Phát hiện này được thực hiện bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Stony Brook và Công ty an ninh mạng Palo Alto Networks. Theo đó, họ đã chứng minh rằng kỹ thuật fingerprint mới giúp phát hiện bộ công cụ tấn công MITM trên thực tế, bằng việc tận dụng các thuộc tính của mạng nội bộ, tự động hóa hiệu quả phát hiện và phân tích các trang web lừa đảo.
Cách thức hoạt động của bộ công cụ lừa đảo MITM
Được đặt tên là “PHOCA”, theo tiếng Latinh có nghĩa là “seals”, tức là “con dấu” - công cụ này không chỉ giúp phát hiện các bộ công cụ lừa đảo để tấn công MITM, mà còn có thể được sử dụng để phát hiện và cô lập các request độc hại đến từ các máy chủ.
Các bộ công cụ lừa đảo tự động và hợp thức hóa các hành vi của tin tặc để thực hiện các chiến dịch đánh cắp thông tin xác thực. Chúng là các tập ZIP được đính kèm trong các email lừa đảo, cho phép tin tặc mạo danh các thực thể (ví dụ website chính thống) để đánh lừa nạn nhân nhằm lấy các thông tin cá nhân của họ.
Tuy nhiên, các dịch vụ trực tuyến hiện nay thường áp dụng xác thực hai yếu tố (2FA), cũng có nghĩa là các bộ công cụ lừa đảo truyền thống này không còn là phương pháp hiệu quả để tấn công vào các tài khoản được bảo vệ bởi 2 lớp xác thực.
Kiến trúc của framework được sử dụng để thu thập dữ liệu mạng trên các trang web lừa đảo MITM
Bộ công cụ lừa đảo MITM cho phép tin tặc đứng giữa nạn nhân và dịch vụ trực tuyến. Thay vì thiết lập một trang web giả mạo được phát tán qua email spam, tin tặc thường triển khai một trang web giả có nội dung như website mục tiêu, và hoạt động như một đường dẫn để chuyển tiếp các request và response giữa hai bên trong thời gian thực, do đó cho phép trích xuất thông tin xác thực và phiên cookie từ các tài khoản được xác thực 2 yếu tố.
Theo các nhà nghiên cứu Brian Kondracki, Babak Amin Azad, Babak Amin Azad, Oleksii Starov và Nick Nikiforakis của Đại học Stony Brook (Mỹ) cho biết: “Chúng có chức năng và hoạt động như các máy chủ reverse proxy, kết nối giữa nạn nhân và máy chủ web mục tiêu”.
Phương pháp do các nhà nghiên cứu đưa ra liên quan đến bộ phân loại học máy sử dụng các tính năng như fingerprint TLS, và sự khác biệt về thời gian mạng để phân loại các trang web lừa đảo được lưu trữ bởi bộ công cụ lừa đảo MITM trên các máy chủ reverse proxy. Đồng thời phương pháp này cũng bao gồm một framework thu thập dữ liệu để giám sát và theo dõi các URL đáng ngờ từ cơ sở dữ liệu phishing mã nguồn mở như OpenPhish và PhishTank.
Ý tưởng cốt lõi là đo lường độ trễ round-trip time (RTT) phát sinh bằng cách đặt một bộ công cụ lừa đảo MITM, do vậy, nạn nhân sẽ mất nhiều thời gian hơn để nhận được các response sau khi gửi request.
“Vì hai phiên HTTPS riêng biệt phải được duy trì để kết nối giữa nạn nhân và máy chủ web mục tiêu, tỷ lệ các gói RTT khác nhau, chẳng hạn như request TCP SYN/ACK và HTTP GET, sẽ cao hơn nhiều khi giao tiếp với máy chủ reverse proxy hơn là máy chủ web. Tỷ lệ này cao hơn nữa khi máy chủ reverse proxy chặn các request TLS, điều này đúng với bộ công cụ lừa đảo MITM”, các nhà nghiên cứu giải thích.
Vị trí địa lý của các trang web lừa đảo MITM
Trong một cuộc đánh giá thử nghiệm kéo dài 1 năm từ ngày 25/3/2020 đến ngày 25/3/2021, nghiên cứu đã phát hiện ra tổng cộng 1.220 trang web sử dụng bộ công cụ lừa đảo MITM, chủ yếu nằm rải rác ở Hoa Kỳ, Châu Âu và dựa vào các dịch vụ lưu trữ từ Amazon, DigitalOcean, Microsoft và Google. Một số thương hiệu được nhắm mục tiêu nhiều nhất bởi các bộ công cụ này bao gồm Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo và LinkedIn.
Theo các nhà nghiên cứu nhận xét: “PHOCA có thể được tích hợp trực tiếp vào cơ sở hạ tầng web, chẳng hạn như các dịch vụ blocklist phishing, cũng như các trang web phổ biến để phát hiện các request độc hại bắt nguồn từ bộ công cụ lừa đảo MITM”.
Đinh Hồng Đạt
- Lê Thị Bích Hằng
10:00 | 04/11/2021
09:00 | 12/11/2021
15:00 | 18/10/2021
14:00 | 25/03/2024
Bài báo giới thiệu một phương pháp dựa trên đặc tính hỗn loạn của ánh xạ 2D MCCM và 2D logistic để thiết kế hộp S (S-box) động phụ thuộc khóa. Đánh giá một số tính chất mật mã của một số hộp thế được tạo ra.
09:00 | 02/02/2022
CHACHA20-POLY1305 là hệ mã dòng có kiến trúc mã hóa với dữ liệu liên kết (Authenticated Encryption with Additional Data - AEAD) cung cấp tính bí mật và xác thực nguồn gốc dữ liệu truyền nhận trên kênh liên lạc. Đến nay thì ChaCha20-Poly1305 đã được đưa vào trong thiết kế các giao thức bảo mật mạng phiên bản mới như TLS 1.3, Wireguard, S/MIMEv4. Bài viết này sẽ trình bày tổng quan về kiến trúc, cách thức hoạt động, đưa ra nhận xét chung về độ an toàn, hiệu năng và ứng dụng của ChaCha20-Poly1305.
20:00 | 29/01/2022
Trong Phần 1, bài báo đã giới thiệu về các công nghệ lõi được sử dụng trong mô hình họp trực tuyến SFU, trong đó đã trình bày nhiều công nghệ lõi, thuật toán được áp dụng để tối ưu hóa băng thông và xử lý dữ liệu trong mô hình SFU. Trong Phần 2 này, nhóm tác giả tiếp tục trình bày thêm thuật toán GCC (Google Congestion Control) để tối ưu hóa băng thông và kiểm soát tắc nghẽn dữ liệu trong mô hình SFU. Phần còn lại của bài báo, tập trung trình bày các giải pháp bảo mật dữ liệu trong mô hình SFU.
15:00 | 24/09/2021
Bài báo này giới thiệu về MDS cặp đôi - một ma trận có dạng đối xứng đặc biệt và phương pháp xây dựng các ma trận này nhờ một mã cyclic nổi tiếng, đó là mã Reed-Solomon. Những ma trận dạng này có thể hữu ích trong việc nâng cao tốc độ xử lý hoặc hiệu quả trong thiết kế phần cứng.