Trong thời đại ngày nay, người dùng máy tính cả tin ngày càng hiếm. Với sự phổ biến của giáo dục về phần mềm độc hại trên Internet, mọi người không dễ bị lừa bởi những email lừa đảo tuyên bố rằng họ đã giành được hàng triệu đô la.
Tuy nhiên, điều đó không có nghĩa là tin tặc kém quyết tâm hơn; nó chỉ có nghĩa là họ phải làm việc thông minh hơn. Từ việc theo dõi cơ sở hạ tầng của công ty và gửi email cho nhân viên từ địa chỉ của sếp, đến chiếm đoạt tài khoản Facebook của người dùng và nhắn tin cho bạn bè, lạm dụng lòng tin là phương pháp được lựa chọn để hack ngày nay.
Một phương pháp mà họ có là chuyển hướng máy tính của bạn từ một URL hợp pháp đến một bản sao giả mạo của nó, nơi họ có thể lấy chi tiết đăng nhập khi bạn nhập thông tin của bạn vào trang web sai. Điều này được gọi là "dược phẩm", và nó có thể khá đáng sợ trong các phương pháp của nó. Sau đây, chúng tôi sẽ giải thích dược phẩm là gì và nó hoạt động như thế nào?
Dược phẩm là gì?
Bản thân nó, dược phẩm là một quá trình gồm hai bước kết hợp hai vectơ tấn công; Đầu độc DNS và lừa đảo. Bằng cách tận dụng điểm mạnh của cả hai, nó tạo ra một cái bẫy đáng tin cậy để mọi người rơi vào. Mặc dù lừa đảo hoạt động bằng cách thả mồi và hy vọng mọi người tiếp nhận nó, nhưng dược phẩm có thể chiếm toàn bộ máy chủ DNS và chuyển hướng mọi người đến các trang web giả mạo.
Vì vậy, để trả lời "dược phẩm là gì?" trước tiên chúng ta phải phân tích hai thành phần mà nó được xây dựng dựa trên đó và xem chúng tương tác với nhau như thế nào để tạo thành cuộc tấn công dược tổng thể.
Đầu độc DNS
Bạn có thể biết vectơ tấn công này bất chính như thế nào chỉ bằng cái tên! Đầu độc DNS hoạt động bằng cách chiếm quyền điều khiển DNS. Khi bạn nhập địa chỉ web (chẳng hạn như www.facebook.com), máy tính phải chuyển đổi địa chỉ đó thành địa chỉ IP. Điều này là do máy tính không hiểu “Facebook” là gì! URL ở đó để giúp con người chúng ta nhớ địa chỉ của các trang web dễ dàng hơn. Tuy nhiên, máy tính biết địa chỉ IP là gì. Vì vậy, để nói chuyện với Facebook, một máy tính sẽ chuyển đổi URL thành địa chỉ IP.
Họ thực hiện điều này bằng cách truy vấn một máy chủ DNS, hoạt động giống như một sổ địa chỉ cho các URL và địa chỉ IP. Họ sử dụng máy chủ DNS để tìm địa chỉ IP của URL (www.facebook.com -> 157.240.1.35), sau đó sử dụng nó để nói chuyện với máy chủ Facebook. Khi một máy tính phát hiện ra địa chỉ IP của một URL, nó có thể ghi lại địa chỉ đó vào bộ nhớ đệm. Điều này giúp bạn có thể tránh lãng phí thời gian tìm kiếm lặp đi lặp lại cùng một địa chỉ IP. Trong ví dụ này, sẽ lưu ý rằng www.facebook.com chuyển đến 157.240.1.35 trong bộ nhớ cache của nó.
Nhiễm độc DNS hoạt động theo hai cách:bằng cách truy cập vào bộ nhớ cache trên một PC cá nhân và thay đổi địa chỉ IP để chuyển trực tiếp đến các trang web độc hại hoặc bằng cách lây nhiễm chính các máy chủ DNS để các PC thực hiện tra cứu nhận được kết quả "bị nhiễm". Trong cả hai trường hợp, lần tới khi người dùng nhập “www.facebook.com” vào trình duyệt của họ, thay vào đó họ sẽ tải địa chỉ IP giả “bị nhiễm độc”.
