Gần đây, giới tội phạm mạng có thêm một chiêu lừa mới là giả danh ngân hàng và công ty bán lẻ trực tuyến để thu thập thông tin tài chính từ các khách hàng và biến những khách hàng đó thành những nạn nhân của một trò lừa bịp. Liệu bạn có ở trong số đó?
Email có vẻ rất chính thống. Logo và địa chỉ khớp với của ngân hàng, và bức thư trông rất nghi thức ở dưới cảnh báo hành vi gian lận đã bị phát hiện ở một số tài khoản của ngân hàng. Bức thư đề nghị bạn kích vào một đường link (đường liên kết trên trang web) phía dưới, kiểm tra số dư của tài khoản, và thông báo bất kỳ dấu hiệu gian lận nào. Nếu bạn làm theo các chỉ dẫn đó, bạn có thể vô tình trở thành nạn nhân của một trò lừa bịp. Email đó thực là đồ giả và đường link đó dẫn tới một trang web trông như trang web ngân hàng của bạn. Nhưng đó chỉ là sản phẩm sáng tạo của tội phạm mạng giỏi công nghệ giả mạo các trang web, logo, và đường link, thậm chí cả địa chỉ URL (dấu địa chỉ trang web thực và thay bằng địa chỉ URL giả khớp vào địa chỉ thật) để lừa người nhận cung cấp thông tin cá nhân và thông tin tài chính. Vụ đầu tiên trong kiểu lừa bịp mới được gọi là "Phishing" này bị phát hiện vào mùa xuân năm 2003 khi một ngân hàng Australia trở thành mục tiêu. Các ngân hàng, công ty bảo hiểm, các trang web thương mại điện tử và những công ty bán lẻ trực tuyến trên khắp thế giới - từ eBay, PayPal đến Visa International - đều đã dính những cuộc tấn công kiểu này. Nhưng các chuyên gia an ninh mạng cho rằng vài tuần gần đây những cuộc tấn phishing đã trở nên tinh vi hơn và tỏa rộng hơn.
GIANT, một công ty phần mềm chống spam (thư rác), cho biết số lượng email Phishing trong tháng 3 vừa qua tăng gấp hai lần so với cùng kỳ năm ngoái. Đầu tháng 4, CitiBank đã xác nhận 5 email lừa bịp gửi đến khách hàng của ngân hàng này. Đó không phải là sự gây rối, đó là mối đe doạ. Nó gây ra những mất mát thực sự. Theo David Jevans - Chủ tịch Nhóm làm việc chống Phishing ở Mỹ (APWG), một liên minh gồm hơn 60 ngân hàng, công ty bán lẻ và công ty bảo an ra đời cuối năm 2003 để đối phó với vấn đề này.
Những cuộc tấn công Phishing thường giả dạng là email từ các công ty, đề nghị người nhận cập nhật thông tin tài khoản hiện thời hoặc xác minh lại mật khẩu. Gặp những trường hợp như vậy, nhiều người không "tỉnh" nghĩ là họ có trách nhiệm phải trả lời. Sau mỗi lần như vậy những thông tin tài chính nhạy cảm sẽ được chuyển đến tay bọn tội phạm và chúng thường sử dụng dữ liệu đó để ăn cắp tiền từ tài khoản ngân hàng của nạn nhân hoặc dùng để mua hàng trực tuyến. Vụ Phishing đầu tiên và duy nhất đến nay ở Mỹ được đem ra xét xử là vào tháng 7/2003, do một thiếu niên gửi email giả danh AOL đề nghị khách hàng cập nhật thông tin hoá đơn của họ trên một trang mà cậu bé tạo ra trông như trung tâm hoá đơn của AOL. Sau đó, cậu bé sử dụng những thông tin đó để thanh toán những vụ mua bán trực tuyến và mở tài khoản trên PayPal. Do ở tuổi vị thành niên, cậu bé này chỉ bị phạt 3.500 USD. "Phishing thuần tuý là động cơ gian lận tài chính" - theo D.K. Matai, người sáng lập Mi2g, Công ty an ninh mạng ở Anh. Đến nay, theo dõi những mất mát tài chính do tấn công Phishing rất khó. Các doanh nghiệp bắt đầu vào cuộc chống Phishing. Ebay và Citibank đã niêm yết những lời khuyên và những mẫu email lừa bịp trên trang web của công ty để giúp khách hàng nhận ra và xoá chúng khi phát hiện. Mi2g dự tính tổng chi phí với các công ty đối phó với Phishing trên toàn cầu là khoảng 5 tỷ USD trong năm 2003. Nếu phishing phát triển ở tốc độ hiện nay, con số thiệt hại sẽ tăng lên gấp hai lần trong năm nay. Doanh nghiệp có thể làm gì để tự bảo vệ mình?
Jevans - Chủ tịch APWG cho rằng bước đầu tiên có thể là sử dụng chữ ký số trên email, như vậy rất khó giả mạo. Các công ty chống spam và virus cũng đang nỗ lực bổ sung thêm các bộ lọc nhằm vào những email phishing, như công cụ Spam Inspectorr 4.0 của công ty GIANT bổ sung thêm công cụ lọc Phishing Hole Filter, chặn email giả danh thâm nhập vào hộp thư. Một lý do các cuộc tấn công phishing thành công là vì người nhận email giả không có cách nào xác định email đó có phải là của ngân hàng hay không, ngoài cách gọi điện thoại đến ngân hàng. Nếu khách hàng không có lý do cho rằng email đó là giả, họ sẽ không nghĩ đến chuyện yêu cầu ngân hàng hay trang web thương mại điện tử xác minh. Chính vì vậy, các công ty kinh doanh trực tuyến cần triển khai những biện pháp xác thực email và liên tục cảnh báo khách hàng về nguy cơ phishing.
Thuỵ An (Theo Newsweek)