Mặc dù Google và các nhà cung cấp dịch vụ email khác có thực hiện quét email để ngăn chặn việc lan truyền phần mềm độc hại và các nội dung khiêu dâm – đồng thời cũng là để thu thập dữ liệu quảng cáo – nhưng không nhất thiết là họ quét email để phát hiện các hoạt động lừa đảo. Như tôi đã nói, tiêu chuẩn riêng tư ở mỗi người mỗi khác, thì ở đây cũng vậy, rất khó định lượng sự lừa đảo. Và chúng ta không phải lúc nào cũng nhận ra nó, ngay cả khi nó đang ở trước mặt chúng ta.
Trong nội dung email mời kết bạn LinkedIn giả mạo mà Curtis nhận được chứa một hình ảnh cỡ 1×1 pixel, một chấm hình ảnh tí hon mà mắt thường không nhìn ra, thứ mà tôi đã nói là có thể tìm thấy trên các website và được dùng để theo dõi bạn trên mạng. Khi dấu chấm nhỏ đó gọi ra ngoài, nó sẽ báo cho máy chủ theo dõi ở xa, có thể là bất kỳ nơi nào trên thế giới, thời gian bạn mở email, thời gian email hiển thị trên màn hình, và thiết bị dùng để mở email. Nó cũng có thể cho biết bạn đã lưu, chuyển tiếp, hay xóa email. Ngoài ra, nếu kịch bản mà nhóm kiểm định trên sử dụng là thực, thì kẻ tấn công có thể còn gửi kèm một liên kết dẫn đến trang LinkedIn giả mạo, giống hệt trang thực, ngoại trừ một điểm là nó được lưu trữ trên một máy chủ khác, có lẽ ở một quốc gia khác.
Đối với nhà quảng cáo, con bọ web này có thể dùng để thu thập thông tin về người nhận. Đối với kẻ tấn công, có thể dùng nó để lấy các chi tiết kỹ thuật cần để thiết kế cuộc tấn công tiếp theo nhằm xâm nhập vào tận bên trong máy tính của bạn. Ví dụ, nếu bạn đang chạy phiên bản cũ của một trình duyệt, có thể có một số sơ hở để chúng khai thác.
Email thứ hai mà Curtis nhận được từ đội kiểm định chứa file đính kèm là một tài liệu được nén nhằm khai thác lỗ hổng trong phần mềm dùng để mở file (ví dụ, Adobe Acrobat). Khi nhắc đến phần mềm độc hại, hầu hết mọi người sẽ nghĩ về các loại virus máy tính xuất hiện vào đầu những năm 2000, khi một email bị nhiễm độc có thể phát tán các email bị nhiễm độc khác cho tất cả mọi người trong danh sách liên hệ. Ngày nay, hình thức tấn công lây nhiễm hàng loạt này ít phổ biến hơn, một phần là do những thay đổi đối với bản thân phần mềm email. Phần mềm độc hại nguy hiểm nhất hiện nay tinh vi hơn và thường được nhắm mục tiêu cũng như tùy chỉnh cho phù hợp với từng cá nhân – tương tự như trong trường hợp của Sophie Curtis. Đội kiểm định đã sử dụng một hình thức lừa đảo đặc biệt gọi là lừa đảo có mục tiêu (spear phishing)[70], được thiết kế để nhắm vào một người cụ thể.
[70] Spear phishing: Hình thức lừa đảo theo đó kẻ tấn công gửi email trên danh nghĩa một người gửi có vẻ là đáng tin cậy để lừa nạn nhân tiết lộ các thông tin nhạy cảm. Phishing là cách chơi chữ từ chữ fishing, nghĩa là câu cá.
Phishing là quá trình lừa đảo hình sự trong đó kẻ tấn công tìm cách lấy các thông tin nhạy cảm như tên người dùng, mật khẩu, và thông tin thẻ tín dụng hoặc ngân hàng. Phương thức này đã được sử dụng để tấn công vào các giám đốc tài chính, lừa gạt họ chuyển khoản những lượng tiền lớn vì vị “giám đốc điều hành” đã ủy quyền cho họ. Thông thường, email hoặc tin nhắn lừa đảo dạng phishing sẽ chứa một mục tác vụ như nhấp vào liên kết hoặc mở file đính kèm. Trong trường hợp của Curtis, ý định của đội kiểm định là cài phần mềm độc hại trên máy tính của cô để cô thấy việc này dễ dàng như thế nào.
