Hình 1. Minh họa giả mạo thư điện tử
Timo Longin - cố vấn bảo mật cấp cao tại Công ty bảo mật SEC Consult (Áo) cho biết trong một phân tích được công bố mới đây: “Kẻ tấn công có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép triển khai các cuộc tấn công lừa đảo có mục tiêu”.
SMTP là giao thức dùng để gửi và nhận email qua mạng, chuyến tiếp thư từ ứng dụng email, kết nối SMTP được thiết lập giữa máy người dùng và máy chủ để truyền tải nội dung email. Sau đó, máy chủ dựa vào Mail Transfer Agent (MTA) để kiểm tra tên miền địa chỉ email của người nhận, nếu khác với tên miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu ghi lại tên miền của người nhận và hoàn tất việc trao đổi thư.
Điểm quan trọng của kỹ thuật SMTP Smuggling bắt nguồn từ việc các máy chủ SMTP gửi đi và gửi đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng tạo điều kiện cho kẻ tấn công can thiệp vào dữ liệu thư, sửa đổi các lệnh SMTP tùy ý.
Hình 2. Kỹ thuật SMTP Smuggling
Kỹ thuật này liên quan đến khái niệm của một phương thức tấn công đã biết được gọi là HTTP Request Smuggling, một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng. Các lỗ hổng liên quan đến HTTP Request Smuggling thường xuất hiện khi máy chủ frontend và các máy chủ backend có sự mâu thuẫn trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.
SMTP Smuggling có hai biến thể: Inbound và Outbound. Nó cho phép tin tặc khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Việc triển khai SMTP từ Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và vượt qua các biện pháp bảo mật để đảm bảo tính xác thực của các thư đến. Trong khi Microsoft và GMX đã khắc phục sự cố thì Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, việc tấn công SMTP Smuggling vào các phiên bản Email bảo mật của Cisco vẫn có thể thực hiện được với cấu hình mặc định. Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có kiểm tra DMARC hợp lệ.
Lê Thị Bích Hằng
(Tổng hợp)
16:00 | 18/12/2023
10:00 | 31/01/2024
09:00 | 24/11/2023
14:00 | 19/12/2023
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024