Phát hiện e-mail giả mạo không quá khó?
Khi soạn và gửi thư điện tử (e-mail), người gửi thư chỉ đặt tiêu đề thư, ghi địa chỉ e-mail nhận, gõ nội dung thư và lựa chọn các tệp tin đính kèm. Các thông tin còn lại do máy chủ gửi thư tự động cập nhật bao gồm địa chỉ hòm thư nhận phản hồi khi thư bị trả lại khi có sự cố (Return-Path), địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (From).
Và theo nghiên cứu chỉ ra trong một tài liệu hướng dẫn của Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam VNCERT, để đánh lừa người nhận tin, bước đầu tin tặc sẽ tìm cách tự biên soạn thư điện tử với các thông tin giả mạo về địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (Return-Path), địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi From. Sau đó, tin tặc tìm một máy chủ thư điện tử hoặc tự cài đặt một phần mềm gửi thư (MTA) không yêu cầu xác thực hòm thư người gửi để phát tán thư điện tử giả mạo, lừa đảo tới người cần lừa đảo.
Trong nội dung e-mail gửi đến người nhận thực ra luôn bao gồm các đầy đủ thông tin về địa chỉ IP của máy gửi thư, địa chỉ hòm thư nhận, địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (Return-Path), địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (From), nội dung thư, tiêu đề thư và các tệp tin đính kèm.
Nhưng trong chế độ hiển thị mặc định để đơn giản hóa giao diện cho người dùng phổ thông, hầu hết các hệ thống e-mail chỉ hiện địa chỉ hòm thư tiếp nhận thư trả lời (Reply), địa chỉ hòm thư người nhận, nội dung thư; tiêu đề thư, các tệp tin đính kèm và các thời gian liên quan. Các thông tin chi tiết về nguồn gốc của thư như địa chỉ IP của máy gửi thư, địa chỉ hòm thư nhận phản hồi khi thư gặp sự cố bị trả lại (Return-Path), địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (From) được lưu ẩn trong phần đầu (header) của e-mail. Phần header này sẽ chỉ hiện thị chi tiết khi người nhận thư sử dụng các chức năng cho xem nguồn gốc của e-mail hoặc xem nội dung phần đầu header.
Đối với mỗi trình duyệt và hệ thống quản trị e-mail khác nhau sẽ có những cách khác nhau để xem nguồn gốc của thư điện tử, dưới đây là hướng dẫn cách xem nguồn gốc e-mail đối với 3 hệ thống thông dụng nhất ở Việt Nam là Gmail, Yahoo! Mail và Apple Mail (hệ thống e-mail trên nền tảng Mac OS X). Những thao tác xem nguồn gốc khá đơn giản đó lại là cách hữu hiệu để chúng ta kiểm tra xem một bức e-mail là thật hay là giả mạo.
+ Với Gmail, sau khi mở e-mail chúng ta chỉ cần bấm vào mũi tên nhỏ trên góc phải rồi chọn Hiển thị thư gốc.
Phát hiện e-mail giả mạo: Với Gmail, sau khi mở e-mail chúng ta chỉ cần bấm vào mũi tên nhỏ trên góc phải rồi chọn “Hiển thị thư gốc” (mũi tên). |
+ Với Yahoo! Mail, sau khi mở e-mail chúng ta chỉ cần bấm vào mục Khác rồi chọn Xem tiêu đề đầy đủ.
Phát hiện e-mail giả mạo: Với Yahoo! Mail, sau khi mở e-mail chúng ta chỉ cần bấm vào mục Khác rồi chọn “Xem tiêu đề đầy đủ” (mũi tên). |
+ Trên hệ thống Apple Mail thì sau khi mở e-mail chúng ta chỉ cần bấm vào View, chọn Message rồi chọn Raw Source.
Phát hiện e-mail giả mạo: Trên hệ thống Apple Mail thì sau khi mở e-mail chúng ta chỉ cần bấm vào View, chọn Message rồi chọn Raw Source (mũi tên). |
Và bây giờ đã đến lúc “soi” nguồn gốc e-mail qua đoạn header chúng ta vừa mở ra. Theo VNCERT thì các e-mail giả mạo đã gửi đến các cơ quan nhà nước trong thời gian vừa qua có 2 dấu hiệu chính để có thể phát hiện ra:
+ Thứ nhất, khi mở xem nguồn gốc chi tiết của e-mail, địa chỉ hòm thư Return-Path không trùng với địa chỉ hòm thư From. Hầu hết các e-mail được gửi từ các hệ thống thư điện tử của cơ quan nhà nước, đuôi .gov.vn, đều có 2 địa chỉ này trùng nhau.
+ Thứ hai, địa chỉ IP của máy chủ gửi thư không trùng với địa chỉ IP của hệ thống thư điện tử thật nơi bị giả mạo là gửi e-mail. Hiện nay, các địa chỉ IP giả mạo này thường có nguồn gốc từ nước ngoài trong khi địa chi IP các hệ thống cơ quan nhà nước thường có địa chỉ IP trong nước.
Sẽ có 2 ví dụ minh họa để bạn làm quen hơn với việc đọc header phát hiện thư giả mạo:
+ Dưới đây là ví dụ minh họa một e-mail giả mạo ông Vũ Xuân Hoàng có địa chỉ là hoangvx@abc.gov.vn được tin tặc gửi tới hòm thư của chị Nguyễn Thanh Huyền có địa chỉ huyennt@xyz.gov.vn. Tin tặc tạo ra thư giả mạo ông Vũ Xuân Hoàng có tiêu đề là “Thông báo lớp đào tạo” với các địa chỉ hòm thư gửi, và hòm thư nhận là hoangvx@abc.gov.vn nhưng hòm thư trả lại là root@nbr.com. Sau đó tin tặc sử dụng máy gửi thư có địa chỉ IP xxx.xxx.xxx.xxx để gửi thư giả mạo đã soạn tới hòm thư của chị Nguyễn Thanh Huyền.
+ Và dưới đây là một e-mail thật với 2 địa chỉ Return-Path và From giống nhau:
Và dưới đây là một e-mail thật với 2 địa chỉ Return-Path và From giống nhau. |
Như vậy, việc “đọc” e-mail gốc để xác định thật giả trong những trường hợp khả nghi không quá khó đối với mỗi chúng ta, chỉ cần mỗi người tự làm quen rút kinh nghiệm với kỹ năng này thì có thể phòng tránh nhiều nguy cơ lừa đảo.
Theo ICTNEWS