Con người là lỗ hổng bảo mật lớn nhất

19/10/2019

Tấn công phi kỹ thuật và lừa đảo dụ người dùng tải tập tin đính kèm đang có xu hướng quay trở lại và có vẻ hiệu quả hơn trước.

Có nhiều hơn một lý do người dùng vẫn bị chiêu dụ nhấn vào những đường link độc hại hoặc tải về những file đính kèm không có nguồn gốc an toàn, cho dù giới bảo mật đã nhắc nhở việc này rất nhiều. Còn tin tặc lại càng ngày càng mưu mẹo hơn, lợi dụng chính tâm lý “háo tin” của người dùng để qua mặt sự cảnh giác của họ, bằng cách giả dạng người quen biết nào đó.

Và chiêu trò này không chỉ thành công với người dùng ngây thơ. Mới đây, một nhân viên của công ty sản xuất ổ cứng Seagate là nạn nhân của một email lừa đảo, khiến dữ liệu W-2s của mọi nhân viên Seagate từ trước đến nay bị lộ, gồm số an sinh xã hội, các mức lương bổng và các thông tin cá nhân liên quan khác. Một nhân viên của Snapchat cũng vừa bị lừa gửi thông tin tài chính cho sai đối tượng.

Seth Hamman, trợ lý giáo sư môn khoa học máy tính ở đại học Cedarville, cho biết: “Tội phạm hiện nay phức tạp hơn nhiều. Những email giả mạo lúc này không còn có những tiêu đề đầy lỗi chính tả hay tỏ rõ ý định lừa đảo nữa”.


Tại sao chúng vẫn tồn tại?

Qua những bài học đắt giá, hay ít nhất từ các nguồn thông tin hữu ích, nhiều người dùng đủ sáng suốt để biết không nên tải bất kỳ thứ gì về từ một địa chỉ mà họ không quen biết, và không nhấn vào bất kỳ đường link nào có nguồn không rõ ràng. Nhìn chung mọi người đều vậy. Nhưng tin tặc vẫn đang dùng kỹ thuật tấn công gọi là phi kỹ thuật (social engineering) để kiên trì thực hiện ý định của chúng, thường là thông qua email gửi đến trực tiếp cho người dùng.

Trong một báo cáo bảo mật mang tên “The Human Factor 2016” của công ty bảo mật Proofpoint, năm ngoái, tin tặc sử dụng rất nhiều email lừa đảo, có đến 99,7% tài liệu được đính kèm trong email lừa đảo dựa trên cách tấn công phi kỷ thuật và tấn công macro. Báo cáo cũng cho rằng 98% đường dẫn URL trong email lừa đảo dẫn đến malware. Trong cả hai trường hợp trên, tin tặc đều muốn xâm chiếm máy tính của người dùng bằng mã độc.

Một chuyên gia bảo mật tại Proofpoint nói rằng: “Kẻ tấn công đang tận dụng rất tốt những gì có trong DNA của chúng ta, đó là tính tò mò. Tò mò khiến chúng ta bị nhiễm mã độc”.

Tin tặc biết rõ khoảng thời gian nào tấn công sẽ hiệu quả. Proofpoint chỉ ra email lừa đảo thường đến hộp mail người dùng từ 9 đến 10 giờ sáng, và ngày thứ Ba hàng tuần là ngày email lừa đảo được phân tán nhiều nhất. Chúng chọn khung thời gian này là vì đây là lúc người nhận email thường lơ là nhất: không phải thứ Hai vì khi đó bạn vừa quay lại làm việc sau cuối tuần nghỉ ngơi, còn thứ Ba thường khiến chúng ta không mấy tỉnh táo, nhất là khi phải chạy tới chạy lui họp hành và khi chưa có ly cà phê nào cho buổi sáng.

