Công văn 1203/STTTT-CNTT năm 2013 về hướng dẫn phát hiện thư điện tử giả mạo do Sở Thông tin và Truyền thông Thành phố Hồ Chí Minh ban hành
| Số hiệu | 1203/STTTT-CNTT |
| Ngày ban hành | 19/07/2013 |
| Ngày có hiệu lực | 19/07/2013 |
| Loại văn bản | Công văn |
| Cơ quan ban hành | Sở Thông tin và Truyền thông Thành phố Hồ Chí Minh |
| Người ký | Nguyễn Anh Tuấn |
| Lĩnh vực | Công nghệ thông tin |
|
ỦY BAN NHÂN
DÂN |
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 1203/STTTT-CNTT |
Thành phố Hồ Chí Minh, ngày 19 tháng 7 năm 2013 |
|
Kính gửi: |
- Các Sở - ban - ngành thành phố; |
Ngày 03/7/2013, Sở Thông tin và Truyền thông nhận được công văn số 172/VNCERT-KTHT ngày 01/7/2013 của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam về việc hướng dẫn phát hiện thư điện tử giả mạo. Sở Thông tin và Truyền thông thông báo một số nội dung như sau:
Trong thời gian gần đây đã có các trường hợp phát tán thư điện tử mạo danh cơ quan nhà nước, cá nhân có uy tín nhằm tung các thông tin có nội dung sai trái hoặc có chứa mã độc ẩn trong các tập tin đính kèm dưới dạng .pdf, .doc, .exe gây mất an toàn thông tin nếu người dùng mở các dạng tập tin này.
Để đảm bảo an toàn thông tin cho cán bộ, công chức và các đơn vị, Sở Thông tin và Truyền thông đề nghị:
- Các đơn vị khẩn trương tham khảo các biện pháp hướng dẫn phát hiện thư điện tử giả mạo tại trang thông tin điện tử của Sở Thông tin và Truyền thông (www.ict-hcm.gov.vn) và thông báo đến tất cả cán bộ, công chức của đơn vị;
- Khi phát hiện các thư điện tử giả mạo hoặc chứa mã độc, đề nghị các đơn vị gửi thông tin theo tài liệu hướng dẫn nêu trên về Sở Thông tin và Truyền thông (hộp thư điện tử stttt@tphcm.gov.vn) để phân tích, cảnh báo và xử lý kịp thời;
- Trung tâm Công nghệ thông tin và Truyền thông thành phố cử nhân sự hỗ trợ hướng dẫn các đơn vị về phát hiện thư điện tử giả mạo khi có yêu cầu.
Mọi thắc mắc về cách phát hiện thư điện tử giả mạo xin liên hệ Trung tâm an ninh mạng - Trung tâm Công nghệ thông tin và Truyền thông thành phố, số điện thoại: 38.233.717 - số nội bộ 111 để được hướng dẫn chi tiết.
|
|
KT. GIÁM ĐỐC |
PHÁT
HIỆN THƯ GIẢ MẠO
(Đính kèm công
văn số 1203/STTTT-CNTT
ngày 19 tháng 7 năm
2013)
1. Phương thức tạo thư giả mạo của tin tặc
Thông thường khi soạn và gửi thư điện tử, người gửi thư chỉ biên soạn nội dung, tiêu đề thư (title), địa chỉ nơi nhận, lựa chọn các tập tin đính kèm, các thông tin còn lại khác sẽ do máy chủ gửi thư tự động cập nhật như: địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (Return-Path); địa chỉ hòm thư tiếp nhận thư trả lại (Reply-To) và địa chỉ hòm thư người gửi (from).
Để đánh lừa người nhận tin, bước đầu tin tặc sẽ tìm cách tự biên soạn thư điện tử với các thông tin giả mạo về: địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (ReturnPath); địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (from). Sau đó tin tặc sẽ tìm một máy chủ thư điện tử hoặc tự cài đặt một phần mềm gửi thư (MTA) không yêu cầu xác thực hòm thư người gửi để phát tán thư điện tử giả mạo tới người cần lừa đảo.
