- Các loại tấn công mạng mà tội phạm mạng sử dụng
- Tấn công lừa đảo
- Tấn công DDoS
- Các cuộc tấn công botnet
- Tấn công bạo lực “công nghệ” brute force
- Các cuộc tấn công man-in-the-Middle
- Các cuộc tấn công Man-in-the-Browser
- Các cuộc tấn công Drive-by
- Những suy nghĩ cuối cùng về các loại tấn công mạng khác nhau mà chúng tôi đã thảo luận
Các loại tấn công mạng mà tội phạm mạng sử dụng
Tấn công lừa đảo
Những kẻ lừa đảo giả dạng là các tổ chức có uy tín trong các cuộc tấn công lừa đảo để lừa người tiêu dùng thực hiện các hành vi khiến họ trở thành nạn nhân. Lừa đảo có thể đạt được bằng email, tin nhắn văn bản hoặc cuộc gọi điện thoại (vishing). Những kẻ lừa đảo thường sử dụng tên miền gây nhầm lẫn (ví dụ: Wel1sfargo.com, cha5e.com) để làm cho các trang web giả mạo có vẻ đáng tin cậy nhằm chiếm được lòng tin của nạn nhân.
Các hình thức tấn công mạng này có nhiều chức năng, bao gồm:
- Lừa người nhận để chia sẻ thông tin cá nhân / tài chính của họ,
- chuyển hướng mục tiêu đến các trang web spam, hoặc
- lừa họ tải xuống các tệp đính kèm bị nhiễm phần mềm độc hại.
Dưới đây là một ví dụ về email lừa đảo mà các bạn có thể nhận được:
Kẻ xâm nhập đang mạo danh nhóm hỗ trợ của Apple trong email này để cố lừa chúng ta nhấp vào một kết nối độc hại. Bộ phận Hỗ trợ của Apple ký tên vào email và cũng chứa logo của tổ chức, điều này có thể cần thiết để đánh lừa một số người nhận email nhất định.
Nhưng trong ánh đèn vàng phố thị, bên ly cà phê Ban Mê giúp con người ta thêm tỉnh thức, và ta nhận thấy có hai chi tiết chính gây ra tiếng kêu “NGUY HIỂM”: địa chỉ email của người gửi và bài viết xấu. Nếu Apple gửi email một cách hợp pháp, nó phải bắt nguồn từ một email được đăng ký với miền apple.com, không phải là một tài khoản không có thật như đã thấy ở trên.
Tấn công DDoS
Các cuộc tấn công DDoS là một mối đe dọa đáng kể có thể ảnh hưởng đến bất kỳ ai, từ các công ty nhỏ đến các công ty lớn. Chỉ riêng trong năm 2019, NetScout Threat Intelligence đã chứng kiến 8,4 triệu mối đe dọa DDoS.
Điều làm cho các loại mối đe dọa mạng này trở nên khủng khiếp là chúng làm gián đoạn các dịch vụ của trang web dự định, khiến người dùng hợp pháp không thể truy cập được. Tập lệnh hoặc bộ công cụ xây dựng mạng botnet được những kẻ tấn công sử dụng để tạo ra lưu lượng truy cập từ nhiều nguồn khác nhau. Đó là lý do tại sao việc chặn bất kỳ địa chỉ IP / người dùng đơn lẻ nào khiến bạn khó tránh khỏi các cuộc tấn công DDoS. Trong một số trường hợp nhất định, để ngăn chặn cuộc tấn công, những kẻ tấn công có thể yêu cầu chủ sở hữu trang web trả tiền chuộc.
Một số tác hại từ cuộc tấn công chống lại DDoS bao gồm:
- Làm tổn hại đến hình ảnh của công ty hoặc miền,
- Gây ra thiệt hại tài chính do thời gian ngừng hoạt động của trang web, hoặc
- Trả thù cá nhân chống lại chủ sở hữu của trang web.
Các cuộc tấn công botnet
Từ “botnet” dùng để chỉ một máy tính hoặc mạng hệ thống liên quan. Tại đây, một số lượng lớn các máy tính IoT bị xâm nhập bởi những kẻ tấn công và năng lực tổng hợp của chúng được sử dụng để thực hiện nhiều hình thức tấn công mạng. Ngay cả khi một hình thức tấn công botnet cũng là một cuộc tấn công DDoS, nó không phải là hình thức duy nhất. Theo Akamai, các loại tấn công botnet khác bao gồm:
- Xác thực danh sách mật khẩu bị đánh cắp dẫn đến chiếm đoạt tài khoản (tấn công nhồi nhét thông tin xác thực).