Ngoài ra, các file đính kèm thường có nội dung hệt như mô tả ban đầu. Đó có thể là một file đính kèm, chẳng văn bản Word và khi bạn mở ra, đúng đó là một file Word, nhưng ẩn bên dưới file đó là gì thì có lẽ bạn sẽ không biết được.

Tường tận về

Nghiên cứu trên cũng cho thấy phi kỹ thuật cũng được dùng để tấn công doanh nghiệp và những đối tượng cao cấp khác chứ không riêng gì người dùng phổ thông, thường gặp nhất là giả tài khoản ngân hàng để chuyển tiền.

Thoạt nghe có thể khó tin. Ai lại đi chuyển tiền cho một người lạ? Nhưng tin tặc sẽ thể hiện không phải là người lạ. Một loại giả mạo mà Epstein gọi là “low level sophistication” (mức tinh vi thấp), là tin tặc giả người quan biết, trao đổi khoảng 10-15 email với nạn nhân tiềm năng. Ví dụ tin tặc giả là “sếp” gửi email thông báo cho nhân viên về một hóa đơn nào đó cần thanh toán và dẫn dụ nhân viên đó qua một loạt email trao đổi khác để kết thúc bằng một lệnh chuyển tiền để thanh toán hóa đơn đó.

Một phiên bản phức tạp hơn của loại tấn công giả mạo này là nhân viên nhận được email có file đính kèm chứa mã độc, làm thay đổi các thiết lập trong email của nhân viên, và trong những mail tiếp đó, thay vì với sếp thì nhân viên lại trao đổi thông tin với kẻ tấn công – tin tặc, kẻ có thể sau đó forward email cho sếp thật, mà hoàn toàn không nhận ra. 

Trong những trường hợp này, kẻ tấn công đã có thể chèn thêm vào email của sếp một hoặc hai đoạn văn bản. Điều này không dễ dàng phát hiện ra bởi nó được viết bằng ngôn ngữ rất tự nhiên, với phong cách thể hiện giống hệt như người điều hành, những thay đổi rất nhỏ hoặc sử dụng các cài đặt ẩn mà bạn không nhận ra.

Theo Epstein, email giả mạo hiện nay rất tinh vi. Trong năm 2014, tin tặc phải tìm cách vượt qua hệ thống cảnh báo để lén lút thâm nhập vào hệ thống, thì đến năm 2015, chúng đàng hoàng gõ cửa và đi vào bằng cửa chính.

Thông tin của bạn luôn có trên mạng

Tấn công phi kỹ thuật phổ biến cũng một phần là do thông tin cá nhân của người dùng quá dễ tiếp cận và thu lượm trên mạng, nhất là các mạng xã hội như Facebook, Twitter… Trong ba năm vừa qua, chính bản thân những chuyên gia bảo mật như Epstein vẫn bị lừa và là nạn nhân của rò rỉ dữ liệu đến bốn lần. Khi một ai đó bị tin tặc nhắm tới và chúng biết được thông tin cá nhân của người đó, thì nạn nhân thường nghĩ rằng kẻ mình đang trao đổi đúng là người thật. Những kiểu tấn công phức tạp như vậy thường thành công bởi kẻ tấn công đã quá thuần thục chiêu trò này.

Năm ngoái, Frank Abagnale, là nhân vật thật sự được dựng lại trong bộ phim “Catch Me If You Can", đang làm việc với FBI suốt hơn 40 năm qua, đã nói rằng: “Tôi đã làm điều đó cách nay 50 năm khi còn là cậu nhóc, lúc ấy dễ làm hơn bây giờ gấp 4.000 lần bởi vì công nghệ. Công nghệ nuôi dưỡng tội phạm. Lúc nào cũng vậy và sẽ luôn là vậy”.

PC World VN, 05/2016

 

Tin liên quan

06/12/2021

Viettel IDC thông báo mời tham gia đề xuất Tháng 12/2021

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu Thanh lý các thiết bị. Kính mời Quý Công ty tham gia đề xuất phương án thu mua hàng thanh lý.