2. Tìm hiểu nguồn gốc thật phát tán của thư điện tử
Trong nội dung thư điện tử gửi đến người nhận bao gồm các đầy đủ thông tin về: địa chỉ IP của máy gửi thư; địa chỉ hòm thư nhận; địa chỉ hòm thư nhận phản hồi khỉ thư bị trả lại (Return-Path); địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (from); nội dung thư; Tiêu đề thư; Các tập tin đính kèm. Nhưng trong chế độ hiển thị thông thường (mặc định) để đơn giản hóa giao diện, hầu hết các chương trình duyệt thư điện tử chỉ hiện các thông tin: địa chỉ hòm thư tiếp nhận thư trả lời (Reply); Địa chỉ hòm thư người nhận; nội dung thư; tiêu đề thư; các tập tin đính kèm và các thời gian liên quan. Các thông tin chi tiết về nguồn gốc của thư như: địa chỉ IP của máy gửi thư; địa chỉ hòm thư nhận phản hồi khi thư bị trả lại (Return-Path); địa chỉ hòm thư tiếp nhận thư trả lời (Reply-To) và địa chỉ hòm thư người gửi (from) được lưu trong phần đầu (header) của thư sẽ chỉ hiển thị chi tiết khi người nhận thư sử dụng các chức năng cho xem nguồn gốc (original) của thư hoặc xem nội dung phần đầu (header) của thư (Chú ý: đối với mỗi trình duyệt và hệ quản trị thư điện tử khác nhau sẽ có những cách khác nhau để xem nguồn gốc của thư điện tử, tuy nhiên tất cả các phần mềm trên đều hỗ trợ chức năng show original). Cách xem nguồn gốc thư điện tử của một số hệ thống thư điện tử phổ biến sẽ được trình bày trong Phụ lục A.
Qua phân tích các thư điện tử giả mạo đã gửi đến các cơ quan nhà nước trong thời gian vừa qua, có hai dấu hiệu chính để có thể phát hiện ra các thư giả mạo theo phương thức này là:
Một là: Khi mở xem nguồn gốc chi tiết của thư điện tử, địa chỉ hòm thư “Return-Path” không trùng với địa chỉ hòm thư người gửi đến (From). Hầu hết các thư điện tử được gửi từ các hệ thống thư điện tử của cơ quan nhà nước (có đuôi .gov.vn) đều có hai địa chỉ này trùng nhau.
Hai là: Địa chỉ IP của máy chủ gửi thư không trùng với địa chỉ IP của hệ thống thư điện tử thật nơi bị giả mạo là gửi thư điện tử. Hiện nay, các địa chỉ IP giả mạo này thường có nguồn gốc từ nước ngoài trong khi địa chỉ IP các hệ thống cơ quan nhà nước thường có địa chỉ IP trong nước.
Ví dụ minh họa:
Dưới đây là ví dụ minh họa một thư điện tử giả mạo ông Vũ Xuân Hoàng có địa chỉ thư điện tử là hoangvx@abc.gov.vn được tin tặc gửi tới hòm thư của chị Nguyễn Thanh Huyền có địa chỉ huyennt@xyz.gov.vn. Tin tặc tạo ra thư giả mạo ông Vũ Xuân Hoàng có tiêu đề là “Thông báo lớp đào tạo” với các địa chỉ hòm thư gửi, và hòm thư nhận là hoangvx@abc.gov.vn, hòm thư trả lại là root@nbr.com. Sau đó tin tặc sử dụng máy gửi thư có địa chỉ IP xxx.xxx.xxx.xxx để gửi thư giả mạo đã soạn tới hòm thư của chị Nguyễn Thanh Huyền có địa chỉ huyennt@xyz.gov.vn.
4. Báo cáo khi nhận được thư giả mạo
Khi phát hiện được thư giả mạo, đề nghị gửi thư giả mạo theo hình thức dưới dạng tập tin đính kèm (attachment hoặc forward as attachment) tới địa chỉ stttt@tphcm.gov.vn của Sở Thông tin và Truyền thông. Cách gửi thư giả mạo dưới dạng tập tin đính kèm sẽ được trình bày trong Phụ lục B.
Để gửi thông tin về cho chúng tôi xin vui lòng làm theo mẫu sau:
