Con người là lỗ hổng bảo mật lớn nhất

19/10/2019

Tấn công phi kỹ thuật và lừa đảo dụ người dùng tải tập tin đính kèm đang có xu hướng quay trở lại và có vẻ hiệu quả hơn trước.

Có nhiều hơn một lý do người dùng vẫn bị chiêu dụ nhấn vào những đường link độc hại hoặc tải về những file đính kèm không có nguồn gốc an toàn, cho dù giới bảo mật đã nhắc nhở việc này rất nhiều. Còn tin tặc lại càng ngày càng mưu mẹo hơn, lợi dụng chính tâm lý “háo tin” của người dùng để qua mặt sự cảnh giác của họ, bằng cách giả dạng người quen biết nào đó.

Và chiêu trò này không chỉ thành công với người dùng ngây thơ. Mới đây, một nhân viên của công ty sản xuất ổ cứng Seagate là nạn nhân của một email lừa đảo, khiến dữ liệu W-2s của mọi nhân viên Seagate từ trước đến nay bị lộ, gồm số an sinh xã hội, các mức lương bổng và các thông tin cá nhân liên quan khác. Một nhân viên của Snapchat cũng vừa bị lừa gửi thông tin tài chính cho sai đối tượng.

Seth Hamman, trợ lý giáo sư môn khoa học máy tính ở đại học Cedarville, cho biết: “Tội phạm hiện nay phức tạp hơn nhiều. Những email giả mạo lúc này không còn có những tiêu đề đầy lỗi chính tả hay tỏ rõ ý định lừa đảo nữa”.


Tại sao chúng vẫn tồn tại?

Qua những bài học đắt giá, hay ít nhất từ các nguồn thông tin hữu ích, nhiều người dùng đủ sáng suốt để biết không nên tải bất kỳ thứ gì về từ một địa chỉ mà họ không quen biết, và không nhấn vào bất kỳ đường link nào có nguồn không rõ ràng. Nhìn chung mọi người đều vậy. Nhưng tin tặc vẫn đang dùng kỹ thuật tấn công gọi là phi kỹ thuật (social engineering) để kiên trì thực hiện ý định của chúng, thường là thông qua email gửi đến trực tiếp cho người dùng.

Trong một báo cáo bảo mật mang tên “The Human Factor 2016” của công ty bảo mật Proofpoint, năm ngoái, tin tặc sử dụng rất nhiều email lừa đảo, có đến 99,7% tài liệu được đính kèm trong email lừa đảo dựa trên cách tấn công phi kỷ thuật và tấn công macro. Báo cáo cũng cho rằng 98% đường dẫn URL trong email lừa đảo dẫn đến malware. Trong cả hai trường hợp trên, tin tặc đều muốn xâm chiếm máy tính của người dùng bằng mã độc.

Một chuyên gia bảo mật tại Proofpoint nói rằng: “Kẻ tấn công đang tận dụng rất tốt những gì có trong DNA của chúng ta, đó là tính tò mò. Tò mò khiến chúng ta bị nhiễm mã độc”.

Tin tặc biết rõ khoảng thời gian nào tấn công sẽ hiệu quả. Proofpoint chỉ ra email lừa đảo thường đến hộp mail người dùng từ 9 đến 10 giờ sáng, và ngày thứ Ba hàng tuần là ngày email lừa đảo được phân tán nhiều nhất. Chúng chọn khung thời gian này là vì đây là lúc người nhận email thường lơ là nhất: không phải thứ Hai vì khi đó bạn vừa quay lại làm việc sau cuối tuần nghỉ ngơi, còn thứ Ba thường khiến chúng ta không mấy tỉnh táo, nhất là khi phải chạy tới chạy lui họp hành và khi chưa có ly cà phê nào cho buổi sáng.

Ngoài ra, các file đính kèm thường có nội dung hệt như mô tả ban đầu. Đó có thể là một file đính kèm, chẳng văn bản Word và khi bạn mở ra, đúng đó là một file Word, nhưng ẩn bên dưới file đó là gì thì có lẽ bạn sẽ không biết được.

Tường tận về

Nghiên cứu trên cũng cho thấy phi kỹ thuật cũng được dùng để tấn công doanh nghiệp và những đối tượng cao cấp khác chứ không riêng gì người dùng phổ thông, thường gặp nhất là giả tài khoản ngân hàng để chuyển tiền.

Thoạt nghe có thể khó tin. Ai lại đi chuyển tiền cho một người lạ? Nhưng tin tặc sẽ thể hiện không phải là người lạ. Một loại giả mạo mà Epstein gọi là “low level sophistication” (mức tinh vi thấp), là tin tặc giả người quan biết, trao đổi khoảng 10-15 email với nạn nhân tiềm năng. Ví dụ tin tặc giả là “sếp” gửi email thông báo cho nhân viên về một hóa đơn nào đó cần thanh toán và dẫn dụ nhân viên đó qua một loạt email trao đổi khác để kết thúc bằng một lệnh chuyển tiền để thanh toán hóa đơn đó.

Một phiên bản phức tạp hơn của loại tấn công giả mạo này là nhân viên nhận được email có file đính kèm chứa mã độc, làm thay đổi các thiết lập trong email của nhân viên, và trong những mail tiếp đó, thay vì với sếp thì nhân viên lại trao đổi thông tin với kẻ tấn công – tin tặc, kẻ có thể sau đó forward email cho sếp thật, mà hoàn toàn không nhận ra. 