Một trong những kế hoạch lừa đảo phishing nổi tiếng nhất là Chiến dịch Aurora, trong đó kẻ tấn công gửi email lừa đảo cho các nhân viên người Trung Quốc của Google. Ý định ở đây là lây nhiễm cho máy móc của hãng này ở Trung Quốc nhằm chiếm quyền truy cập vào mạng nội bộ tại trụ sở chính của Google ở Mountain View, California. Kẻ tấn công đã tiếp cận gần mã nguồn công cụ tìm kiếm của Google. Nhưng không chỉ Google là nạn nhân. Các công ty như Adobe cũng thông báo những vụ xâm nhập tương tự. Kết quả là Google phải tạm thời rút các hoạt động của mình khỏi Trung Quốc.
Khi nhận được yêu cầu từ LinkedIn hoặc Facebook, chúng ta thường ít cảnh giác. Có lẽ bởi vì chúng ta tin tưởng các website đó và email của họ. Tuy nhiên, như đã thấy, bất kỳ ai cũng có thể tạo ra một email trông có vẻ hợp pháp. Khi tiếp xúc trực tiếp, chúng ta có thể cảm nhận được nếu người đối diện đeo râu giả, cấy tóc, hay nói giọng không tự nhiên; với bản năng tiến hóa từ hàng thế kỷ nay, chúng ta có thể đánh hơi được sự lừa dối trong chớp mắt. Nhưng bản năng đó không áp dụng được trên mạng, ít nhất là đối với hầu hết chúng ta. Sophie Curtis là phóng viên; công việc yêu cầu ở cô sự hiếu kỳ và hoài nghi để lần theo các manh mối và kiểm chứng dữ liệu. Lẽ ra cô nên nhìn qua danh sách nhân viên của Telegraph để xem người mời cô kết bạn trên LinkedIn là ai, đồng thời kiểm tra xem email đó là thật hay giả. Nhưng cô đã không làm thế. Và thực tế là hầu hết chúng ta đều hớ hênh như nhau.
Kẻ tấn công phishing (gọi là phisher) sẽ có một số, nhưng không phải tất cả, thông tin cá nhân của bạn – nhưng một chút đó cũng đủ để hắn dùng làm mồi câu. Ví dụ, phisher có thể gửi cho bạn một email chứa bốn số cuối trong số thẻ tín dụng của bạn để tạo sự tin tưởng, sau đó tiếp tục hỏi thêm thông tin. Đôi khi bốn chữ số này cũng không chính xác, và phisher sẽ yêu cầu bạn gửi email phản hồi và sửa lại chỗ chưa đúng. Đừng làm theo yêu cầu đó. Nói ngắn gọn, đừng tương tác với phisher. Nhìn chung, không trả lời bất kỳ yêu cầu nào về thông tin cá nhân, ngay cả khi yêu cầu đó có vẻ đáng tin cậy. Thay vào đó, hãy liên hệ với người yêu cầu bằng một email riêng (nếu bạn có địa chỉ) hoặc tin nhắn (nếu bạn có số điện thoại di động).
Loại tấn công phishing đáng lo ngại hơn là lừa mục tiêu thực hiện một hành động có thể trực tiếp khai thác sơ hở trên máy tính của họ, từ đó mang lại quyền kiểm soát hoàn toàn cho kẻ tấn công. Đó là cách tôi vẫn làm trong các cuộc tấn công social engineering. Thu thập thông tin xác thực cũng là một loại tấn công phổ biến, trong đó kẻ tấn công thu thập tên người dùng và mật khẩu, nhưng mối nguy thực sự của spear phishing là giành quyền truy cập vào hệ thống và mạng máy tính của mục tiêu.
