Social Engineering là kiểu tấn công rất đơn giản, thường được hacker sử dụng. Kiểu tấn công này có thể hòan tòan phi kỹ thuật hoặc kết hợp một ít kỹ thuật đơn giản nhằm đánh lừa người sử dụng để ăn cắp mật khẩu và các thông tin cá nhân khác.

Lục lọi thùng rác

Cách đây 12 năm, lần đầu tiên làm việc tại một công ty đa quốc gia, tôi vô cùng ngạc nhiên với chiếc máy hủy giấy nhỏ trong phòng print center, càng ngạc nhiên hơn nữa khi công ty nhập về chiếc máy hủy tài liệu to bằng một cái tủ sắt, chóan cả một góc cầu thang. Tất cả băng từ, tài liệu, hồ sơ, sách vở không có giá trị sử dụng đều được đưa vào cái máy này. Đầu ra bên kia của máy là vụn giấy, những mảnh plastic hoặc kim loại nhỏ li ti.

Bây giờ, ngồi ở vị trí điều hành doanh nghiệp, tôi mới có ý thức và thấm thía vấn đề này. Trong quá trình sọan thảo những văn bản quan trọng với những thông tin nhạy cảm, nhân viên thường in ra và trình lãnh đạo ký duyệt. Tuy nhiên, không phải lúc nào lãnh đạo cũng ký ngay. Các tài liệu được chỉnh sửa bằng tay vô tình bị vò nát và vứt vào thùng rác. Thậm chí, nhiều nhân viên văn phòng rất có ý thức tiết kiệm, tận dụng các giấy tờ này để in mặt còn lại, vô tình giao chúng cho người ngoài công ty.

Bạn có thể hình dung một trưởng phòng nhân sự đệ trình bảng lương cho giám đốc ký duyệt, có một vài điều chỉnh trên bảng lương. Trưởng phòng nhân sự thay vì hủy bảng lương thì lại vứt vào thùng rác. Nhân viên lao công, buổi tối dọn rác vô tình đọc các thông tin nhạy cảm này và giữ lại. Thế là, tòan bộ thông tin về lương của cả công ty đã bị tiết lộ.

Không chỉ là bảng lương mà các thông tin về hợp đồng kinh tế, hợp đồng vay vốn, chiến lược kinh doanh, marketing… đều là những thông tin hết sức nhạy cảm, cần được giữ trong phòng có tủ khóa và hạn chế số người ra vào khu vực đó.

Nắm được những sơ hở này, nhiều hacker đã tận dụng tối đa kỹ thuật khai thác thùng rác và các tài liệu để hớ hênh để tìm kiếm thông tin tuyệt mật. Theo thống kê của nhiều tổ chức bảo mật, đến 90% hacker là người trong nội bộ doanh nghiệp.

Năm 1998, tôi có một ứng tượng khó quên. Một lần bước vào văn phòng, mở ngăn kéo tủ, tôi thấy có một giấy đỏ chót thông báo: “ Bạn đã quên khóa ngăn kéo, điểm an ninh thông tin bằng 0”. Đúng là tôi đã quên khóa ngăn kéo tủ khi ra về nên bộ phận kiểm sóat mới đặt được giấy đó vào trong hộc tủ. Đúng là một bài học đáng giá.

Đánh lừa để lấy cắp thông tin qua điện thoại.

Nhiều hacker cũng tận dụng kỹ thuật này để đánh lừa và lấy cắp các thông tin nhạy cảm, đặc biệt là mật khẩu truy cập hệ thống. Cách đây vài tháng, thỉnh thỏang tôi nhận được vài cuộc gọi dấu số từ những người không quen biết, tự nhận là phóng viên đài truyền hình hoặc các tờ báo lớn tại TP.HCM đòi phỏng vấn trực tiếp qua điện thoại.

Các câu hỏi ban đầu rất chung chung nhưng sau đó “chuyên nghiệp” dần và liên quan nhiều đến kế họach, chiến lược kinh doanh của công ty làm tôi cảm thấy lo lắng. Ngay sau đó, tôi gọi lại cho phóng viên và tòa sọan quen biết, họ xác nhận là không có phóng viên nào như vậy.

Tại bộ phận tư vấn và tiếp nhận thông tin của công ty tôi thì trong 100 cuộc gọi mỗi ngày, khoảng 10% cuộc gọi từ các đối thủ cạnh tranh. Đặc biệt, khi công ty sản phẩm mới và quảng bá mạnh mẽ, tỷ lệ các cuộc gọi thăm dò càng tăng. Hãy thận trọng từ các cuộc gọi nội bộ doanh nghiệp, người nào đó có thể lợi dụng danh nghĩa bộ phận IT, yêu cầu bạn cung cấp mật khẩu để nâng cấp hệ thống.

Phishing thông qua e-mail và website giả mạo

Nếu là cư dân mạng, chắc chắn bạn đã từng gặp một e-mail như hình bên:

Đây là cách thông dụng nhất để hacker ăn cắp mật khẩu cá nhân, truy cập vào vào hệ thống website của ngân hàng chẳng hạn. Hãy chú ý! Bạn đang nhận được thư điện tử từ chính ngân hàng HSW Bank, yêu cầu đăng nhập lại tài khỏan và mật mã theo đường link. Nếu không, trong vòng 5 ngày sau, tài khỏan của bạn tại ngân hàng sẽ bị mất.

