Lời tóm tắt
Trong bối cảnh mạng máy tính đã bao phủ toàn thế giới, người ta có thể thực hiện
rất nhiều việc trên mạng trong đó có các giao dịch với ngân hàng. Hệ thống dịch vụ của
ngân hàng cung cấp cho khách hàng các giao dịch trực tuyến là hệ thống Internet
Banking và Mobile Banking cũng đã phát triển rộng khắp và cung cấp rất sản phẩm đem
lại lợi ích cho cả ngân hàng cũng như khách hàng. Tuy nhiên cùng với sự phát triển của
Internet Bankingvà Mobile Banking thì cũng đồng thời với sự phát triển của các mối đe
dọa về bảo mật của dịch vụ này làm đau đầu cả các ngân hàng lẫn các khách hàng sử
dụng dịch vụ.
Trước thách thức đó tôi đã lựa chọn đề tài “Nghiên cứu các phương pháp bảo mật
trong Internet Banking và Mobile Banking” làm khóa luận tốt nghiệp của mình. Trong
khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet
Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi sử dụng
dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để bảo đảm an
toàn của hệ thống Internet Banking và một phần tìm hiểu khái quát về Mobile
Banking. Thông qua khóa luận tôi muốn mọi người hiểu thêm và thực trạng cũng như
các biện pháp bảo mật được áp dụng tại các ngân hàng, từ đó có những kiến thức để tự
tin sử dụng dịch vụ Internet Banking và Mobile Banking một cách an toàn. Mặc dù đã
hết sức cố gắng nhưng do hoàn cảnh nghiên cứu còn hạn hẹp, chưa có điều kiện trực
tiếp nghiên cứu tại các ngân hàng nên không tránh khỏi những thiếu xót, tôi rất mong
những ý kiến đóng góp của người đọc quan tâm đến lĩnh vực này.
Tôi xin gửi lời cảm ơn chân thành nhất Tiến sỹ Lê Phê Đô, giảng viên trường đại
học Công Nghệ, đại học Quốc Gia Hà Nội, người đã tận tình hướng dẫn và cho tôi
những nhận xét quý báu giúp tôi hoàn thành khóa luận này. Tôi cũng xin cảm ơn toàn
thể gia đình, người thân, bạn bè đã nhiệt tình giúp đỡ và động viên tôi rất nhiều trong
quá trình làm khóa luận này. Danh mục hình vẽ
STT Tên hình
1 Ảnh thiết bị videotex
2 Ảnh thẻ xác thực của DongA bank
3 Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công
4 Ví dụ về một email phishing
5 Biểu tượng an toàn trên trình duyệt
6 Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ chức
VerySign
7 Xác định cơ quan cấp chứng chỉ số
8 Cảnh báo của trình duyệt web
9 DNS cache poisioning
10 Mô tả kịch bản tấn công DNS
11 Host file
12 Website của ngân hàng tạm ngừng hoạt động
13 Hai yếu tố xác thực thường được sử dụng
14 Sử dụng mật khẩu một lần để đăng nhập
15 Các thiết bị phân phối OTP
16 Các máy chủ dịch vụ web đặt ở vùng DMZ, Data center đặt ở vùng Intranet
17 Mô tả cơ chế hoạt động của một IPS
18 Chúc năng bản vá ảo
19 Thị phần IPS trên thị trường thiết bị an ninh mạng
20 Mô phỏng tường lửa ứng dụng web của SecuresPhere bảo vệ máy chủ cơ sở
dữ liệu và vùng DMZ
21 Mô tả hoạt động của môt tường lửa ứng dụng hãng Netcontinuum
22 Tập hợp các sản phầm phòng chống mã độc của Trend Micro
23 Website ngân hàng sử dụng chứng chỉ số của VerySign cấp
24 Mã hóa một phần thông tin
Lời mở đầu
Internet Banking và Mobile Banking đã đang và sẽ trở thành những dịch vụ thiết yếu
với cuộc sống của con người trong xã hội hiện đại ngày nay, tuy nhiên cùng với sự tiện
lợi mà các dịch vụ này đem lại thì các ngân hàng cũng như khách hàng sử dụng dịch vụ
phải đối mặt với nhiều nguy cơ thách thức về mặt bảo mật. Cuộc chiến với tội phạm
công nghệ cao là cuộc chiến mang tính chất rượt đuổi không ngừng nghỉ đòi hỏi trình độ
khoa học kỹ thuật ngày càng cao.
