Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi... của con người, các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering). Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật.
Các phương tiện và hành vi trong kỹ nghệ xã hội
Mặc dù kỹ nghệ xã hội (KNXH) là lĩnh vực thiên về nghệ thuật và có những biểu hiện trên thực tế rất đa dạng thì nội dung của nó vẫn có thể xem xét trên các phương diện chính: các phương tiện kỹ thuật được sử dụng, các phương pháp chi phối tâm lý và hành vi con người, các biểu hiện thường gặp trên thực tế.
Khi chưa có cách mạng thông tin, phương pháp chủ yếu của đạo chích (hay còn gọi là kỹ sư xã hội) là giao tiếp trực tiếp với mục tiêu. Thời đại công nghệ thông tin đã cung cấp cho KNXH những phương tiện mới, không chỉ tạo điều kiện thuận lợi để thực hiện các mánh khóe cũ mà còn giúp phát triển nhiều phương thức mới. Ba phương tiện kỹ thuật cơ bản được sử dụng trong KNXH là điện thoại, internet và các vật mang tin.
Điện thoại không chỉ là một trong những phương tiện liên lạc thuận lợi và phổ biến nhất mà nó còn cho phép thực hiện nhiều mánh khóe lừa gạt. Trước hết là hành vi giả danh, do thông tin trao đổi qua điện thoại là bằng giọng nói nên kẻ tấn công chỉ cần bắt chước giọng của người bị giả danh. Ở một số công ty, nơi mà công tác an ninh thông tin được chú trọng, người ta khuyến cáo nhân viên trong các cuộc đàm thoại yêu cầu người gọi để lại số điện thoại hoặc lắp đặt loại điện thoại hiển thị số của người gọi để chống lại việc giả mạo. Điện thoại di động rất dễ bị nghe trộm hoặc bị cài các chương trình gián điệp nếu chủ sở hữu của nó thiếu cảnh giác.
Giả danh qua internet còn dễ thực hiện hơn cả bằng điện thoại. Ở đây không cần phải bắt chước giọng nói, không phân biệt giới tính, độ tuổi, nghề nghiệp và vị trí xã hội. Trong giai đoạn khảo sát ban đầu, internet còn là công cụ hữu ích giúp đạo chích thu thập những thông tin cần thiết về mục tiêu. Trước đây, việc thu thập những thông tin như thế đòi hỏi đầu tư không ít công sức và không phải lúc nào cũng thành công thì ngày nay chúng đã có sẵn trên internet. Ngoài ra, internet còn là phương tiện lý tưởng để đánh cắp thông tin mật. Một chiêu thức hay được sử dụng trong lĩnh vực ngân hàng là các đạo chích gửi cho mục tiêu một thông điệp dưới dạng email nhân danh một ngân hàng nào đó, trong đó yêu cầu mục tiêu là khách hàng xác nhận các thông tin cá nhân. Email được gửi đi chứa đường dẫn tới trang web giả và yêu cầu khách hàng đưa vào các thông tin cá nhân, từ địa chỉ gia đình cho đến số PIN của thẻ ngân hàng.
Các vật mang tin như đĩa CD, USB đều là những phương tiện rất hữu hiệu trong việc lấy cắp thông tin. Đạo chích thường tận dụng sơ hở của mục tiêu để dùng các vật mang tin lấy cắp thông tin một cách nhanh chóng. Các phương tiện này cũng rất thuận lợi để thực hiện các mánh lới lừa đảo theo kiểu được bỏ quên một cách có chủ ý, nhằm mượn tay mục tiêu cài các chương trình gián điệp hoặc các chương trình phá hoại khác vào máy tính của họ.
Các nghiên cứu trong lĩnh vực KNXH đã chỉ ra rất nhiều điểm yếu của con người mà giới đạo chích có thể tận dụng để thực hiện các hành vi lừa đảo. Nhưng ngay cả những phẩm chất tốt như lòng nhân ái, sự hào hiệp, sự chân thực cũng là kẽ hở để đạo chích lợi dụng. Vì vậy, ngoài việc nắm kiến thức chung về phẩm chất của con người, giới kỹ sư xã hội rất chú trọng phân biệt đặc tính của từng kiểu người được hình thành do nghề nghiệp. Ví dụ, người làm lãnh đạo thường thể hiện nhẫn nại khi lắng nghe cấp dưới nhưng cũng có kiểu nói áp đặt, mệnh lệnh khi giao nhiệm vụ; thư ký thường có giọng nói dịu dàng, dễ chịu và lễ độ khi đầu dây bên kia là người lãnh đạo của mình; nhân viên dịch vụ kỹ thuật thường có thái độ thân thiện, nhẫn nại, sẵn sàng đáp ứng yêu cầu của khách hàng. Nắm được những đặc điểm của từng kiểu người sẽ giúp đạo chích có cơ hội thực hiện thành công những mánh lới giả mạo.
