Social Engineering và các thủ thuật – Tập 2

Bạn có thể tham khảo bài viết  Social Engineering là gì?

Social Engineering và các thủ thuật – Tập 2

Nghệ thuật của sự thao túng

Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết kẻ tấn công thường dùng để tấn công vào tổ chức. Có 2 loại rất thông dụng :

  1. Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống.
  2. Psychological subversion: mục đích của tin tặc hay kẻ tấn công khi sử dụng PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.

Sau đây là một tình huống mà một kẻ tấn công đã đánh cắp mật khẩu của một khách hàng. Mọi người hãy cẩn thận khi gặp tình huống tương tự:

Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi. (Attacker là một kẻ lừa đảo đang tấn công cô Alice)

Attacker : “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”

Alice: “Xin chào, tôi là Alice”.

Attacker: ”Chào cô Alice, tôi gọi từ trung tâm ứng cứu dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm như vậy…”

Alice: ”Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”

Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.”

Alice: ” Của tôi à..à vâng.”

Attacker: ”Tôi thông báo với cô về việc Mail Server vừa bị đánh sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước.”

Alice: ”Vậy mail của tôi có bị mất không?”

Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có mật khẩu của cô, nếu không chúng tôi không thể làm gì được.”

Alice: ”Mật khẩu của tôi à?uhm…”

Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” (nỗ lực làm tăng sự tin tưởng từ nạn nhân)

Attacker: ”Tên đăng nhập của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi tên đăng nhập và số điện thoại của cô, nhưng họ không đưa mật khẩu cho chúng tôi. Không có mật khẩu thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng mật khẩu của cô vào bất cứ mục đích nào khác.”

Alice: ”uhm, mật khẩu này cũng không riêng tư lắm đâu, mật khẩu của tôi là 123456

Attacker: ”Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”

Alice: ”Có chắc là mail không bị mất không?”

Attacker: ”Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”

Alice: ”Cảm ơn.”

Attacker: ”Chào cô.”

#Chú ý: Bất cứ ai cũng có thể trở thành nạn nhân hãy cảnh giác trước các hình thức lừa đảo ngày càng tinh vi 

Điểm yếu của mọi người

Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.

#Chú ýSocial engineering tập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện. 

Chien Tran
Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuy...