Con người là lỗ hổng bảo mật lớn nhất

Tấn công phi kỹ thuật và lừa đảo dụ người dùng tải tập tin đính kèm đang có xu hướng quay trở lại và có vẻ hiệu quả hơn trước.

Có nhiều hơn một lý do người dùng vẫn bị chiêu dụ nhấn vào những đường link độc hại hoặc tải về những file đính kèm không có nguồn gốc an toàn, cho dù giới bảo mật đã nhắc nhở việc này rất nhiều. Còn tin tặc lại càng ngày càng mưu mẹo hơn, lợi dụng chính tâm lý “háo tin” của người dùng để qua mặt sự cảnh giác của họ, bằng cách giả dạng người quen biết nào đó.

Và chiêu trò này không chỉ thành công với người dùng ngây thơ. Mới đây, một nhân viên của công ty sản xuất ổ cứng Seagate là nạn nhân của một email lừa đảo, khiến dữ liệu W-2s của mọi nhân viên Seagate từ trước đến nay bị lộ, gồm số an sinh xã hội, các mức lương bổng và các thông tin cá nhân liên quan khác. Một nhân viên của Snapchat cũng vừa bị lừa gửi thông tin tài chính cho sai đối tượng.

Seth Hamman, trợ lý giáo sư môn khoa học máy tính ở đại học Cedarville, cho biết: “Tội phạm hiện nay phức tạp hơn nhiều. Những email giả mạo lúc này không còn có những tiêu đề đầy lỗi chính tả hay tỏ rõ ý định lừa đảo nữa”.

Tại sao chúng vẫn tồn tại?

Qua những bài học đắt giá, hay ít nhất từ các nguồn thông tin hữu ích, nhiều người dùng đủ sáng suốt để biết không nên tải bất kỳ thứ gì về từ một địa chỉ mà họ không quen biết, và không nhấn vào bất kỳ đường link nào có nguồn không rõ ràng. Nhìn chung mọi người đều vậy. Nhưng tin tặc vẫn đang dùng kỹ thuật tấn công gọi là phi kỹ thuật (social engineering) để kiên trì thực hiện ý định của chúng, thường là thông qua email gửi đến trực tiếp cho người dùng.

Trong một báo cáo bảo mật mang tên “The Human Factor 2016” của công ty bảo mật Proofpoint, năm ngoái, tin tặc sử dụng rất nhiều email lừa đảo, có đến 99,7% tài liệu được đính kèm trong email lừa đảo dựa trên cách tấn công phi kỷ thuật và tấn công macro. Báo cáo cũng cho rằng 98% đường dẫn URL trong email lừa đảo dẫn đến malware. Trong cả hai trường hợp trên, tin tặc đều muốn xâm chiếm máy tính của người dùng bằng mã độc.

Một chuyên gia bảo mật tại Proofpoint nói rằng: “Kẻ tấn công đang tận dụng rất tốt những gì có trong DNA của chúng ta, đó là tính tò mò. Tò mò khiến chúng ta bị nhiễm mã độc”.

Tin tặc biết rõ khoảng thời gian nào tấn công sẽ hiệu quả. Proofpoint chỉ ra email lừa đảo thường đến hộp mail người dùng từ 9 đến 10 giờ sáng, và ngày thứ Ba hàng tuần là ngày email lừa đảo được phân tán nhiều nhất. Chúng chọn khung thời gian này là vì đây là lúc người nhận email thường lơ là nhất: không phải thứ Hai vì khi đó bạn vừa quay lại làm việc sau cuối tuần nghỉ ngơi, còn thứ Ba thường khiến chúng ta không mấy tỉnh táo, nhất là khi phải chạy tới chạy lui họp hành và khi chưa có ly cà phê nào cho buổi sáng.

Ngoài ra, các file đính kèm thường có nội dung hệt như mô tả ban đầu. Đó có thể là một file đính kèm, chẳng văn bản Word và khi bạn mở ra, đúng đó là một file Word, nhưng ẩn bên dưới file đó là gì thì có lẽ bạn sẽ không biết được.

Tường tận về

Nghiên cứu trên cũng cho thấy phi kỹ thuật cũng được dùng để tấn công doanh nghiệp và những đối tượng cao cấp khác chứ không riêng gì người dùng phổ thông, thường gặp nhất là giả tài khoản ngân hàng để chuyển tiền.

Thoạt nghe có thể khó tin. Ai lại đi chuyển tiền cho một người lạ? Nhưng tin tặc sẽ thể hiện không phải là người lạ. Một loại giả mạo mà Epstein gọi là “low level sophistication” (mức tinh vi thấp), là tin tặc giả người quan biết, trao đổi khoảng 10-15 email với nạn nhân tiềm năng. Ví dụ tin tặc giả là “sếp” gửi email thông báo cho nhân viên về một hóa đơn nào đó cần thanh toán và dẫn dụ nhân viên đó qua một loạt email trao đổi khác để kết thúc bằng một lệnh chuyển tiền để thanh toán hóa đơn đó.

Một phiên bản phức tạp hơn của loại tấn công giả mạo này là nhân viên nhận được email có file đính kèm chứa mã độc, làm thay đổi các thiết lập trong email của nhân viên, và trong những mail tiếp đó, thay vì với sếp thì nhân viên lại trao đổi thông tin với kẻ tấn công – tin tặc, kẻ có thể sau đó forward email cho sếp thật, mà hoàn toàn không nhận ra. 

Trong những trường hợp này, kẻ tấn công đã có thể chèn thêm vào email của sếp một hoặc hai đoạn văn bản. Điều này không dễ dàng phát hiện ra bởi nó được viết bằng ngôn ngữ rất tự nhiên, với phong cách thể hiện giống hệt như người điều hành, những thay đổi rất nhỏ hoặc sử dụng các cài đặt ẩn mà bạn không nhận ra.

Theo Epstein, email giả mạo hiện nay rất tinh vi. Trong năm 2014, tin tặc phải tìm cách vượt qua hệ thống cảnh báo để lén lút thâm nhập vào hệ thống, thì đến năm 2015, chúng đàng hoàng gõ cửa và đi vào bằng cửa chính.

Thông tin của bạn luôn có trên mạng

Tấn công phi kỹ thuật phổ biến cũng một phần là do thông tin cá nhân của người dùng quá dễ tiếp cận và thu lượm trên mạng, nhất là các mạng xã hội như Facebook, Twitter… Trong ba năm vừa qua, chính bản thân những chuyên gia bảo mật như Epstein vẫn bị lừa và là nạn nhân của rò rỉ dữ liệu đến bốn lần. Khi một ai đó bị tin tặc nhắm tới và chúng biết được thông tin cá nhân của người đó, thì nạn nhân thường nghĩ rằng kẻ mình đang trao đổi đúng là người thật. Những kiểu tấn công phức tạp như vậy thường thành công bởi kẻ tấn công đã quá thuần thục chiêu trò này.

Năm ngoái, Frank Abagnale, là nhân vật thật sự được dựng lại trong bộ phim “Catch Me If You Can", đang làm việc với FBI suốt hơn 40 năm qua, đã nói rằng: “Tôi đã làm điều đó cách nay 50 năm khi còn là cậu nhóc, lúc ấy dễ làm hơn bây giờ gấp 4.000 lần bởi vì công nghệ. Công nghệ nuôi dưỡng tội phạm. Lúc nào cũng vậy và sẽ luôn là vậy”.

PC World VN, 05/2016