Cách chống lại các mối đe dọa lừa đảo ngày càng gia tăng
Trong loạt podcast của Net Help Security, Scott Olson, Phó Giám đốc Tiếp thị Sản phẩm tại Iovation, nói về tác hại của hoạt động lừa đảo các tổ chức và đưa ra những gợi ý thiết thực về cách ngăn chặn mối đe dọa ngày càng tăng này.
Lừa đảo
Đây là một vấn nạn đang gia tăng và nếu bạn tò mò không biết lừa đảo là gì hoặc nếu bạn đã nghe về nó, thì lừa đảo là hành vi gian lận thông qua việc gửi email hoặc tin nhắn giả mạo. Đó có thể là một tin nhắn văn bản, ví dụ, có vẻ như là từ một người gửi mà nạn nhân đã biết hoặc là một người đáng tin cậy để khiến các cá nhân được nhắm mục tiêu tiết lộ thông tin bí mật về tổ chức, từ đó tin tặc nắm được thông tin quan trọng để yêu cầu thương lượng, hoặc để thực hiện một giao dịch tài chính. Hầu hết các vụ vi phạm lừa đảo dùng phương thức Spear phishing đều nhắm mục tiêu chuyển khoản và giao dịch tài chính, mặc dù có một số ví dụ mà tôi sẽ thảo luận có thể bao gồm các vi phạm dữ liệu.
Phương thức lừa đảo Spear phishing
Nhiều người có thể đã nghe nói về các cuộc tấn công lừa đảo và họ không biết sự khác biệt giữa các cuộc tấn công lừa đảo dùng phương thức Spear phishing và các cuộc tấn công lừa đảo thông thường. Ở cấp độ cơ bản nhất, sự khác biệt giữa lừa đảo dùng phương thức Spear phishing và lừa đảo thông thường là các cuộc tấn công lừa đảo được tạo ra phù hợp với cá nhân nhận email hoặc tin nhắn. Mặt khác, đối với phương thức Spear phishing, họ nhắm vào các cá nhân cụ thể trong một tổ chức, họ nhắm mục tiêu đó vì họ có thể thực hiện giao dịch, cung cấp dữ liệu mà kẻ lừa đảo nhắm đến và điển hình nhất là trong tổ chức tài chính để họ có thể thực hiện giao dịch tài chính dễ dàng. Và đã có rất nhiều, rất nhiều ví dụ về các cuộc tấn công lừa đảo dùng phương thức Spear phishing cao cấp đã dẫn đến tổn thất tài chính đáng kể.
Tác động tài chính
Một trong những cuộc tấn công vi phạm dữ liệu nổi tiếng nhất với hành vi lừa đảo là với Anthem, một công ty bảo hiểm chăm sóc sức khỏe. Họ phải chi trả cho một vụ kiện tập thể trị giá 115 triệu đô la. Họ đã bị buộc tội vi phạm dữ liệu do một cuộc tấn công lừa đảo cho phép truy cập vào hơn 78 triệu hồ sơ chăm sóc sức khỏe.
Ubiquiti Networks là một ví dụ khác. Trường hợp này là việc thực hiện chuyển khoản quốc tế. Trong trường hợp này, tấn công lừa đảo đã khiến tổ chức tài chính chuyển 46 triệu đô la cho những kẻ lừa đảo quốc tế thông qua chuyển khoản. Họ chỉ có thể phục hồi khoảng 8 triệu đô la trong số 46 triệu đô la đó.
Một ví dụ khác là một công ty của Áo, FACC, đã mất 50 triệu đô la và cũng dẫn đến việc CEO bị sa thải. Tiếp theo là một ngân hàng Bỉ, Crelan, đã mất 75 triệu đô la. Ngay cả một số tổ chức công nghệ lớn nhất cũng không tránh khỏi kiểu này. Cụ thể như Facebook và Google đã mất 100 triệu đô la theo báo cáo trong vài năm qua.
Báo cáo chỉ ra tổn thất lên đến hàng tỷ đô la trong năm 2018. Tất nhiên, bạn không biết con số chính xác vì không phải mọi thứ đều công khai, nhưng hàng tỷ đô la bị mất trong các cuộc tấn công lừa đảo chống lại các doanh nghiệp đều biến mất chủ yếu theo các giao dịch tài chính và chuyển khoản ngân hàng.
Làm thế nào các cuộc tấn công lừa đảo thực hiện được
Phương thức Spear phishing, không giống như các cuộc tấn công lừa đảo khác, chúng nhắm vào đối tượng lớn và thường được phân phối bởi các botnet, nhắm vào các cá nhân rất cụ thể, như tôi đã đề cập, trong một bộ phận tài chính điển hình nhất. Tin tặc, kẻ lừa đảo, sẽ tạo ra các email giả, và cả các tài liệu khác. Ví dụ: chúng sẽ tạo một hóa đơn từ công ty thiết lập của họ mà họ muốn chuyển khoản và nó sẽ bao gồm chi tiết nội dung chuyển khoản, tài khoản mục tiêu để chuyển tiền và chúng thường nhắm mục tiêu vào bộ phận tài chính của tổ chức đó.
