Phát hiện Email giả mạo, xử lý, rà quét mã độc đính kèm trong Email giả mạo.

Thông thường người sử dụng khi nhận email chỉ chú ý đến tiêu đề cùng nội dung email nhận được mà không chú ý xác minh đến thông tin địa chỉ email, IP người gửi… Để đánh lừa người nhận tin, tin tặc sẽ tìm cách biên soạn thư điện tử với các thông tin giả mạo về: địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (Return-Path), địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (From). Nội dung lừa đảo có thể mạo danh là đồng nghiệp, đối tác, người thân nhằm mục đích xấu. Sau đó tin tặc sẽ dùng một máy chủ thư điện tử hoặc một phần mềm gửi thư (MTA) không yêu cầu xác thực hòm thư người gửi để phát tán thư điện tử giả mạo tới người cần lừa đảo. Khi người dùng vô tình click vào file đính kèm sẽ dẫn đến máy tính đó bị nhiễm mã độc và có thể lây lan đến toàn hệ thống của tổ chức, hoặc làm theo nội dung giả mạo có thể dẫn đến nguy cơ mất mát dữ liệu nhạy cảm, quan trọng, mất mát lớn về tài chính. 

Vì thế, việc thận trọng trước những email được gửi tới, luôn là nỗi lo lắng của tất cả mọi người. Nhằm giúp đội ngũ cán bộ làm nhiệm vụ CNTT tại các Sở, ban, ngành và UBND cấp huyện có thêm kinh nghiệm thực tế trong việc ứng cứu và xử lý sự cố về CNTT nói chung và xử lý, rà quét mã độc đính kèm trong Email giả mạo nói riêng, đảm bảo an toàn thông tin cho người dùng tại cơ quan, đơn vị, địa phương mình. Từ ngày 20-22/4/2022 Trung tâm Công nghệ thông tin và truyền thông Nghệ An tổ chức diễn tập an toàn thông tin năm 2022 đợt 1 với chủ đề “Phát hiện email giả mạo, xử lý, rà quét mã độc đính kèm trong email giả mạo”. Tham gia diễn tập có 40 cán bộ chuyên trách công nghệ thông tin và đội ứng cứu sự cố máy tính tỉnh Nghệ An đến từ các Sở, ban, ngành cấp tỉnh và UBND cấp huyện chia làm 2 ca.

Buổi diễn tập tập trung vào các vấn đề liên quan tới tin tặc đã giả mạo địa chỉ thư điện tử giống với tên miền thư điện tử nội bộ để gửi mã độc đến người dùng trong hệ thống. Các mã độc này được gửi dưới dạng file nén: .rar, .zip… chứa các tệp tin thực thi hoặc giả mạo quản trị hệ thống gửi các thông báo yêu cầu người dùng truy cập đến một trang do tin tặc xây dựng để nâng cấp hòm thư, thay đổi mật khẩu, cài cắm mã độc vào máy tính cá nhân.

Người dùng thư điện tử công vụ đã nhận được thư giả mạo với tiêu đề "Cổng thông tin điện tử tỉnh Nghệ An" có địa chỉ gửi là admin@nghean.gov.vn với nội dung yêu cầu người sử dụng bấm vào liên kết (dẫn đến địa chỉ website bị nhiễm mã độc tại nước ngoài) để nâng cấp hòm thư.

Khi người dùng/người quản trị bấm vào đường liên kết, máy tính cá nhân bị nhiễm mã độc. Tin tặc sẽ dùng chính tài khoản email ăn cắp được tiếp tục gửi thư giả mạo đến các địa chỉ khác để phát tán virus, ảnh hưởng đến công tác chỉ đạo, điều hành của tỉnh.

Quá trình diễn tập được chia làm 3 bước, 5 phase:

Bước 1: Vô hiệu hóa các chương trình anti virus.

Bước 2: Sau khi đăng nhập vào máy, mở phần mềm đọc email. Mở email cảnh báo và bấm vào liên kết để tải tài liệu về. Sau khi tải file tài liệu về và thực thi file tài liệu.

Bước 3: Các đội thu nhận thông tin sự cố, mô tả tình huống và điền các thông tin thu nhận được vào báo cáo theo mẫu 03 kèm theo Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông, sau đó gửi kết quả về cho Ban tổ chức vào địa chỉ mail: drill2018@nait.vn với tiêu đề thư là <Tên đội>-<Phase 1>.

Phase 1: Nhận diện tình hình, thu thập thông tin và ghi chép diễn biến về sự cố gửi đến cơ quan chức năng.

Phase 2: Truy tìm dấu vết, cô lập hiện trường và phân tích, lấy mẫu mã độc, truy tìm một số thông tin liên quan đến mã độc.

Phase 3: Tiêu diệt mã độc, vô hiệu hóa và gỡ bỏ mã độc.

Phase 4: Báo cáo kết quả, cách thức xử lý gửi đến cơ quan chức năng.

Phase 5: Tổng kết giải đáp, rút ra bài học kinh nghiệm.

Chương trình diễn tập về an toàn thông tin năm 2022 đợt 1 với chủ đề “Phát hiện email giả mạo, xử lý, rà quét mã độc đính kèm trong email giả mạo” được thiết kế nhằm trang bị cho cán bộ kỹ thuật kiến thức, kỹ năng, kinh nghiệm thực tế và sự nhanh nhạy, ứng phó xử lý tình huống khi xảy ra tấn công mạng, nguy cơ, mối đe dọa về an toàn đối với các hệ thống thông tin chuyên ngành mà mình đang quản trị. Thực hiện điều tra truy tìm dấu vết, bằng chứng số liên quan đến sự cố; Tư vấn cho các cơ quan, đơn vị bị ảnh hưởng biện pháp khắc phục nhằm giảm thiểu và phòng ngừa sự cố; Tổng hợp, báo cáo về sự cố, các dấu vết, bằng chứng số về các hành động thực hiện của kẻ tấn công. Trong quá trình diễn tập các phase, đa số các thành viên cơ bản đã hoàn thành yêu cầu của phase 1; phase 2, phase 3 và phase 4, đồng thời vẫn còn một số thành viên còn nhiều lúng túng và hạn chế. 

Các thành viên tham gia diễn tập được hướng dẫn, phổ biến quy trình ứng cứu sự cố theo Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc. Bước đầu các thành viên tham gia diễn tập đã thực hiện được việc lập và gửi báo cáo ban đầu sự cố và báo cáo kết thúc ứng phó sự cố theo phụ lục 03, 04 của thông tư 20/2017/TT-BTTTT. 

Chương trình diễn tập tiếp tục tạo cơ hội cọ xát, thực hành xử lý tình huống đã xảy ra thực tế cho các cán bộ chuyên trách công nghệ thông tin và đội ứng cứu sự cố máy tính tỉnh Nghệ An. Ngoài ra, đây cũng là dịp để các cán bộ kỹ thuật chuyên trách công nghệ thông tin và đội ứng cứu sự cố máy tính tỉnh gặp gỡ, trao đổi, phối hợp hỗ trợ lẫn nhau cũng như tích lũy kinh nghiệm, kỹ năng ứng phó xử lý sự cố cho đơn vị, cho bản thân.

Trong thời gian tới Trung tâm CNTT&TT tiếp tục tăng cường tổ chức diễn tập thực chiến nhiều hơn với nhiều tình huống phức tạp hơn nhằm nâng cao năng lực phòng chống, ứng cứu và xử lý sự cố máy tính, đảm bảo ATTT mạng, dữ liệu cho đội ngũ cán bộ thực hiện nhiệm vụ CNTT của các cơ quan, đơn vị trong tỉnh.