Lừa đảo
Ngộ độc DNS cho phép kẻ tấn công chuyển hướng người dùng từ một trang hợp pháp đến một trang độc hại ngay cả khi người dùng đã nhập đúng địa chỉ. Tuy nhiên, đây chỉ là bước một; xét cho cùng, chỉ cần hướng người dùng đến một trang web khác không có tác dụng gì nhiều! Kết hợp với việc đầu độc, tin tặc có thể sử dụng lừa đảo để biến một chuyển hướng đơn giản thành một lợi ích.
Trong ví dụ của chúng tôi, kẻ tấn công đang chuyển hướng người dùng rời khỏi Facebook đến một trang web mà kẻ tấn công chọn. Có nhiều tùy chọn mà kẻ tấn công có thể chọn, nhưng trong một cuộc tấn công dược, kẻ tấn công sẽ chọn một trang web mà chúng đã thiết lập trước đó để trông giống với Facebook. Khi người dùng nhập www.facebook.com vào trình duyệt của họ, nhiễm độc DNS sẽ chuyển hướng họ đến Facebook giả mạo của tin tặc.
Bây giờ người dùng đang ở trên trang web giả mạo, sau đó nó sẽ nhắc người dùng về thông tin đăng nhập Facebook của họ. Tin rằng họ đang ở trên trang Facebook thực, người dùng nhập chi tiết đăng nhập của họ và truyền thông tin của họ cho tin tặc, hoàn tất cuộc tấn công dược phẩm.
Có thể làm gì
Trước hết, sẽ hữu ích khi biết rằng các máy chủ DNS thường thuộc sở hữu của ISP mà bạn sử dụng. Do đó, để tránh các cuộc tấn công dược vào máy chủ DNS, hãy đảm bảo bạn chọn một ISP đáng tin cậy. Các ISP giỏi sẽ biết về dược phẩm và sẽ có các biện pháp đối phó để bảo vệ máy chủ của họ không bị nhiễm độc.
Nhưng điểm yếu của dược là gì khi nói đến việc lây nhiễm các tệp trên máy tính của bạn? Trước tiên, hãy luôn đảm bảo rằng bạn đã cài đặt một giải pháp chống vi-rút hoặc chống phần mềm độc hại tốt. Những thứ này hy vọng có thể phát hiện chỉnh sửa đối với tệp bộ đệm địa chỉ của máy tính của bạn và thông báo cho bạn trước khi xảy ra bất kỳ thiệt hại nào.
Tuy nhiên, ngay cả khi không có phần mềm chống vi-rút, bạn vẫn có thể ngăn chặn một cuộc tấn công dược phẩm bằng cách sử dụng trí thông minh của mình. Khi bạn truy cập một trang web phổ biến hoặc an toàn, chẳng hạn như các trang web truyền thông xã hội hoặc ngân hàng, bạn sẽ thấy một ổ khóa trên thanh địa chỉ và “HTTPS” ở đầu URL. Điều này có nghĩa là trang web đã được một bên thứ ba có thẩm quyền xác nhận đúng như những gì nó tuyên bố. Như vậy, nó đã được trao chứng chỉ và thông tin liên lạc của nó đã được mã hóa.
Tất nhiên, nếu một cuộc tấn công dược phẩm đã chuyển hướng bạn đến một trang web giả mạo, thì trang web đó sẽ không có chứng chỉ xác định nó là chính hãng. Ngay cả khi URL trông giống hệt như thật, thì chứng chỉ bị thiếu vẫn là một món quà chết. Khi đăng nhập vào một trang web phổ biến, hãy đảm bảo có chứng chỉ HTTPS. Nếu bạn nhận thấy rằng chứng chỉ đột nhiên “bị mất tích”, thì có thể điều gì đó đang xảy ra!
Đánh lừa dược phẩm
Với nhiều bước để tạo ra một vectơ tấn công phức tạp, việc sử dụng dược phẩm có thể hơi đáng sợ. Bây giờ bạn đã biết chi tiết về dược phẩm là gì và nó hoạt động như thế nào. Tốt hơn nữa, nếu bạn nhạy bén và sử dụng ISP an toàn, bạn có thể không cần phải lo lắng về việc trở thành nạn nhân của dược phẩm.
Bạn hoặc ai đó mà bạn biết đã từng bị lừa bởi một trang web trông giống như thực tế chưa? Hãy cho chúng tôi biết bên dưới.