Chất lượng hình ảnh có thể rất quan trọng đối với tính xác thực của một email giả mạo, nhưng chính những gì đang diễn ra đằng sau hình ảnh tạo nên sự khác biệt giữa phát hiện và gửi. Những email giả mạo đã biết trước đó hoặc những email giả mạo đã bị đưa vào danh sách đen vẫn có thể tìm đường quay trở lại hộp thư đến, bằng một loạt kỹ thuật thao tác hình ảnh. Thật không may, hầu hết các bộ lọc email đều không thể phát hiện chúng.
Thực tế, những hình ảnh đã bị xử lý rất khó để phát hiện bằng mắt thường. Bằng cách làm sai lệch màu sắc, tông màu hoặc hình dạng của hình ảnh, tin tặc có thể làm mới các email giả mạo trong danh sách đen bằng hình ảnh mới và vượt qua bộ lọc email không thể trích xuất, phân tích nội dung từ hình ảnh.
Gần đây, các chuyên gia nhận thấy sự gia tăng số lượng email có chứa nội dung văn bản độc hại điều khiển từ xa. Được nhúng trong nội dung email nhưng được lưu trữ trên các miền bên ngoài, hình ảnh từ xa phải được tìm nạp qua mạng để phân tích. Quá trình này không thể được thực hiện trong thời gian thực. Chỉ trong tháng 11/2020, Vade Secure (công ty bảo mật email của Mỹ) đã phân tích 26,2 triệu hình ảnh từ xa và chặn 261,1 triệu email chứa hình ảnh từ xa.
Việc trích xuất và phân tích nội dung từ hình ảnh yêu cầu khả năng của máy tính, một lĩnh vực trí tuệ nhân tạo tốn kém, tốn nhiều tài nguyên và vẫn chưa trở thành tiêu chuẩn trong bảo mật email.
Vào cuối tháng 11/2020, Vade Secure đã phát hiện một làn sóng hàng loạt email rác được gửi vào hộp thư mà không đi qua lớp vận chuyển (transport layers). Các chuyên gia nghi ngờ rằng tin tặc đã sử dụng một công cụ mới có tên là Email Appender có sẵn trên web đen để gửi thư rác.
Email Appender cho phép tin tặc xác thực thông tin đăng nhập tài khoản bị xâm phạm và kết nối trực tiếp với tài khoản thông qua IMAP. Sau khi kết nối, tin tặc có thể cấu hình proxy để tránh bị phát hiện và gửi email trực tiếp vào hàng loạt tài khoản. Vì email được gửi từ các tài khoản bị xâm nhập, nên tin tặc không cần thiết phải giả mạo địa chỉ email. Tuy nhiên, chúng có thể điều chỉnh tên hiển thị của người gửi để phù hợp với kế hoạch của chiến dịch thư rác.
Hiện nay, người dùng tại các tổ chức/doanh nghiệp được đào tạo nâng cao nhận thức về bảo mật và an toàn thông tin. Các doanh nghiệp cũng đang áp dụng các hệ thống bảo mật ngày càng phức tạp, nên tin tặc có xu hướng thử nghiệm các kỹ thuật mới trên người dùng thông thường trước khi chuyển sang mục tiêu là các tổ chức/doanh nghiệp.
Các chuyên gia bày tỏ mong đợi các nền tảng như Microsoft 365 sẽ trở thành mục tiêu. Các giải pháp bảo mật email dựa trên API được tích hợp nguyên bản với Microsoft 365 cung cấp khả năng khắc phục hậu quả không có trong các cổng email an toàn. Nếu mối đe dọa email vượt qua bảo mật, các doanh nghiệp sẽ có thể tiếp cận và loại bỏ chúng trước khi người dùng có cơ hội nhấp vào.
Khi phần mềm độc hại Emotet quay trở lại vào tháng 7/2020, nó đã trở nên khó phát hiện hơn do thực hiện tấn công chuỗi email. Tận dụng tài khoản người dùng đã bị xâm nhập bởi Emotet và các loại mã độc khác, tin tặc đã ẩn mình vào các chuỗi email hợp pháp, đóng giả là đồng nghiệp hay người quen của tổ chức/doanh nghiệp để gửi email phát tán các liên kết lừa đảo và đính kèm tài liệu chứa phần mềm độc hại.
Mặc dù, nhiều người dùng ý thức và có kỹ năng kiểm tra email để tìm dấu hiệu giả mạo, nhưng người dùng thông thường không có khả năng xem xét kỹ lưỡng email vẫn còn rất nhiều. Đây là lý do khiến cho việc chiếm quyền điều khiển chuỗi email trở nên nguy hiểm. Với cuộc trò chuyện đã được thiết lập, tin tặc có thể tự do trò chuyện với những người dùng khác trong chuỗi. Người dùng đa phần sẽ bị mắc bẫy do mất cảnh giác.
Với một kỹ thuật như chiếm quyền điều khiển chuỗi email, tin tặc có thể bỏ qua bảo mật đường biên và dễ dàng xâm nhập vào một tổ chức/doanh nghiệp từ bên trong.
Kết luận
Các kỹ thuật trên chứng minh rằng tin tặc không chỉ theo kịp những tiến bộ trong bảo mật email mà còn vượt xa nó ở nhiều khía cạnh khác. Những đổi mới trong trí tuệ nhân tạo hứa hẹn sẽ mang lại khả năng phát hiện và khắc phục sớm trong thời gian tới. Tuy nhiên, khi các mối đe dọa bỏ qua các bước bảo mật, việc đào tạo người dùng liên tục, kể cả vào các thời điểm cần thiết sẽ trở nên quan trọng để vô hiệu hóa các cuộc tấn công.
Nguyễn Chân
13:00 | 29/12/2023
14:00 | 17/08/2020
08:44 | 17/03/2016
09:00 | 23/05/2018
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