Trong bức thư điện tử nêu trên thì địa chỉ người gửi và đường link đều là giả mạo. Hiện nay, vẫn còn rất nhiều chương trình gửi email cho phép người sử dụng dùng tự điển thông tin của mình vào mục FROM, điều này giúp hacker thực hiện hành vi Proof E-mail address như trên. Website yêu cầu đăng nhập thực chất là domain của accountmaintenance.com chứ không phải hswbank.com và người dùng đã bị đánh lừa. Hacker chỉ cần tạo giao diện trang web mà người sử dụng sẽ điền thông tin giống hết trang web của hswbank.com là được.

Sau đó, hacker chỉ việc ngồi chờ ai đó thật thà đăng nhập, gõ thông tin tài khỏan và mật khẩu của mình vào website để hưởng lợi.

Hiện nay, việc giả mạo email hay website, còn gọi là kỹ thuật Phishing rất phổ biến và tấn công vào 85 nhóm ngành nghề khác nhau. Trong đó, 3 nhóm ngành nghề bị tấn công nhiều nhất vẫn là ngân hàng, tài chính, mua bán trực tuyến (Paypal, Amazon…), chiếm 85% trong tổng số các cuộc tấn công ( theo antiphishing.org).

Hacker cũng có thể lợi dụng các hình thức thông tin liên lạc khác để đánh lừa người dùng như: Yahoo Messenger, nhắn tin qua điện thoại di động (SMS), các hình thức quảng cáo giả mạo trên website, giả mạo thanh công cụ trên trình duyệt web, giả mạo đường dẫn website, đầu độc DNS Server (Pharming), dùng hình ảnh để lừa đảo…

5 đặc điểm nhận dạng thư giả mạo

Lời chào mời rất chung chung. Ví dụ: Dear customer, Hi, Hello… vì Phisher không biệt bạn là ai và các email được gửi đi với số lượng lớn. Tuy nhiên, trong một số trường hợp, Phisher vẫn có thể dùng các kỹ thuật để xác định chính xác bạn là ai.

Đe dọa bạn sẽ mất quyền lợi hoặc tài khỏan nếu không đăng ký lập tức.

Yêu cầu cung cấp thông tin cá nhân. Thông thường, không một tổ chức chuyên nghiệp nào yêu cầu bạn làm điều này.

Có đường dẫn rất dài (vì là giả mạo). Bạn nên cẩn thẩn gò lại chính xác đừơng dẫn trong trình duyệt thay vì nhấn vào đường dẫn có trong email. Hacker có thể dùng kỹ thật HTML để làm giả đường dẫn này.

Có văn phạm kém và thường sai chính tả.

Phòng chống lừa đảo và Social Engineering

Để tránh vị tấn công dạng Social Engineering hoặc Phishing bạn nên chuẩn bị:

Hủy các giấy tờ quan trọng ngay sau khi sử dụng hoặc lưu trữ tại những nơi an tòan có khóa, có hệ thống quan sát hoặc kiểm soát ra vào (tùy thuộc vào mức độ quan trọng của tài liệu).

Huấn luyện cho nhân viên ý thức về Social Engineering. Bạn nên lưu ý không có phần mềm firewall nào có thể ngăn chặn được con người. chỉ có các quy trình chính sách nghiêm ngặt mới có thể hạn chế được rủi ro.

Hết sức cẩn thận với các cuộc gọi không rõ nguồn gốc, các email, SMS, IM nhắn tin và yêu cầu gửi các thông tin nhạy cảm, Tốt nhất bạn nên h

gọi cho công ty hoặc nhà cung cấp để xác định lại thông tin cuộc gọi hoặc thư điện tử.

Đừng bao giờ cung cấp thông tin cá nhân hoặc về tổ chức của bạn trừ khi xác nhận chính xác người mà bạn cung cấp thông tin là ai.

Đừng bao giờ gửi thông tin nhạy cảm qua email, đặc biệt thông tin về tài khỏan và cá nhân.

Khi truy cập các trang web, cần lưu ý tên chính xác của địa chỉ trang web, có thể hacker đã lợi dụng các tên miền gần giống nhau (ví dụ: thay vinaphone thành voinaphon) hoặc thay đuôi “.com” thành “.net”…

Nên cài đặt tường lửa và các phần mềm antivirus, antispam, antiphishing trên máy khi tham gia lướt web và giao dịch trực tuyến.

Phàn hồi khi nhận ra trò lừa đảo

Ngay khi phát hiện ra cuộc tấn công dạng Social Engineering hoặc các nguy cơ có thể bị tấn công dưới dạng này, bạn nên thông báo ngay cho người quản trị hệ thống mạng hoặc các tổ chức bị lợi dụng để tìm cách khắc phục kịp thời.

Theo Nhịp cầu đầu tư