29/11/2021

Webinar: Xây dựng, bảo mật nền tảng điện toán đám mây - Cơ sở hạ tầng quan trọng trong chuyển đổi số

Trong khuôn khổ Dự án “Chuyển đổi số cho doanh nghiệp trong bối cảnh Cách mạng công nghiệp 4.0”, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) phối hợp với Viettel IDC và Akamai Technologies tổ chức hội thảo trực tuyến.

12/11/2021

​Viettel IDC hoàn thành đánh giá chứng nhận ISO/IEC 20000-1:2018 về quản lý dịch vụ CNTT

Tháng 10/2021, Viettel IDC đã chính thức hoàn thành và được TÜV Rheinland cấp chứng nhận ISO/IEC 20000-1:2018 – tiêu chuẩn toàn cầu mô tả các yêu cầu đối với hệ thống quản lý dịch vụ công nghệ thông tin (ITSM).

25/10/2021

Webinar: Bứt tốc chuyển đổi số hậu Covid-19 với Hybrid Cloud

Trong những năm gần đây, Hybrid Cloud đã không còn là một thuật ngữ xa lạ đối với các doanh nghiệp trong cuộc đua chuyển đổi số. Là sự kết hợp giữa Public Cloud và Private Cloud hoặc hạ tầng data center sẵn có, mô hình Hybrid Cloud được xem là sự lựa chọn ưu việt và linh hoạt nhất, cho phép doanh nghiệp xây dựng một giải pháp tùy chỉnh, đáp ứng với nhu cầu phát triển thực tế tại từng thời điểm.

23/09/2021

Webinar: AI và Bảo mật trong Chuyển đổi số ngành BFSI

Chuyển đổi số là xu thế tất yếu trong tất cả các lĩnh vực, tuy nhiên trong hành trình chuyển đổi đó chắc chắn các tổ chức sẽ gặp phải những khó khăn thách thức về cơ sở hạ tầng, kết nối, ứng dụng công nghệ.

16/09/2021

Viettel IDC chính thức có mặt trên Zalo

Với mục tiêu hỗ trợ người dùng đa kênh, đa nền tảng và mong muốn kết nối nhanh nhất đến các Quý khách hàng, Viettel IDC chính thức có mặt trên nền tảng mạng xã hội Zalo từ 15/09/2021.

26/08/2021

Trung tâm dữ liệu Viettel IDC đạt Giải Vàng tại Giải thưởng Kinh doanh quốc tế IBA Stevie Awards (IBA)

Tại giải thưởng IBA năm nay, Trung tâm dữ liệu của Viettel IDC được đánh giá và trao giải Vàng cho hạng mục Đơn vị cung cấp cơ sở hạ tầng tốt nhất.

20/08/2021

Sản phẩm chuyển đổi số giúp Viettel có năm thành công nhất tại IBA 2021

Năm 2021, Tập đoàn Công nghiệp - Viễn thông Quân đội (Viettel) có 22 giải thưởng tại Giải thưởng Kinh doanh Quốc tế (IBA), gấp 4,4 lần so với năm 2020, chiếm gần một nửa số giải mà 13 doanh nghiệp Việt Nam tham dự đạt được

14/07/2021

Trung tâm dữ liệu đạt giải IT World Awards của Viettel IDC chuẩn quốc tế như thế nào?

Viettel IDC Data center – Hệ thống trung tâm dữ liệu Viettel IDC giành giải Bạc hạng mục Data center Infrastructure Management – Giải thưởng CNTT thế giới IT World Awards 2021.

09/07/2021

Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại IT World Awards 2021

QĐND Online - Ngày 8-7, theo công bố chính thức của ban tổ chức Giải thưởng Công nghệ thông tin Thế giới - IT World Awards 2021, Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại Giải thưởng Công nghệ thông tin thế giới - IT World Awards 2021.

// doi link