Lỗi website tạo cơ hội khai thác thông tin cá nhân

Những kẻ chuyên gửi thư rác (spammer) và lừa đảo trực tuyến (phisher) đang lợi dụng sơ hở trong phương pháp quản lý e-mail của các trang web để lấy thông tin người dùng.

Cứ 10 website yêu cầu khách hàng điền địa chỉ e-mail trong quá trình đăng ký thì có tới 8 trang trở thành mục tiêu của hoạt động thu thập hồ sơ cá nhân mang mục đích xấu (từ nơi ở, sở thích đến quan điểm chính trị, tình trạng sức khỏe, hay xu hướng tình dục...), để tạo thư rác có nội dung thu hút sự chú ý của người dùng...

Những kẻ lừa đảo trực tuyến cũng có thể dùng hồ sơ này để thực hiện các âm mưu lừa đảo tinh vi và thuyết phục hơn. Người dùng Internet sẽ dễ dàng rơi vào bẫy nếu phisher biết họ là khách hàng của một trang web cụ thể như kinh doanh rượu... Thông điệp lừa đảo khi đó sẽ có nội dung kiểu: "Chúng tôi khẳng định có người đã sử dụng thẻ tín dụng của bạn để mua bán trái phép tại Wine.com. Hãy click vào kết nối dưới đây để xác minh thông tin thẻ của bạn..."

Có hai kiểu tấn công chủ yếu là "registration attack" (tấn công qua đăng ký) và "password reminder attack" (tấn công qua nhắc mật khẩu).

Với registration attack, spammer sẽ cố gắng đăng ký hàng nghìn địa chỉ e-mail - nhờ sử dụng các đoạn mã tự động - vào một website. Do các site sẽ ngay lập tức báo lỗi nếu địa chỉ nào đó đã được sử dụng, tin tặc có thể thống kê được những e-mail vẫn đang có hiệu lực.

Kiểu tấn công password reminder cũng là cách để xác minh địa chỉ người dùng trên một website cụ thể. Spammer yêu cầu trang web nhắc mật khẩu tới e-mail nhất định, như xyz@domain.com. Nếu không có địa chỉ nào như thế từng đăng ký, trang web sẽ phản hồi tức thì. Nếu tồn tại e-mail, những kẻ lừa đảo cũng sẽ nhận được một thông báo rằng mật khẩu đã gửi đến địa chỉ đó, nhờ vậy khẳng định tính hiệu lực của e-mail.

"Với cách thức tấn công này, spammer có thể dễ dàng tạo ra hồ sơ chi tiết về người dùng qua địa chỉ e-mail của họ", Reshef, chuyên gia tại hãng bảo mật Blue Security (Mỹ), cho biết. "Dựa trên thông tin trong trang web mà e-mail đó đăng ký, spammer có thể rút ra một số kết luận nhất định về chủ nhân và tiến hành gửi thư rác".

Nhiều trang web như Friendster, Google, PayPal, và Yahoo đã tự bảo vệ mình trước những kiểu tấn công này bằng việc yêu cầu người dùng đọc và gõ lại một số ký tự trong bảng cho sẵn. Thủ thuật này ngăn spammer tạo mã tự động để tiến hành những cuộc tấn công qua đăng ký và nhắc mật khẩu hàng loạt.

Phương Thúy (theo PC World)