Vì nguyên nhân ấy tôi quyết định nghiên cứu về đề tài “Các phương pháp bảo mật trong
Internet Banking và Mobile Banking” nhằm mục tiêu tìm hiểu các biện pháp và nguyên
tắc bảo mật được áp dụng để chống lại các nguy cơ và thách thức từ phía tội phạm. Các
kiến thức trong đề tài cung cấp các giải pháp công nghệ cho phía ngân hàng đồng thời
cũng nâng cao nhận thức của khách hàng nhằm giúp họ có thể tự bảo vệ mình trước
những hình thức tấn công phổ biến.
Khóa luận bao gồm 4 chương và phần phụ lục, chương 1 “Internet Banking và thực
trạng ở Việt Nam”, chương 2 “Những thách thức với an toàn của Internet Banking”,
chương 3 “Triển khai các giải pháp an toàn cho Internet Banking”, chương 4 “Mobile
Banking”, và phần phụ lục “Chương trình sinh mật khẩu một lần”. Các biện pháp kỹ
thuật trong đề tài mang tính thực tiễn cao và đang được áp dụng trên thực tế tại một số
ngân hàng tại Việt Nam đồng thời cũng mở ra hướng nghiên cứu phát triển trong tương
lai. 6
7
ngân hàng cung cấp thông qua hệ thống này đã không thể trở lên phổ biến ngoại trừ ở
Pháp nơi mà hệ thống videotex đã có những thành công nhất định.
Hình 1: Ảnh thiết bị videotex.
Dịch vụ ngân hàng trực tuyến đầu tiên tại Anh ra đời vào năm 1983 được thiết lập
tại Nottingham Building Society. Hệ thống hoạt động dựa trên trang bị của Prestel, sử
dụng máy tính kết nối qua đường điện thoại. Hệ thống có tên Homelink cho phép người
sử dụng vấn tin tài khoản, chuyển khoản và trả tiền hóa đơn.
Năm 1994, Stanford Federal Credit Union là tổ chức tài chính đầu tiên cung cấp
dịch vụ ngân hàng trực tuyến cho tất cả thành viên của mình. Vào ngày 18/10/1995 ngân
hàng SFNB cung cấp dịch vụ Internet Banking đầu tiên trên thế giới. SFNB là tên viết
tắt của ngân hàng Security First National Bank có trụ sở đóng tại Atlanta Mỹ và cung
cấp dịch vụ này tới khách hàng tại 50 bang của nước này.
Ngày nay, có rất nhiều ngân hàng chỉ tồn tại ở hình thức ngân hàng trực tuyến. Các
ngân hàng này không phải mở và mất phí hoạt động cho các chi nhánh, nhờ vậy mà họ
tạo được sự khác biệt với các ngân hàng thông thường khác (mức lãi suất tốt và các dịch
vụ ngân hàng trực tuyến phong phú).
8
1.2. Thực trạng Internet Banking tại Việt Nam
1.2.1. Tình hình triển khai Internet Banking tại Việt Nam
a. Khái quát
Internet Banking đem lại nhiều thuận lợi cho cả ngân hàng và khách hàng nên là
vấn đề được nhiều ngân hàng tại Việt Nam quan tâm. Hầu hết các ngân hàng tại Việt
Nam đến thời điểm hiện tại đều đã triển khai Internet Banking nhưng mức độ và số
lượng dịch vụ còn khác nhau. Có thể kể tên một số ngân hàng đã triển khai Internet
Banking tại Việt Nam như ACB, DongA, Viettinbank, Incombank, Agribank,
Techcombank, BIDV và một số ngân hàng vốn nước ngoài như HSBC, ANZ Việc
các tài khoản tiền gửi thanh toán của cùng chủ tài khoản trong hệ thống ACB
và tạo tài khoản tiền gửi đầu tư trực tuyến.
• Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, chứng
thư điện tử.
• Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
SMS.
• Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
SMS, chứng thư diện tử.
• Phương thức xác thực giao dịch bằng mã số truy cập và mật khẩu tĩnh, OTP
Token.
• Phương thức xác thực giao dịch bằng bằng mã số truy cập và mật khẩu tĩnh,
smart card có tích hợp chứng thư diện tử.
• Các hình thức xác thực theo mức độ tăng của bảo mật nên cũng có hạn mức
giao dịch tăng dần từ chỉ được chuyển tiền giũa các tài khoản của cùng một chủ
đến loại không có hạn mức.
Đối tượng cung cấp dịch vụ của ACB là khách hàng cá nhân có tiền gửi thanh
toán Việt Nam đồng tại ACB. Yêu cầu sử dụng: Khách hàng đăng kí dịch vụ Internet
Banking, sử dụng trình duyệt web trên máy tính truy cập Internet vào địa chỉ
https://internetbanking.acb.com.vn/ là có thể sử dụng dịch vụ này mọi lúc mọi nơi.
Đăng kí dịch vụ: Nếu đã có tài khoản tại ACB, khách hàng chỉ cần đến điểm giao dịch
đăng kí theo mẫu có sẵn là có thể sử dụng được dịch vụ Internet Banking, mọi vướng
mắc về dịch vụ sẽ được các nhân viên ACB giải đáp.
Các dịch vụ cụ thể trên hệ thống Internet Banking của ACB:
10
• Tra cứu thông tin tài khoản: Khách hàng có thể tra cứu thông tin về tài khoản,
chi tiết các giao dịch đã thực hiện với tài khoản của ACB.
• Chuyển khoản: Khách hàng có thể chuyển tiền từ tài khoản của mình qua tài
khoản khác trong cùng một hệ thống hoặc ra ngoài hệ thống của ACB.
• Thanh toán hoá đơn: Khách hàng có thể thanh toán hóa đơn của một số dịch vụ
• Thanh toán trực tuyến: khi mua hàng qua mạng tại các website bán hàng có liên
kết với DongA Bank.
• Thanh toán hóa đơn thanh toán cho tất cả hóa đơn tiền điện, nước, điện thoại,
Internet, học phí… của các nhà cung cấp có liên kết với DongA Bank.
• Mua thẻ trả trước: Các loại thẻ điện thoại di động, thẻ Internet và điện thoại…
• Nạp tiền điện tử: Vcoin, VCard, Bạc, VCash, VnTopup, Thẻ học tiếng Anh…
• Tra cứu số dư.
• Tra cứu thông tin giao dịch.
• Khoá/Mở khoá tài khoản thẻ nhanh chóng.
• Nhận SMS thông báo phát sinh giao dịch theo thời gian thực.
c. Sự quan tâm của nhà nước
Trước sự phát triển mạnh mẽ của cá dịch vụ Internet Banking, nhà nước ta cũng rất
quan tâm và tạo mọi điều kiện thuận lợi để ngân hàng cũng như người dân có thể sử
dụng dịch vụ một cách an toàn và thuận lợi. Vào ngày 29/11/2005, tại kì họp thứ 8 quốc
hội khóa XI luật giao dịch điện tử số 51/2005/QH11 đã được thông qua, những năm sau
12
đó bộ luật không ngừng được hoàn thiện và bổ sung các điều khoản mới cho phù hợp
với tình hình phát triển không ngừng của Internet Banking và một số loại hình tội phạm
có liên quan. Để triển khai luật giao dịch điện tử và cuộc sống, chính phủ liên tục ban
hành các nghị định có liên quan như:
• Nghị định 26/2007/NĐ-CP quy định các điều khoản thi hành Luật Giao dịch
điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
• Nghị định 27/2007/NĐ-CP quy định các điều khoản về giao dịch điện tử trong
các hoạt động tài chính.
