Desktop Phishing – Nghệ Thuật Phishing Mới!


Thuật ngữ Phishing có lẽ không quá xa lạ với dân IT. Và đối với giới Hacker thì đây là hình thức tấn công khá lợi hại, đánh vào sự thiếu hiểu biết, cả tin của nạn nhân. Nhưng trong bài viết này, tôi xin đề cập tới một “nghệ thuật” khác của Phishing: Desktop Phishing. Vậy, Desktop Phishing là gì? Nó có khác gì so với các hình thức phishing khác? Cách thức tiến hành và phương án đối phó với loại tấn công này ra sao?

1/ Desktop Phishing là gì ?

Đây là hình thức Phishing rất tinh vi, cơ chế hoạt động hơi khác so với cách Phishing thông thường. Với kiểu Phishing cũ thì ta không thể sử dụng domain thật của website mà victim muốn vào, để dụ victim.

Ví dụ, hacker có thể phải sử dụng uitstudents.com để đánh lừa người dùng muốn vào website uitstudent.com. Rõ ràng, cách này rất dễ bị phát hiện vì nếu victim tinh ý một chút là thấy ngay sự khác nhau giữa 2 domain thật (uitstudent.com) và giả (uitstudents.com) trên . Nhưng với Desktop Phishing thì bạn hoàn toàn có thể sử dụng domain thật của bất cứ website nào để dẫn dụ victim mắc bẫy!

2/ Phisher Arm là gì ?

Phisher Arm là chương trình sẽ thay đổi các thiết lập ánh xạ IP – Hostname, cụ thể ở đây là “đầu độc” file hosts trên máy victim với những dòng ánh xạ IP – Domain name không xác thực.

– Trên Windows, file hosts nằm tại

%SystemDrive%/Windows/System32/drivers/etc/hosts

– Trên Linux, file hosts nằm tại

/etc/hosts

* Các bước cách tạo Phisher Arm

a) Trên máy của mình, hacker tạo ra một file hosts với dòng ánh xạ có định dạng như sau:

IP_của_Server_chứa_Website_giả     Domain_của_Website_thật

Ví dụ:

+ Website thật uitstudent.com nằm trên server có địa chỉ IP là 210.211.110.132

+ Website giả uitstudents.com do hacker dựng nên nằm trên server có địa chỉ IP là 1.2.3.4

Vậy, hacker sẽ thêm vào file hosts đó 2 dòng sau:

1.2.3.4 www.uitstudent.com
1.2.3.4 uitstudent.com

b) Dùng phần mềm Winrar nén file hosts vừa tạo ra ở trên và chỉnh lại các Option sau:

  • Create SFX Archive -> file nén tạo ra có đuôi .exe.
  • Path (đường dẫn) mà file hosts sẽ được giải nén -> trùng với path mặc định của file hosts trên Windows/Linux.
  • Overwrite all FilesHide All -> tự động ẩn đi hộp thoại thông báo, xác nhận khi file hosts gốc trên máy victim bị ghi đè.

c) Dùng một công cụ Binder nào đó để ghép 2 file .exe riêng lẻ (ví dụ, A và B) thành 1 file .exe duy nhất là (ví dụ, C). Khi chạy C thì tự động A và B đều thực thi.

Ở đây ta ghép file .exe chứa file hosts “độc hại” vừa được nén bằng Winrar ở trên với một file khác, ví dụ, phần mềm tiện ích, nhạc, phim, hình ảnh…

d) Sử dụng một phần mềm giúp thay đổi icon của file C giúp đánh lừa victim một cách thuyết phục hơn.

4/ Desktop Phishing làm việc như thế nào ?

Desktop Phishing cần một Phisher Arm vừa tạo ở trên để dẫn dụ victim tới trang web giả mạo (phishing pager) thường là fake login page để đánh cắp tài khoản.


Về mặt lý thuyết, một chuỗi các sự kiện sau đây sẽ xảy ra khi victim chạy Phisher Arm (file C ở trên):

Thực thi Phisher Arm trên máy victim -> File hosts trên máy victim sẽ bị ghi đè -> victim truy cập vào www.uitstudent.com (hoặc uitstudent.com) đều bị chuyển tới trang phishing Pager mà hacker đã dựng sẵn.

5/ So sánh giữa hình thức Phishing cũ và Desktop Phishing


6/ Một vài biện pháp ngăn chặn Desktop Phishing

  • Không nên chạy các file .exe không rõ nguồn gốc.
  • Chỉ cho phép đọc (read-only) file hosts, và loại bỏ quyền ghi đối với file này.
  • Nhiều phần mềm bảo mật có khả năng giám sát file hosts và ngăn chặn, đưa ra cảnh báo khi có một chương trình định thay đổi file này như: Microsoft Security Essentials, ThreatFire Antivirus…
  • Sử dụng công cụ HijackThis để kiểm tra nhanh khả năng file hosts bị đầu độc.
  • Khi gặp phải các trang đỏi hỏi cung cấp các thông tin bí mật, nếu biết được website có sử dụng HTTPS thì bạn nên để ý và chắc chắn rằng ở thanh địa chỉ của Web browser có hiển thị thông tin, biểu tượng báo cho bạn biết rằng website đó có sử dụng HTTPS và SSL Certificate của nó là hợp lệ.

–manthang.

13 comments

  1. Ohh hay quá, phải làm thử coi có lừa được đứa bạn không. Nhưng quan trọng ở đây là phải lừa được victim chạy file exe, nó cũng gần gần như là lừa victim click vào link giả vậy, chí ít ra là có giống nhau chữ “lừa” :))

    1. Phishing thông thường yêu cầu phải có domain riêng. Nếu vượt qua được hết các cơ chế bảo vệ file hosts thì Desktop Phishing có tỉ lệ lừa thành công cao hơn.
      Cảm ơn tuzebra đã quan tâm tới blog này :)

  2. Có đợt Việt Nam bị khóa FaceBook, thế là nổi lên phong trào “hướng dẫn cách vào FaceBook”, cách hữu hiệu nhất là chỉnh sửa lại file hosts trên máy, tuy nhiên cách này rất nguy hiểm với newbie. Nội dung file hosts đại loại như:

    127.0.0.1 localhost
    100.101.102.103 http://www.facebook.com
    104.105.106.107 login.facebook.com
    ………………………. xyz.facebook.com

    Mà đa số mọi người đều lười :D, thường hay copy & paste nội dung “mẫu” của một người tốt vô danh nào đó để paste lại vào fiile hosts trên máy mình ! Mà trên mạng thì có rất nhiều bản hướng dẫn, một số người “tốt thực sự” họ sẽ ghi đúng các địa chỉ IP của Facebook thật, còn số còn lại “ko tốt cho lắm” thì sửa một vài IP, thay bằng IP của trang “giả mạo” mà họ muốn người dùng vào… thế là khi người dùng gõ facebook.com là …tèn tén ten ! Aha, vào được facebook rùi, đăng nhập ngay thôi :D

    1. vấn đề bạn nêu chính xác rồi :).
      nếu người dùng ý thức tự bảo vệ mình bằng cách kiến thức căn bản về máy tính và các mối đe dọa trên Internet sẽ giảm bớt được rất nhiều rủi ro bị đánh cắp thông tin trên Internet, máy tính bị xâm hại, dữ liệu bị mất…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s