Phát hiện này được thực hiện bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Stony Brook và Công ty an ninh mạng Palo Alto Networks. Theo đó, họ đã chứng minh rằng kỹ thuật fingerprint mới giúp phát hiện bộ công cụ tấn công MITM trên thực tế, bằng việc tận dụng các thuộc tính của mạng nội bộ, tự động hóa hiệu quả phát hiện và phân tích các trang web lừa đảo.
Cách thức hoạt động của bộ công cụ lừa đảo MITM
Được đặt tên là “PHOCA”, theo tiếng Latinh có nghĩa là “seals”, tức là “con dấu” - công cụ này không chỉ giúp phát hiện các bộ công cụ lừa đảo để tấn công MITM, mà còn có thể được sử dụng để phát hiện và cô lập các request độc hại đến từ các máy chủ.
Các bộ công cụ lừa đảo tự động và hợp thức hóa các hành vi của tin tặc để thực hiện các chiến dịch đánh cắp thông tin xác thực. Chúng là các tập ZIP được đính kèm trong các email lừa đảo, cho phép tin tặc mạo danh các thực thể (ví dụ website chính thống) để đánh lừa nạn nhân nhằm lấy các thông tin cá nhân của họ.
Tuy nhiên, các dịch vụ trực tuyến hiện nay thường áp dụng xác thực hai yếu tố (2FA), cũng có nghĩa là các bộ công cụ lừa đảo truyền thống này không còn là phương pháp hiệu quả để tấn công vào các tài khoản được bảo vệ bởi 2 lớp xác thực.
Kiến trúc của framework được sử dụng để thu thập dữ liệu mạng trên các trang web lừa đảo MITM
Bộ công cụ lừa đảo MITM cho phép tin tặc đứng giữa nạn nhân và dịch vụ trực tuyến. Thay vì thiết lập một trang web giả mạo được phát tán qua email spam, tin tặc thường triển khai một trang web giả có nội dung như website mục tiêu, và hoạt động như một đường dẫn để chuyển tiếp các request và response giữa hai bên trong thời gian thực, do đó cho phép trích xuất thông tin xác thực và phiên cookie từ các tài khoản được xác thực 2 yếu tố.
Theo các nhà nghiên cứu Brian Kondracki, Babak Amin Azad, Babak Amin Azad, Oleksii Starov và Nick Nikiforakis của Đại học Stony Brook (Mỹ) cho biết: “Chúng có chức năng và hoạt động như các máy chủ reverse proxy, kết nối giữa nạn nhân và máy chủ web mục tiêu”.
Phương pháp do các nhà nghiên cứu đưa ra liên quan đến bộ phân loại học máy sử dụng các tính năng như fingerprint TLS, và sự khác biệt về thời gian mạng để phân loại các trang web lừa đảo được lưu trữ bởi bộ công cụ lừa đảo MITM trên các máy chủ reverse proxy. Đồng thời phương pháp này cũng bao gồm một framework thu thập dữ liệu để giám sát và theo dõi các URL đáng ngờ từ cơ sở dữ liệu phishing mã nguồn mở như OpenPhish và PhishTank.
Ý tưởng cốt lõi là đo lường độ trễ round-trip time (RTT) phát sinh bằng cách đặt một bộ công cụ lừa đảo MITM, do vậy, nạn nhân sẽ mất nhiều thời gian hơn để nhận được các response sau khi gửi request.
“Vì hai phiên HTTPS riêng biệt phải được duy trì để kết nối giữa nạn nhân và máy chủ web mục tiêu, tỷ lệ các gói RTT khác nhau, chẳng hạn như request TCP SYN/ACK và HTTP GET, sẽ cao hơn nhiều khi giao tiếp với máy chủ reverse proxy hơn là máy chủ web. Tỷ lệ này cao hơn nữa khi máy chủ reverse proxy chặn các request TLS, điều này đúng với bộ công cụ lừa đảo MITM”, các nhà nghiên cứu giải thích.
Vị trí địa lý của các trang web lừa đảo MITM
Trong một cuộc đánh giá thử nghiệm kéo dài 1 năm từ ngày 25/3/2020 đến ngày 25/3/2021, nghiên cứu đã phát hiện ra tổng cộng 1.220 trang web sử dụng bộ công cụ lừa đảo MITM, chủ yếu nằm rải rác ở Hoa Kỳ, Châu Âu và dựa vào các dịch vụ lưu trữ từ Amazon, DigitalOcean, Microsoft và Google. Một số thương hiệu được nhắm mục tiêu nhiều nhất bởi các bộ công cụ này bao gồm Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo và LinkedIn.
Theo các nhà nghiên cứu nhận xét: “PHOCA có thể được tích hợp trực tiếp vào cơ sở hạ tầng web, chẳng hạn như các dịch vụ blocklist phishing, cũng như các trang web phổ biến để phát hiện các request độc hại bắt nguồn từ bộ công cụ lừa đảo MITM”.
Đinh Hồng Đạt
- Lê Thị Bích Hằng
10:00 | 04/11/2021
09:00 | 12/11/2021
15:00 | 18/10/2021
15:00 | 17/06/2024
Các ứng dụng mật mã đòi hỏi các số ngẫu nhiên cho nhiều tác vụ khác nhau. Một bộ tạo bit ngẫu nhiên mật mã mạnh phù hợp với các ứng dụng mật mã chung được kỳ vọng sẽ cung cấp các chuỗi bit đầu ra không thể phân biệt với bất kỳ khả năng nỗ lực tính toán thực thể và trên thực tế bất kỳ kích thước mẫu từ các chuỗi bit có cùng độ dài được lấy ngẫu nhiên một cách đồng nhất. Hơn nữa, một RBG như vậy được kỳ vọng sẽ cung cấp khả năng tăng cường an toàn. Bài viết này sẽ giới thiệu tới độc giả những nội dung chính trong tiêu chuẩn ISO/IEC 20543:2019 về phương pháp kiểm thử và phân tích cho các bộ tạo bit ngẫu nhiên.
16:00 | 30/05/2024
Phần tiếp theo của bài báo tập trung đánh giá tác động của FIPS-140-3 trong việc triển khai trên thực tế, cũng như các yếu tố như kinh tế, kỹ thuật.
14:00 | 26/02/2024
Khi dữ liệu được gửi từ nơi này đến nơi khác thì cần phải bảo vệ dữ liệu trong quá trình đang được gửi. Tương tự như vậy, khi dữ liệu được lưu trữ trong một môi trường mà các bên không được phép cập thì cần thiết phải có các biện pháp bảo vệ dữ liệu đó. Bài báo sẽ giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19772:2020 về an toàn thông tin – mã hóa có sử dụng xác thực. Xác định các cách thức xử lý một chuỗi dữ liệu theo các mục tiêu an toàn bao gồm 5 cơ chế mã hóa có sử dụng xác thực.
13:00 | 29/12/2023
Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ.