Phishing (có thể xem là cách điệu của chữ "fishing") là một dạng tấn công Social Engineering. Nếu những phương pháp tấn công khác yêu cầu kẻ tấn công phải có trình độ, kiến thức về kĩ thuật để khai thác các lỗ hổng bảo mật thì để phishing, tin tặc cần giỏi về kĩ năng khai thác con người. Nếu một hệ thống được cho là có độ bảo mật tuyệt đối, bất khả xâm nhập nhưng lại tuyển nhân sự yếu kém về trình độ tin học thì cũng là mục tiêu của phương thức tấn công "củ chuối" này. Trong một kịch bản tấn công, Phishing là bước được liệt kê đầu tiên, nếu thành công thì bỏ qua được rất nhiều bước và tạo thuận lợi cho việc leo thang đặc quyền. Phishing cũng có thể là phương án cuối cùng khi kẻ tấn công đã "thi triển" hết "tuyệt chiêu" của mình mà vẫn không khai thác được gì từ hệ thống mục tiêu.

Vậy cách thức của loại tấn công này như thế nào?

Sau qúa trình thăm dò một hệ thống mạng hoặc một cá nhân, kẻ tấn công sẽ xác định những phần mềm, website mà các đối tượng đó hay sử dụng. tất nhiên phải có gía trị khai thác cao (ví dụ: tài khoản ngân hàng, tài khoản website quản lý của nhân viên, trưởng phòng, tài khoản chứa thông tin và dữ liệu cá nhân như Facebook...). Tiếp theo kẻ tấn công sẽ giả mạo giao diện (chẳng hạn giao diện đăng nhập, giao diện đổi password, email) của những website trên, và tải trang web giả lên một tên miền gần giống với website thật, cuối cùng bằng những phương pháp Social Engineering dẫn dụ nạn nhân tương tác với trang web giả mà không hay biết dữ liệu bí mật đã bị trang web giả gửi trực tiếp sang kẻ tấn công.

Có thể lấy một kịch bản như sau, Bob muốn tấn công vào hệ thống của công ty A và phát hiện Alice - một nhân viên văn phòng, có tài khoản nhân viên trên website của công ty A. Tài khoản nhân viên của Alice là mục tiêu đầu tiên mà Bob nhắm đến. Với mục tiêu đó, Bob thu thập thông tin của Alice và lấy được email, số điện thoại của người này, đồng thời thiết kế một trang web có giao diện giống với trang đổi password của website công ty A. Sau đó một email dạng "Yêu cầu thay đổi password, vì lý do bảo mật..." hoặc "Có người nào đó đang cố gắng đăng nhập vào tài khoản của bạn, chúng tôi khuyến cáo ..." do Bob soạn ra kèm đường link đến trang đổi password giả mạo. Bob cố ý thiết kế email đó với tên và format trông giống một email tự động được gửi từ hệ thống A đến Alice. Thật không may khi Alice không mảy may nghi ngờ và đồng ý thay đổi password trên trang giả mạo, username và password Alice nhập trên trang giả mạo lập tức gửi thẳng về máy của Bob mà không có bất kỳ sự thay đổi nào trên hệ thống công ty A. Như vậy Bob đã thành công và sẽ dùng tài khoản đánh cắp đó để đặt chân vào hệ thống công ty A.

Có thể có bạn thắc mắc rằng: "Nếu hệ thống sử dụng xác minh 2 lớp, xác minh bằng điện thoại như Facebook chẳng hạn, hoặc câu hỏi bảo mật 'Thú cưng của Alice tên gì?' thì làm sao Bob vượt qua được?" thì suy nghĩ của mình là bản chất Phishing tấn công vào lỗ hổng kiến thức của người dùng, dù có bao nhiêu lớp hoặc bao nhiêu câu hỏi bảo mật mà người dùng không nhận thức được thật giả thì vẫn trở thành mục tiêu của tin tặc (rất nhiều trường hợp sử dụng trình duyệt web, đặc biệt là trình duyệt web trên điện thoại mà người dùng còn không để ý đường dẫn đó có đúng tên miền chính thức không). Kẻ tấn công cũng có thể giả mạo tổng đài, giao tiếp như một nhân viên hệ thống để yêu cầu Alice cung cấp thông tin bảo mật, hoặc tiếp cận Alice để thu thập thói quen, sở thích hàng ngày của người này... Tất cả đều là lỗ hổng của hình thức tấn công Social Engineering, đặc biệt là Phishing.

(Sự bất bình thường của một trang giả mạo website nổi tiếng Google.com)

(Một tên miền cố tình đặt gần giống với tên miền Amazon.com)

Đối với những người học tập và làm việc trong ngành thì đây là có thể một phương pháp tấn công kém hiệu và điên rồ để nghĩ tới. Rất khó để dùng phishing đánh lừa một Quản trị viên hệ thống mạng hay thậm chí là một sinh viên CNTT, nhưng những đối tượng làm việc ngoài ngành, những nhân viên, công nhân bình thường (đặc biệt ở Việt Nam) rất dễ cắn phải lưỡi câu của tin tặc.

Vậy làm sao để tránh trở thành nạn nhân của Phishing?

Như đã biết Phishing nhắm vào người dùng không ý thức, không quan tâm đến vấn đề an toàn thông tin. Do đó để không là nạn nhân của Phishing thì đơn giản là phải có ý thức đề phòng, ý thức được mình đang vào trang nào, nguồn gốc email từ đâu, người yêu cầu cung cấp thông tin cá nhân có đủ xác minh không... và trang bị kiến thức cơ bản về Tin học là điều không thể thiếu cho mọi ngành nghê không riêng gì lĩnh vực Công nghệ thông tin.

Các trang lớn như Facebook, Google ... hiện nay cũng đã phát hiện được và ngăn chặn link Phishing, tuy nhiên những detector đó có thể không kịp thời. Trang bị nhận thức vẫn là điều cần thiết.