Phát hiện này được thực hiện bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Stony Brook và Công ty an ninh mạng Palo Alto Networks. Theo đó, họ đã chứng minh rằng kỹ thuật fingerprint mới giúp phát hiện bộ công cụ tấn công MITM trên thực tế, bằng việc tận dụng các thuộc tính của mạng nội bộ, tự động hóa hiệu quả phát hiện và phân tích các trang web lừa đảo.
Cách thức hoạt động của bộ công cụ lừa đảo MITM
Được đặt tên là “PHOCA”, theo tiếng Latinh có nghĩa là “seals”, tức là “con dấu” - công cụ này không chỉ giúp phát hiện các bộ công cụ lừa đảo để tấn công MITM, mà còn có thể được sử dụng để phát hiện và cô lập các request độc hại đến từ các máy chủ.
Các bộ công cụ lừa đảo tự động và hợp thức hóa các hành vi của tin tặc để thực hiện các chiến dịch đánh cắp thông tin xác thực. Chúng là các tập ZIP được đính kèm trong các email lừa đảo, cho phép tin tặc mạo danh các thực thể (ví dụ website chính thống) để đánh lừa nạn nhân nhằm lấy các thông tin cá nhân của họ.
Tuy nhiên, các dịch vụ trực tuyến hiện nay thường áp dụng xác thực hai yếu tố (2FA), cũng có nghĩa là các bộ công cụ lừa đảo truyền thống này không còn là phương pháp hiệu quả để tấn công vào các tài khoản được bảo vệ bởi 2 lớp xác thực.
Kiến trúc của framework được sử dụng để thu thập dữ liệu mạng trên các trang web lừa đảo MITM
Bộ công cụ lừa đảo MITM cho phép tin tặc đứng giữa nạn nhân và dịch vụ trực tuyến. Thay vì thiết lập một trang web giả mạo được phát tán qua email spam, tin tặc thường triển khai một trang web giả có nội dung như website mục tiêu, và hoạt động như một đường dẫn để chuyển tiếp các request và response giữa hai bên trong thời gian thực, do đó cho phép trích xuất thông tin xác thực và phiên cookie từ các tài khoản được xác thực 2 yếu tố.
Theo các nhà nghiên cứu Brian Kondracki, Babak Amin Azad, Babak Amin Azad, Oleksii Starov và Nick Nikiforakis của Đại học Stony Brook (Mỹ) cho biết: “Chúng có chức năng và hoạt động như các máy chủ reverse proxy, kết nối giữa nạn nhân và máy chủ web mục tiêu”.
Phương pháp do các nhà nghiên cứu đưa ra liên quan đến bộ phân loại học máy sử dụng các tính năng như fingerprint TLS, và sự khác biệt về thời gian mạng để phân loại các trang web lừa đảo được lưu trữ bởi bộ công cụ lừa đảo MITM trên các máy chủ reverse proxy. Đồng thời phương pháp này cũng bao gồm một framework thu thập dữ liệu để giám sát và theo dõi các URL đáng ngờ từ cơ sở dữ liệu phishing mã nguồn mở như OpenPhish và PhishTank.
Ý tưởng cốt lõi là đo lường độ trễ round-trip time (RTT) phát sinh bằng cách đặt một bộ công cụ lừa đảo MITM, do vậy, nạn nhân sẽ mất nhiều thời gian hơn để nhận được các response sau khi gửi request.
“Vì hai phiên HTTPS riêng biệt phải được duy trì để kết nối giữa nạn nhân và máy chủ web mục tiêu, tỷ lệ các gói RTT khác nhau, chẳng hạn như request TCP SYN/ACK và HTTP GET, sẽ cao hơn nhiều khi giao tiếp với máy chủ reverse proxy hơn là máy chủ web. Tỷ lệ này cao hơn nữa khi máy chủ reverse proxy chặn các request TLS, điều này đúng với bộ công cụ lừa đảo MITM”, các nhà nghiên cứu giải thích.
Vị trí địa lý của các trang web lừa đảo MITM
Trong một cuộc đánh giá thử nghiệm kéo dài 1 năm từ ngày 25/3/2020 đến ngày 25/3/2021, nghiên cứu đã phát hiện ra tổng cộng 1.220 trang web sử dụng bộ công cụ lừa đảo MITM, chủ yếu nằm rải rác ở Hoa Kỳ, Châu Âu và dựa vào các dịch vụ lưu trữ từ Amazon, DigitalOcean, Microsoft và Google. Một số thương hiệu được nhắm mục tiêu nhiều nhất bởi các bộ công cụ này bao gồm Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo và LinkedIn.
Theo các nhà nghiên cứu nhận xét: “PHOCA có thể được tích hợp trực tiếp vào cơ sở hạ tầng web, chẳng hạn như các dịch vụ blocklist phishing, cũng như các trang web phổ biến để phát hiện các request độc hại bắt nguồn từ bộ công cụ lừa đảo MITM”.
Đinh Hồng Đạt
- Lê Thị Bích Hằng
10:00 | 04/11/2021
09:00 | 12/11/2021
15:00 | 18/10/2021
14:00 | 26/02/2024
Khi dữ liệu được gửi từ nơi này đến nơi khác thì cần phải bảo vệ dữ liệu trong quá trình đang được gửi. Tương tự như vậy, khi dữ liệu được lưu trữ trong một môi trường mà các bên không được phép cập thì cần thiết phải có các biện pháp bảo vệ dữ liệu đó. Bài báo sẽ giới thiệu tóm tắt nội dung tiêu chuẩn ISO/IEC 19772:2020 về an toàn thông tin – mã hóa có sử dụng xác thực. Xác định các cách thức xử lý một chuỗi dữ liệu theo các mục tiêu an toàn bao gồm 5 cơ chế mã hóa có sử dụng xác thực.
09:00 | 08/12/2023
Ngày 29/11, Bộ trưởng Bộ Quốc phòng ban hành Thông tư số 96 về Quy chuẩn kỹ thuật quốc gia về đặc tính kỹ thuật mật mã sử dụng trong các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu giữ phục vụ bảo vệ thông tin không thuộc phạm vi bí mật nhà nước (QCVN 15:2023/BQP). Cục Quản lý Mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ) là cơ quan tiếp nhận công bố hợp quy, kiểm tra nhà nước về chất lượng sản phẩm mật mã dân sự.
11:00 | 27/01/2023
Tháng 7/2020, Rainbow - một trong 3 thuật toán chữ ký số là ứng cử viên vào vòng 3 của quá trình tuyển chọn thuật toán hậu lượng tử của NIST. Tuy nhiên, vào tháng 2/2022, Ward Beullens đã phá được thuật toán này chỉ trong thời gian một dịp nghỉ cuối tuần trên một máy tinh xách tay. Vì thế, tháng 7/2022, trong danh sách các thuật toán chữ ký số hậu lượng tử sẽ được chuẩn hóa mà NIST công bố đã không có tên Rainbow.
10:00 | 29/07/2022
Đây là chủ đề của buổi Tọa đàm do Tạp chí An toàn thông tin tổ chức vào sáng ngày 27/7, với sự tham dự của Đại tá, TS. Hồ Văn Hương, Cục trưởng Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ.