DNS over TLS hay DoT là một tính năng bảo mật mới trên Windows 11, nó cho phép người dùng chuyển từ mạng không được mã hóa sang mạng được mã hóa.

Cụ thể, nếu bạn đang truy cập bất kỳ trang web nào sử dụng giao thức HTTPS, truy vấn DNS của bạn sẽ được gửi qua một kết nối không được mã hóa. Điều đó có nghĩa là bất kỳ ai cũng có thể theo dõi các gói mạng của bạn và vấn đề thứ hai với DNS không được mã hóa là rất dễ xảy ra cuộc tấn công Man-In-The-Middle, vì vậy tin tặc có thể giả mạo yêu cầu và đưa bạn đến bất kỳ trang web lừa đảo.

Để khắc phục sự cố này, Windows 11 khuyến nghị bạn bật DNS over TLS. Khi bạn đã bật DoT trên hệ thống của mình, thì bất cứ khi nào bạn truy cập bất kỳ trang web nào, tất cả các Quires của bạn sẽ được tiếp quản bằng giao thức TLS. Bài viết này sẽ hướng dẫn bạn kích hoạt tính năng DNS over TLS (DoT) trong Windows 11.

Để kích hoạt Dot trên Windows 11, bạn làm theo như sau.

Bước 1: Bạn mở Settings từ trong trình đơn Start hay bấm phím tắt Win + I.

Bước 2: Bạn điều hướng tới Network & internet > Network Properties > bấm nút Edit tại DNS server assignment.

Bước 3: Bên dưới Edit network DNS settings, bạn chọn Manual và bật IPv4 hoặc iPv6.

Ở đây, người viết chọn IPv4. Sau đó, bạn nhập địa chỉ DNS yêu thích vào Preferred DNS và Alternate DNS. Như trong hình, bạn có thể chọn sử dụng Cloudflare (1.1.1.1) và Google DNS (8.8.8.8).

Sau cùn,g bạn bấm Save để lưu lại.

Bước 4: Bạn mở Command Prompt và lần lượt chạy bốn lệnh bên dưới.

• netdns dns add global dot=yes
• netsh dns add encryption server=<the-ip-address-configured-as-the-DNS-resolver> dothost=: autoupgrade=yes
• ipconfig /flushdns
• ipconfig /renew

Để kiểm tra xem DoT có được bật hay không, bạn chạy lệnh sau.

• netsh dns show global

Lưu ý: DoT có sẵn từ Windows 11 build 25158 trở lên, nếu bạn đang sử dụng phiên bản Windows 11 cũ hơn thì tính năng sẽ không hoạt động. Hoặc bạn có thể bật DNS over HTTPS (DoH), nó tương tự như DoT và cài đặt DNS và các lệnh trong bước bốn.

Xem thêm:

• DNS Changer: Thay đổi DNS, kiểm tra tốc độ mạng cho máy tính Windows 11
• Cách đổi DNS trên Windows 11
• DNS Cache là gì? Cách xóa bộ nhớ DNS trong Windows 11

Các thông tin đăng nhập này được thu thập thông qua các cuộc tấn công dưới hình thức thông tin xác thực bị rò rỉ (hacker cố gắng đăng nhập vào Zoom bằng các tài khoản bị rò rỉ trong các vụ rò rỉ trước đó). Các thông tin đăng nhập thành công sau đó được tổng hợp thành các danh sách được bán cho các hacker khác.

Một số tài khoản Zoom này được cung cấp miễn phí trên các diễn đàn hacker để tin tặc có thể sử dụng chúng trong các hoạt động độc hại. Số còn lại được bán với giá 1 xu/1 tài khoản.

Theo trang BleepingComputer, từ ngày 1 tháng 4 năm 2020 họ bắt đầu thấy các tài khoản Zoom miễn phí được đăng trên các diễn đàn hacker để tăng danh tiếng trong cộng đồng hacker. Các tài khoản này được chia sẻ thông qua các trang web chia sẻ văn bản (kiểu như trang paste.org) nơi hacker danh sách các địa chỉ email kèm mật khẩu.

Trong ví dụ dưới đây, 290 tài khoản liên quan đến các trường đại học như Đại học Vermont, Đại học Colorado, Dartmouth, Lafayette, Đại học Florida và nhiều tài khoản khác đã được tung ra miễn phí.

BleepingComputer đã liên hệ với các địa chỉ email ngẫu nhiên được hiển thị trong các danh sách này và đã xác nhận rằng một số thông tin đăng nhập là chính xác. Một người dùng bị lộ cho biết mật khẩu được liệt kê là mật khẩu cũ, điều này cho thấy rằng một số thông tin đăng nhập này có khả năng được khai thác từ CSDL cũ mà hacker vẫn luôn giữ.

Nếu cần số lượng nhiều hơn, người mua sẽ tốn một khoản phí. Các tài khoản đã mua bao gồm địa chỉ email, mật khẩu, URL cuộc họp cá nhân và HostKey của nạn nhân. BleepingComputer cho biết các tài khoản này bao gồm các tài khoản cho các công ty nổi tiếng như Chase, Citibank, các tổ chức giáo dục, v.v.