Trong những trường hợp này, kẻ tấn công đã có thể chèn thêm vào email của sếp một hoặc hai đoạn văn bản. Điều này không dễ dàng phát hiện ra bởi nó được viết bằng ngôn ngữ rất tự nhiên, với phong cách thể hiện giống hệt như người điều hành, những thay đổi rất nhỏ hoặc sử dụng các cài đặt ẩn mà bạn không nhận ra.

Theo Epstein, email giả mạo hiện nay rất tinh vi. Trong năm 2014, tin tặc phải tìm cách vượt qua hệ thống cảnh báo để lén lút thâm nhập vào hệ thống, thì đến năm 2015, chúng đàng hoàng gõ cửa và đi vào bằng cửa chính.

Thông tin của bạn luôn có trên mạng

Tấn công phi kỹ thuật phổ biến cũng một phần là do thông tin cá nhân của người dùng quá dễ tiếp cận và thu lượm trên mạng, nhất là các mạng xã hội như Facebook, Twitter… Trong ba năm vừa qua, chính bản thân những chuyên gia bảo mật như Epstein vẫn bị lừa và là nạn nhân của rò rỉ dữ liệu đến bốn lần. Khi một ai đó bị tin tặc nhắm tới và chúng biết được thông tin cá nhân của người đó, thì nạn nhân thường nghĩ rằng kẻ mình đang trao đổi đúng là người thật. Những kiểu tấn công phức tạp như vậy thường thành công bởi kẻ tấn công đã quá thuần thục chiêu trò này.

Năm ngoái, Frank Abagnale, là nhân vật thật sự được dựng lại trong bộ phim “Catch Me If You Can", đang làm việc với FBI suốt hơn 40 năm qua, đã nói rằng: “Tôi đã làm điều đó cách nay 50 năm khi còn là cậu nhóc, lúc ấy dễ làm hơn bây giờ gấp 4.000 lần bởi vì công nghệ. Công nghệ nuôi dưỡng tội phạm. Lúc nào cũng vậy và sẽ luôn là vậy”.

PC World VN, 05/2016

 

Tin liên quan

30/11/2022

Thư mời tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022 của Viettel IDC.

22/11/2022

Thư mời tham gia đề xuất thu mua thanh lý thiết bị Tháng 11/2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thiết bị thanh lý Tháng 11/2022 của Viettel IDC.

08/11/2022

Thư mời tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

Viettel IDC mời Quý Công ty tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

14/10/2022

​Viettel ra mắt hệ sinh thái Cloud góp phần kiến tạo hạ tầng số Việt Nam

Hà Nội, ngày 14/10/2022 - Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel) chính thức ra mắt hệ sinh thái Viettel Cloud, khẳng định là nhà cung cấp dịch vụ Điện toán đám mây lớn nhất Việt Nam và đảm bảo toàn trình các cấu phần của một hệ sinh thái Cloud. Sự kiện này có ý nghĩa trong chiến lược chuyển đổi số quan trọng của Việt Nam.

01/11/2022

Viettel IDC đón nhận danh hiệu Top 5 thương hiệu tiêu biểu Châu Á - Thái Bình Dương 2022

Tạp chí Kinh tế Châu Á - Thái Bình Dương và Hiệp hội Thông tin Công nghiệp Châu Á (AIPA) đã trao danh hiệu Top 5 Thương hiệu tiêu biểu Châu Á – Thái Bình Dương 2022 cho Viettel IDC và Top 5 Nhà lãnh đạo tiêu biểu Châu Á – Thái Bình Dương 2022 cho ông Hoàng Văn Ngọc - CEO Viettel IDC.

16/09/2022

Thông báo mời tham gia gói thầu mua sắm máy chủ và thiết bị mạng, phần mềm nội bộ phục vụ khách hàng

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu thực hiện gói thầu “Mua sắm máy chủ và thiết bị mạng, phần mềm nội bộ phục vụ khách hàng” theo hình thức Kí Hợp đồng trực tiếp, sử dụng Vốn sản xuất kinh doanh của đơn vị.

22/09/2022

Thông báo mời quan tâm gói thầu tư vấn lập báo cáo nghiên cứu khả thi cho dự án Trung tâm dữ liệu của Viettel IDC

Chúng tôi, Công ty TNHH Viettel – CHT (Viettel IDC) – Nhà cung cấp dịch vụ trung tâm dữ liệu và dịch vụ điện toán đám mây hàng đầu Việt Nam đang có nhu cầu tìm đối tác tư vấn lập báo cáo nghiên cứu khả thi cho dự án của chúng tôi

21/09/2022

Thư mời tham gia đề xuất thu mua thanh lý tài sản Modem, Router Viettel IDC năm 2022

Viettel IDC mời Quý Công ty tham gia đề xuất phương án thu mua hàng thanh lý tài sản Modem, Router.

14/09/2022

Câu chuyện truyền cảm hứng của Viettel sau giải thưởng TOP 10 doanh nghiệp CNTT

Tại Lễ Công bố và Vinh danh TOP 10 Doanh nghiệp Công nghệ Thông tin Việt Nam 2022, Viettel IDC được vinh danh tại hạng mục TOP 10 Doanh nghiệp cung cấp hạ tầng số, dịch vụ điện toán đám mây, dữ liệu lớn. Đặc biệt với kết quả kinh doanh ấn tượng trong nhiều năm, Viettel IDC được lựa chọn vào Câu lạc bộ Doanh nghiệp CNTT nghìn tỷ tại Việt Nam.

05/07/2022

Thư mời tham gia đề xuất thu mua thanh lý thiết bị Viettel IDC năm 2022

Viettel IDC mời Quý Công ty tham gia đề xuất phương án thu mua hàng thanh lý lô thiết bị.

// doi link