Nếu bạn là một quản trị viên hệ thống, bạn có thể xem đảm bảo an ninh là một nhiệm vụ khi cài đặt các công cụ an ninh, thiết lập các công cụ này để bảo vệ thiết bị trước các mối đe dọa mới nhất, xây dựng máy chủ và điểm cuối, và tái sao lưu hệ thống (re-imaging) khi có virus. Đó không phải là một công việc đơn giản nhưng ít ra nó rõ ràng, trực tiếp.
Tuy nhiên, nếu đã hoàn thành xong hết những việc này, bạn chỉ mới đi được một nửa chặng đường. Một số cuộc tấn công mạng hiệu quả nhất bạn sẽ chưa từng gặp không nhắm vào phần cứng hay phần mềm – chúng nhắm vào con người. Tấn công theo social engineering/ tấn công phi kỹ thuật thường gắn với một số điện thoại hoặc một tài khoản email.
Tấn công phi kỹ thuật sẽ như thế này: đầu tiên, kẻ tấn công sẽ gọi điện thoại hoặc gởi một email mạo danh nạn nhân đến cho bộ phận hỗ trợ. Những gã này nói rằng mình quên mật khẩu và thường kể một câu chuyện lâm ly rất đáng tin. Chúng sẽ dùng điều đó để thuyết phục đại diện của phía cung cấp dịch vụ thay đổi địa chỉ đăng ký của tài khoản nạn nhân, chuyển thành địa chỉ email của chúng. Và sau đó sẽ có mã đặt lại mật khẩu được gởi đến địa chỉ của chúng. Với thông tin này, chúng sẽ làm chủ tài khoản của nạn nhân.
Tại sao bạn lại trong tầm ngắm của tấn công phi kỹ thuật?
Tấn công phi kỹ thuật hoạt động đơn giản và không cần kỹ năng lập trình đặc biệt gì. Các công nghệ đã biết như VoIP cho phép kẻ tấn công đặt cuộc gọi có thông số ảo, giống như hắn đang gọi từ điện thoại của nạn nhân – công nghệ này phổ biến rộng rãi và không cần kỹ năng đặc biệt gì. Do vậy, chẳng gì ngạc nhiên khi kiểu tấn công này ngày một nhiều và gia tăng. Trong năm 2017, các chuyên gia an ninh mạng phát hiện 76% thông tin bị tấn công phi kỹ thuật thông qua điện thoại hoặc email, trong đó email là nguồn chính. Trong năm 2018, con số này nhảy lên đến 83%.
Việc gia tăng tấn công phi kỹ thuật và email lừa đảo đã gây nên gia tăng các vụ trộm hồ sơ “chất lượng cạo”, nạn nhân bao gồm:
- Blackrock
Công ty quản lý tài sản lớn nhất thế giới là nạn nhân của một cuộc tấn công thực hiện bởi nhà hoạt động môi trường đã lừa được cả The Financial Times và CNBC. Các nhà hoạt động này đưa ra thông cáo báo chí đầy tính thuyết phục rằng công ty đang làm xoay chuyển một bộ hồ sơ của một nhà môi trường học, gây ra cơn phẫn nộ. - Cryptocurrency
Người dùng ví số hóa cho tiền mã hóa được gọi là Ethereum bị tấn công lừa đảo, thực hiện trong vỏ bọc là một tin nhắn báo lỗi (giả). Tin nhắn có dạng một email yêu cầu người dùng phải cài bản vá lỗi ngay lập tức. Nhưng không phải thế vì đường dẫn đính kèm thực chất dẫn người dùng đến một phiên bản giả có giao diện như phần mềm quản lý ví và cho phép những kẻ tấn công vơ hết khoản tiền lời của nạn nhân. - Cơ quan tình báo
Nhớ lại năm, một hacker tuổi thiếu niên có thể gọi Verizon, tìm thông tin cá nhân của John Brennan – khi đó là giám đốc của Cơ quan Tình báo Mỹ CIA – lấy trộm thông tin truy cập địa chỉ mail AOL của Brennan. Tình cờ, địa chỉ này lại có những thông tin nhạy cảm, bao gồm cả chi tiết việc vị giám đốc này được tiếp cận thông tin mật. Hacker thậm chí có thể nói chuyện trực tiếp với Brenna qua điện thoại. Và phải mất hai năm trước khi vụ tấn công bị phát hiện và người thực hiện vụ này bị bắt.
Những vụ việc này cho thấy có thể tấn công dễ dàng thế nào chỉ với những công cụ đơn giản nhất có thể nghĩ ra. Hacker có thể trộm tiền, đánh lừa truyền thông và moi móc những bí mật từ những cá nhân có quyền lực nhất trên hành tinh chỉ với một điện thoại và một địa chỉ email.
Tự bảo vệ mình trước tấn công phi kỹ thuật
Có hai cách để tự bảo vệ mình trước tấn công phi kỹ thuật.
Đầu tiên, đó là công nghệ. Một giải pháp được biết là DMARC (Domain-based Message Authentication, Reporting & Conformance – tạm gọi là một đặc tả kĩ thuật được tạo ra với mục đích giảm các hành vi lạm dụng email) được thiết kế để phát hiện và cách ly những email lừa gạt, có nghĩa rằng đang gửi mail không phải là một địa chỉ thực. Mặc dù công nghệ này bảo vệ khách hàng của một nhãn hàng khi đảm bảo email của hãng không gây hại, tỷ lệ áp dụng công nghệ này rất thấp – chỉ khoảng 50% trong tất cả các ngành.
Bên cạnh công nghệ phải kể đến còn có chính sách – trong trường hợp này là tập huấn, đào tạo nâng cao nhận thức bảo mật. Ở đây nghĩa là các quản trị viên bảo mật hướng dẫn cho nhân viên của mình bằng cách thử họ trước một số email giả. Mục tiêu là để nhân viên có thể nhận ra sự khác biệt giữa một email giả mạo hoặc một nội dung thật. Tập huấn nhận thức bảo mật có hiệu quả tương đối – tỷ lệ mở email lừa đảo đã giảm 75% sau khi nhân viên được tập huấn – nhưng tin tặc chỉ cần lừa một người để có thể hạ gục cả hệ thống hoặc tập thể.
Cuối cùng, giảm tiếp cận nguồn gây hại và phản ứng tức thì khi thấy có “mùi” tấn công là cách tốt nhất chống lại tấn công lừa đảo và tấn công phi kỹ thuật. Nếu một gã tấn công nhất quyết phải đạt được mục đích có cơ hội để lừa nạn nhân với một địa chỉ email hoặc những cuộc điện thoại giả, những nhà quản giỏi vẫn có thể xóa tài khoản bị chiếm. Mặc dù cũng không dễ để những kẻ tấn công có thể lấy cắp tài khoản người dùng thì vẫn có thể hạn chế mức độ thiệt hại mà chúng gây ra.