Skip to main content

Desktop Phishing – Nghệ Thuật Phishing Mới!

Thuật ngữ Phishing có lẽ không quá xa lạ với dân IT. Và đối với giới Hacker thì đây là hình thức tấn công khá lợi hại, đánh vào sự thiếu hiểu biết, cả tin của nạn nhân. Nhưng trong bài viết này, tôi xin đề cập tới một “nghệ thuật” khác của Phishing: Desktop Phishing. Vậy, Desktop Phishing là gì? Nó có khác gì so với các hình thức phishing khác? Cách thức tiến hành và phương án đối phó với loại tấn công này ra sao?
1/ Desktop Phishing là gì ?
Đây là hình thức Phishing rất tinh vi, cơ chế hoạt động hơi khác so với cách Phishing thông thường. Với kiểu Phishing cũ thì ta không thể sử dụng domain thật của website mà victim muốn vào, để dụ victim.
Ví dụ, hacker có thể phải sử dụng uitstudents.com để đánh lừa người dùng muốn vào website uitstudent.com. Rõ ràng, cách này rất dễ bị phát hiện vì nếu victim tinh ý một chút là thấy ngay sự khác nhau giữa 2 domain thật (uitstudent.com) và giả (uitstudents.com) trên . Nhưng với Desktop Phishing thì bạn hoàn toàn có thể sử dụng domain thật của bất cứ website nào để dẫn dụ victim mắc bẫy!
2/ Phisher Arm là gì ?
Phisher Arm là chương trình sẽ thay đổi các thiết lập ánh xạ IP – Hostname, cụ thể ở đây là “đầu độc” file hosts trên máy victim với những dòng ánh xạ IP – Domain name không xác thực.
- Trên Windows, file hosts nằm tại
%SystemDrive%/Windows/System32/drivers/etc/hosts
- Trên Linux, file hosts nằm tại
/etc/hosts
* Các bước cách tạo Phisher Arm
a) Trên máy của mình, hacker tạo ra một file hosts với dòng ánh xạ có định dạng như sau:
IP_của_Server_chứa_Website_giả     Domain_của_Website_thật
Ví dụ:
+ Website thật uitstudent.com nằm trên server có địa chỉ IP là 210.211.110.132
+ Website giả uitstudents.com do hacker dựng nên nằm trên server có địa chỉ IP là 1.2.3.4
Vậy, hacker sẽ thêm vào file hosts đó 2 dòng sau:
1.2.3.4 www.uitstudent.com
1.2.3.4 uitstudent.com
b) Dùng phần mềm Winrar nén file hosts vừa tạo ra ở trên và chỉnh lại các Option sau:
  • Create SFX Archive -> file nén tạo ra có đuôi .exe.
  • Path (đường dẫn) mà file hosts sẽ được giải nén -> trùng với path mặc định của file hosts trên Windows/Linux.
  • Overwrite all FilesHide All -> tự động ẩn đi hộp thoại thông báo, xác nhận khi file hosts gốc trên máy victim bị ghi đè.
c) Dùng một công cụ Binder nào đó để ghép 2 file .exe riêng lẻ (ví dụ, A và B) thành 1 file .exe duy nhất là (ví dụ, C). Khi chạy C thì tự động A và B đều thực thi.
Ở đây ta ghép file .exe chứa file hosts “độc hại” vừa được nén bằng Winrar ở trên với một file khác, ví dụ, phần mềm tiện ích, nhạc, phim, hình ảnh…
d) Sử dụng một phần mềm giúp thay đổi icon của file C giúp đánh lừa victim một cách thuyết phục hơn.
4/ Desktop Phishing làm việc như thế nào ?
Desktop Phishing cần một Phisher Arm vừa tạo ở trên để dẫn dụ victim tới trang web giả mạo (phishing pager) thường là fake login page để đánh cắp tài khoản.

Về mặt lý thuyết, một chuỗi các sự kiện sau đây sẽ xảy ra khi victim chạy Phisher Arm (file C ở trên):
Thực thi Phisher Arm trên máy victim -> File hosts trên máy victim sẽ bị ghi đè -> victim truy cập vào www.uitstudent.com (hoặc uitstudent.com) đều bị chuyển tới trang phishing Pager mà hacker đã dựng sẵn.
5/ So sánh giữa hình thức Phishing cũ và Desktop Phishing

6/ Một vài biện pháp ngăn chặn Desktop Phishing
  • Không nên chạy các file .exe không rõ nguồn gốc.
  • Chỉ cho phép đọc (read-only) file hosts, và loại bỏ quyền ghi đối với file này.
  • Nhiều phần mềm bảo mật có khả năng giám sát file hosts và ngăn chặn, đưa ra cảnh báo khi có một chương trình định thay đổi file này như: Microsoft Security Essentials, ThreatFire Antivirus…
  • Sử dụng công cụ HijackThis để kiểm tra nhanh khả năng file hosts bị đầu độc.
  • Khi gặp phải các trang đỏi hỏi cung cấp các thông tin bí mật, nếu biết được website có sử dụng HTTPS thì bạn nên để ý và chắc chắn rằng ở thanh địa chỉ của Web browser có hiển thị thông tin, biểu tượng báo cho bạn biết rằng website đó có sử dụng HTTPS và SSL Certificate của nó là hợp lệ.
–manthang.

Share this with your friends
Loading...