CHƯA TỐT NGHIỆP TRƯỜNG ĐỜI.

Thứ Hai, 3 tháng 2, 2014

Tấn công mạng thuộc loại câu nhử và một số biện pháp phòng vệ



Kỹ sư Nguyễn Ngọc Bảo
2014/01/29

Trong cuộc chiến âm trầm nhưng cũng không kém phần quyết liệt trên mạng Internet giữa chế độ độc tài CSVN và các tổ chức và thành phần dân tộc dân chủ cho quyền tự do thông tin,  tin tặc xuất phát từ Việt Nam  (CAM Công An Mạng) hay được thuê mướn bởi nhà cầm quyền Việt Nam đã từng tung ra nhiều cuộc tấn công bằng DOS (Denial of Service:  Từ Chối Dịch Vụ) các trạng mạng  wordpress, blogspot,  đặt (host) tại hải ngoại , cũng như  chuyên chế tạo (special crafted)  các malware, spyware và gởi qua dạng điện thư loại câu nhử (phishing) đến nhiều cá nhân thuộc  thành phần dân chủ nhằm xâm nhập kín đáo vào trong máy vi tính.

Mục tiêu chính các cuộc tấn công là nhằm ngăn cản các trang mạng  hoạt động bình thường, không chuyển tải được thông tin quan trọng đến dân cư mạng, và kế tiếp quan trọng hơn,  truy tìm  các đầu mối liên lạc giữa các thành phần dân chủ, nhất là các thành phần hoạt động trong vòng bí mật trong nước, những thành phần đầu não, nhằm truy lùng và bắt giữ những thành phần này. Cho đến nay, mục tiêu tấn công của tin tặc là giới Việt Nam, tuy nhiên vào ngày 20/01/2014 vừa qua, các cơ quan thông tấn và đài phát thanh ngoại quốc như AP, BBC, RFA, BBC, .. đã loan tải về việc tin tặc Việt Nam đã tấn công nhắm vào một tổ chức Nhân Quyền ngoại quốc và một hãng thông tấn ngoại quốc vào cuối năm ngoái 2013.

Trong một bản thông cáo trên mạng www.eff.org tổ chức về Quyền Tự Do Thông Tin Mạng, Electronic Frontier Foundation cho biết 2 nhân viên của họ trách nhiệm về  Á Châu đã  nhận điện thư loại câu nhử được chế tạo tinh vi, vào ngày 20/12/2014. Điện thư liên quan đến một hội nghị về nhân quyền tổ chức tại Á Châu và dạng giống những điện thư trao đổi khác mà nhân viên EFF thường trao đổi với các giới liên hệ. Nhưng 2 đường dẫn trong nội dung điện thư đã đã dẫn đến trang mạng google.doc và chứa 2 hồ sơ có gài mã độc. Cùng trong thời điểm đó, một điện thư được chế tạo đặc biệt (special crafted) cũng được gởi tới một thông tín viên AP, dưới dạng điện thư gởi từ Human Rights Watch.

Mục tiêu lần này là nhằm khám phá ra những liên lạc kín đáo giữa EFF, thông tín  viên AP và những thành phần dân chủ tại Việt Nam, bằng cách cài đặt  keylogger hay/và một nhu liệu tấn công loại RAT (Remote Access Tool, như BackOrifice) vào máy để ghi lại các mật khẩu được đánh vào bàn phím (keylogger), hay mở một cổng sau (backdoor) để xâm nhập vào máy và chuyển ra các tài liệu, tên tuổi, địa chỉ các thành phần dân chủ và gởi về cho tin tặc.  Những kỹ thuật qua trường hợp EFF thường được tin tặc xử dụng để đánh lừa, xâm nhập vào trong máy vi tính, không phải là những nhu liệu quá tinh vi và chuyên môn như Stuxnet, DuQu, Flame,… không thể khám phá ra được.
Nhằm tự bảo vệ hữu hiệu, chống lại các cuộc tấn công bằng điện thư câu nhử (phishing), Nofirewall xin có một số hướng dẫn căn bản, không quá chuyên môn và dễ làm như sau:

1)      Thật cẩn trọng khi nhận những điện thư với đường dẫn trong nôi dung (URL link). Lướt con chuột lên đường dẫn (nhưng TUYỆT ĐỐI KHÔNG nhấp chuột vào đó). Nếu nhận thấy những gì viết của đường dẫn và những gì hiện lên khi lướt lên đường dẫn KHÁC NHAU. Xác xuất đường dẫn bị ngụy tạo rất cao. Và nên hủy bỏ điện thư ngay.

2)      Nếu điện thư có chứa các hồ sơ đính kèm dạng ZIP, RAR, TAR, GZIP, PDF,… và có những chỉ dấu khả nghi, KHÔNG nên nhấp chuột vào để mở và cần gọi người quen, đồng nghiệp có chuyên môn về điện thoại để thẩm định. Nên tìm cách liên lạc với người gởi để biết có thật sự là như vậy hay không. Nếu là địa chỉ IP gởi lạ, thì xác xuất là bị câu nhử rất cao, đo đó, nên hủy bỏ ngay điện thư này (xin xem 4) về cách tìm ra nơi gởi điện thư).

3)      Nếu bạn đang chờ một điện thư quan trọng, nếu tìm một cách khác như skype, điện thoại hay qua một email khác để xác nhận với người liên lạc là có gởi một điện thư như vậy hay không. Có lúc tin tặc giả dạng thư câu nhử gởi cho cả 2 người thường liên lạc với nhau, giả người này để đánh lừa người kia, và như vậy có thể xâm nhập được vào 2 máy khác nhau.

4)      Bạn cần tìm cách để thu thập header của điện thư (webmail gmail, Hotmail, yahoo, … hay messaging client như Outlook, Thunderbird, …để có thể truy tìm ra địa chỉ THẬT gởi đi (vì địa chỉ IP của máy vi tính của tin tặc có thể đã được sửa đổi (forged), hay được dấu đi khi chuyển qua một máy proxy). Và xử dụng trang mạng  http://whatismyipaddress.com/  hay những trang mạng khác có chức năng tương đương để có dữ kiện chi tiết và định vị của nơí gởi điện thư:

Return-path: <user@example.com>
Received: from mac.com ([10.13.11.252])
  by ms031.mac.com (Sun Java System Messaging Server 6.2-8.04 (built Feb 28
  2007)) with ESMTP id <0JMI007ZN7PETGC0@ms031.mac.com> for user@example.com; Thu,
  09 Aug 2007 04:24:50 -0700 (PDT)
Received: from mail.dsis.net (mail.dsis.net [70.183.59.5])
  by mac.com (Xserve/smtpin22/MantshX 4.0) with ESMTP id l79BOnNS000101
  for <user@example.com>; Thu, 09 Aug 2007 04:24:49 -0700 (PDT)
Received: from [192.168.2.77] (70.183.59.6) by mail.dsis.net with ESMTP
  (EIMS X 3.3.2) for <user@example.com>; Thu, 09 Aug 2007 04:24:49 -0700
Date: Thu, 09 Aug 2007 04:24:57 -0700
From: Frank Sender <sender@example.com>
Subject: Test
To: Joe User <user@example.com>
Message-id: <61086DBD-252B-46D2-A54C-263FE5E02B41@example.com>
MIME-version: 1.0 (Apple Message framework v752.2)
X-Mailer: Apple Mail (2.752.2)
Content-type: text/plain; charset=US-ASCII; format=flowed
Content-transfer-encoding: 7bit

Địa chỉ IP trong thí dụ này là 70.183.59.6 và định vị (geolocalize) tại Wichita, Hoa Kỳ


Bạn cần xem vị trí của người gởi điện thư có phải trong vùng đó hay không. Nếu tình nghi hay điạ chỉ cho biết là một nơi lạ thí dụ như bên Ukraine, Nga, Trung Quốc, Bresil, Nam Phi, …. Thì nên huỷ bỏ ngay điện thư.

5)      Máy vi tính cần để update tự động cho hệ thống điều hành cũng như một số nhu liệu thường dùng về vá (patch), để khi có lỗ hổng về an ninh, sau đó một thời gian ngắn, máy vi tính của bạn sẽ được cập nhật ngay. Và dĩ nhiên máy vi tính luôn phải có một nhu liệu phòng chống malware, virus, cập nhật hàng ngày. Xin bạn vào xem nofirewall.blogspot.com để lựa chọn các nhu liệu chống malware, virus, nều cần miễn phí thích hợp cho máy bạn.

6)      Bạn nên cài đặt thêm một nhu liệu chống tự động các loại khai thác các lỗ hổng (exploit) khi chưa tìm ra (signature)  của malware virus. Loại nhu liệu anti exploit này sẽ giúp bảo vệ máy khi bạn truy cập hay bị dẫn tới qua các hình thức redirection khác nhau, vào các trang mạng lạ (bị nhiễm khi lướt mạng drive by download). Xin vào http://www.malwarebytes.org/antiexploit/   và chọn download. Sau đó theo hưóng dẫn để cài đặt nhu liệu antiexploits miễn phí trên máy vi tính rất dễ dàng trong vòng 1 phút. Malwarebytes Anti-Exploit sẽ chạy đằng sau (back ground) và bảo vệ các browser, Adobe Reader, Winword, ….(xin xem hình bên dưới). Những nhu liệu nào có ổ khóa trước là những nhu liệu được bảo vệ bằng Anti-Exploit.


7)      Kế tiếp bạn có thể mở Winword, Adobe Reader, Excel, Power Point và các hồ sơ có dạng liên hệ trong một trong một chu vi khởi động an toàn (safe execution perimeter) thường được gọi là sandbox.  Trong một sandbox, nếu một hồ sơ có chứa malware, virus, lúc đó malware hay virus chỉ khởi động trong chu vi sandbox cho phép và không lây lan hay phá hoại được các phần khác trên máy của bạn. Xin vào http://www.sandboxie.com/index.php?DownloadSandboxie  . Trong trường hợp bạn cần được hướng dẫn chi tiết về việc cài đặt sandboxie, xin liên lạc với nofirewall.blogspot.com để có thêm hướng dẫn bằng PDF.

8)      Hiện nay các cơ quan công quyền về an ninh mạng tại các quốc gia Tây Phương như Úc, Nhật, Liên Âu, Gia Nã Đại, Hoa Kỳ, .. rất quan tâm đến an ninh mạng (cyberdefense) vì các cuộc tấn công trên mạng thường có liên hệ đến đến an ninh quốc gia và có sự cấu kết chặt chẽ giữa xã hội đen (underground)với các chính quyền độc tài để lấy trộm kỹ thuật tiền tiến, dung dưỡng các hoạt động kinh tế phi pháp. Do đó, bạn cần lưu tâm là chúng ta có thể nhờ cơ quan công quyền điều tra nhằm ngăn chặn (block) các hướng tấn công và truy tìm đường giây tấn công qua một chuỗi công ty viễn thông mạng khác nhau trên nhiều quốc gia (Internet telecom provider), và ngay cả truy tìm ra thủ phạm các cuộc tấn công qua những phương tiện định vị, kiểm địa chỉ IP ngày càng tinh vi và nhanh chóng. Trong năm 2013; ngày càng nhiều thành phần tin tặc gốc Đông Âu, Liên Xô, Hoa Kỳ, Liên Âu đã bị truy lung, dẫn độ và bắt giữ sau nhiều tháng trời điều tra của cơ quan công quyền Hoa Kỳ, Liên Âu về tội chế tạo malware, tấn công các trang mạng ngân hàng, thương mại điện tử, câu nhử và lấy hàng triệu Mỹ Kim phi pháp qua các dịch vụ lừa đảo trên mạng. Nhiều tin tặc đã bị xử án nhiều năm tù và phải bồi thường những khoản tiền lớn cho nạn nhân của họ.

Tóm lại, việc bị tấn công bằng các điện thư thuộc loại câu nhử rất thường xảy ra khi trao đổi qua điện thư. Bạn cần cần thận và theo các bước hướng dẫn trên đây, chắc chắn rủi ro bị xâm nhập qua điện thư câu nhử sẽ giảm xuống rất nhiều.

Copy từ: Nofirewall


..................

Không có nhận xét nào:

Đăng nhận xét