Bí mật về sự thành công của phisher

  • 474

Ba học giả người Mỹ vừa cho công bố kết quả một nghiên cứu về nguyên nhân vì sao mà bọn tội phạm lừa đảo trực tuyến (phishers) vẫn tiếp tục giành được thành công dù cho những cảnh báo liên tục được phát đi trong nhiều năm qua.

Hầu hết mọi người đều nhận được một bức thư điện tử giả mạo được gửi đi từ một ngân hàng hay một dịch vụ trực tuyến nào đó yêu cầu họ cung cấp các chi tiết thông tin tài chính cá nhân. Trong một số trường hợp đó lại là những email giả mạo gửi đi từ chính ngân hàng và hay nhà cung cấp dịch vụ mà người nhận là khách hàng của họ. Nhưng trong cả hai trường hợp nói trên đó người sử dụng vẫn biết là phải thật sự cẩn thận.

Để cho ra kết quả là bản báo cáo “Why Phishing Works”, ba học giả - gồm Rachna Dhamija của trường đại học Harvard University, Marti Hearst và J.D. Tygar của trường đại học California – đã tiến hành điều tra một nhóm nhỏ người sử dụng. Qua đó, các học giả đã phát hiện là có tới 90% người sử dụng không thể phân biệt được các email lừa đảo bằng cách xem xét tính trung thực đáng tin cậy của chúng.

Và nếu đứng trên phương diện bảo đảm các tổ chức thương mại điện tử hay các ngân hàng trực tuyến có thể khắc phục được những thiệt hại mà lừa đảo trực tuyến đã gây ra cho khách hàng của họ thì vẫn có một số lượng lớn đối tượng không thể nhận biết phân biệt được các email đáng tin cậy. Điều này có thể khiến cho người sử dụng ngoảnh mặt đi với các dịch vụ trực tuyến.

Các học giả đưa ra ví dụ về một bức thư giả mạo Ngân hàng phía Tây. Emai này sẽ chuyển hướng người nhận sang một trang web lừa đảo có địa chỉ www.bankofthevvest.com – chú ý tên miền này có hai kí tự “v” thay vì “w” - giả mạo cả việc mã khoá bảo mật thông tin nội dung, giả mạo logo của VeriSign, con dấu chứng thực và thậm trí là cả cửa sổ pop-up cảnh báo bảo mật cho người sử dụng. Có tới 91% người tham gia cuộc điều tra của các học giả cho đây là email hợp pháp.

Ngược lại với một email xác thực được gửi từ E*Trade chuyển hướng người sử dụng đến một trang web hợp pháp có tính bảo mật cao nhưng với giao diện đơn giản không có đồ hoạ đã được tối ưu hoá dành cho các trình duyệt web di động thì lại có tới 77% người sử dụng cho rằng đây là email giả mạo.

Một trong số những nguyên nhân khiến cho người sử dụng vẫn tiếp tục bị bọn tội phạm lừa đảo trực tuyến lừa có lẽ xuất phát từ việc có quá nhiều thủ đoạn lừa đơn giản đến ngớ ngẩn làm nên một cái bẫy chết người. Có tới gần 1/4 số người tham gia vào cuộc điều tra không hề quan sát đến thanh địa chỉ, thanh trạng thái hay các thông báo bảo mật trên các trang web lừa đảo.

Chính vì vậy mà họ dễ dàng trở thành các mục tiêu cho bọn lừa đảo trực tuyến sử dụng thủ đoạn như các đường liên kết chỉ khác với liên kết địa chỉ hợp pháp có đúng một kí tự - ví dụ kí tự “l” thay thế cho số thứ tự “1” hoặc thậm trí là cả kí tự “I”.

Đơn giản, “Why Phishing Works” khẳng định, là người sử dụng không có nhiều kiến thức về cú pháp tên miền. “Người sử dụng có thể nghĩ là tên miền www.ebay-members-security.com là thuộc về www.ebay.com. Hoặc đôi khi người sử dụng nhìn thấy biểu tượng chiếc khoá tại góc trình duyệt lại xem đó là sự bảo đảm cho tính bảo mật. Nhưng người sử dụng đâu biết những biểu tượng kiểu đó có thể dễ dàng đưa vào những trang web đó. Đây là ví dụ về những thủ đoạn lừa đảo trực tuyến.

Phát biểu tại Hội nghị tội phạm trực tuyến đang được tổ chức tại Luân-đôn (Anh) cuố tuần qua, Bernhard Otupal, điều tra tội phạm công nghệ cao của Interpol, cho biết người sử dụng không chỉ không thể phát hiện được các hình thức lừa đảo mà thậm trí đôi khi còn làm cho vấn đề trở nên dễ dàng hơn với bọn tội phạm mạng bằng một mức độ thờ ơ đến kinh ngạc.

Điều cần thiết ở đây là trách nhiệm từ phía người sử dụng,” Otupal nói. “Gần đây đã có một số lượng lớn người sử dụng trở thành nạn nhân của một vụ tấn công phishing giả mạo từ một ngân hàng nổi tiếng. Có cả những người sử dụng không phải là khách hàng của ngân hàng đó cũng bị lừa cung cấp thông tin chi tiết tài chính.”

Bản báo cáo "Why Phishing Works" cho biết các học giả không tìm thấy sự khác biệt về tuổi của các nạn nhân trong các vụ lừa đảo trực tuyến. Tuy nhiên, một số nghiên cứu riêng biệt lại đưa ra kết luận ngược lại.

Khi được hỏi về việc liệu các nguy cơ tội phạm mạng khiến họ phải cẩn thận hơn thì chỉ có 58% người sử dụng trong độ tuổi 18 đến 29 tuổi trả lời có trong khi đó số lượng người trên 50 tuổi có câu trả lời tương tự là 79%.

Tương tự, 80% người sử dụng trẻ tuổi trả lời họ thường quyết định sẽ làm việc với ai dựa trên mức độ bảo mật trong khi đó người cao tuổi hơn lên tới 93%.

Hoàng Dũng 

Cập nhật: 05/04/2006 Theo vnMedia
  • 474

Theo dõi cộng đồng KhoaHoc.tv trên facebook