Tấn công giả mạo – Wikipedia tiếng Việt

tên giả mạo. Để ý những lỗi sai chính tả trong những từ received (đã nhận) và discrepancy (bất đồng). Các lỗi thế này khá phổ biến trong những thư điện tử giả mạo. Cũng chú ý là mặc dầu

Một ví dụ về thư điện tử giả mạo, mạo danh thư điện tử chính thức của một ngân hàng nhà nước (không có thật). Người gửi đang nỗ lực lừa người nhận bật mý những thông tin mật bằng cách “xác nhận” tại website của. Để ý những lỗi sai chính tả trong những từ(đã nhận) và(bất đồng). Các lỗi thế này khá phổ biến trong những thư điện tử giả mạo. Cũng chú ý là mặc dầu URL của website ngân hàng trông có vẻ thực, nhưng thực ra lại liên kết đến trang web của tên mạo danh. (Nhấn vào hình để xem bản dịch)

Tấn công giả mạo (thuật ngữ gốc tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu cá[1], trọn vẹn hoàn toàn hoàn toàn hoàn toàn có thể tác động ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại cảm ứng người khác không trả phí,[2][3] ám chỉ việc “nhử” người dùng bật mý thông tin mật), trong lĩnh vực bảo mật thông tin thông tin máy tính, là một hành vi trá hình ác ý nhằm mục đích lấy được những thông tin nhạy cảm như tên người dùng, mật khẩu và những chi tiết cụ thể thẻ tín dụng thanh toán bằng cách giả dạng thành một chủ thể an toàn và đáng tin cậy trong một thanh toán giao dịch điện tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là những giao dịch có vẻ xuất phát từ những website xã hội phổ biến, những TT chi trả trực tuyến hoặc các quản trị mạng. Tấn công trá hình thường được triển khai qua thư điện tử hoặc tin nhắn nhanh[4],
và hay yêu cầu người dùng nhập thông tin vào một website trá hình gần như giống hệt với website thật. Ngay cả khi có sử dụng xác nhận máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác lập được website là giả mạo. Tấn công trá hình là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng,[5] và khai thác sự bất tiện lúc bấy giờ của công nghệ bảo mật web.[6] Để chống lại hình thức tiến công lừa đảo ngày càng tăng, người ta đã nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện và đào tạo cho người dùng, cảnh báo công chúng, và tăng cường an ninh kĩ thuật.

Một kĩ thuật tiến công lừa đảo đã được diễn đạt chi tiết vào năm 1987, và thuật ngữ “phishing” được ghi nhận sử dụng lần tiên phong vào năm 1996.

Lịch sử và hiện trạng

[

sửa

|

sửa mã nguồn

]

Một kĩ thuật tiến công trá hình đã được mô tả chi tiết vào năm 1987, trong một bài báo khoa học và thuyết minh của Nhóm Người dùng HP Toàn cầu, Interex.[7] Thuật ngữ “phishing” được đề cập lần tiên phong trên nhóm tin Usenet alt.online-service.America-online vào ngày 2 tháng 1 năm 1996,[8]
dù thuật ngữ này có thể đã Open từ trước đó trong bản in của tạp chí dành cho hacker 2600.[9]

Những vụ trá hình tiên phong trên AOL

[

sửa

|

sửa mã nguồn

]

Vụ lừa đảo trên AOL có liên hệ mật thiết đến hội đồng warez, nơi trao đổi ứng dụng đã bẻ khóa và cách dàn cảnh để sử dụng số thẻ tín dụng giả cùng các hành vi tội phạm trực tuyến khác. Sau khi AOL đưa vào một số ít biện pháp để chống việc sử dụng số thẻ tín dụng giả được tạo ra bằng máy tính để mở thông tin thông tin thông tin tài khoản vào cuối năm 1995, những tay bẻ khóa AOL chuyển qua hình thức trá hình để lấy tài khoản thật[10] và khai thác AOL.

Một tên trá hình có thể giả làm nhân viên cấp dưới của AOL và gửi một tin nhắn nhanh tới nạn nhân, yêu cầu người đó bật mý mật khẩu truy vấn của mình.[11] Để lừa nạn nhân tiết lộ thông tin nhạy cảm, thông báo thường có những câu mệnh lệnh như “xác thực tài khoản” hay “xác nhận thông tin hóa đơn”. Một khi nạn nhân đã tiết lộ mật khẩu, kẻ tiến công sẽ có thể truy vấn và sử dụng tài khoản của nạn nhân để lừa đảo hoặc gửi thư rác. Việc tiến công trá hình lẫn bẻ khóa ứng dụng trên AOL nói chung đều cần các chương trình viết tay, kiểu như AOHell. Những vụ lừa đảo xảy liên tục trên AOL đến mức họ phải thêm một dòng vào mọi tin nhắn nhanh trong đó ghi: “sẽ không có một ai thao tác tại AOL yêu cầu mật khẩu hoặc thông tin hóa đơn của bạn hết”, dù điều này cũng không ngăn được vài người tiếp tục trao mật khẩu và thông tin cá nhân nếu họ đọc và tin ngay vào tin nhắn.

Sau năm 1997, người ta thi hành chính sách của AOL so với trò trá hình và bẻ khóa ngặt nghèo hơn và bắt buộc xóa các phần mềm bẻ khóa ra khỏi sever AOL. AOL đồng thời cũng tăng trưởng một mạng lưới mạng lưới hệ thống tiếp tục đóng những tài khoản nào có tương quan đến việc giả mạo, thường là trước khi nạn nhân có thể phản hồi. Việc cấm chỉ các hoạt động giải trí truyền bá phần mềm lừa đảo trên AOL khiến cho các tay trá hình không dùng dịch vụ này nữa, và nhiều người trong số này—thường là những người trẻ tuổi—bắt đầu vượt hơn là sở trường thích nghi thông thường.[12]

Chuyển từ AOL sang các cơ sở tài chính

[

sửa

|

sửa mã nguồn

]

Ăn cắp được thông tin tài khoản của AOL khiến cho những tay tiến công trá hình mở màn lạm dụng thông tin thẻ tín dụng của người khác, và nhận ra rằng chúng hoàn toàn có thể tấn công các hệ thống chi trả trực tuyến. Một nỗ lực tấn công được biết đến tiên phong vào hệ thống chi trả đã ảnh hưởng đến E-gold vào tháng 6 năm 2001, tiếp theo đó là trò “kiểm tra mã số sau ngày 11 tháng 9” ngay sau Vụ tấn công Trung tâm Thương mại Thế giới ngày 11 tháng 9.[13] Vào thời điểm đó cả hai đều được xem là thất bại, nhưng hiện tại có thể xem chúng là những lần thử nghiệm đầu tiên nhằm vào các ngân hàng lớn. Đến năm 2004, tấn công trá hình được thừa nhận là một bộ phận hoàn toàn công nghiệp hóa của ngành kinh tế tài chính tội phạm: sự chuyên nghiệp hóa đã Open ở khoanh vùng phạm vi toàn thế giới để cung ứng tiền mặt đã được tích hợp vào các cuộc tấn công.[14][15]

Viết một bình luận