Nói chung, biểu hiện hành vi của đạo chích rất đa dạng và tùy vào bối cảnh cụ thể. Sau đây là một số hành vi điển hình:
- Đóng vai nhà lãnh đạo, cộng tác viên của công ty đối tác hoặc đồng nghiệp trong cùng công ty hoặc tổ chức, nhân viên của cơ sở dịch vụ kỹ thuật, nhà cung cấp sản phẩm, nhà cung cấp hệ điều hành hay các phần mềm ứng dụng.
- Sử dụng các website giả, yêu cầu xác thực lại và cung cấp mật khẩu; giả mạo chữ ký.
- Đề nghị giúp đỡ khi tổ chức hoặc doanh nghiệp gặp các vấn đề kỹ thuật, làm cho vấn đề xuất hiện lại và nhận được yêu cầu giúp đỡ, gửi phần mềm hỗ trợ, bí mật cài virus và phần mềm gián điệp kèm theo các bức thư điện tử...
- Để lại các vật mang tin có chứa các chương trình độc hại.
- Sử dụng ngôn ngữ và tiếng lóng nội bộ để tạo niềm tin.
Bảo vệ chống lại kỹ nghệ xã hội
Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin.
KNXH là nghệ thuật tác động lên con người, do đó cũng chỉ có thể chống lại nó bằng chính con người. Rất nhiều mánh lới của KNXH dường như rất đơn giản nhưng vẫn đem lại hiệu quả cao. Chính Kelvin Mitnick cũng thừa nhận rằng đã lấy được mật khẩu và nhiều bí mật của các công ty chỉ đơn giản bằng sự khéo léo, nhiều khi bằng cách hỏi trực tiếp đối tượng. Trong cuốn “Nghệ thuật đánh lừa”, Kelvin Mitnick đã nhắc lại câu nói nổi tiếng của Anhxtanh “Chỉ có thể tin vào hai thứ: sự tồn tại của vũ trụ và sự ngu xuẩn của con người” và ông bổ sung thêm “Tôi thì chỉ tin vào vế thứ hai của câu nói”. Từ những ví dụ kinh điển đầu tiên được đề cập trong bài viết trước, chúng ta đã thấy sự sơ suất đến khó tin của con người ngay cả khi liên quan đến khối tài sản lớn.
Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống. Bruce Sneider - một trong những chuyên gia an ninh thông tin hàng đầu thế giới cũng đã nói “An ninh - đó không phải là vấn đề kỹ thuật, đó là vấn đề của con người và của quản lý”. Do đó, nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại KNXH nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin. Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp sau:
- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước hết của đạo chích chứ không phải các phương tiện kỹ thuật.
- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được.
- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất. Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình.
- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức.
- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm nhấn đặc biệt về các biện pháp chống KNXH.
Xây dựng chương trình đào tạo và huấn luyện đặc biệt
Các chuyên gia giàu kinh nghiệm trong lĩnh vực KNXH khẳng định: Bất cứ một hệ thống an ninh kỹ thuật nào dù được trang bị đồng bộ bởi các chương trình xác thực, hệ thống phát hiện và chống xâm nhập, hệ thống mã hóa và hạn chế tiếp cận trái phép đều không thể bảo vệ được hệ thống thông tin. C ác công ty tổ chức kiểm tra khả năng xâm nhập vào mạng máy tính của mình dựa vào công nghệ KNXH khẳng định đều thành công 100%.
Bởi vậy, cách duy nhất để đảm bảo an toàn cho tổ chức là phải xây dựng một hệ thống đảm bảo an toàn thông tin kết hợp đồng bộ các phương tiện kỹ thuật với các biện pháp tổ chức, quản lý, chính sách và nguồn nhân lực, bao gồm: Các phương tiện kỹ thuật bảo vệ thông tin; Hệ thống quản lý an toàn thông tin; Chính sách an toàn thông tin; Nguồn nhân lực; Chương trình đào tạo và huấn luyện về bảo vệ thông tin.
Ý thức bảo vệ thông tin chống KNXH phải xuyên suốt toàn bộ các bộ phận cấu thành của hệ thống an toàn thông tin, đặc biệt trong việc xây dựng nguồn lực và chương trình đào tạo, huấn luyện.... Đặc biệt, chính sách an toàn thông tin phải thể hiện được mục tiêu này. Vì vậy, ngoài những quy định chung cho tất cả tổ chức, cần có những quy định riêng cho từng nhóm cán bộ, nhân viên. Tối thiểu cần có quy định cho nhóm các nhà quản lý, các nhân viên IT, các nhân viên bảo vệ....
Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên như:
- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.
- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc....
- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.
Trên thế giới, các hacker đẳng cấp về thực chất là các kỹ sư xã hội. Dù nhiều người trong số họ là những chuyên gia kỹ thuật xuất sắc, nhưng trong thành công của họ, theo thống kê, sử dụng KNXH tới hơn 80%. Điều này cho thấy đây thật sự là mối đe dọa lớn nhất và muốn đảm bảo an toàn cho hệ thống thông tin của các tổ chức, doanh nghiệp thì bên cạnh các phương tiện kỹ thuật cần đặc biệt chú trọng khâu yếu nhất, đó là con người.
10:00 | 31/05/2022
16:00 | 04/09/2018
08:00 | 19/09/2018
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024