Điều gì sẽ xảy ra nếu bạn tương tác với phisher và bị mất tất cả dữ liệu trên thiết bị – tất cả những bức ảnh cá nhân và tài liệu riêng tư? Đó là điều đã xảy ra với mẹ của nhà văn Alina Simone. Viết trên tờ New York Times, Simone kể chuyện mẹ cô – vốn không sành công nghệ – gặp phải một kẻ tấn công tinh vi sử dụng cái gọi là ransomware[71].
[71] Ransomware (mã độc tống tiền): Một loại phần mềm độc hại được thiết kế nhằm ngăn chặn quyền truy cập vào một hệ thống máy tính cho đến khi nạn nhân trả tiền chuộc.
Năm 2014, trên Internet tràn lan các mã độc tống tiền nhắm vào cả cá nhân và tổ chức. Cryptowall là một ví dụ. Nó mã hóa toàn bộ ổ cứng của bạn, ngăn bạn tiếp cận mọi file cho đến khi bạn trả tiền cho kẻ tấn công để mua khóa mở file. Nếu không có bản sao lưu đầy đủ, bạn sẽ không thể tiếp cận được các nội dung trong máy của mình cho đến khi trả khoản tiền chuộc.
Bạn không muốn trả tiền? Bức thư của kẻ tống tiền xuất hiện trên màn hình hiển thị thông báo rằng chìa khóa để mở file sẽ bị phá hủy sau một khoảng thời gian nhất định. Thường thì thông báo này sẽ đi kèm với một đồng hồ đếm ngược. Nếu bạn không trả tiền, thời hạn đôi khi sẽ được kéo dài hơn, nhưng mức tiền chuộc sẽ gia tăng theo từng lần trì hoãn. Nói chung, bạn nên tránh nhấp vào các file đính kèm email (trừ khi bạn mở file trong Google Quick View hoặc Google Documents). Tuy nhiên, Cryptowall có những cách lây lan khác – chẳng hạn qua banner quảng cáo trên các website. Chỉ cần bạn xem một trang có banner quảng cáo bị nhiễm độc, máy tính cá nhân truyền thống của bạn cũng có thể bị nhiễm độc theo – hình thức này được gọi là drive-by[72], bởi vì bạn không chủ động nhấp vào quảng cáo. Đây chính là nơi phát huy hiệu quả của các plugin loại bỏ quảng cáo trong trình duyệt như Adblock Plus.
[72] Drive-by (đi xe bắn súng): Nghĩa gốc chỉ một hành vi phạm tội, ví dụ bắn súng, được thực hiện từ một phương tiện đang di chuyển.
Trong sáu tháng đầu năm 2015, Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3) đã ghi nhận gần 1.000 trường hợp nhiễm độc Cryptowall 3.0 với thiệt hại ước tính khoảng 18 triệu đô-la, bao gồm số tiền chuộc đã thanh toán, chi phí cho các phòng ban kỹ thuật và các cửa hàng sửa chữa, và thiệt hại về năng suất lao động. Trong một số trường hợp, các file mã hóa chứa thông tin nhận dạng cá nhân như số An sinh Xã hội, vì thế cuộc tấn công liên quan sẽ trở thành vụ xâm phạm dữ liệu, do đó thiệt hại sẽ cao hơn.
Chi phí mua chìa khóa mở file trọn gói thường dao động từ 500 đến 1.000 đô-la, nhưng các nạn nhân thường lại thử các phương pháp khác, chẳng hạn như tự phá mã để loại bỏ ransomware. Mẹ của Simone cũng làm như vậy. Đến khi bà buộc phải gọi điện cầu cứu con gái, thời hạn gần như sắp hết.
Hầu như tất cả những người cố gắng phá mã hóa ransomware đều thất bại. Đó là loại mã hóa mạnh, để phá giải được nó cần đến các loại máy tính mạnh và tốn nhiều thời gian hơn so với khả năng đáp ứng của phần lớn mọi người. Vì vậy, các nạn nhân thường phải trả tiền. Theo Simone, tháng 11 năm 2014, văn phòng cảnh sát trưởng Tennessee quận Dickson đã trả tiền một khoản tiền chuộc cho Cryptowall để mở khóa 72.000 báo cáo khám nghiệm tử thi, bản ghi lời khai của nhân chứng, ảnh chụp hiện trường vụ án, và các tài liệu khác.
