Phát hiện này được thực hiện bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Stony Brook và Công ty an ninh mạng Palo Alto Networks. Theo đó, họ đã chứng minh rằng kỹ thuật fingerprint mới giúp phát hiện bộ công cụ tấn công MITM trên thực tế, bằng việc tận dụng các thuộc tính của mạng nội bộ, tự động hóa hiệu quả phát hiện và phân tích các trang web lừa đảo.
Cách thức hoạt động của bộ công cụ lừa đảo MITM
Được đặt tên là “PHOCA”, theo tiếng Latinh có nghĩa là “seals”, tức là “con dấu” - công cụ này không chỉ giúp phát hiện các bộ công cụ lừa đảo để tấn công MITM, mà còn có thể được sử dụng để phát hiện và cô lập các request độc hại đến từ các máy chủ.
Các bộ công cụ lừa đảo tự động và hợp thức hóa các hành vi của tin tặc để thực hiện các chiến dịch đánh cắp thông tin xác thực. Chúng là các tập ZIP được đính kèm trong các email lừa đảo, cho phép tin tặc mạo danh các thực thể (ví dụ website chính thống) để đánh lừa nạn nhân nhằm lấy các thông tin cá nhân của họ.
Tuy nhiên, các dịch vụ trực tuyến hiện nay thường áp dụng xác thực hai yếu tố (2FA), cũng có nghĩa là các bộ công cụ lừa đảo truyền thống này không còn là phương pháp hiệu quả để tấn công vào các tài khoản được bảo vệ bởi 2 lớp xác thực.
Kiến trúc của framework được sử dụng để thu thập dữ liệu mạng trên các trang web lừa đảo MITM
Bộ công cụ lừa đảo MITM cho phép tin tặc đứng giữa nạn nhân và dịch vụ trực tuyến. Thay vì thiết lập một trang web giả mạo được phát tán qua email spam, tin tặc thường triển khai một trang web giả có nội dung như website mục tiêu, và hoạt động như một đường dẫn để chuyển tiếp các request và response giữa hai bên trong thời gian thực, do đó cho phép trích xuất thông tin xác thực và phiên cookie từ các tài khoản được xác thực 2 yếu tố.
Theo các nhà nghiên cứu Brian Kondracki, Babak Amin Azad, Babak Amin Azad, Oleksii Starov và Nick Nikiforakis của Đại học Stony Brook (Mỹ) cho biết: “Chúng có chức năng và hoạt động như các máy chủ reverse proxy, kết nối giữa nạn nhân và máy chủ web mục tiêu”.
Phương pháp do các nhà nghiên cứu đưa ra liên quan đến bộ phân loại học máy sử dụng các tính năng như fingerprint TLS, và sự khác biệt về thời gian mạng để phân loại các trang web lừa đảo được lưu trữ bởi bộ công cụ lừa đảo MITM trên các máy chủ reverse proxy. Đồng thời phương pháp này cũng bao gồm một framework thu thập dữ liệu để giám sát và theo dõi các URL đáng ngờ từ cơ sở dữ liệu phishing mã nguồn mở như OpenPhish và PhishTank.
Ý tưởng cốt lõi là đo lường độ trễ round-trip time (RTT) phát sinh bằng cách đặt một bộ công cụ lừa đảo MITM, do vậy, nạn nhân sẽ mất nhiều thời gian hơn để nhận được các response sau khi gửi request.
“Vì hai phiên HTTPS riêng biệt phải được duy trì để kết nối giữa nạn nhân và máy chủ web mục tiêu, tỷ lệ các gói RTT khác nhau, chẳng hạn như request TCP SYN/ACK và HTTP GET, sẽ cao hơn nhiều khi giao tiếp với máy chủ reverse proxy hơn là máy chủ web. Tỷ lệ này cao hơn nữa khi máy chủ reverse proxy chặn các request TLS, điều này đúng với bộ công cụ lừa đảo MITM”, các nhà nghiên cứu giải thích.
Vị trí địa lý của các trang web lừa đảo MITM
Trong một cuộc đánh giá thử nghiệm kéo dài 1 năm từ ngày 25/3/2020 đến ngày 25/3/2021, nghiên cứu đã phát hiện ra tổng cộng 1.220 trang web sử dụng bộ công cụ lừa đảo MITM, chủ yếu nằm rải rác ở Hoa Kỳ, Châu Âu và dựa vào các dịch vụ lưu trữ từ Amazon, DigitalOcean, Microsoft và Google. Một số thương hiệu được nhắm mục tiêu nhiều nhất bởi các bộ công cụ này bao gồm Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo và LinkedIn.
Theo các nhà nghiên cứu nhận xét: “PHOCA có thể được tích hợp trực tiếp vào cơ sở hạ tầng web, chẳng hạn như các dịch vụ blocklist phishing, cũng như các trang web phổ biến để phát hiện các request độc hại bắt nguồn từ bộ công cụ lừa đảo MITM”.
Đinh Hồng Đạt
- Lê Thị Bích Hằng
10:00 | 04/11/2021
09:00 | 12/11/2021
15:00 | 18/10/2021
11:00 | 25/01/2024
Trong cuộc cách mạng công nghệ 4.0, mã hóa thông tin trở thành một ngành quan trọng và có nhiều ứng dụng trong đời sống xã hội, các ứng dụng, thiết bị mã hóa và bảo mật thông tin đang được sử dụng ngày càng phổ biến hơn trong các lĩnh vực khác nhau trên thế giới, từ lĩnh vực an ninh, quân sự, quốc phòng,… đến các lĩnh vực dân sự như thương mại, điện tử… Bài viết sẽ giới thiệu tóm tắt một số nội dung có trong tiêu chuẩn TCVN 11367-3:2016 về Công nghệ thông tin – Các kỹ thuật an toàn – Thuật toán mật mã, phần 3: Mã khối.
09:00 | 19/05/2022
Ngày 12/5, tại Thành phố Hồ Chí Minh, Cục Quản lý Mật mã dân sự và Kiểm định sản phẩm mật mã (QLMMDS&KĐSPMM), Ban Cơ yếu Chính phủ tổ chức Hội nghị tập huấn về mật mã dân sự để phổ biến, hướng dẫn thực hiện các quy định của pháp luật về quản lý mật mã dân sự. Đồng chí Nguyễn Thanh Sơn, Phó Cục trưởng Cục QLMMDS&KĐSPMM chủ trì Hội nghị.
15:00 | 03/06/2021
Dù doanh nghiệp có quy mô lớn hay nhỏ, bảo mật dữ liệu vẫn luôn là nhiệm vụ hàng đầu cần được quan tâm để bảo vệ hệ thống thông tin có giá trị và đảm bảo hoạt động liên tục. Đây là công việc cần đặc biệt chú trọng trong thời đại số ngày nay.
14:00 | 19/05/2021
CSKH-02.2020. Abstract—The block ciphers modes of operation with internal rekeying mechanisms, used during the encryption of a message to increase their security, have been a subject of analysis in recent years. In this paper, we will analyze the randomness of the sequences generated by two of these modes of operation, which also will be used in the generation of pseudo-random numbers.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