- Tấn công vào các ứng dụng web để lấy cắp dữ liệu.
- Cấp quyền truy cập vào máy tính và kết nối của nó với mạng cho kẻ tấn công.
Để xây dựng mạng botnet, những kẻ tấn công sử dụng email lừa đảo và các trang web độc hại để đưa phần mềm độc hại vào mạng botnet (chẳng hạn như trojan, vi rút máy tính, v.v.) vào máy tính của người dùng. Các hệ thống IoT hoặc phần cứng bị nhiễm khác cũng có thể được chúng sử dụng để lây nhiễm cho các thiết bị khác trên cùng một mạng.
Dưới đây là một số điều quan trọng cần nhớ về mạng botnet:
- Điều quan trọng là phải liên kết tất cả các thiết bị được sử dụng trong mạng botnet với internet. Để đưa chúng vào mạng botnet, những kẻ tấn công có thể lây nhiễm vào PC, máy tính xách tay, điện thoại di động, bộ định tuyến WI-FI, máy tính bảng, TV kết nối internet, hộp giải mã tín hiệu cáp, DVR, thiết bị VoIP và camera IP / CCTV.
- Để mã hóa các tin nhắn nội bộ của chúng, một số mạng botnet sử dụng PKI. Có nghĩa là nếu không có khóa riêng tương ứng, không ai có thể theo dõi và phát hiện tin nhắn của họ. Nó làm cho các công cụ dò tìm rất khó xác định và xóa botnet.
- Nhiều mục tiêu và mục đích được thực hiện bởi botnet. Botnet cũng được sử dụng rộng rãi để khai thác tiền điện tử, đánh cắp dữ liệu, tạo lưu lượng truy cập web giả và phân phối phần mềm độc hại, ngoài các hình thức tấn công mạng mà chúng tôi đã đề cập trước đó.
Tấn công bạo lực hay brute force
Các cuộc tấn công brute force dùng để xâm nhập hệ thống / trang web / tài khoản người dùng, những kẻ tấn công tìm cách xác định thông tin đăng nhập phù hợp. Những kẻ tấn công có một thư mục thông tin đăng nhập được đoán trước. Họ đưa một tập lệnh tự động thêm tên người dùng và mật khẩu vào trang đăng nhập của một trang web mục tiêu trước khi nó tìm thấy sự kết hợp phù hợp. Những kẻ tấn công cố gắng xâm nhập vào tài khoản của người dùng, quản trị viên web, nhân viên chính của tổ chức hoặc quản trị viên trang web. Những công cụ phổ biến để tấn công login page như medusa, hydra …
1. Nhồi nhét tên người dùng: Tập lệnh tự động thêm một số biến thể của ID người dùng và mật khẩu để xác định vị trí kết hợp hợp lệ trong các trường đăng nhập được nhắm mục tiêu. Ngoài ra, kẻ xâm nhập lấy được các cơ sở dữ liệu đó từ cơ sở dữ liệu bị rò rỉ hoặc các trường hợp vi phạm dữ liệu.
2. Phun mật khẩu: Kẻ xâm nhập thử một mật khẩu duy nhất chống lại một số tài khoản người dùng tại đây. Nói cách khác, trước khi thử một mật khẩu khác, những kẻ tấn công “rải” cùng một mật khẩu trên nhiều tài khoản người dùng. Mật khẩu có thể lấy từ wordlist như rockyou, các bạn có thể xem thêm bài đăn về wordlist 4 pentester tại trang CEH VIETNAM hay SECURITY365
Một cuộc tấn công brute force thường được những kẻ tấn công sử dụng để thao túng các lỗi truy cập URL nhằm xác định các trang web bí mật. Hãy xem trường hợp dưới đây:
Giả sử rằng bệnh viện của tôi chia sẻ một trang tùy chỉnh giống như thế này để đọc thông tin của tôi trực tuyến: http://www.myhospital.com/pworthyreports/July2020/report0235683. Để xem các báo cáo của tôi mà không cần bất kỳ thông tin đăng nhập nào, tôi chỉ cần kết nối này. Tuy nhiên, tôi hiểu rằng số báo cáo / tệp của tôi là “report0235683”. Vì vậy, nếu tôi viết “report0235684” với cùng một URL, tôi có thể xem báo cáo của bệnh nhân tiếp theo!
Một ví dụ về hình thức tấn công mạng có thể dẫn đến vi phạm dữ liệu là buộc phải duyệt. Để vượt qua các lỗ hổng bảo mật như vậy, những kẻ tấn công sử dụng các cuộc tấn công vũ phu. Để tìm các trang web bí mật và dễ bị tấn công như vậy, họ sử dụng các tập lệnh để tạo các URL ngẫu nhiên.
Các cuộc tấn công bằng “vũ lực” công nghệ này rất hữu ích cho:
- Đánh cắp thông tin nhạy cảm,
- đặt các quảng cáo không cần thiết trên trang,
Chuyển tiền, - thực hiện chuyển giao thay mặt cho con tin, và
- khóa các mạng tấn công ransomware của các mục tiêu.
Các cuộc tấn công man-in-the-Middle
Được gọi là một cuộc tấn công man-in-the-middle (MitM) khi kẻ xâm nhập nghe trộm, thông dịch và sửa đổi cuộc trò chuyện giữa hai thiết bị đầu cuối. Tất cả các bên đều tin rằng họ nói chuyện cởi mở với nhau và không biết rằng mối liên hệ của họ đang bị người khác xâm nhập. Tin tặc bỏ qua các lỗi xác thực bộ định tuyến WI-FI và / hoặc chức năng bảo vệ của trang web.
Giả sử bạn chọn đặt mua một đôi giày trên một trang web thương mại điện tử. Trong quá trình thanh toán, bạn cung cấp số thẻ tín dụng, số điện thoại, địa chỉ thực và địa chỉ email của mình cho trang web. Nhưng một tin tặc đã chặn dữ liệu đang truyền đi trước khi thông tin này truy cập vào máy chủ của trang web được lên kế hoạch. Do đó, các chi tiết có thể bị hacker (tức là kẻ ở giữa) đọc được và được sử dụng để thực hiện các tội phạm liên quan đến gian lận tài chính và đánh cắp danh tính.
Họ vẫn sẽ sử dụng nó như một phần của bảng câu hỏi bảo mật của họ để xem bất kỳ tài khoản nào sử dụng thông tin. Trong khi đó, trước khi quá muộn, bạn và trang web bạn được liên kết không biết chuyện gì đang xảy ra.
Những công cụ hàng đầu như “chúa tể của các mạng token ring” ettercap, mitmf … là ứng viên hàng đầu mà BQT Security365 từng demo trước đây.
Các cuộc tấn công Man-in-the-Browser
Các cuộc tấn công của Man-in-the-browser (MitB) đánh cắp thông điệp giữa các trình duyệt và truy cập các trang web. Để thực hiện việc này, kẻ tấn công đưa một “ngựa trojan” vào trình duyệt web thông qua plugin trình duyệt, tập lệnh hoặc đối tượng trình trợ giúp trình duyệt (BHO) để lây nhiễm nó.
Sau khi trojan được kích hoạt, kẻ tấn công có thể:
- Sửa đổi / thêm / xóa các trường trong ngữ cảnh của các trang,
- Điều chỉnh sự hiện diện của trang web,
- Đọc và lấy bất kỳ dữ liệu nào do người dùng nhập vào trang web và thay đổi các giao dịch mua của người dùng trang web.
MitB Trojan mạnh đến mức các phản hồi và biên nhận xác thực đến từ phần cuối của trang web cũng có thể được cập nhật.
Người dùng truy cập trang web hợp pháp tại đây và do đó, họ không nghi ngờ gì. Các ứng dụng, sử dụng các khóa ban đầu của chúng, hiển thị trao đổi. Vì không có giai đoạn xác thực nào bị phá vỡ, trang web có rất ít vấn đề cần quan tâm. Các cuộc tấn công MitB, đặc biệt là trên các trang web ngân hàng, được sử dụng rộng rãi để chống lại ngành tài chính. Nhưng nó có thể diễn ra trên bất kỳ hình thức trang web nào khác, chẳng hạn như trang web cho thương mại điện tử, nhà cung cấp tiện ích, công ty thuế và kế toán, trang web của chính phủ, v.v.
Các cuộc tấn công drive by
Khi người tiêu dùng truy cập trang web bị xâm nhập bởi phần mềm độc hại, nơi tải xuống và cài đặt phần mềm độc hại trên máy tính của người dùng, một cuộc tấn công mạng sẽ xảy ra.