*Khái quát về luật giao dịch điện tử :
Luật gồm 8 chương, với 54 điều bao gồm hầu hết các yếu tố, bên liên quan đến giao
dịch điện tử như: Chữ ký điện tử, tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử,
giá trị pháp lý chữ ký điện tử, giá trị pháp lý của hợp đồng ký bằng chữ ký điện tử, trách
nhiệm các bên liên quan đến bảo mật thông tin, giải quyết tranh chấp liên quan đến giao
hiện các giao dịch trên Internet Banking được.
b. Thuận lợi
*Thuận lợi phía ngân hàng
Cơ sở hạ tầng mạng của Việt Nam ngày càng phát triển, theo thống kê 6/2009 thì
lượng người sử dụng Internet thường xuyên ở Việt Nam lên tới hơn 21.5 triệu chiếm
khoảng 25% dân số và còn tiếp tục gia tăng, diện phủ Internet đã mở rộng trong cả nước
tới được các vùng sâu vùng xa nên lượng khách hàng sử dụng các dịch vụ Internet
Banking của các ngân hàng sẽ ngày càng gia tăng.
Việt Nam có cấu trúc dân số trẻ, tỉ lệ thanh niên dưới 30 tuổi chiếm số lượng lớn
trong cấu trúc dân số .Với cấu trúc dân số trẻ như vậy, người Việt Nam dễ thích nghi
nhanh với các công nghệ tiên tiến bởi họ rất thông minh và ham học hỏi, đây là thành
phần hứa hẹn sẽ trở thành khách hàng của các dịch vụ Internet Banking.
Đội ngũ nhân lực trình độ cao được đào tạo đã đang và sắp ra trường sẽ đáp ứng
cho yêu cầu của các ngân hàng về các lĩnh vực như mạng, bảo mật, cở sở dữ liệu…
Khoa học kỹ thuật đang trên đà phát triển nhanh, các công ty trong nước cũng dần đưa ra
những giải pháp tốt phù hợp hơn với yêu cầu của các ngân hàng.
Bên cạnh đó, với sự khuyến khích và hỗ trợ của Ngân hàng Nhà nước, các ngân
hàng đang bày tỏ kế hoạch liên kết với nhau, chia sẻ kinh nghiệm và xây dựng tiêu
chuẩn chung để việc giao dịch ngân hàng trực tuyến trở nên đơn giản hơn và gần gũi, dễ
sử dụng hơn cho khách hàng.
*Thuận lợi phía khách hàng
14
Khách hàng chỉ cần có máy tính nối mạng là có thể thực hiện được các giao dịch
của mình như khi đến ngân hàng, nhờ vậy mà họ có thể làm việc mọi lúc mọi nơi điều
này rất phù hợp với các khách hàng bận rộn thường xuyên đi công tác mà vẫn có nhu
cầu sử dụng các dịch vụ của ngân hàng.
Các dịch vụ Internet Banking ngày càng phong phú, phù hợp với những yêu cầu
của cuộc sống, giúp khách hàng tiết kiệm được thời gian tiền bạc và công sức nên được
đông đảo khách hàng lựa chọn. Nhờ áp dụng các biện pháp bảo mật tiên tiến, khách
cũng là nhờ họ giữ bí mật thông tin cho khách hàng rất tốt, những thông tin này ngay cả
các cơ quan chính phủ cũng không được cung cấp. Với dịch vụ Internet Banking, thông
tin của khách hàng càng trở lên quan trọng hơn bao giờ hết, vì vậy nhiệm vụ bảo mật
thông tin khách hàng luôn được đặt lên hàng đầu với mọi ngân hàng.
b.Thực tế
Tuy các ngân hàng rất coi trọng việc bảo vệ thông tin khách hàng nhưng các vụ
mất cắp thông tin khách hàng vẫn xảy ra, gây thiệt hại lớn đến kinh tế và uy tín của các
ngân hàng. Một số vụ mất cắp thông tin khách hàng gần đây như :
* Ngân hàng Techcombank làm lộ thông tin khách hàng (4/2009):
Anh Ngô Xuân Dũng, chủ một doanh nghiệp tư nhân ở Hà Nội đã có tài khoản ở ngân
hàng kỹ thương Việt Nam (Techcombank) được 2 năm nay. Đến tháng 2 năm 2009 anh
mới đến ngân hàng để đăng kí dịch vụ Internet Banking để tiện cho việc tra cứu tài
khoản, lịch sử giao dịch ngay trên mạng mà không phải đến tận ngân hàng.
