Hôm thứ năm hãng nghiên cứu Gartner công bố kết quả cuộc khảo sát cho thấy tội phạm thực hiện các cuộc tấn công phishing đã lấy cắp được một khoản tiền lớn chưa từng có. Tỷ lệ bị mất cắp tăng gấp 5 lần so với năm ngoái trong khi số tiền thu hồi lại giảm.
E-mail phishing ngày càng nhiều và ngày càng tinh vi, tính tổ chức ngày càng cao với hiệu quả đem lại nhiều khi vượt ra ngoài phỏng đoán của chính các phisher. Ước tinh trong 12 tháng (bắt đầu từ ngày 30 tháng 8 năm ngoái), tổng số tiền bị đánh cắp lên tới 2,8 tỷ đô la.
Mặc dù nhiều chuyên gia phân tích cho rằng kiểu tấn công phishing có hiện tượng chững lại, nhưng nhà nghiên cứu Litan của Garter khẳng định: "Chúng ta đã quá chủ quan khi nghĩ rằng có giải pháp triệt để cho phishing. Nó cũng giống như spam, cũng sẽ gây ra 'tiếng vang' lớn và dai dẳng trên internet".
Đáng buồn hơn là trong khi số người thông báo bị mất tiền trong các vụ lừa đảo trực tuyến giảm xuống 24% thì tổng lượng tiền bị đánh cắp lại tăng từ 257 triệu đô la của năm 2005 lên 1,244 tỷ đô la trong năm 2006. Và lượng tiền thu hồi hoặc hoàn trả lại cho người tiêu dùng sụt giảm nghiêm trọng.
"Tỷ lệ thu hồi đã giảm từ 80% xuống chỉ còn 64%", Litan nói. Nạn nhân bị tấn công trung bình tăng lên gấp mười lần. Trong năm 2005, sau khi thu hồi lại nguồn ngân quỹ bị đánh cắp, trung bình một nạn nhân chỉ bị mất 51 đô la; còn trong năm 2006 con số này tăng vọt lên tới 572 đô la.
Khuynh hướng tăng trưởng này đang ở mức báo động. Cách thức tấn công của phisher thay đổi ngày càng nhanh trong thời gian ngắn. Nhưng số lượng ngân hàng lớn bị mất mát ngày càng giảm. Nhiều tổ chức tài chính lớn đã triển khai các chương trình bảo mật quan trọng, như Citibank và Ngân hàng quốc gia Mỹ, giúp hạn chế tối đa các cuộc đánh cắp. "Họ phải trả ít tiền hơn, nhưng ngăn chặn được đà tiến của phisher. Các kiểu hình thức như cá ngựa, sổ xố, đấu giá lừa đảo và tấn công PayPal không còn gây khó khăn cho họ nữa".
Litan gọi kiểu tấn công truyền thống với hình thức dụ dỗ, lừa bịp khách hàng để họ tiết lộ mã số thẻ ngân hàng, tên người dùng và mật khẩu tài khoản tín dụng là "old hat" (kiểu cũ).
Hình thức tấn công mới hiện nay không thể xác định trước. Chúng dùng nhiều kỹ thuật tinh vi không tấn công trực tiếp vào ngân hàng hay tài khoản tín dụng. Không hề để lại, hoặc nếu có cũng chỉ một chút dấu vết nhỏ bé để tìm kiếm lại số tiền đã mất. Ví dụ điển hình như vụ Western Union chuyển tiền cho "người bán" trong cuộc đấu giá lừa đảo. "Trong hầu hết mọi trường hợp, việc chi trả cuối cùng được thực hiện không qua hệ thống ngân hàng và người tiêu dùng không thể đảo ngược lại cái gì khi tiền đã được chuyển đi".
Cuộc chiến đấu với phishing không hề dễ dàng. Tội phạm dường như luôn đi trước một bước. Các chức năng chống phishing trong những trình duyệt mới như Internet Explorer của Microsoft dường như luôn lỗi thời ngay tại thời điểm chúng được giới thiệu.
"Một năm trước đây, thời gian sống trung bình của một website phishing là một tuần. Nhưng hiện nay có chỉ còn một giờ. Hầu hết toolbar chống phishing chủ yếu dựa trên danh sách đen (các website phishing). Bạn không thể lên danh sách đen một địa chỉ IP thay đổi theo từng giờ. Khi IE7 ra mắt người tiêu dùng thì chức năng chống phishing của nó đã quá muộn trước các kiểu hình thức mới".
Nhiều kỹ thuật bảo vệ, danh sách trắng (hay danh sách các website đáng tin cậy) vẫn đang ở mức hứa hẹn. Các hình thức dò tìm, khám phá lỗi sai dựng sẵn mới trong trình duyệt còn chưa xuất hiện thì viễn cảnh tương lai đã thấy dường như chẳng sáng sủa gì hơn.
"Khi bạn thua trong cuộc chiến phishing, bạn sẽ bị mất nhiều hơn mà không thể thu hồi lại được. Các cuộc tấn công theo lối truyền thống càng ít thì tỷ lệ mất mát trong năm 2007 sẽ càng nhiều, ngay cả khi số lượng thành công giảm. Rốt cuộc thì sang năm lượng tiền bị mất dự tính vẫn sẽ tăng".
T.Thu