhân. 
Thay vào đó, bạn nên tìm cách thông báo với doanh nghiệp đang bị chúng giả mạo. sử 
dụng trang Web hoặc số điện thoại của họ hơn là đi theo các đường link trong email giả 
mạo. 
Nếu bạn tin rằng mình đã gửi thong tin cá nhân cho một phisher, bạn nên gửi thông báo 
tới: 
 Công ty đã bị giả mạo 
 Các ngân hàng, tổ chức tín dụng để họ đóng các thông tin cá nhân của bạn 
 Thông báo tới trụ sở công an gần nhất 
Ngoài ra, bạn nên đổi mật khẩu tại trang mà bạn vừa mới bị lừa. Nếu sử dụng mật khẩu 
chung cho nhiều trang Web, bạn cũng nên đổi hết mật khẩu cho các trang đó. 
Tool Chống Phising 
PhishTank SiteChecker: Đây là một website miễn phí cho mọi người có thể kiểm tra, 
theo dõi và chia sẽ dữ liệu về phising. Bạn truy cập vào địa chỉ 
 để có thể sử dụng trang web này. 
SpoofGuard là một phần bổ sung (plug-in) tương thích với Internet Explorer. 
SpoofGuard đặt một "đèn cảnh báo" tại thanh công cụ (toolbar) của trình duyệt web, và 
chuyển màu từ xanh sang vàng hoặc đỏ nếu bạn truy cập vào một trang web phishing. 
Nếu bạn cố gắng cung cấp thông tin, SpoofGuard sẽ cứu dữ liệu và cảnh báo bạn. Mức 
độ cảnh báo cao hay thấp có thể được điều chỉnh qua các thông số. 
7. Tổng Kết 
Phising là một hình thức gian lận, lừa đảo. Những thủ đoạn lừa đảo của nó ngày càng 
tinh vi hơn, khó lường hơn. Kết thúc chương này bạn có thể tóm gọn kiến thức của mình 
như sau: 
 Những yếu tố để một cuộc tấn công phising thành công. Chủ yếu là do yếu tố 
con người, xã hội. 
 Những phương thức hoạt động của phising có thể kể ra như: Email, Spam, Chat, 
Web, Trojaned 
 Các kiểu lừa đảo phổ biến như lừa đảo bằng cách giả dạn URL, giả website, giả 
những thông báo của hệ điều hành 
 Đối mặt với phising có lẽ là vấn đề nan giải nhất. Chúng ta không thể diệt nó, 
chỉ có cách là sống chung với nó, nhưng hãy thật cảnh giác.