Tính năng giám sát tên miền trùng của Infoblox giúp giảm nguy cơ xảy ra sự cố an ninh mạng

Để đáp ứng với những thay đổi quan trọng trong cảnh báo mối đe dọa vào đầu năm, Infoblox đã giới thiệu một số khả năng đột phá tại Hội nghị RSA năm nay tại San Francisco. Tập trung vào tính năng Giám sát Tên miền Giống nhau Tùy chỉnh, có sẵn trong BloxOne Threat Defense, những khả năng mới này cung cấp một phản ứng đáng kể đối với việc sử dụng các tên miền giống nhau bởi các tác nhân mối đe dọa, bao gồm các chiến thuật gần đây hơn như mô phỏng hệ thống xác thực đa yếu tố (MFA) để đánh cắp thông tin đăng nhập. Đa phần các giải pháp giảm thiểu nguy cơ an ninh mạng đã có đăng tại trang Exclusive Network Vietnam.

Sau đây là một tóm tắt về các xu hướng chính và nghiên cứu từ Nhóm Tình báo Mối đe dọa (TIG) của Infoblox về cách tên miền giống nhau, một kỹ thuật nhưng không ngừng tiến hóa được sử dụng trong các email lừa đảo, đang được sử dụng trong các cuộc tấn công tiên tiến hơn ngày nay, chẳng hạn như mô phỏng các hệ thống MFA. Nếu bạn quan tâm đến việc tìm hiểu sâu hơn về các mối đe dọa giống nhau, một báo cáo nghiên cứu toàn diện đã được phát hành gần đây về chủ đề này bởi TIG của Infoblox.

MỐI ĐE DỌA GIỐNG NHAU HIỆN TẠI: TẠI SAO NÓ TRỞ THÀNH VẤN ĐỀ VỚI MFA?

Trong năm qua, khi các nhà phân tích, nhà văn, diễn giả và những người khác trong ngành an ninh liên tục nhấn mạnh giá trị của MFA cho một tư thế bảo mật mạnh, việc áp dụng MFA đã tăng đáng kể. Kết quả là, MFA đang được áp dụng bởi tất cả mọi người từ người chơi game, quan tâm đến bảo vệ tài khoản và mua sắm trong game, đến các sàn giao dịch tiền điện tử, ví tiền và sàn giao dịch điện tử đã gặp những vụ vi phạm lớn liên quan đến các tên miền giống nhau nguy hiểm trong các cuộc tấn công như vụ tấn công vào Coinbase vào đầu năm 2023.

Bằng cách sử dụng các kỹ thuật "kẻ thù ở giữa" (AitM), họ cố gắng lừa nhân viên tin rằng họ đang tương tác với mạng thực sự của công ty trong quá trình xác thực. Một nghiên cứu của Nhóm Tình báo Mối đe dọa (TIG) của Infoblox đã phát hiện hơn 1.600 tên miền được sử dụng từ đầu năm 2022 đến nay chứa một sự kết hợp của các đặc điểm giống nhau về doanh nghiệp và MFA, với các mục tiêu trên toàn cầu từ các tập đoàn lớn đến các ngân hàng lớn, công ty phần mềm, nhà cung cấp dịch vụ Internet và các cơ quan chính phủ.

CÁC TÙY CHỌN GIỐNG NHAU KHÔNG CHỈ ĐƯỢC SỬ DỤNG TRONG LỪA ĐẢO EMAIL

Các tên miền giống nhau là một công cụ phổ biến được sử dụng bởi các tội phạm mạng nhắm vào cá nhân và doanh nghiệp. Các nền tảng mạng xã hội, các thương hiệu lớn và thậm chí các doanh nghiệp nhỏ cũng đang đối mặt với nguy cơ này. Kẻ tấn công sử dụng các phương pháp khác nhau như tin nhắn SMS, cuộc gọi điện thoại, tin nhắn trực tiếp trên mạng xã hội, email và mã QR để triển khai các trang web giống nhau này.

Smishing được sử dụng để phân phối các tin nhắn lừa đảo, cho phép kẻ tấn công vượt qua một số biện pháp bảo mật được sử dụng để chống lại các cuộc tấn công lừa đảo qua email. Các nhân vật như OpenTangle và Scamélie nhắm vào người tiêu dùng và nhân viên chính phủ bằng cách sử dụng các tên miền giống nhau - chỉ riêng OpenTangle đã sử dụng hơn 1500 tên miền - và sử dụng các chiến thuật như spearphishing chống lại mục tiêu của họ.

Các tên miền giống nhau cũng được sử dụng như các máy chủ thư và điều khiển mã độc (C2) của phần mềm độc hại, khiến việc phát hiện email lừa đảo và mã độc trên các thiết bị trở nên khó khăn hơn đối với con người. Các trang web giống nhau có thể được triển khai trong các khả năng DNS khác nhau, chẳng hạn như máy chủ tên, máy chủ thư, bản ghi tên (CNAME) và bản ghi trỏ (PTR), và có thể được sử dụng như các chuyển hướng, làm cho chúng trở nên hoàn hảo cho các C2 của phần mềm độc hại.

Các thiết bị di động có thể tồn tại nguy cơ cao hơn trong các cuộc tấn công giống nhau do kích thước màn hình nhỏ hơn và thiếu tính năng xem trước liên kết. Ngay cả những người hiểu về bảo mật cũng có thể trở thành nạn nhân của một trang web.

Nguồn: Infoblox