Anh Dũng sau khi làm theo hướng dẫn của ngân hàng để kích hoạt tài khoản bằng tên
truy cập và mật khẩu do hệ thống cung cấp thì anh rất ngạc nhiên khi thông tin trong tài
khoản này không phải là của anh mà là của một khách hàng khác cũng là một doanh
nghiệp. Anh Dũng không thể thực hiện các giao dịch với tài khoản này vì không có thiết
bị bảo mật đi kèm (thiết bị sinh OTP) nhưng anh có thể xem chi tiết về tài khoản cũng
như các giao dịch của tài khoản này.
Đại diện Techcombank đã xác nhận lỗi xảy ra trong hệ thống của ngân hàng mình so sai
sót của nhân viên giao dịch trong quá trình chuyển thông tin về tên truy cập và mật khẩu
lên trung tâm công nghệ thông tin của ngân hàng. Sau khi được thông báo về lỗi trên
ngân hàng Techcombank đã thực hiện việc khóa tạm thời cả 2 tài khoản và cấp lại tên
truy cập cũng như mật khẩu mới cho khách hàng. Ngân hàng Techcombank cho rằng
đây chỉ là thiếu sót của một nhân viên và không ảnh hưởng đến độ an toàn của hệ thống
đồng thời cũng liên lạc với khách hàng để xin lỗi. Tuy nhiên anh Dũng cho rằng ngân
16
hàng vẫn chưa đánh giá đúng mức độ của sự việc và ngân hàng cần có các biện pháp rà
soát lại các thủ tục trong hệ thống.
17
mình, bởi vậy các ngân hàng phải có chế độ quản lý nghiêm ngặt với các thông tin nhạy
cảm để tránh những trường hợp này .
Thông tin khách hàng không được mã hóa: về nguyên tắc thông tin của khách hàng phải
được mã hóa và các nhân viên ngân hàng cũng không được biết, tuy nhiên trong nhiều
trường hợp các thông tin này lại không được bảo mật và dễ dàng thấy được bởi các nhân
viên ngân hàng .
Thông tin khách hàng không được cô lập và có thể tiếp cận được: nhiều trường hợp
thông tin được lưu trữ trong đĩa cd, ổ cứng di động và có thể bị mất vào tay kẻ gian.
Trong thực tế nhiều trường hợp tương tự như vậy đã xảy ra và dù thông tin có được mã
hóa thì nhiều tin tặc vẫn có thể giải mã sau một thời gian nhất định nếu thuật toán mã
hóa là không đủ mạnh.
Sai sót của nhân viên ngân hàng hay quy trình làm việc của hệ thống có vấn đề: nhân
viên ngân hàng cũng là con người nên khi làm việc có thể có sai sót là điều không tránh
khỏi, nhiều thông tin mật của ngân hàng bị lộ ra ngoài là do chính nhân viên nội bộ của
họ. Quy trình làm việc của ngân hàng cũng có thể là nguyên nhân cho việc mất mát
thông tin bởi khoa học kỹ thuật phát triển không ngừng, những thủ đoạn của tội phạm
cũng không ngừng tinh vi nên các quy trình ngân hàng cũ không được cập nhật dễ trở
thành đối tượng tấn công đánh cắp thông tin .
2.1.2. Nguy cơ bị chiếm đoạt tiền
a.Vấn đề đặt ra
Lĩnh vực kinh doanh chính của các ngân hàng là tiền tệ và đây cũng là đích nhắm
của tội phạm. Internet Banking ngày càng phát triển tạo ra nhiều cơ hội cho ngân hàng
nhưng cũng kèm theo nhiều thách thức, các loại hình tội phạm công nghệ cao ngày càng
gia tăng. Chúng lợi dụng các kẽ hở về quy trình cũng như kỹ thuật để khai thác nhằm
mục đích chiếm đoạt tài sản. Một số loại hình tội phạm nhằm vào các ngân hàng như:
giả mạo khách hàng chiếm đoạt tiền, sử dụng thẻ giả, thẻ hết hạn … b.Thực tế
*Hacker đánh cắp 41 triệu tài khoản tín dụng (2008):
Ngày 5/8/2008 các quan chức liên bang Mỹ cho biết đã bắt 12 người (bao gồm 3 người
hình thức tấn công như chiếm đoạt tên miền, tấn công từ chối dịch vụ… nhưng hình thức
tấn công phổ biến và khó đối phó nhất là hình thức tấn công từ chối dịc vụ DoS hoặc
DDoS.