Vì tất cả các công ty bị ảnh hưởng bởi các cuộc tấn công dựa trên các tài khoản bị rò rỉ trong quá khứ, bạn nên sử dụng mật khẩu duy nhất cho mỗi trang web mà bạn đăng ký tài khoản. Trước đây Trải Nghiệm Số đã có hai bài nói về vấn đề này, mời bạn xem chi tiết hơn:

• Cách kiểm tra xem mật khẩu bạn sử dụng liệu có an toàn
• Cách kiểm tra mật khẩu của bạn có bị lộ hay không trên Chrome

Thao khảo: BleepingComputer

Và có vẻ như Simjacker không “đơn độc”, một công ty bảo mật khác là Ginno Security Lab đã thông tin chi tiết một khai thác khác có tên là WIBattack trên một số thẻ SIM để kiểm soát các chức năng chính của điện thoại. Giống như Simjacker, WIBattack lây nhiễm điện thoại thông qua tin nhắn SMS được định dạng sẵn chạy các hướng dẫn trên thẻ SIM. Nếu thành công, những kẻ tấn công có thể gửi văn bản, bắt đầu cuộc gọi, trỏ trình duyệt web của bạn đến các trang cụ thể, hiển thị văn bản và gửi thông tin vị trí.

Trước đó, lỗ hổng SimJacker nằm trong bộ công cụ SIM động của S@T Browser (SIMalliance Toolbox) được nhúng trong hầu hết các thẻ SIM được các nhà mạng ở ít nhất 30 quốc gia sử dụng. Với WIBattack, hiện tại vẫn chưa rõ có bao nhiêu thiết bị có thể bị ảnh hưởng. Trong khi Ginno cảnh báo rằng “hàng trăm triệu” điện thoại có thẻ SIM có khả năng bị khai thác WIBattack nhưng trang ZDNet đã nhận được báo cáo của SRLabs cho thấy số “nạn nhân tiềm năng” thực sự có thể thấp hơn đáng kể. Trong số 800 thẻ đã được thử nghiệm, chỉ có 10,7% được cài đặt WIB để khai thác và 3,5% trong số đó dễ bị tấn công giống như Simjacker.

Dù vậy, đây là một lỗ hổng đáng kể khác có thể khó loại bỏ hoàn toàn cho đến khi các mạng và người dùng nâng cấp lên các SIM an toàn hơn.

Lừa đảo qua thư điện tử của doanh nghiệp (Business Email Compromise – BEC) đang là mối đe dọa nguy hiểm cho các doanh nghiệp trên toàn cầu. BEC đã xuất hiện tại hàng trăm quốc gia trên thế giới. Giờ đây, với sự phát triển mạnh mẽ của Trí tuệ nhân tạo (Artificial Intelligence – AI) và Công nghệ Học máy (Machine Learning), các chuyên gia bảo mật đã tìm ra cách ngăn chặn các cuộc tấn công bằng phương thức BEC.

Người dùng đang trở thành nạn nhân của số lượng lớn BEC được gửi đến hàng ngày.

Theo thống kê từ chuyên gia nghiên cứu từ Trend Micro, các vụ tấn công bằng BEC vẫn tiếp tục tăng đến 106% trong nửa đầu năm 2017. Tội phạm mạng đang liên tục sử dụng hình thức này với các phương thức ngày càng tinh vi và xảo quyệt hơn nữa.

Mặc dù phần mềm độc hại vẫn là lựa chọn khởi chạy chiến dịch hiệu quả, nhưng tin tặc đang dần chuyển qua sử dụng hình thức lừa đảo trực tuyến và kỹ thuật phi công nghệ để tấn công người dùng.

Theo nghiên cứu từ Trend Micro, do tính chất phát triển phức tạp và nguy hiểm của BEC, những biện pháp bảo mật được cho là hiện đại và tốt nhất hiện nay trở nên “gần như vô dụng” trước các cuộc tấn công. Không thể bị phát hiện bởi phần mềm diệt virus truyền thống, các hình thức lừa đảo BEC được thiết kế chủ yếu bằng phương pháp phi kỹ thuật và đã hạn chế sử dụng phần mềm độc hại, keylogger, công cụ truy cập từ xa.

Tội phạm đang sử dụng các chiến thuật phổ biến sau:

• Tạo cảm giác cấp bách, một yêu cầu quan trọng cần được giải quyết, hoặc thông báo tài chính cần xử lý là những mục thường xuất hiện trong BEC với mục tiêu lừa người dùng rơi vào bẫy. Ví dụ: Một địa chỉ liên hệ trực tuyến hoặc tự giới thiệu là nhân viên / giám đốc tài chính / giám đốc điều hành của một công ty nổi tiếng, nhà cung cấp dịch vụ , đại diện của công ty luật, thậm chí là cơ quan chính phủ gọi đến để yêu cầu chuyển tiền.
• Sử dụng địa chỉ email giả mạo thường xuất hiện công khai khiến người dùng mất cảnh giác để lừa đảo. Các vị trí thường xuyên được tin tặc giả mạo nhiều nhất trong vài năm qua là Giám đốc Tài chính (CFO), Quản lý Tài chính, Giám đốc Điều hành (CEO), Chủ tịch Hội đồng quản trị.
• Tin tặc đánh cắp email người dùng và sử dụng nó để lừa đảo những liên hệ qua địa chỉ đó. Vì email đến từ hộp thư của người dùng hợp pháp, Google hoặc các nhà phát triển sẽ không gắn cờ cảnh báo và sẽ không hiện bất kỳ điều gì đáng ngờ trên địa chỉ người gửi.

Các giải pháp bảo mật hoàn toàn mới là điều cần thiết để ngăn chặn kẻ tấn công bằng BEC với những chiến thuật kể trên. Các kỹ thuật phát hiện BEC đặc trưng trong sản phẩm bảo mật của Trend Micro sử dụng trí tuệ nhân tạo AI và công nghệ học máy (Machine Learning) để chống lại BEC. Công nghệ chống virus Trend BEC kết hợp kiến thức của chuyên gia bảo mật hàng đầu cùng mô hình toán học tự động để xác định email giả, bằng cách xem xét cả yếu tố hành vi và ý định của nội dung thư gửi đến.

Mô hình hoạt động của BEC và Công nghệ chống BEC.

Các kỹ thuật phát hiện Trend Micro BEC sẽ thực hiện theo quy trình ra quyết định của một chuyên gia nghiên cứu bảo mật thông qua một dạng AI hiện đại với tên gọi “Hệ thống Chuyên gia” (Expert System). Hệ thống sẽ kiểm tra email có đến từ nhà cung cấp đáng ngờ hay không, cũng như sự giống nhau của tên miền người gửi đến với tổ chức mà sử dụng trong email.

Hệ thống chuyên gia cũng sẽ kiểm tra xem người gửi có sử dụng tên một Giám đốc điều hành tại tổ chức của người nhận hay không và một số yếu tố khác. Chức năng “Dữ liệu người dùng cao cấp” (High-profile user) sẽ giám sát và cập nhật thường xuyên các địa chỉ email lừa đảo thường gặp cũng như thông tin thực của những nhà lãnh đạo hay được dùng để giả mạo.

Hệ thống chuyên gia cũng có khả năng đánh giá nội dung của một email để giải mã ý định thực thi tiếp đó. Các yếu tố đáng ngờ sẽ bao gồm tính cấp bách, yêu cầu hành động hoặc thực thi tài chính. Không có nội dung nào trong các yếu tố trên là đáng ngờ, nhưng đó là khi nó không đi kèm những mối đe dọa tiềm tàng ẩn sâu trong email gửi đến.

Hệ thống học máy của cơ chế này là kết quả cho Hệ thống Chuyên gia phân tích và ứng dụng thuật toán cung cấp sự tương quan và những trọng số giải mã cần thiết. Qua đó, nó có thể xác định email là thật, giả mạo hay đáng ngờ . Thuật toán học máy đưa ra kết quả dựa trên dữ liệu của hàng triệu email giả mạo cũng như hợp pháp được liên tục cập nhật.

Hiện tại, Trend Micro đang hoàn thành Công nghệ ADN văn bản nhằm ngăn cản email giả mạo bằng cách sử dụng trí tuệ nhân tạo AI để nhận dạng DNA của văn phong từ người dùng, dựa trên các nội dung đã viết trước đây và so sánh với email giả mạo đáng ngờ. Công nghệ này đang được sử dụng trong Trend Micro Cloud App Security (CAS) và ScanMail Suite for Microsoft Exchange (SMEX).

Hệ thống sẽ so sánh phong cách viết trong nội dung email với người gửi qua các tiêu chí sau: chữ viết hoa, viết tắt các từ, dấu chấm câu, các từ chứa liên kết, các từ lặp lại, các từ chức năng, từ riêng biệt, độ dài câu và dòng trống.

Công nghệ học máy hiện đại đang là công cụ quan trọng trong chiến dịch chống lại BEC từ Trend Micro.

Dữ liệu về phong cách viết hiện tại dùng để so sánh đã lên đến con số 7000. Hệ thống này được thiết kế đặc biệt dành cho những người đang bị tin tặc giả mạo danh tính từng ngày, nằm trong “Hồ sơ người dùng cao cấp” của Trend Micro.

Hệ thống phân tích DNA được tích hợp các kỹ thuật bảo mật BEC mới nhất hiện nay, sử dụng Hệ thống Chuyên gia và học máy để phân tích loại email (ví dụ tên nhà cung cấp dịch vụ email), người gửi email (kiểm tra kiểu viết của người gửi email) và mục đích của email (thanh toán tài chính hoặc lý do khẩn cấp).

Khi một email bị nghi ngờ giả mạo người dùng nằm trong “Hồ sơ thông tin cao cấp”, văn phong viết sẽ ngay lập tức được chuyển đến AI và một cảnh báo được gửi đến người gửi, người nhận và bộ phận Công nghệ Thông tin của doanh nghiệp.

Doanh nghiệp cần áp dụng một số phương pháp sau để giữ an toàn cho doanh nghiệp:

• Cẩn thận kiểm tra tất cả email: Hãy cảnh giác với các email bất thường được gửi bởi Giám đốc điều hành cấp cao, vì chúng hay được sử dụng để lừa nhân viên thực hiện những hành động khẩn cấp.
• Nâng cao nhận thức của nhân viên: Chắc hẳn rằng nhân viên chính là nguồn lực đáng quý nhất của công ty, nhưng họ cũng là mắt xích yếu nhất trong hệ thống liên kết khi nói đến bảo mật. Doanh nghiệp nên tổ chức tập huấn nâng cao nhận thức về an ninh mạng cũng như BEC thường xuyên, nhằm trang bị kiến thức tối ưu nhất cho nhân viên biết cách xử lý khi có sự cố xảy ra.
• Lập tức xác minh bất kỳ thay đổi bất thường nào trong mục thanh toán thẻ, tín dụng, tài chính bằng cách thiết lập đăng xuất thứ cấp cho nhân viên của công ty.
• Xác minh các yêu cầu khẩn cấp: Người dùng nên xác thực độ chính xác của các yêu cầu chuyển tiền khi nhận được mã OTP qua điện thoại hay xác thực hai yếu tố, liên lạc với số điện thoại thường xuyên sử dụng, không sử dụng những thông tin liên lạc được gửi trong email.
• Báo cáo ngay lập tức các sự cố cho cơ quan thực thi pháp luật để giải quyết kịp thời hoặc gửi các khiếu nại đến với IC3 (Internet Crime Complaint Center).

Nâng cao nhận thức người dùng là một phần rất quan trọng trong chiến dịch chống lại BEC.

Sức mạnh của trí tuệ nhân tạo AI và công nghệ học máy hiện đại sẽ là công cụ quan trọng giúp chúng ta chống lại các mối đe dọa từ những kẻ tấn công trong tương lai.

Trend Micro đang xem xét các kịch bản tấn công của tội phạm không gian mạng hiện nay và trong tương lai để đưa ra những biện pháp bảo mật hiệu quả. Trong năm 2017, Trend Micro đã dự đoán rằng các cuộc tấn công bằng ransomware sẽ phát triển mạnh mẽ. Sự cố WannaCry, các cuộc tấn công Petya, Locky&FakeGlobe và Bad Rabbit đã gây ra những ảnh hưởng không nhỏ đến người dùng.

Với sự phát triển nhanh chóng hiện nay của đồng tiền kỹ thuật số, tội phạm công nghệ cao có thể sẽ sử dụng phương thức tấn công mạnh mẽ hơn nữa vào các dữ liệu quan trọng của người dùng để tống tiền. Các dạng Ransomware-as-a-service (RaaS) được cung cấp trong các diễn đàn hoạt động ngầm và deepweb, các cuộc tấn công quy mô lớn vào đồng tiền Bitcoin rất có thể sẽ nhanh chóng diễn ra.

Các giai đoạn phát triển của Ransomware trong những năm qua.

Dấu hiệu nhận biết sự nguy hiểm rõ ràng nhất của các tội phạm công nghệ cao trong thời gian qua đó là chúng nhắm thẳng vào các hình thức đánh cắp tiền hoặc tống tiền người dùng. Các phần mềm độc hại hoặc các payload ẩn qua nhiều cách sẽ chiếm đoạt thông tin giao dịch ngân hàng cũng như thông tin cá nhân của người dùng.

Phần mềm độc hại với hình thức mới xuất hiện dưới dạng các chương trình diệt virus giả mạo (FAKEAV). Theo đó, người dùng bị lừa gạt khi tải phần mềm và bắt buộc phải trả tiền để lấy lại quyền truy cập thiết bị của mình.

Những bước đầu thành công trong việc dùng ransomware đã thúc đẩy tội phạm không gian mạng tìm cách tấn công vào các mục tiêu lớn hơn nữa với mức tiền chuộc cao hơn. Bọn tội phạm thực hiện các chiến dịch lừa đảo, gửi đi các email chứa ransomware hàng loạt để đảm bảo sẽ có người dùng bị tấn công.

Bên cạnh đó, để tìm kiếm những khoản tiền lớn hơn, chúng tấn công vào mục tiêu là các tổ chức lớn, ưu tiên doanh nghiệp hoạt động trong ngành Công nghiệp Internet Vạn vật (IIoT – Industrial Internet of Things). Một cuộc tấn công bằng ransomware sẽ làm gián đoạn hoạt động và gây ảnh hưởng đến dây chuyền sản xuất.

Cuộc tấn công bởi WannaCry và Petya là minh chứng cho việc đó. Các công ty phải trả một khoản tiền lớn để lấy lại những thông tin của họ. Tuy nhiên, khi các công ty đã tìm ra giải pháp để ngăn chặn nguy cơ này, những biến thể ransomware mới xuất hiện với việc sử dụng các lỗ hổng bảo mật để đánh cắp thông tin.

Trend Micro dự đoán rằng mục tiêu tấn công hàng đầu của tin tặc trong năm 2018 là các thiết bị IoT (Internet of Things). Máy quay video kỹ thuật số (DVR), Camera IP và Router có thể bị xâm nhập và phá hoại. Bên cạnh đó, bằng việc thực hiện các cuộc tấn công DDoS, tin tặc sử dụng địa chỉ IP của IoT bị tấn công để giả mạo vị trí và lưu lượng truy cập web. Từ đó, chúng sẽ thực hiện các cuộc tấn công mạng khác mà không sợ bị các cơ quan an ninh mạng tra rõ vị trí IP.

Với xu hướng sử dụng rộng rãi thiết bị IoT hiện nay, các nhà sản xuất liên tục đưa những sản phẩm mới để cạnh tranh thị trường. Vì vậy, nhiều bản thiết kế của các thiết bị IoT đều xuất hiện lỗ hổng. Chưa kể, việc vá lỗi trên các thiết bị IoT cực kỳ khó khăn so với PC. Cuộc tấn công KRACK đã chứng minh rằng ngay cả những thiết bị kết nối không dây cũng có thể bị tấn công bởi tin tặc. Tương tự, tin tặc tấn công vào các thiết bị cá nhân như loa không dây hay các công cụ trợ lý bằng giọng nói để xác định vị trí nhà ở người dùng và thực hiện các vụ cướp tài sản.

Gần đây xuất hiện các vụ tấn công vào lĩnh vực hàng không của tin tặc, tiêu biểu là tai nạn hoặc va chạm máy bay diễn ra thường xuyên. Vì vậy, Trend Micro cảnh báo nguy cơ tội phạm công nghệ cao sẽ nhắm mục tiêu vào hệ thống máy bay không người lái. Được biết, có hàng trăm nghìn chiếc máy bay không người lái hiện đang “lơ lửng” trên không phận của Mỹ. Nếu điều này thật sự diễn ra, thảm họa 11 tháng 9 thậm chí có thể tái hiện thêm lần nữa tại quốc gia này.

Ngoài ra, Trend Micro còn phát hiện ra các trường hợp tin tặc tấn công vào lỗ hổng bảo mật trên các thiết bị hỗ trợ y tế như máy đo nhịp tim hay theo dõi sinh trắc học. Việc tin tặc truy cập để đánh cắp và thay đổi thông tin từ các thiết bị này có nguy cơ gây tử vong cho người dùng.

Các cơ quan quản lý và nhà sản xuất nên nhìn nhận lại rằng không phải tất cả thiết bị IoT có tính năng bảo mật được tích hợp sẵn đều an toàn. Các thiết bị này nên được đánh giá rủi ro, thay đổi mật khẩu mặc định và thường xuyên được cập nhật phần mềm.

Theo thống kê của Cục điều tra Liên bang Mỹ (FBI), Thư điện tử BEC (Business Email Compromise) đã được ghi nhận xuất hiện ở hơn một trăm quốc gia và tăng 2,37% so với số lượng trong khoảng giữa tháng 1 năm 2015 đến tháng 12 năm 2016. Cách thức này cực kỳ đơn giản, không tốn nhiều thời gian để theo dõi mà phạm vi ảnh hưởng rất lớn, số tiền kiếm được nhanh chóng. Điều này được chứng minh qua số tiền bị đánh cắp là hơn 5 tỷ USD đã được ghi nhận lại bởi FBI trong năm 2016.

Số tiền thiệt hại có thể lên đến 9,1 tỷ USD theo tình hình phát triển của MEC hiện nay.

Trend Micro dự đoán việc sử dụng BEC giả mạo sẽ còn gia tăng hơn nữa trong năm 2018, những tổn thất do hình thức này mang lại có thể lên đến 9 tỷ USD. Mục tiêu chủ yếu của tin tặc là các ngân hàng lớn.

Cụ thể, tin tặc sẽ đánh cắp thông tin cá nhân của Giám đốc Điều hành các ngân hàng, tạo chữ ký và email giả mạo, gửi đến người dùng để yêu cầu nộp khoản tiền đặt cọc. Bên cạnh đó, những kẻ tấn công còn có thể lên những kế hoạch dài hạn với nhiều thao tác hơn để nhắm vào bộ phận tài chính ở các ngân hàng.

Tuy nhiên, hệ thống doanh nghiệp sẽ không phải là mục tiêu duy nhất của tội phạm không gian mạng. Vào năm 2018, Trend Micro hy vọng sẽ cố gắng hơn nữa để tìm ra và khắc phục các lỗ hổng bảo mật trên nền tảng của Adobe và Microsoft, tập trung chủ yếu trên trình duyệt và máy chủ.

Trong năm qua, các lỗ hổng bảo mật của Adobe Flash Player, Oracle của Java và Microsoft Silverlight trở thành mục tiêu tấn công của tin tặc. Tuy nhiên, Trend Micro tiên đoán rằng các nguy cơ trong năm 2018 sẽ chủ yếu nhằm vào công cụ JavaScript trên các trình duyệt. Các lỗi tương tự như Google Chrome’s V8, Chakra của Microsoft Edge hay lỗ hổng trên trình duyệt của JavaScript sẽ xuất hiện nhiều hơn nữa vào năm 2018.

Những kẻ tấn công sẽ tập trung vào việc khai thác các lỗ hổng bảo mật để đưa các payload nguy hiểm xuống thiết bị người dùng. Trend Micro dự đoán rằng việc sử dụng SMB (Server Message Block) và Samba nhằm mục đích phát tán ransomware sẽ mạnh mẽ hơn nữa trong 2018. Các lỗ hổng của SMB có thể được khai thác mà không cần sự tương tác từ người dùng.

Trên thực tế, lỗ hổng SMB đã được sử dụng trong vụ tấn công bằng EternalBlue làm tê liệt nhiều hệ thống chạy trên Windows dưới dạng WannaCry và Petya Ransomware hay EternalRomance bằng Bad Rabbit. Nguồn mở Samba trên Linux cũng có khả năng khai thác lỗ hổng SMB tương tự vậy.

Người dùng cá nhân và doanh nghiệp nên thường xuyên kiểm tra các bản cập nhật phần mềm và áp dụng bản vá lỗi. Trend Micro khuyên bạn nên tích hợp tính năng bảo mật cần thiết để bảo vệ các nền tảng chống lại lỗ hổng bảo mật chưa được vá và không được cập nhật. Các giải pháp bảo mật về mạng nên tập trung vào việc thực hiện các bản vá trực tuyến và thường xuyên kiểm tra lưu lượng bất hợp lý từ mọi nguồn. Và hơn hết, việc cập nhật tin tức về các vấn đề bảo mật hàng ngày là cực kỳ quan trọng trong thời đại công nghệ hiện nay.

Vừa qua, báo cáo The Fake News Machine: How Propagandists Abuse the Internet and Manipulate the Public đã chỉ ra về việc lập kế hoạch, chiến lược và hành động tập thể của chiêu trò chia sẻ tin tức giả mạo tràn lan trên mạng.

Trong báo cáo của mình, Trend Micro xác định ba yếu tố thiết yếu cho việc tạo ra tin giả – các công cụ và dịch vụ, việc truyền bá thông điệp qua các mạng có liên quan, việc sử dụng các phương tiện truyền thông mới nhất của Internet.

“Tất nhiên, đối với các công cụ và dịch vụ có thể được sử dụng, mạng xã hội được xem là nền tảng truyền bá tuyên truyền mạnh mẽ nhất. Nhóm nghiên cứu của Trend Micro đã nhấn mạnh các mạng xã hội là một trong những yếu tố tiềm năng nhất trong lan truyền tin giả. Bởi lẽ ngày nay người dùng dành nhiều thời gian hơn cho mạng xã hội thay vì lướt các trang web này để có được các thông tin mới nhất.”

Động lực đằng sau toàn bộ các chiến dịch tuyên truyền giả mạo này là thực hiện các chương trình quảng cáo hoặc nghị sự chính trị. Bằng cách này, các chính phủ sẽ thao túng ý kiến ​​công chúng, còn các doanh nghiệp sẽ bán được nhiều hàng và làm lợi hơn với hoạt động kinh doanh của mình.

“Đáng ngạc nhiên là Trend Micro thấy rằng các chiến dịch lan truyền tin tức giả mạo không phải lúc nào cũng được thực hiện độc lập mà còn thông qua các chương trình lớn có hệ thống và tổ chức hẳn hoi, có thể nói là vô cùng bài bản”, đại diện Trend Micro cho hay.

Như Quỳnh

Nhiều ngân hàng đã phát đi cảnh báo về nguy cơ mất an toàn, thậm chí có những ngân hàng đã đóng băng tính năng thanh toán trực tuyến đối với các chủ thẻ có giao dịch với Vietnam Airlines để bảo vệ khách hàng.

Nhiều ngân hàng lên tiếng cảnh báo khách hàng. Ảnh minh họa: Internet

Ngay sau 2 cuộc tấn công của tin tặc vào hệ thống website và hệ thống điều khiển thông tin tại Cảng hàng không Nội Bài ngày 29/7, trên mạng Internet đã xuất hiện thông tin nhóm hacker công bố 4 file tập hợp danh sách của hơn 410.000 tài khoản hội viên chương trình Bông Sen Vàng của Vietnam Airlines. Trong danh sách nhóm tin tặc công bố có đầy đủ thông tin: ngày gia nhập, điểm tích lũy, ngày hết hạn…

Sau sự việc, Ngân hàng Nhà nước Việt Nam (NHNN) đã có văn bản số 1002/CNTH8 về việc cảnh báo tình hình tội phạm tấn công các hệ thống công nghệ thông tin (CNTT) quan trọng của Việt Nam gửi các tổ chức tín dụng và các tổ chức trung gian thanh toán.

