Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi... của con người. Các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering). Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật.
Trước đây, khi chưa có mạng truyền thông, “đạo chích” phải rất khó khăn mới kiếm được thông tin, nhưng ngày nay bằng thủ thuật xã hội, nếu đoạt được mật khẩu truy cập, đạo chích có thể xâm nhập được vào cả kho dữ liệu. Kỹ nghệ xã hội bởi vậy được coi là mối nguy cơ lớn nhất đối với an ninh thông tin trong thời đại tin học. Bài báo này giới thiệu một số nét cơ bản về kỹ nghệ xã hội và các chiêu thức thường gặp, các phương pháp chống lại mối đe dọa này. Phần 1 này sẽ phân tích một số khái niệm về kỹ nghệ xã hội.
Khái niệm kỹ nghệ xã hội
Kỹ nghệ xã hội theo nghĩa chung nhất là nghệ thuật của người có chủ ý điều khiển hành vi của con người thông qua việc chi phối tâm lý và tận dụng các điểm yếu của họ để đạt được mục đích. Kẻ gian có thể đánh lạc hướng người bảo vệ để đột nhập một tòa nhà, đạo chích máy tính có thể tận dụng sự thiếu cảnh giác của nhân viên để lấy cắp mật khẩu truy cập mạng của các tổ chức nhằm ăn cắp hoặc phá hoại dữ liệu. Với việc sử dụng kỹ nghệ xã hội, các nhà tình báo có thể khai thác nhiều thông tin quan trọng về kinh tế, quân sự, chính trị; các nhà ngoại giao có thể biết được lập trường của đối phương trong đàm phán; các doanh nghiệp có thể nắm được chiến lược phát triển kinh doanh và sản phẩm của đối thủ.
Kỹ nghệ xã hội trong bài này được hiểu theo nghĩa hẹp hơn, đó là sự vận dụng kỹ nghệ xã hội vào lĩnh vực an ninh thông tin. Nói cách khác, đó là nghệ thuật điều khiển hành vi của con người để ăn cắp hoặc phá hoại thông tin mà không tấn công trực tiếp vào hệ thống kỹ thuật.
Trong thực tế, các thủ thuật của kỹ nghệ xã hội đã được con người sử dụng từ rất sớm nhưng thuật ngữ “kỹ nghệ xã hội” mới được phổ cập vào những năm 90 của thế kỷ XX bởi Kelvin Mitnick - một đạo chích tin học nổi tiếng người Mỹ. Ông không chỉ là người phổ biến thuật ngữ này mà còn có công phát triển nó thành nghệ thuật.
Trong cuốn “Nghệ thuật lừa đảo”, Mitnick đã kể lại rất nhiều câu chuyện về các kỹ sư xã hội (những kẻ tấn công sử dụng kỹ nghệ xã hội) và những thủ thuật mà họ đã sử dụng. Dưới đây là phần trích dẫn hai trong số các câu chuyện đó.
Câu chuyện kinh điển về Rifkin
Vào năm 1978, Rifkin - chuyên viên tư vấn cho ngân hàng Thái Bình Dương ở Los Angeles, làm việc cho ngân hàng này theo hợp đồng về thiết kế hệ thống sao lưu dữ liệu dự phòng. Với vai trò này, Rifkin được phép tiếp cận các thủ tục chuyển khoản và được quan sát những gì nhân viên ngân hàng thực hiện để hoàn thành công việc. Rifkin biết được rằng, mỗi buổi sáng các nhân viên làm nhiệm vụ chuyển khoản nhận được một mật mã, mật mã này được bảo vệ hết sức cẩn thận và được sử dụng để thực hiện các yêu cầu nhận, chuyển khoản.
Một số nhân viên không ghi nhớ mật mã (vốn được thay đổi hàng ngày). Vì thế họ ghi mật mã lên một mẩu giấy và đặt vào một chỗ nào đó trong tầm nhìn. Một lần, Rifkin đã vào phòng làm việc của họ và nhìn trộm được mật mã ghi trên mẩu giấy của các nhân viên. Khoảng 3 giờ đồng hồ sau, Rifkin đã mạo danh là Michel Hansen - một nhân viên chi nhánh quốc tế của ngân hàng này và gọi điện thoại đến phòng chuyển khoản để đề nghị chuyển một khoản tiền lớn vào tài khoản của anh ta ở một ngân hàng tại Thụy Sỹ. Khi được yêu cầu cung cấp số điện thoại văn phòng, mật mã tài khoản của Michel thì với những thông tin đã thu thập được, Rifkin đã trả lời rất chính xác và mọi việc diễn ra trôi chảy.
Vài ngày sau, Rifkin bay đến Thụy Sỹ, nhận tiền, đổi khoảng 8 triệu USD lấy kim cương tại Anh và quay lại Mỹ, sau khi vượt qua được sự kiểm soát của Hải quan.
Rifkin đã thực hiện một vụ ăn cắp ngân hàng lớn nhất mà không cần bất kỳ vũ khí nào, thậm chí chẳng cần đến máy tính. Điều kỳ lạ là thông tin về vụ này lại được ghi vào sách kỷ lục thế giới ở hạng mục “Những vụ lừa gạt máy tính lớn nhất”.
Câu chuyện Giôn - Xơn giả
Một công ty quốc tế tại thung lũng Silicon có các chi nhánh ở khắp thế giới, các chi nhánh này được kết nối với Trung tâm bởi mạng WAN toàn cầu. Brian Alterby – một kỹ sư xã hội muốn xâm nhập vào mạng này để ăn cắp thông tin và điều anh ta cần trước hết là mật khẩu để truy cập. Alterby biết rằng xâm nhập vào mạng từ một đầu mối xa sẽ dễ hơn bởi ở đây có mức độ bảo vệ thấp. Do đó, anh ta đã gọi điện vào văn phòng ở Chicago và yêu cầu được nói chuyện với nhân viên thuộc một bộ phận của công ty. Bằng các mánh khóe của mình, anh ta đã lừa và lấy
được mã số tác nghiệp của Jozev Giôn - nhân viên thuộc bộ phận phát triển kinh doanh này. Ngay sau đó, Alterby liền mạo danh là Jozev Giôn để gọi đến cho người quản trị hệ thống ở Texas. Khi người quản trị yêu cầu nhắc lại tên, số điện thoại và một số thông tin khác, Alterby đã chuẩn bị kỹ lưỡng nên đã đáp ứng ngay yêu cầu của người quản trị và anh này đã báo mật khẩu truy cập cho Alterby.
Hai ví dụ trên đây đã cho thấy sự lợi hại của kỹ nghệ xã hội và chứng tỏ rằng, ngay cả các hệ thống tưởng chừng như đã được bảo vệ cẩn mật như ngân hàng, hay các tập đoàn công nghệ tầm cỡ toàn cầu vẫn có thể dễ dàng bị kẻ gian qua mặt mà không cần bất kỳ phương tiện kỹ thuật nào.
Khả năng thành công của tấn công bằng kỹ nghệ xã hội
Sự thành công của tấn công bằng kỹ nghệ xã hội phụ thuộc vào hai yếu tố là phẩm chất và tài nghệ của kẻ tấn công và phẩm chất của người bị tấn công.
Các kỹ sư xã hội là những người có phẩm chất vượt trội như tính cẩn thận, chu đáo trong tư duy và hành động, sáng tạo và nhanh trí trong việc xử lý các tình huống phát sinh không dự kiến trước, khả năng nắm bắt tâm lý giỏi. Họ thấu hiểu những phẩm chất của con người, cả mặt tiêu cực cũng như tích cực và biết tận dụng triệt để chúng. Khi thực thi nhiệm vụ, họ là những diễn viên tài ba, có khả năng đóng nhiều vai khác nhau, thay đổi giọng nói hoặc bắt chước giọng của người khác để đánh lạc hướng mục tiêu.
Trước khi hành động, các kỹ sư xã hội thường chuẩn bị kế hoạch hết sức kỹ lưỡng, dành nhiều thời gian, hàng tuần, thậm chí hàng tháng để khảo sát mục tiêu, trụ sở làm việc và con người, thu thập số điện thoại công khai, địa chỉ e- mail và sử dụng internet để tìm kiếm thông tin ban đầu. Họ nghiên cứu kỹ các sơ hở của từng loại cơ quan, công sở, doanh nghiệp, đặc điểm của từng kiểu người, ưu thế trong sử dụng các phương tiện liên lạc để tấn công. Họ là những trinh sát giỏi trong điều tra mục tiêu và là những kỳ thủ chơi cờ, biết dự đoán trước các câu hỏi có thể và chuẩn bị sẵn các câu trả lời.