b.Thực tế
Ở Việt Nam cũng như trên thế giới, rất nhiều ngân hàng đã trở thành mục tiêu của
các cuộc tấn công từ chối dịch vụ gây thiệt hại nặng nề về tài chính cũng như uy tín của
các ngân hàng. Một số vụ tấn công DDoS gần đây như :
19
*Ngân hàng US bank bị tấn công từ chối dịch vụ (7/2009):
Ngân hàng lớn thứ 6 của Mĩ này đã bị hạ gục bởi những cuộc tấn công DDoS vào ngày
mùng 5 và mùng 6 tháng 7 năm 2009. Vụ tấn công chia làm 2 đợt đã làm cho hệ thống
của ngân hàng bị gián đoạn trong một thời gian. Hình 3: Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công
2.2. Thách thức phía khách hàng
2.2.1. Nguy cơ từ phishing
a.Vấn đề đặt ra
Internet Banking ra đời mang lại cho khách hàng rất nhiều tiện lợi nhưng cũng ẩn
chứa rất nhiều nguy hiểm, phishing là một trong số đó. Rất nhiều khách hàng đã bị lừa
đảo phishing khi sử dụng dịch vụ Internet Banking và phishing cũng là nguyên nhân
khiến một bộ phận khách hàng tỏ ra dè dặt với dịch vụ này .
b.Thực tế
Dù phishing đã xuất hiện từ lâu và các thủ đoạn phishing cũng trở thành quen
thuộc và được phổ biến đến rộng rãi khách hàng nhưng các vụ tấn công bằng phishing
vẫn tỏ ra rất nguy hiểm và được tội phạm sử dụng một cách rộng rãi trong nhiều lĩnh vực
không chỉ riêng Internet Banking. Phishing qua thư điện tử là phương pháp được bọn tội
phạm thường xuyên sử dụng rất phổ biến trên thế giới cũng như ở Việt Nam, sau đây là
một số vụ việc thực tế:
Đức trước các cuộc tấn công phishing, kết quả có vẻ không mấy khả quan đối với các
ngân hàng tại quốc gia hùng mạnh này. Chỉ duy nhất ngân hàng quốc gia Đức là đạt mức
độ rất tốt, ngoài ra chẳng còn ngân hàng nào được đánh giá là tốt cả. Postbank được xếp
hàng thứ năm với mức độ an ninh vào dạng thỏa đáng, một số ngân hàng còn lại được
xếp vào hạng có nguy cơ, ngân hàng đứng cuối về bảo mật là Sparda-Bank Hamburg
eG.
21
c.Tìm hiểu về phishing trong Internet Banking
*Khái niệm phishing
Trong phạm vi Internet Banking, phishing (lừa đảo) là quá trình gian lận để cố
gắng có được các thông tin nhạy cảm của người dùng như tên tài khoản, mật khẩu, các
chi tiết thẻ tín dụng bằng cách giả mạo một thực thể tin cậy trong quá trình giao tiếp điện
tử. Việc lừa đảo thường được thực hiện qua email hoặc tin nhắn, và thường hướng người
dùng vào việc nhập các chi tiết về tài khoản của mình ở một trang web giả mạo mà nhìn
và cảm nhận giống như một trang web hợp pháp .
Hình 4: Ví dụ về một email phishing
Tấn công phishing dựa vào những kỹ thuật hiện đại nhằm khai thác điểm yếu của
công nghệ bảo mật hiện tại của các trang web nhằm đánh lừa người sử dụng Những nỗ
lực chống lại các vụ tấn công phishing chủ yếu dựa vào pháp luật, kỹ thuật, các biện
pháp an ninh và một phần lớn vào nhận thức của người sử dụng.