Các email trông giống như chúng đến từ một người nào đó trong chuỗi quản lý của họ. Chúng thường có thể đến trực tiếp từ CEO, từ CFO hoặc các nhân viên và thậm chí là giám đốc cấp cao khác trong tổ chức đó, với thẩm quyền ra quyết định thanh toán trực tiếp hoặc chuyển khoản.
Chúng thực sự cố gắng tận dụng các hoạt động thông thường để lừa nhân viên về cảm giác cấp bách, khiến họ sẽ thực hiện chuyển khoản thay cho một trong những ông chủ của họ, điển hình là yêu cầu từ một quản lý cấp cao với số tiền cần chuyển lớn. Ngoài chuyển khoản ngân hàng, chúng cũng có thể sử dụng thanh toán điện tử.
Ngăn chặn các cuộc tấn công lừa đảo
Có rất nhiều khuyến nghị về cách chống lại các loại tấn công này. Hầu hết các giải pháp mà bạn sẽ thấy tập đều tập trung vào bảo mật và đào tạo quản lý email. Từ góc độ đào tạo, chắc chắn rất cần đào tạo nhân viên trong tổ chức tài chính của bạn. Rõ ràng, họ nên nhận thức được những mối đe dọa này. Ngoài ra, cần có một quy trình để kiểm tra các email mà họ nhận được, đặc biệt là những email có yêu cầu liên quan đến việc thực hiện một giao dịch tài chính như chuyển khoản ngân hàng.
Đối với những nội dung mang tính cấp bách, cần có một quy trình để xác minh và xem xét những yêu cầu đó trong tổ chức. Ngoài ra, còn cần có giải pháp bảo mật email mạnh mẽ, các cổng bảo mật email chống lại các email giả mạo, công cụ tìm kiếm các email lừa đảo cũng có thể đem lại hiệu quả.
Từ góc độ chính sách, nó có thể cần được hỗ trợ bởi công nghệ. Một trong những điều chúng tôi nói với các công ty là nên sử dụng quy trình ủy quyền mạnh mẽ hơn bằng cách sử dụng các kỹ thuật xác thực cho các giao dịch tài chính doanh nghiệp, nơi bạn có thể làm việc với ngân hàng của mình để cung cấp ủy quyền trong các ứng dụng kinh doanh của họ, đặc biệt là chuyển khoản ngân hàng. Và khi bạn nghĩ về điều này, sẽ có thêm các yêu cầu chi tiết xung quanh khi bạn sử dụng các kỹ thuật ủy quyền. Ví dụ, cần có các ngưỡng tài chính để yêu cầu phê duyệt. Đó có thể là 1.000 đô la, có thể là 5.000 đô la hoặc 10.000 đô la, nhưng dù cho bất cứ điều gì được coi là bình thường trong tổ chức của bạn, thì đều cần một quy trình phê duyệt mạnh mẽ hơn vì trong đó tiềm năng rủi ro cao hơn nhiều.
Thêm nữa, cũng cần có kênh phê duyệt riêng các giao dịch tài chính. Khi bạn đang thực hiện chuyển khoản ngân hàng mà diễn ra thông qua ứng dụng ngân hàng, hoặc trên web, việc phê duyệt phải thông qua một kênh riêng. Ví dụ: ứng dụng dành cho thiết bị di động là một ví dụ điển hình về việc phê duyệt kênh riêng.
Một trong những giải pháp được coi là hoàn chỉnh nhất hiện nay, là phê duyệt nhiều bên. Bạn có thể chỉ định cụ thể các cá nhân phải phê duyệt các giao dịch, nếu nó trên 10.000 đô la. Và trong những trường hợp đó, bạn có thể loại bỏ khả năng lừa đảo một cá nhân. Nó thực sự sẽ nâng mức khó cho các cuộc tấn công lừa đảo khi phải nhắm mục tiêu vào hai cá nhân để vượt qua được quy trình phê duyệt chuyển khoản. Bạn có thể có một người quản lý đang trong quá trình phê duyệt với các cá nhân cũng có khả năng thực hiện chuyển khoản.
Khi bạn làm được điều đó, nội dung chuyển khoản sẽ hiện thị rõ trong ứng dụng khi được phê duyệt chuyển khoản theo các kênh riêng biệt và nó sẽ bao gồm các chi tiết của chính giao dịch. Thông tin cần có sẽ phải thể hiện được số tiền sẽ gửi đến cho ai, số tiền là bao nhiêu, và chắc chắn những nội dung này được truyền đạt cho cả hai cá nhân cấp quyền phê duyệt. Chính vì vậy, các tổ chức nên sử dụng công nghệ ủy quyền mạnh mẽ và công nghệ xác thực.
Nguồn: Tạp chí CNTT
