Gửi lúc: 17/08/2018 08:55:24
Bookmark and Share

Kỹ năng nhận biết và phòng chống thư điện tử giả mạo, thư rác

Một trong các mục tiêu ưa thích hiện nay của tin tặc là lừa đảo thông qua việc gửi thư điện tử giả mạo, thư rác đến người dùng. Để phòng tránh được những hình thức tấn công này, người dùng cần có những nhận thức cơ bản và cách nhận biết về thư điện tử giả mạo, thư rác.

Untitled Document

Email header

Email header là nội dung được gửi kèm theo thư điện tử nhằm cung cấp các thông tin đầy đủ của một bức thư điện tử. Những thông tin này thông thường sẽ không được hiển thị đầy đủ cho người dùng, mà cần mở trong giao diện của Mail client.

Cách mở thông tin thư điện tử trong Gmail và Hotmail Web client

Khi đọc các nội dung trong Email header, cần chú ý đọc ngược từ dưới lên để xác định các thời điểm theo thứ tự từ trước đến sau. Trong đó cần chú ý một số thông tin:

Received: Thông tin máy chủ SMTP đã tiếp nhận thư điện tử từ người gửi, đây là thông tin quan trọng, hiển thị máy chủ đã tiếp nhận thư điện tử và gửi đi. Nên cân nhắc, chỉ tin tưởng những máy chủ SMTP phổ biến như SMTP của Google, Hotmail hoặc Yahoo… Dựa theo các lần Received, người dùng cũng hoàn toàn có thể biết được đường đi của thư điện tử và các IP máy chủ đã chuyển tiếp thư điện tử. Nếu đường đi này quá lòng vòng và qua nhiều máy chủ nghi ngờ thì đó rất có thể là thư điện tử giả mạo.

From: Địa chỉ thư điện tử của người gửi. Tuy nhiên, trường này hoàn toàn có thể giả mạo và không nên tin cậy các địa chỉ thư điện tử được khai báo trong trường này.

To: Địa chỉ thư điện tử của người nhận.

Reply-To: Địa chỉ thư điện tử của người sẽ nhận phản hồi, nếu trường giá trị này không trùng với trường giá trị From mà trong thư không trực tiếp nhắc đến việc chuyển tiếp nội dung thì khả năng rất lớn đây là thư giả mạo.

X-Mailer: Thông tin ứng dụng được sử dụng để gửi thư điện tử. Khi kiểm tra thông tin có thể biết được tên của ứng dụng và phiên bản của ứng dụng đó. Nếu là những ứng dụng phổ biến như Outlook hay Thunderbird thì cần kiểm tra thêm phiên bản của ứng dụng. Nếu thư điện tử được gửi đi từ những ứng dụng phiên bản quá cũ, người dùng hoàn toàn có thể nghi ngờ đó là thư điện tử giả mạo. Nếu những ứng dụng gửi thư điện tử ít phổ biến hơn, thì người dùng cũng nên kiểm tra xem ứng dụng có được thường xuyên được sử dụng trong gửi thư giả mạo, thư rác hay không.

Email header

Dựa vào những lần Received được liệt kê, hoàn toàn có thể xác định IP của người gửi đi thư giả mạo, thư rác. Ví dụ với đoạn Email header trong một thư rác:



Thì các mốc thời gian được hiểu như sau:



Như vậy, ban đầu thư điện tử được gửi từ địa chỉ máy chủ 125.253.124.A thông qua dịch vụ Authmailer SMTP, sau đó được gửi tới máy chủ 185.31.136.72 của dịch vụ Authmailer và cuối cùng là gửi đến máy chủ của Gmail tại 185.31.139.44.

Bên cạnh đó, người dùng cũng có thể sử dụng công cụ Email tracker để theo dấu các thư điện tử, từ đó kiểm tra các máy chủ mà thư điện tử đã được xử lý. Sau khi nhập toàn bộ phần Email header vào các công cụ Email tracker, người dùng sẽ xác định được đường đi của thư điện tử.

Quá trình theo dấu thư điện tử bằng công cụ Email tracker

Phân tích địa chỉ thư điện tử

Với các địa chỉ gửi đến có độ phức tạp, hoặc gần giống với những địa chỉ website tin tưởng, người dùng cũng cần hết sức cẩn trọng khi mở thư điện tử từ những địa chỉ này. Thư điện tử giả mạo thường mạo danh các website tin tưởng về ngân hàng, tài chính, học tập, chính phủ để lừa người dùng nhấp chuột vào đường dẫn độc hại. Người dùng có thể sử dụng một số công cụ miễn phí để phân tích các địa chỉ thư điện tử này và kiểm tra IP liên quan có nằm trong các danh sách đen hay không.

Công cụ Email Dossier để kiểm tra máy chủ và địa chỉ IP của một địa chỉ thư điện tử phức tạp

Kiểm tra kỹ các tệp tin tải về

Khi nhận được những thư điện tử giả mạo, một số người dùng thường chủ quan và tải, truy cập trực tiếp các tệp tin đính kèm. Điều này tạo điều kiện cho các hình thức tấn công lây lan và cài đặt các phần mềm độc hại. Để phòng tránh được điều này, người dùng có thể thực hiện một số cách thức như sau:

- Đối với các tệp tin văn bản, có thể sử dụng các dịch vụ tài liệu trực tuyến để xem và chỉnh sửa trực tiếp trên website.

Công cụ Google Docs của Google để tải và mở các tệp tin văn bản đính kèm

- Chỉ mở tệp tin đính kèm từ những địa chỉ quen thuộc, với những địa chỉ lạ hoặc nghi ngờ là giả mạo, cần tải về và kiểm tra trên các trang kiểm tra phần mềm độc hại trực tuyến.

Kiểm tra tệp tin đính kèm khi tải về tại trang virustotal.com

ĐT (Theo Cục An toàn thông tin)