Chất lượng hình ảnh có thể rất quan trọng đối với tính xác thực của một email giả mạo, nhưng chính những gì đang diễn ra đằng sau hình ảnh tạo nên sự khác biệt giữa phát hiện và gửi. Những email giả mạo đã biết trước đó hoặc những email giả mạo đã bị đưa vào danh sách đen vẫn có thể tìm đường quay trở lại hộp thư đến, bằng một loạt kỹ thuật thao tác hình ảnh. Thật không may, hầu hết các bộ lọc email đều không thể phát hiện chúng.
Thực tế, những hình ảnh đã bị xử lý rất khó để phát hiện bằng mắt thường. Bằng cách làm sai lệch màu sắc, tông màu hoặc hình dạng của hình ảnh, tin tặc có thể làm mới các email giả mạo trong danh sách đen bằng hình ảnh mới và vượt qua bộ lọc email không thể trích xuất, phân tích nội dung từ hình ảnh.
Gần đây, các chuyên gia nhận thấy sự gia tăng số lượng email có chứa nội dung văn bản độc hại điều khiển từ xa. Được nhúng trong nội dung email nhưng được lưu trữ trên các miền bên ngoài, hình ảnh từ xa phải được tìm nạp qua mạng để phân tích. Quá trình này không thể được thực hiện trong thời gian thực. Chỉ trong tháng 11/2020, Vade Secure (công ty bảo mật email của Mỹ) đã phân tích 26,2 triệu hình ảnh từ xa và chặn 261,1 triệu email chứa hình ảnh từ xa.
Việc trích xuất và phân tích nội dung từ hình ảnh yêu cầu khả năng của máy tính, một lĩnh vực trí tuệ nhân tạo tốn kém, tốn nhiều tài nguyên và vẫn chưa trở thành tiêu chuẩn trong bảo mật email.
Vào cuối tháng 11/2020, Vade Secure đã phát hiện một làn sóng hàng loạt email rác được gửi vào hộp thư mà không đi qua lớp vận chuyển (transport layers). Các chuyên gia nghi ngờ rằng tin tặc đã sử dụng một công cụ mới có tên là Email Appender có sẵn trên web đen để gửi thư rác.
Email Appender cho phép tin tặc xác thực thông tin đăng nhập tài khoản bị xâm phạm và kết nối trực tiếp với tài khoản thông qua IMAP. Sau khi kết nối, tin tặc có thể cấu hình proxy để tránh bị phát hiện và gửi email trực tiếp vào hàng loạt tài khoản. Vì email được gửi từ các tài khoản bị xâm nhập, nên tin tặc không cần thiết phải giả mạo địa chỉ email. Tuy nhiên, chúng có thể điều chỉnh tên hiển thị của người gửi để phù hợp với kế hoạch của chiến dịch thư rác.
Hiện nay, người dùng tại các tổ chức/doanh nghiệp được đào tạo nâng cao nhận thức về bảo mật và an toàn thông tin. Các doanh nghiệp cũng đang áp dụng các hệ thống bảo mật ngày càng phức tạp, nên tin tặc có xu hướng thử nghiệm các kỹ thuật mới trên người dùng thông thường trước khi chuyển sang mục tiêu là các tổ chức/doanh nghiệp.
Các chuyên gia bày tỏ mong đợi các nền tảng như Microsoft 365 sẽ trở thành mục tiêu. Các giải pháp bảo mật email dựa trên API được tích hợp nguyên bản với Microsoft 365 cung cấp khả năng khắc phục hậu quả không có trong các cổng email an toàn. Nếu mối đe dọa email vượt qua bảo mật, các doanh nghiệp sẽ có thể tiếp cận và loại bỏ chúng trước khi người dùng có cơ hội nhấp vào.
Khi phần mềm độc hại Emotet quay trở lại vào tháng 7/2020, nó đã trở nên khó phát hiện hơn do thực hiện tấn công chuỗi email. Tận dụng tài khoản người dùng đã bị xâm nhập bởi Emotet và các loại mã độc khác, tin tặc đã ẩn mình vào các chuỗi email hợp pháp, đóng giả là đồng nghiệp hay người quen của tổ chức/doanh nghiệp để gửi email phát tán các liên kết lừa đảo và đính kèm tài liệu chứa phần mềm độc hại.
Mặc dù, nhiều người dùng ý thức và có kỹ năng kiểm tra email để tìm dấu hiệu giả mạo, nhưng người dùng thông thường không có khả năng xem xét kỹ lưỡng email vẫn còn rất nhiều. Đây là lý do khiến cho việc chiếm quyền điều khiển chuỗi email trở nên nguy hiểm. Với cuộc trò chuyện đã được thiết lập, tin tặc có thể tự do trò chuyện với những người dùng khác trong chuỗi. Người dùng đa phần sẽ bị mắc bẫy do mất cảnh giác.
Với một kỹ thuật như chiếm quyền điều khiển chuỗi email, tin tặc có thể bỏ qua bảo mật đường biên và dễ dàng xâm nhập vào một tổ chức/doanh nghiệp từ bên trong.
Kết luận
Các kỹ thuật trên chứng minh rằng tin tặc không chỉ theo kịp những tiến bộ trong bảo mật email mà còn vượt xa nó ở nhiều khía cạnh khác. Những đổi mới trong trí tuệ nhân tạo hứa hẹn sẽ mang lại khả năng phát hiện và khắc phục sớm trong thời gian tới. Tuy nhiên, khi các mối đe dọa bỏ qua các bước bảo mật, việc đào tạo người dùng liên tục, kể cả vào các thời điểm cần thiết sẽ trở nên quan trọng để vô hiệu hóa các cuộc tấn công.
Nguyễn Chân
13:00 | 29/12/2023
14:00 | 17/08/2020
08:44 | 17/03/2016
09:00 | 23/05/2018
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
10:00 | 30/10/2024