*Lịch sử của kỹ thuật phishing
Kỹ thuật phishing được miêu tả cụ thể từ năm 1987 trong một bản thuyết trình
được gửi tới Interex. Lần đầu tiên ghi nhận khái niêm phishing là trên các dịch vụ trực
tuyến của America online vào ngày 2/1/1996, mặc dù khái niệm này có thể xuất hiện
sớm hơn trên ấn phẩm tạp chí hacker 2600.
22
Những cuộc tấn công phishing đầu tiên diễn ra trên AOL. Những kẻ lừa đảo có thể
23
Sử dụng email phishing dưới dạng text thông thường dễ bị các bộ lọc phát hiện, một kỹ
thuật khác thường được sử dụng là thay thế văn bản dưới dạng text bằng một hình ảnh
để vượt qua các bộ lọc một cách dễ dàng.
Các bộ lọc thường chú ý đến những từ nhạy cảm như thẻ tín dụng, tài khoản ngân hàng,
mật khẩu, paypal… những kẻ lừa đảo đã thay thế những từ nhạy cảm này ở dạng ảnh
nên các bộ lọc không thể xác định được đâu là thư lừa đảo.
Giả mạo trang web:
Một khi máy tính của người dùng đã truy nhập vào trang web phishing thì việc lừa đảo
không chỉ dừng lại ở lúc đó. Một số kể lừa đảo sử dụng một số lệnh JavaScript để thay
đổi thanh địa chỉ, điều này được thực hiện bởi việc thay thế hình ảnh của một địa chỉ tin
cây lên thanh địa chỉ hay đóng thanh địa chỉ ban đầu và mở ra một thanh địa chỉ mới với
đường link tin cậy. Kẻ lừa đảo cũng có thể lợi dụng những lỗ hổng của trang web thật để
tấn công người dùng.
Một số công cụ ra đời (“Universal Man-in-the-Middle” phishing kit là một công cụ
trong số đó) giúp kẻ lừa đảo có thể dễ dàng tái tạo một trang web giả giống như trang
web thật và ăn cắp các thông tin cá nhân khi người dùng truy cập trang web giả này
thông qua link gửi kèm email lừa đảo.
Giả mạo qua điện thoại:
Một vài trường hợp kẻ lừa đảo có thể gửi tin nhắn đến cho người dùng thông báo rằng
tài khoản của họ có vấn đề và yêu cầu người dùng gọi đến một số điện thoại của ngân
hàng để giải quyết sự cố trên. Khi gọi điện đến số điện thoại trên (sở hữu của kẻ lừa đảo)
thì họ được yêu cầu cung cấp tên, mật khẩu tài khoản để xác nhận. Kẻ lừa đảo sẽ làm
cho người dùng tin là đang nói chuyện với nhân viên ngân hàng và đánh cắp các thông
tin cá nhân này một cách dễ dàng.
Một số kỹ thuật khác :
Một kỹ thuật khác là đưa người dùng đến trang web thật của ngân hàng sau đó bung ra
một cửa sổ popup yêu cầu các thông tin nhạy cảm như thể cửa sổ này được yêu cầu từ
website ngân hàng, nếu người dùng nhập các thông tin nhạy cảm như số tài khoản hay
duyệt như phần mở rộng hay thanh công cụ cho trình duyệt , và như một phần của thủ
tục đăng nhập vào website… Sau đây là chi tiết về một số phương pháp kỹ thuật chính:
Xác định trang web hợp pháp
Phần lớn các trang web là mục tiêu của phishing đều là các trang web an toàn, phần lớn
đều sử dụng giao thức ssl để xác thực giữa server và client.
Có 3 phần để có thể chứng thực an toàn với tls và chứng chỉ số là: xác định kết nối là an
toàn (tức kết nối được mã hóa), xác đinh trang web mà người dùng đang kết nối tới, và
xác định tổ chức cấp chứng chỉ số để xác định trang web trên.
25
Copyright: Tài liệu đại học ©