Khi cần, các kỹ sư xã hội sẵn sàng sử dụng các biện pháp mua chuộc, thậm chí đe dọa các nhân viên của cơ quan hoặc doanh nghiệp khi nắm được điểm yếu của họ. Các kiểu lừa gạt là những phương pháp ưa thích của họ. Chẳng hạn để cài chương trình gây hại vào máy tính của một công ty, những kẻ tấn công sử dụng kỹ nghệ xã hội có thể đóng vai nhân viên của một công ty đối tác hay đối địch, giả vờ để quên trên bàn làm việc của cán bộ công ty kia một đĩa CD hay một USB có chứa các thông tin giả là thông tin quan trọng của công ty anh ta kèm theo chương trình gây hại. Trong những trường hợp như thế, người cán bộ của công ty kia dễ dàng sập bẫy và vô tình giúp kẻ gian cài chương trình có hại vào máy tính của công ty mình.
Không ít các kỹ sư xã hội đồng thời cũng là những chuyên gia công nghệ tài giỏi. Kelvin Mitnick trong cuốn “Nghệ thuật lừa đảo” đã kể lại quá trình nghiên cứu để ông nắm vững và hiểu tường tận các loại điện thoại cố định, di động, máy tính, mạng máy tính, các hệ điều hành và nhiều thiết bị viễn thông khác cũng như ưu thế của từng loại trong việc sử dụng để thực hiện các hành vi lừa gạt. Trong một cuốn khác có tên “Nghệ thuật xâm nhập” mà ông là đồng tác giả, Mitnick đã kể lại câu chuyện một nhóm chuyên gia đứng đầu là Aleks Mifield (họ tên đã được thay đổi) đã xâm nhập vào các casino tại Las Vegas và kiếm lợi trong suốt hơn ba năm như thế nào. Họ nguyên là những kỹ sư máy tính, trong một chuyến công tác tới Las Vegas, họ đã trở thành những kẻ lừa đảo nhờ một ý nghĩ bất ngờ “Các máy đánh bạc tự động đều dựa trên các chương trình máy tính, tại sao chúng ta không dựa vào đó để kiếm tiền?”. Và với tài năng công nghệ sẵn có, sau một thời gian tìm hiểu họ đã dễ dàng nắm được cách thức vận hành và những khiếm khuyết trong phần mềm của máy đánh bạc tự động. Họ đã thiết kế chương trình riêng phục vụ cho mục tiêu kiếm lợi. Vận dụng các thủ thuật của kỹ nghệ xã hội, họ đã thành công trong việc cài chương trình của mình vào các máy tự động đánh bạc của một số casino, vượt qua được hệ thống camera và sự kiểm soát của các nhân viên giám sát. Cũng nhờ những phẩm chất xã hội, họ đã biết hành động đúng mức để tránh mọi nghi ngờ có thể dính tới pháp luật: “Thắng vừa phải, định kỳ thay đổi địa điểm chơi, chấm dứt trò chơi ba năm sau đó”.
Con người thường sở hữu một số phẩm chất tích cực khiến họ trở thành nạn nhân của các thủ thuật kỹ nghệ xã hội như lòng tốt, sự mong muốn được giúp đỡ người khác và những phẩm chất tiêu cực như thiếu cảnh giác, nhẹ dạ cả tin, thói ba hoa, tính háo danh, hám lợi, sự bất cẩn trong thực thi nhiệm vụ. Theo một kết quả khảo sát tại một công ty được chọn làm mục tiêu tấn công, người ta đã thực hiện 140 cuộc gọi điện thoại tới nhân viên của công ty với những câu hỏi đã được chuẩn bị sẵn. Kết quả cho thấy hầu như tất cả đều cung cấp thông tin mà những người gọi tìm kiếm, chỉ có 5 nhân viên từ chối. Cũng tại công ty này, có tới 90% nhân viên là mục tiêu giả định đã mở URL được gửi bởi những người tấn công giả định, thậm chí họ cũng chẳng cần biết nhận được từ ai
Hadnagy, người sáng lập website social - engineer.org và là tác giả cuốn “The Art of Human Hacking” cho biết, một phần thông tin quan trọng của Wikileaks gây được sự chú ý lớn trong năm 2010 vừa qua liên quan đến kỹ nghệ xã hội. Một người lính của quân đội Mỹ - Bradley Manning đã bị buộc tội vì cung cấp một số thông tin mật quân sự và ngoại giao cho Julian Assange - người sáng lập ra Wikileaks. Đây có thể không phải là trường hợp bị mua chuộc vì vụ lợi mà là từ thái độ phản đối chiến tranh.
16:00 | 04/09/2018
08:00 | 19/09/2018
14:00 | 14/09/2023
10:00 | 31/05/2022
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024