Trong công văn của mình, NHNN cũng đề nghị các tổ chức tín dụng và các tổ chức trung gian thanh toán triển khai, thực hiện ngay việc rà soát, kiểm tra tình hình an toàn an ninh hệ thống CNTT của đơn vị mình, đặc biệt là các hệ thống cung cấp dịch vụ cho khách hàng trên mạng Internet (hệ thống website, Internet banking,…). Tăng cường các biện pháp an ninh bảo mật hệ thống CNTT, đảm bảo hệ thống luôn hoạt động liên tục, dữ liệu được sao lưu và phục hồi khi cần thiết. Đồng thời, tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký (log) của các hệ thống CNTT quan trọng để kịp thời phát hiện và xử lý các lỗ hổng bảo mật, các truy nhập trái phép, các cuộc tấn công (nếu có).

Cụ thể, trong thông báo ngày 31/7, Ngân hàng Ngoại thương Việt Nam (Vietcombank) cho rằng việc tin tặc tấn công vào các trang mạng lớn như vietnamairlines.com trong ngày 29/7 vừa qua là một cảnh báo cho mối nguy hiểm về tội phạm công nghệ nhằm đánh cắp thông tin cá nhân của khách hàng để thực hiện các hành vi gian lận. Không loại trừ khả năng tin tặc tiếp tục tấn công vào các trang mạng khác.

Để thông tin về thẻ của khách hàng được bảo mật an toàn, Vietcombank đã và đang áp dụng các biện pháp giám sát chặt chẽ các giao dịch của chủ thẻ để kịp thời phát hiện, ngăn chặn và cảnh báo tới chủ thẻ đối với các giao dịch bất thường. Đồng thời, khuyến cáo khách hàng cẩn trọng lựa chọn các trang mạng uy tín khi sử dụng thẻ; không truy cập, tải những chương trình từ những trang mạng không hợp pháp hoặc không xác định được nguồn gốc và cài đặt vào máy tính cá nhân của mình; không mở những tập tin được gửi từ các thư điện tử lạ.

Về phía mình, trong thông báo phát đi, Ngân hàng Kỹ thương Việt Nam (Techcombank) tạm ngưng hai chương trình khuyến mãi có liên kết với Vietnam Airline để bảo vệ khách hàng của mình.

Techcombank nhận định, đại đa số các chủ thẻ quốc tế Visa của Techcombank đã được ứng dụng bảo mật 3D sercurity để nhận mật khẩu sử dụng một lần (OTP) khi giao dịch thanh toán qua Internet nên căn bản là an toàn. Tuy nhiên, sự việc này vẫn tiềm ẩn rủi ro đối với những khách hàng từng phát sinh giao dịch thanh toán online qua website Vietnam Airlines khi tin tặc có thể sử dụng một số dữ liệu thu được (nếu có) trong sự cố vừa qua (số thẻ, ngày đến hạn…) để thực hiện các giao dịch giả mạo tại những web thanh toán chưa có tính năng bảo mật 3D Security.

Trong khi đó, thông tin từ một số khách hàng của Ngân hàng Công Thương Việt Nam (VietinBank) cho biết đã nhận được tin nhắn thông báo về việc khóa chức năng thanh toán trực tuyến đối với các chủ thẻ tín dụng có giao dịch với Vietnam Airlines.

Cũng trong chiều ngày 1/8, trong thông cáo mới nhất vừa được cập nhật trên website chính thức của hãng, Tổng Công ty Hàng không Việt Nam (Vietnam Airlines) thông báo sẽ tạm ngừng các chức năng trực tuyến đối với chương trình Bông Sen Vàng.

Theo ICT News

Lỗ hổng cài mã điều khiển từ xa bị phát hiện vào khoảng tháng 4 năm 2012 là lỗ hổng khai thác phổ biến nhất trong các cuộc tấn công có mục tiêu nửa cuối năm 2013 dù cho đã có bản vá cho nó hơn hai năm trước.
Christopher Budd, giám đốc truyền thông về các mối đe dọa của Trend Micro cho biết, lỗ hổng CVE-2012-0158 tác động đến các chức năng điều khiển thông thường của Windows. Nó ảnh hưởng đến khá nhiều chương trình, nhưng đáng chú ý nhất là Office.
Có đến 76% cuộc tấn công có mục tiêu ở nửa sau năm 2013 đã khai thác lỗ hổng này. Ngoài ra, CVE-2010-3333 (lỗ hổng tràn bộ nhớ đệm trên stack trong các bản Office) chỉ được khai thác trong 10% các cuộc tấn công.
“Lỗ hổng này được khai thác rộng rãi trong các cuộc tấn công có mục tiêu vì nó cho phép tội phạm thực hiện các mã lệnh thông qua những văn bản Office độc hại đính kèm qua email. Thực tế thì mọi người không vá các lỗ hổng cũ trong khi CVE-2012-0158 là lỗ hổng được nhắm đến số một trong cáccuộc tấn công có mục tiêu” ông Budd nhận định.
Theo phát hiện mới đây của các nhà nghiên cứu bảo mật Trend Micro thì lỗ hổng bị khai thác trong một cuộc lừa đảo gửi email với tiêu đề “BREAKING: Plane Crash in Laos Kills Top Government Officials” (Tin mới: vụ rơi máy bay tại Lào làm thiệt mạng các quan chức chính phủ cấp cao). Ông Budd không cho biết mục tiêu mà chúng nhắm đến là ai.
Các tập tin đính kèm email gồm có hai file JPG và một file nén có khả năng chứa TROJ_MDROP.TRX. Một khi lỗ hổng CVE-2012-0158 bị khai thác, nó sẽ tạo ra một cổng sau là biến thể BKDR_FARFLI.
Cổng sau này điều khiển máy nạn nhân và ăn cắp thông tin, bao gồm thông tin bộ xử lý và thông tin kiến trúc hệ thống, tên máy tính và tên người dùng, thông tin mạng và thiết lập proxy, ngoài ra, nó còn liên lạc với máy chủ điều khiển và kiểm soát (C&C) tại Hồng Kông.
Người dùng nên cập nhật các bản vá mới nhất của Windows để bảo vệ mình trước những hiểm họa từ loại mã độc nói trên.
TUẤN AN

