Tấn công giả mạo (thuật ngữ gốc tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu cá[1], có thể ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại người khác không trả phí,[2][3] ám chỉ việc "nhử" người dùng tiết lộ thông tin mật), trong lĩnh vực bảo mật máy tính, là một hành vi giả mạo ác ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng. Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh[4],
và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo. Tấn công giả mạo là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng,[5] và khai thác sự bất tiện hiện nay của công nghệ bảo mật web.[6] Để chống lại hình thức tấn công lừa đảo ngày càng tăng, người ta đã nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện cho người dùng, cảnh báo công chúng, và tăng cường an ninh kĩ thuật.
Một kĩ thuật tấn công lừa đảo đã được mô tả chi tiết vào năm 1987, và thuật ngữ "phishing" được ghi nhận sử dụng lần đầu tiên vào năm 1996.
Lịch sử và hiện trạng
Một kĩ thuật tấn công giả mạo đã được mô tả chi tiết vào năm 1987, trong một bài báo khoa học và thuyết minh của Nhóm Người dùng HP Toàn cầu, Interex.[7] Thuật ngữ "phishing" được đề cập lần đầu tiên trên nhóm tinUsenet alt.online-service.America-online vào ngày 2 tháng 1 năm 1996,[8]
dù thuật ngữ này có thể đã xuất hiện từ trước đó trong bản in của tạp chí dành cho hacker 2600.[9]
Những vụ giả mạo đầu tiên trên AOL
Vụ lừa đảo trên AOL có liên hệ mật thiết đến cộng đồng warez, nơi trao đổi phần mềm đã bẻ khóa và cách dàn cảnh để sử dụng số thẻ tín dụng giả cùng các hành vi tội phạm trực tuyến khác. Sau khi AOL đưa vào một số biện pháp để chống việc sử dụng số thẻ tín dụng giả được tạo ra bằng máy tính để mở tài khoản vào cuối năm 1995, những tay bẻ khóa AOL chuyển qua hình thức giả mạo để lấy tài khoản thật[10] và khai thác AOL.
Một tên giả mạo có thể giả làm nhân viên của AOL và gửi một tin nhắn nhanh tới nạn nhân, yêu cầu người đó tiết lộ mật khẩu truy cập của mình.[11] Để lừa nạn nhân tiết lộ thông tin nhạy cảm, thông báo thường có những câu mệnh lệnh như "xác thực tài khoản" hay "xác nhận thông tin hóa đơn". Một khi nạn nhân đã tiết lộ mật khẩu, kẻ tấn công sẽ có thể truy cập và sử dụng tài khoản của nạn nhân để lừa đảo hoặc gửi thư rác. Việc tấn công giả mạo lẫn bẻ khóa phần mềm trên AOL nói chung đều cần các chương trình viết tay, kiểu như AOHell. Những vụ lừa đảo xảy thường xuyên trên AOL đến mức họ phải thêm một dòng vào mọi tin nhắn nhanh trong đó ghi: "sẽ không có một ai làm việc tại AOL yêu cầu mật khẩu hoặc thông tin hóa đơn của bạn hết", dù điều này cũng không ngăn được vài người tiếp tục trao mật khẩu và thông tin cá nhân nếu họ đọc và tin ngay vào tin nhắn.
Sau năm 1997, người ta thi hành chính sách của AOL đối với trò giả mạo và bẻ khóa chặt chẽ hơn và bắt buộc xóa các phần mềm bẻ khóa ra khỏi máy chủ AOL. AOL đồng thời cũng phát triển một hệ thống thường xuyên đóng những tài khoản nào có liên quan đến việc giả mạo, thường là trước khi nạn nhân có thể phản hồi. Việc cấm chỉ các hoạt động truyền bá phần mềm lừa đảo trên AOL khiến cho các tay giả mạo không dùng dịch vụ này nữa, và nhiều người trong số này—thường là những người trẻ tuổi—bắt đầu vượt hơn là sở thích thông thường.[12]
Chuyển từ AOL sang các cơ sở tài chính
Ăn cắp được thông tin tài khoản của AOL khiến cho những tay tấn công giả mạo bắt đầu lạm dụng thông tin thẻ tín dụng của người khác, và nhận ra rằng chúng hoàn toàn có thể tấn công các hệ thống chi trả trực tuyến. Một nỗ lực tấn công được biết đến đầu tiên vào hệ thống chi trả đã ảnh hưởng đến E-gold vào tháng 6 năm 2001, tiếp theo đó là trò "kiểm tra mã số sau ngày 11 tháng 9" ngay sau Vụ tấn công Trung tâm Thương mại Thế giới ngày 11 tháng 9.[13] Vào thời điểm đó cả hai đều được xem là thất bại, nhưng hiện tại có thể xem chúng là những lần thử nghiệm đầu tiên nhằm vào các ngân hàng lớn. Đến năm 2004, tấn công giả mạo được thừa nhận là một bộ phận hoàn toàn công nghiệp hóa của ngành kinh tế tội phạm: sự chuyên nghiệp hóa đã xuất hiện ở phạm vi toàn cầu để cung cấp tiền mặt đã được kết hợp vào các cuộc tấn công.[14][15]
^Felix, Jerry and Hauck, Chris (1987). “System Security: A Hacker's Perspective”. 1987 Interex Proceedings. 1: 6.Quản lý CS1: nhiều tên: danh sách tác giả (liên kết)
^“Phishing”. Word Spy. Bản gốc lưu trữ ngày 15 tháng 10 năm 2014. Truy cập ngày 28 tháng 9 năm 2006.
^Stutz, Michael (ngày 29 tháng 1 năm 1998). “AOL: A Cracker's Paradise?”. Wired News. Bản gốc lưu trữ ngày 22 tháng 12 năm 2005. Truy cập ngày 4 tháng 5 năm 2010.