99% các cuộc tấn công email dựa vào nạn nhân nhấp vào liên kết
Gần như tất cả các cuộc tấn công mạng dựa trên email thành công đều yêu cầu mục tiêu mở tệp, nhấp vào các liên kết hoặc thực hiện một số hành động khác.
Các nhà nghiên cứu cảnh báo Social engineering cho đến nay là tác nhân lớn nhất trong các chiến dịch tấn công độc hại. Vậy làm thế nào để ngăn chặn?
Mặc dù một phần nhỏ của các cuộc tấn công dựa vào các bộ công cụ khai thác và các lỗ hổng phần mềm đã biết để thỏa hiệp các hệ thống, nhưng phần lớn các chiến dịch (99%) yêu cầu mức độ tham gia của con người để phát động tấn công.
Các tương tác này cũng có thể kích hoạt các macro (công cụ cho phép tự động hóa các tác vụ và thêm chức năng vào biểu mẫu, báo cáo và điều khiển), theo đó mã độc có thể được phát tán.
Phát hiện này được đưa ra từ Báo cáo tác nhân con người thường niên của Proofpoint (Proofpoint’s Annual Human Factor Report), dựa trên 18 tháng dữ liệu được thu thập từ các khách hàng của công ty an ninh mạng này.
Đôi khi việc đổ lỗi cho người dùng là nạn nhân của các cuộc tấn công lừa đảo (phishing) có vẻ dễ dàng, nhưng các chiến dịch ngày càng trở nên tinh vi. Thật khó để phân biệt một email độc hại với một email thông thường vì những kẻ tấn công sẽ điều chỉnh các cuộc tấn công để chúng giống như đến từ một nguồn đáng tin cậy, ví dụ từ các nhà cung cấp dịch vụ đám mây như Microsoft hoặc Google, đồng nghiệp hoặc thậm chí là ông chủ.
Kỹ thuật social engineering (kiểu tấn công dựa vào sự tương tác của con người và thường liên quan đến việc thao túng mọi việc bằng cách phá vỡ các quy trình bảo mật thông thường, truy cập vào hệ thống, mạng để đạt được lợi ích tài chính) là tác nhân chính trong việc thực hiện các chiến dịch tấn công.
Báo cáo của Proofpoint còn nhận định rằng những kẻ tấn công thậm chí còn bắt chước các thói quen của các doanh nghiệp để đảm bảo cơ hội thực hiện tấn công thành công cao nhất.
Ví dụ, một người dùng có thể nghi ngờ về một email được cho là đến từ một đồng nghiệp được gửi vào giữa đêm, nhưng một một email của một người được gửi trong ngày làm việc có nhiều khả năng được coi là một email hợp pháp, khiến nạn nhân vô tình trở thành tác nhân phát động cho một cuộc tấn công.
Phishing là một trong những kiểu tấn công mạng ít tốn kém, dễ dàng nhất mà tội phạm mạng triển khai.
Ông Kevin Epstein, Phó Chủ tịch phụ trách các hoạt động đe dọa của Proofpoint cho biết: "Tội phạm mạng đang nhắm mục tiêu mạnh mẽ vào nhiều người vì gửi email lừa đảo, đánh cắp thông tin đăng nhập và tải lên các tệp đính kèm độc hại vào các ứng dụng đám mây dễ dàng và có lợi hơn nhiều so với việc tạo ra một khai thác tốn kém, tốn thời gian, có xác suất thất bại cao".
"Hơn 99% các cuộc tấn công mạng dựa vào sự tương tác của con người để khởi động, khiến người dùng cá nhân trở thành tuyến phòng thủ cuối cùng. Để giảm đáng kể rủi ro, các tổ chức cần một cách tiếp cận an ninh mạng tập trung vào con người một cách tổng thể, bao gồm đào tạo nâng cao nhận thức bảo mật hiệu quả và thiết lập các lớp bảo vệ cho phép quan sát sâu vào những người dùng bị tấn công nhiều nhất của các tổ chức", ông Kevin Epstein chia sẻ thêm.
Mặc dù nhiều cuộc tấn công lừa đảo được thiết kế có vẻ rất hợp pháp, nhưng có nhiều cách để xác định những đâu là một cuộc tấn công độc hại. Ví dụ, các email không được trông đợi, có dấu hiệu cấp bách có thể được xem là đáng ngờ. Nếu người dùng nghi ngờ, họ có thể liên hệ với người gửi thư được cho là để xem thư đó có phải là thư hợp pháp hay không.
Cũng lưu ý rằng các nhà cung cấp dịch vụ đám mây như Microsoft và Google sẽ không yêu cầu người dùng nhấp qua các liên kết không mong muốn để nhập thông tin đăng nhập và các thông tin khác. Nếu người dùng nghi ngờ về một URL đăng nhập được cho là đáng ngờ, người dùng có thể bỏ qua liên kết bằng cách truy cập trực tiếp đến chính nhà cung cấp và nhập thông tin chi tiết của họ vào đó.
Các tổ chức cũng nên đảm bảo rằng cập nhật phần mềm và bản vá bảo mật thường xuyên, vì vậy trong trường hợp người dùng vô tình nhấp vào liên kết thì phần mềm độc hại khai thác các lỗ hổng đã biết không thể hoạt động.
Theo Tạp chí Điện tử
Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết
Gửi bình luận