Chất lượng hình ảnh có thể rất quan trọng đối với tính xác thực của một email giả mạo, nhưng chính những gì đang diễn ra đằng sau hình ảnh tạo nên sự khác biệt giữa phát hiện và gửi. Những email giả mạo đã biết trước đó hoặc những email giả mạo đã bị đưa vào danh sách đen vẫn có thể tìm đường quay trở lại hộp thư đến, bằng một loạt kỹ thuật thao tác hình ảnh. Thật không may, hầu hết các bộ lọc email đều không thể phát hiện chúng.
Thực tế, những hình ảnh đã bị xử lý rất khó để phát hiện bằng mắt thường. Bằng cách làm sai lệch màu sắc, tông màu hoặc hình dạng của hình ảnh, tin tặc có thể làm mới các email giả mạo trong danh sách đen bằng hình ảnh mới và vượt qua bộ lọc email không thể trích xuất, phân tích nội dung từ hình ảnh.
Gần đây, các chuyên gia nhận thấy sự gia tăng số lượng email có chứa nội dung văn bản độc hại điều khiển từ xa. Được nhúng trong nội dung email nhưng được lưu trữ trên các miền bên ngoài, hình ảnh từ xa phải được tìm nạp qua mạng để phân tích. Quá trình này không thể được thực hiện trong thời gian thực. Chỉ trong tháng 11/2020, Vade Secure (công ty bảo mật email của Mỹ) đã phân tích 26,2 triệu hình ảnh từ xa và chặn 261,1 triệu email chứa hình ảnh từ xa.
Việc trích xuất và phân tích nội dung từ hình ảnh yêu cầu khả năng của máy tính, một lĩnh vực trí tuệ nhân tạo tốn kém, tốn nhiều tài nguyên và vẫn chưa trở thành tiêu chuẩn trong bảo mật email.
Vào cuối tháng 11/2020, Vade Secure đã phát hiện một làn sóng hàng loạt email rác được gửi vào hộp thư mà không đi qua lớp vận chuyển (transport layers). Các chuyên gia nghi ngờ rằng tin tặc đã sử dụng một công cụ mới có tên là Email Appender có sẵn trên web đen để gửi thư rác.
Email Appender cho phép tin tặc xác thực thông tin đăng nhập tài khoản bị xâm phạm và kết nối trực tiếp với tài khoản thông qua IMAP. Sau khi kết nối, tin tặc có thể cấu hình proxy để tránh bị phát hiện và gửi email trực tiếp vào hàng loạt tài khoản. Vì email được gửi từ các tài khoản bị xâm nhập, nên tin tặc không cần thiết phải giả mạo địa chỉ email. Tuy nhiên, chúng có thể điều chỉnh tên hiển thị của người gửi để phù hợp với kế hoạch của chiến dịch thư rác.
Hiện nay, người dùng tại các tổ chức/doanh nghiệp được đào tạo nâng cao nhận thức về bảo mật và an toàn thông tin. Các doanh nghiệp cũng đang áp dụng các hệ thống bảo mật ngày càng phức tạp, nên tin tặc có xu hướng thử nghiệm các kỹ thuật mới trên người dùng thông thường trước khi chuyển sang mục tiêu là các tổ chức/doanh nghiệp.
Các chuyên gia bày tỏ mong đợi các nền tảng như Microsoft 365 sẽ trở thành mục tiêu. Các giải pháp bảo mật email dựa trên API được tích hợp nguyên bản với Microsoft 365 cung cấp khả năng khắc phục hậu quả không có trong các cổng email an toàn. Nếu mối đe dọa email vượt qua bảo mật, các doanh nghiệp sẽ có thể tiếp cận và loại bỏ chúng trước khi người dùng có cơ hội nhấp vào.
Khi phần mềm độc hại Emotet quay trở lại vào tháng 7/2020, nó đã trở nên khó phát hiện hơn do thực hiện tấn công chuỗi email. Tận dụng tài khoản người dùng đã bị xâm nhập bởi Emotet và các loại mã độc khác, tin tặc đã ẩn mình vào các chuỗi email hợp pháp, đóng giả là đồng nghiệp hay người quen của tổ chức/doanh nghiệp để gửi email phát tán các liên kết lừa đảo và đính kèm tài liệu chứa phần mềm độc hại.
Mặc dù, nhiều người dùng ý thức và có kỹ năng kiểm tra email để tìm dấu hiệu giả mạo, nhưng người dùng thông thường không có khả năng xem xét kỹ lưỡng email vẫn còn rất nhiều. Đây là lý do khiến cho việc chiếm quyền điều khiển chuỗi email trở nên nguy hiểm. Với cuộc trò chuyện đã được thiết lập, tin tặc có thể tự do trò chuyện với những người dùng khác trong chuỗi. Người dùng đa phần sẽ bị mắc bẫy do mất cảnh giác.
Với một kỹ thuật như chiếm quyền điều khiển chuỗi email, tin tặc có thể bỏ qua bảo mật đường biên và dễ dàng xâm nhập vào một tổ chức/doanh nghiệp từ bên trong.
Kết luận
Các kỹ thuật trên chứng minh rằng tin tặc không chỉ theo kịp những tiến bộ trong bảo mật email mà còn vượt xa nó ở nhiều khía cạnh khác. Những đổi mới trong trí tuệ nhân tạo hứa hẹn sẽ mang lại khả năng phát hiện và khắc phục sớm trong thời gian tới. Tuy nhiên, khi các mối đe dọa bỏ qua các bước bảo mật, việc đào tạo người dùng liên tục, kể cả vào các thời điểm cần thiết sẽ trở nên quan trọng để vô hiệu hóa các cuộc tấn công.
Nguyễn Chân
13:00 | 29/12/2023
14:00 | 17/08/2020
08:44 | 17/03/2016
09:00 | 23/05/2018
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
13:00 | 31/10/2023
SpyNote là một phần mềm gián điệp trên Android với chức năng ghi nhật ký và đánh cắp nhiều loại thông tin, bao gồm tin nhắn SMS, thao tác bàn phím, cuộc gọi, bản ghi âm, theo dõi vị trí người dùng hay thông tin về các ứng dụng đã cài đặt. Đặc biệt, phần mềm độc hại này rất khó xóa bỏ trên Android. Bài viết tập trung phân tích các tính năng chính của Trojan SpyNote, dựa trên báo cáo từ công ty an ninh mạng F-Secure (Phần Lan) vừa được công bố mới đây.
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
07:00 | 27/12/2023