HouseCall sẽ được bổ sung vào hệ thống hiện có của Facebook và giúp giảm thiểu các mối đe dọa khi nó phát hiện và cảnh báo người dùng những động thái nguy hiểm có khả năng tấn công bảo mật và sự riêng tư của họ.
Người dùng có khả năng bị tấn công sẽ được Facebook xác định và thông báo kèm tùy chọn tải về bản HouseCall miễn phí giúp kiểm tra và loại bỏ phần mềm độc hại. Sau khi tải về, HouseCall sẽ quét tài khoản người dùng, và họ vẫn có thể tiếp tục sử dụng Facebook trong quá trình quét. Sau khi hoàn tất, một thông báo sẽ cho người dùng biết liệu có quét thành công hay không.
Ông Kevin Simzer, giám đốc marketing tại Trend Micro cho biết: “HouseCall sẽ bảo vệ thêm người dùng Facebook chống lại các cuộc tấn công dùng phần mềm độc hại mà khi trực tuyến chúng ta có thể gặp phải. Quá trình quét cho phép người dùng tiếp tục trực tuyến trong một môi trường an toàn hơn mà không vô tình chia sẻ nội dung độc hại. HouseCall giúp mạng xã hội Facebook an toàn hơn”.
Với sự tiện dụng như hiện nay, tài khoản và thiết bị người dùng Facebook có thể sử dụng các công cụ diệt virus miễn phí của Trend Micro để quét và dọn sạch hệ thống của họ.
Thông tin chi tiết xem tại: http://housecall.trendmicro.com/

TUẤN AN

Phần mềm độc hại này đã xuất hiện được một thời gian, nhưng gần đây Trend Micro phát hiện một loại mới là Crigent (còn gọi là Power Worm) với những phương thức mới.

Mối đe dọa này xuất hiện dưới dạng một tài liệu Word hoặc Excel độc hại mà người dùng có thể tải về hay truy cập. Sau khi mở ra, ngay lập tức nó tải thêm hai phần mở rộng từ hai mạng ẩn danh nổi tiếng là mạng lưới Tor và Polipo (một cache/proxy web cá nhân).

Ở giai đoạn đầu của cuộc tấn công, tội phạm mạng nhắm vào một lỗ hổng trên Windows PowerShell để ăn cắp thông tin hệ thống quan trọng của nạn nhân, bao gồm địa chỉ IP, vị trí, tài khoản người dùng, phiên bản hệ điều hành, kiến trúc, ngôn ngữ, cũng như các ứng dụng Microsoft Office và phiên bản Office đang chạy.

PowerShell là một trình tiện ích dòng lệnh và ngôn ngữ kịch bản sẵn có ở tất cả các phiên bản Windows hiện nay và được xây dựng trước đó trên Windows7 và Windows 8. Sử dụng PowerShell là việc không điển hình, cho thấy đây chỉ là giai đoạn đầu trong một chiến dịch lớn hơn.

Mục đích của cuộc tấn công là thu thập thông tin để tận dụng trong các chiến dịch hiện tại hoặc sau này. Thông tin đặc biệt mà tội phạm muốn thu thập là các phiên bản và ứng dụng Microsoft Office.

Việc sử dụng mạng lưới ẩn danh Tor và Polipo thực sự nguy hiểm vì nó che đậy các động thái trực tuyến của tội phạm. Phần mềm độc hại sử dụng mạng lưới Tor khiến hệ thống đã bị lây nhiễm liên lạc với máy chủ chỉ huy và kiểm soát (C &C) để có thêm chỉ dẫn, cụ thể là truyền thông tin thu thập được cho bộ thu nhận trung tâm. Tội phạm mạng tận dụng khả năng ẩn danh của mạng lưới Tor bằng nhiều cách khác nhau.

Các cuộc tấn công sử dụng mạng lưới Tor đang là vấn đề mà cộng đồng an ninh phải đối mặt. Tội phạm mạng có thể sẽ gây nên một làn sóng tấn công tân tiến sử dụng mạng lưới Tor vào đầu quí 2 năm nay.

NHẬT TRƯỜNG

[youtube id=”eLG2NRhAE7I” width=”620″ height=”360″]