Chất lượng hình ảnh có thể rất quan trọng đối với tính xác thực của một email giả mạo, nhưng chính những gì đang diễn ra đằng sau hình ảnh tạo nên sự khác biệt giữa phát hiện và gửi. Những email giả mạo đã biết trước đó hoặc những email giả mạo đã bị đưa vào danh sách đen vẫn có thể tìm đường quay trở lại hộp thư đến, bằng một loạt kỹ thuật thao tác hình ảnh. Thật không may, hầu hết các bộ lọc email đều không thể phát hiện chúng.
Thực tế, những hình ảnh đã bị xử lý rất khó để phát hiện bằng mắt thường. Bằng cách làm sai lệch màu sắc, tông màu hoặc hình dạng của hình ảnh, tin tặc có thể làm mới các email giả mạo trong danh sách đen bằng hình ảnh mới và vượt qua bộ lọc email không thể trích xuất, phân tích nội dung từ hình ảnh.
Gần đây, các chuyên gia nhận thấy sự gia tăng số lượng email có chứa nội dung văn bản độc hại điều khiển từ xa. Được nhúng trong nội dung email nhưng được lưu trữ trên các miền bên ngoài, hình ảnh từ xa phải được tìm nạp qua mạng để phân tích. Quá trình này không thể được thực hiện trong thời gian thực. Chỉ trong tháng 11/2020, Vade Secure (công ty bảo mật email của Mỹ) đã phân tích 26,2 triệu hình ảnh từ xa và chặn 261,1 triệu email chứa hình ảnh từ xa.
Việc trích xuất và phân tích nội dung từ hình ảnh yêu cầu khả năng của máy tính, một lĩnh vực trí tuệ nhân tạo tốn kém, tốn nhiều tài nguyên và vẫn chưa trở thành tiêu chuẩn trong bảo mật email.
Vào cuối tháng 11/2020, Vade Secure đã phát hiện một làn sóng hàng loạt email rác được gửi vào hộp thư mà không đi qua lớp vận chuyển (transport layers). Các chuyên gia nghi ngờ rằng tin tặc đã sử dụng một công cụ mới có tên là Email Appender có sẵn trên web đen để gửi thư rác.
Email Appender cho phép tin tặc xác thực thông tin đăng nhập tài khoản bị xâm phạm và kết nối trực tiếp với tài khoản thông qua IMAP. Sau khi kết nối, tin tặc có thể cấu hình proxy để tránh bị phát hiện và gửi email trực tiếp vào hàng loạt tài khoản. Vì email được gửi từ các tài khoản bị xâm nhập, nên tin tặc không cần thiết phải giả mạo địa chỉ email. Tuy nhiên, chúng có thể điều chỉnh tên hiển thị của người gửi để phù hợp với kế hoạch của chiến dịch thư rác.
Hiện nay, người dùng tại các tổ chức/doanh nghiệp được đào tạo nâng cao nhận thức về bảo mật và an toàn thông tin. Các doanh nghiệp cũng đang áp dụng các hệ thống bảo mật ngày càng phức tạp, nên tin tặc có xu hướng thử nghiệm các kỹ thuật mới trên người dùng thông thường trước khi chuyển sang mục tiêu là các tổ chức/doanh nghiệp.
Các chuyên gia bày tỏ mong đợi các nền tảng như Microsoft 365 sẽ trở thành mục tiêu. Các giải pháp bảo mật email dựa trên API được tích hợp nguyên bản với Microsoft 365 cung cấp khả năng khắc phục hậu quả không có trong các cổng email an toàn. Nếu mối đe dọa email vượt qua bảo mật, các doanh nghiệp sẽ có thể tiếp cận và loại bỏ chúng trước khi người dùng có cơ hội nhấp vào.
Khi phần mềm độc hại Emotet quay trở lại vào tháng 7/2020, nó đã trở nên khó phát hiện hơn do thực hiện tấn công chuỗi email. Tận dụng tài khoản người dùng đã bị xâm nhập bởi Emotet và các loại mã độc khác, tin tặc đã ẩn mình vào các chuỗi email hợp pháp, đóng giả là đồng nghiệp hay người quen của tổ chức/doanh nghiệp để gửi email phát tán các liên kết lừa đảo và đính kèm tài liệu chứa phần mềm độc hại.
Mặc dù, nhiều người dùng ý thức và có kỹ năng kiểm tra email để tìm dấu hiệu giả mạo, nhưng người dùng thông thường không có khả năng xem xét kỹ lưỡng email vẫn còn rất nhiều. Đây là lý do khiến cho việc chiếm quyền điều khiển chuỗi email trở nên nguy hiểm. Với cuộc trò chuyện đã được thiết lập, tin tặc có thể tự do trò chuyện với những người dùng khác trong chuỗi. Người dùng đa phần sẽ bị mắc bẫy do mất cảnh giác.
Với một kỹ thuật như chiếm quyền điều khiển chuỗi email, tin tặc có thể bỏ qua bảo mật đường biên và dễ dàng xâm nhập vào một tổ chức/doanh nghiệp từ bên trong.
Kết luận
Các kỹ thuật trên chứng minh rằng tin tặc không chỉ theo kịp những tiến bộ trong bảo mật email mà còn vượt xa nó ở nhiều khía cạnh khác. Những đổi mới trong trí tuệ nhân tạo hứa hẹn sẽ mang lại khả năng phát hiện và khắc phục sớm trong thời gian tới. Tuy nhiên, khi các mối đe dọa bỏ qua các bước bảo mật, việc đào tạo người dùng liên tục, kể cả vào các thời điểm cần thiết sẽ trở nên quan trọng để vô hiệu hóa các cuộc tấn công.
Nguyễn Chân
13:00 | 29/12/2023
14:00 | 17/08/2020
08:44 | 17/03/2016
09:00 | 23/05/2018
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024
