Theo chuyên gia Justin Jett, Giám đốc kiểm toán tại Plixer, công ty phần mềm chuyên cung cấp giải pháp an ninh mạng và xử lý sự cố bảo mật, tội phạm mạng ngày càng ưa chuộng hình thức tấn công qua email giả mạo.
Một phần lý do là email giả mạo có thể đạt hiệu quả cao, ngay với những nạn nhân là người có sự am hiểu, kinh nghiệm xử lý và phát hiện lừa đảo. Tuy nhiên, người dùng và doanh nghiệp vẫn có thể đề ra chiến thuật chống lại hình thức tấn công này, đồng thời vẫn giữ liên lạc thông suốt qua email.
Lừa đảo ngày càng tinh vi
Nếu hệ thống email hợp pháp bị xâm nhập và gửi các thư điện tử lừa đảo, hiệu quả của hình thức tấn công này càng cao hơn. Đây là những gì đã xảy ra vào giữa tháng 11/2021, khi một trong những hệ thống email của FBI bị xâm nhập, dùng làm bàn đạp để gửi cảnh báo giả mạo về an ninh mạng cho hàng nghìn người.
Email được gửi đi trong trường hợp này dường như không chứa bất kỳ liên kết lừa đảo nào, nhưng nó cho thấy rằng những vụ xâm nhập vào hệ thống liên lạc điện tử có thể gây ra thách thức bảo mật nghiêm trọng cho các chuyên gia công nghệ thông tin.
Hầu hết những người nhận được email sẽ không nghi ngờ tính hợp pháp của nó, ngay cả khi họ vừa xem qua tiêu đề, bởi vì thông điệp đến từ nơi đáng tin cậy. Trong trường hợp trên là từ FBI, một cơ quan chính phủ danh tiếng.
Loại tấn công này cực kỳ nguy hiểm. Nó khiến cho các cơ chế xác thực email như DMARC, SPF và DKIM trở nên vô dụng vì email gửi đi từ một nguồn đã được chứng nhận. Do đó, phần mềm chặn thư rác và chống lừa đảo nhiều khả năng sẽ không gắn cờ email độc hại.
Cho dù thiệt hại của vụ tấn công trên vẫn chưa được xác định, có thể thấy hiệu quả đánh lừa nạn nhân theo hình thức này rất cao. Vì vậy, nếu hệ thống email bị xâm nhập, các tổ chức cần có cách xử lý nhanh chóng, phù hợp. Quan trọng hơn, phải có sự chuẩn bị, ngăn ngừa từ xa nguy cơ bảo mật nguy hiểm đó.
Công cụ phòng chống lừa đảo qua email
Có nhiều tài nguyên mà chuyên gia bảo mật và an ninh mạng cần sử dụng để bảo vệ doanh nghiệp, tổ chức khỏi các cuộc tấn công quy mô lớn. Dưới đây là 3 công cụ quan trọng nhất, có tác dụng hỗ trợ nhau, tạo nên hệ thống phòng thủ đa tầng, chống lại các cuộc xâm nhập giành quyền kiểm soát.
1. Nâng cao khả năng bảo mật của hệ thống email
Mặc dù các công cụ bảo mật email như DMARC, SPF và DKIM không phải là lỗ hổng trong trường hợp ở trên, có một số chức năng cần được bật để giảm thiểu khả năng bị lây nhiễm mã độc từ email mạo danh.
Một trong những cách hiệu quả nhất để ngăn chặn các cuộc tấn công lừa đảo là bật tính năng bảo vệ liên kết trong cài đặt email công ty. Biện pháp bảo vệ này yêu cầu khi mở bất kỳ email từ nguồn nào, hệ thống cũng xóa các liên kết dẫn đến tải xuống phần mềm độc hại.
Rõ ràng, tính năng đó không thể ngăn chặn tất cả liên kết chưa xác định, nhưng nó chắc chắn có thể giúp giảm số lượng các liên kết độc hại đi qua hộp thư đến.
Điều chỉnh cấp bộ lọc thư rác lên mức cao hơn cũng có thể giúp chặn các email có mục đích lừa đảo. Cài đặt này sử dụng mô hình heuristic nâng cao để tìm kiếm email có từ ngữ xấu hoặc email chứa từ khóa tương tự các email độc hại đã từng được phân loại. Một lần nữa, mặc dù không hoàn hảo, nó chắc chắn là một tuyến phòng thủ quan trọng.
2. Trang bị hệ thống phát hiện và ngăn chặn xâm nhập
Phần lớn tổ chức đã được trang bị tường lửa, tuy nhiên, một số không có hệ thống để chặn phần mềm độc hại lây lan khi nó xâm nhập.
Hệ thống phát hiện và ngăn chặn xâm nhập cho phép các tổ chức tìm và loại bỏ cuộc tấn công trước khi nó có thể lây nhiễm các hệ thống khác. Công cụ này thường được dùng phối hợp với biện pháp bảo mật tại thiết bị đầu cuối (chẳng hạn phần mềm diệt virus trên máy tính cá nhân).
Tuy nhiên, cần lưu ý rằng hệ thống phát hiện và ngăn chặn xâm nhập có thể không hiệu quả trong việc tìm kiếm, nhận diện các phần mềm độc hại mới hoặc những mã độc có mức độ tinh vi cao.
Điều này là do hệ thống xem xét các gói tin khi chúng đi qua mạng, do đó, thường bỏ sót hoạt động độc hại di chuyển trên mạng trong những khoảng thời gian ngẫu nhiên theo ngày hoặc tháng. Vì vậy, giống như bảo mật email nâng cao, công cụ này cần được sử dụng kết hợp các hình thức bảo mật khác.
3. Phát hiện và phản ứng dựa trên luồng (NDR)
Một mũi nhọn quan trọng khác của phương pháp tiếp cận nhiều lớp là phát hiện và phản ứng mạng (NDR). Các chuyên gia bảo mật có thể sử dụng để phát hiện lưu lượng đáng ngờ và phân tích hoặc chặn phần mềm độc hại xâm nhập qua các hệ thống bảo mật khác.
Theo Gartner, hệ thống NDR hoạt động bằng cách áp dụng "học máy và các kỹ thuật phân tích khác cho lưu lượng mạng", nó giúp các doanh nghiệp phát hiện lưu lượng đáng ngờ mà các công cụ bảo mật khác đang thiếu.
Các công cụ NDR dựa trên hành vi và luồng. Đây là sự bổ sung cho các giải pháp phát hiện dựa trên chữ ký. Chúng có thể nhận ra hoạt động bất thường dựa trên lưu lượng mạng đã biết trước đó.
Phối hợp cách biện pháp bảo vệ
Ba công cụ trên, cùng với nâng cao ý thức người dùng, phát hiện nguy cơ bảo mật ở thiết bị cuối và các phương pháp khác, có thể góp phần làm giảm tác hại của các cuộc tấn công lừa đảo trực tuyến.
Bằng cách triển khai phương pháp tiếp cận bảo mật nhiều lớp, ngay cả khi hệ thống của bên thứ ba bị xâm nhập, các nhóm bảo mật vẫn có thể ngăn chặn phần mềm độc hại lây lan trên mạng của họ hiệu quả hơn.