WholeSecurity, một hãng bảo mật Internet tại Texas vừa phát hành một chương trình giúp phát hiện và lật mặt phishing - một dạng lừa đảo trực tuyến ngày một phổ biến hiện nay.
Phishing mở màn bằng một email giả danh một công ty hợp pháp, như eBay hoặc Citibank, với nội dung thông báo rằng thông tin tài khoản của người sử dụng đã hết hạn, hoặc đại loại như vậy. Người nhận sẽ được hướng dẫn kích vào một đường link chỉ tới một... website giả. Site này sẽ yêu cầu họ cung cấp những thông tin bí mật như số thẻ tín dụng hoặc số tài khoản cá nhân. Hậu quả: Người nhận mất sạch tiền trong tài khoản mà vẫn bàng hoàng chẳng hiểu vì sao!
Một ứng dụng không xa lạ
WholeSecurity là một trong số những hãng phát triển công nghệ báo động lừa đảo phishing dạng này. Sản phẩm Web Caller-ID của họ hiện đang được eBay sử dụng và tích hợp vào thanh công cụ Internet dưới dạng tính năng bảo vệ tài khoản. Tính năng này phát hiện những website lừa đảo, giả mạo eBay hoặc PayPal với độ chính xác lên tới 98%. Với công cụ này, người sử dụng sẽ được cảnh báo mỗi khi truy cập vào những site lừa đảo.
Sau eBay, hiện WholeSecurity đang có kế hoạch cấp giấy phép sử dụng phần mềm Web Caller-ID sang các doanh nghiệp làm ăn giao dịch qua mạng khác. Mục tiêu nhắm đến chủ yếu của họ lúc này là các ngân hàng, hãng tín dụng, viện tài chính và các hãng bán lẻ qua mạng.
Các hãng này có thể phát hành phần mềm trực tiếp tới người sử dụng hoặc tích hợp thành một tính năng gián tiếp trên thanh công cụ duyệt Web. Họ cũng có thể lựa chọn đăng ký dịch vụ xử lý email từ WholeSecurity để nhận được những thông tin mới nhất về phishing scam từ thư rác cùng những lời phàn nàn mà người tiêu dùng phản hồi cho WholeSecurity.
Một console (thiết bị đầu - cuối) quản lý dựa vào trình duyệt Web sẽ cho phép nhà quản trị site xem các trang tình nghi là giả mạo cũng như điều chỉnh công nghệ Web Caller-ID để phù hợp hơn với website riêng của hãng.
Không thể dừng lại ở "khúc dạo đầu"...
Theo Howard Schmidt, cựu cố vấn an ninh mạng của Nhà trắng, nay là giám đốc thông tin bảo mật của eBay, Web Caller-ID không phải là phương thuốc toàn năng để chữa trị triệt để vấn nạn phishing, song nó là một dạo đầu hoàn hảo để cung cấp giải pháp tổng hợp đối phó lại scam.
Nguyên lý hoạt động của Web Caller-ID: Phân tích các địa chỉ Web để dò tìm những đầu mối cho biết site đó có giả mạo hay không. Lấy thí dụ, nếu URL dài và lẩn quẩn, hoặc nếu nó chứa một dãy chữ số dài ngoằng được ngăn cách bởi dấu chấm trong địa chỉ IP, nhiều khả năng đấy chính là site mạo danh. Chương trình này cũng kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng như có phải người điều hành site đó đang sử dụng một dịch vụ hosting miễn phí? Tất cả những dấu hiệu đó đều rung chuông báo động về một trò phishing rành rành.
Tuy nhiên, việc tăng cường giáo dục nhận thức cho người sử dụng và siết chặt các biện pháp bảo mật từ phía chính các ngân hàng, hãng bán lẻ trực tuyến và viện tài chính mới là yếu tố không thể thiếu để bảo vệ người tiêu dùng trước những trò lừa bịp tinh vi qua mạng.
... Bởi hiểm hoạ tăng theo cấp số mũ
Tính tới nay, hàng triệu người trên thế giới đã trở thành con mồi của trò lừa đảo phishing này. Theo các chuyên gia bảo mật, số lượng email và website giả mạo lưu thông trên mạng đã tăng theo cấp số mũ trong vòng 12 tháng qua.
Chỉ trong tháng 6, đã có tới 1422 vụ tấn công mới được thông báo lại cho Nhóm nghiên cứu chống phishing, tăng 19% so với tháng 5. Còn tính từ đầu năm 2004 trở lại đây, số báo cáo về các cuộc tấn công đã tăng trung bình 52% mỗi tháng.
Một cuộc thăm dò trong 5.000 người lớn sử dụng Internet do Hãng nghiên cứu Gartner tiến hành hồi tháng 4 cho biết: Có tới 3% trong số này từng cung cấp thông tin cá nhân và tài chính cho những website giả mạo. Kết quả của cuộc thăm dò cho phép Gartner đưa ra ước tính: Có tới 30 triệu người từng trải qua tình huống bị tấn công phishing và 1,78 triệu người trong số đó không may đã trở thành nạn nhân của dạng lừa đảo này.
Hiện nay, ngoài WholeSecurity còn có EarthLink, Webroot Software và PostX cùng phát hành những sản phẩm chống phishing. Ngay Microsoft và Yahoo! cũng đang nghiên cứu những chương trình tương tự.
Dưới đây là danh sách một số site giả mạo mà Web Caller-ID đã phát hiện được. Hãy ghi nhớ và cảnh giác với bất cứ email nào được gửi đi hoặc khuyên bạn truy cập vào những địa chỉ này.
AOL
Bank Of America
CitiBank
eBay
Fleet
MSN
Paypal
Sun Trust Bank
US Bank
Wells Fargo
Yahoo
Cầm Thi (Tổng hợp từ CNET, WholeSecurity và PC World)