Các ransomware rất hay dùng biện pháp tấn công này từ exploit kit.
Người dùng có thể bị lạm dụng bởi các ứng dụng chứa đầy phần mềm độc hại theo một số cách, chẳng hạn như
- Ghi lại và ghi lại các hành động của người dùng
- Làm hỏng các thiết bị được kết nối khác để xây dựng mạng botnet
- Đánh cắp thông tin cá nhân và thông tin riêng tư của người tiêu dùng
- Gửi email lừa đảo đến địa chỉ liên hệ email của người tiêu dùng
Trong một trong các trường hợp sau, phần mềm độc hại lây nhiễm qua ổ đĩa sẽ lây nhiễm sang các thiết bị:
- Ứng dụng hợp pháp: Những kẻ tấn công đưa phần mềm độc hại vào phần mềm hợp pháp, tệp, phương tiện, v.v.
Ứng dụng giả mạo: Những kẻ tấn công thay thế phần mềm giả mạo độc hại bằng phần mềm thật và sử dụng tên miền mô tả để đánh lừa người dùng tải chúng xuống. Ví dụ, tội phạm mạng bị nghi ngờ thực hiện điều này với các ứng dụng chống vi-rút không có thật. - Thông báo cảnh báo giả mạo và lời nhắc cập nhật: Tội phạm mạng sẽ hiển thị thông báo cảnh báo sai khiến bạn cảm thấy rằng các ứng dụng hoặc plugin hiện tại của mình cần được sửa đổi (chẳng hạn như trình duyệt web hoặc Flash của bạn). Nhưng bây giờ, phần mềm độc hại được nhập vào máy tính của bạn khi bạn cố gắng nâng cấp phần mềm mới của mình.
- Liên kết: Trang web có thể tự động tải xuống phần mềm độc hại trên thiết bị của mình mà họ không biết hoặc không đồng ý khi người dùng truy cập trang web và nhấp vào kết nối bị xâm phạm. Ví dụ: điều này có thể xảy ra khi kẻ tấn công đặt một tập lệnh độc hại vào nút “phát” của video hoặc nút “tải xuống” của bài hát.
- Các trang web spam: Một số trang web dễ lây lan đến mức nếu người dùng truy cập chúng, phần mềm độc hại sẽ được tải xuống ngay lập tức.
Những suy nghĩ cuối cùng về các loại tấn công mạng khác nhau mà chúng ta đã thảo luận
Có vẻ như năm nào cũng là một năm phá kỷ lục khác về số lượng các cuộc tấn công mạng diễn ra. Bây giờ bạn đã đọc các kiểu tấn công mạng khác nhau đang thịnh hành như thế nào trong thế giới mạng, bạn có thể tự hỏi mình có thể làm gì để ngăn chặn các cuộc tấn công mạng ngay từ đầu.
Hãy làm theo các mẹo cơ bản sau để ngăn chặn các loại tấn công mạng:
- Hãy thận trọng khi tham gia vào các liên kết và tệp đính kèm trong các email và trang web đáng ngờ. Đảm bảo đọc thông tin tiêu đề email và di chuột qua văn bản liên kết để xác minh các liên kết thực.
- Không bao giờ tải xuống bất kỳ thứ gì từ internet trước khi quét nó bằng một công cụ chống vi-rút đáng tin cậy.
- Giữ cho phần mềm của bạn luôn cập nhật và cập nhật các hệ điều hành.
- Không bao giờ chia sẻ bất kỳ thứ gì trên các trang web sử dụng giao thức HTTP không an toàn (tức là các trang web không được bảo vệ bằng chứng chỉ SSL / TLS).
- Kiểm tra thủ công thư mục tải xuống của bạn, C: / Program File, C: / Program Files (x86) và C: / Windows / Temp thư mục để xác định bất kỳ chương trình, tệp và phần mềm không mong muốn / không xác định nào.
- Sử dụng các giải pháp chống vi-rút và chống phần mềm độc hại mạnh mẽ. Các giải pháp giám sát mạng và bảo mật điểm cuối cũng rất quan trọng.
- Luôn duy trì nhiều bản sao lưu dữ liệu hiện tại của bạn.
- Nếu bạn là chủ doanh nghiệp nhỏ, hãy làm theo các mẹo được cung cấp trong bài viết này để bảo vệ doanh nghiệp của bạn khỏi các loại tấn công mạng.
[CyberGuards]
Trả lời