Tháng 11, 2017
Thứ năm
Thứ Năm, ngày 18/05/2017 11:17 AM (GMT+7)

Bạn phơi bày mọi thứ khi lên mạng (P2)

Social engineering rất đáng sợ bởi nó có thể xảy ra với bất cứ ai, bất kể họ thận trọng và bảo mật tốt như thế nào.

Xem thêm các kỳ:

Hacker đầu tiên mà tôi liên lạc, Chris Hadnagy, là chuyên gia về một kỹ thuật có tên "social engineering" - phương thức tấn công mạng bằng cách khai thác những điểm yếu của con người chứ không sử dụng khả năng lập trình hay phần mềm độc hại.

Bạn phơi bày mọi thứ khi lên mạng (P2) - 1

Ảnh minh họa. Nguồn: Internet

Hầu hết những khai thác bằng social engineering đều khá tinh tế. Ví dụ như một công ty truyền hình cáp có thể cung cấp địa chỉ khách hàng cho bất cứ ai mà không hề yêu cầu họ nói đúng mã PIN hoặc khi muốn truy cập danh sách chi tiết các khế ước bảo hiểm của khách hàng của một công ty bảo hiểm nào đó bạn chỉ cần cung cấp mã Social Security.

Social engineering rất nguy hiểm bởi hacker có thể dùng nó để thu thập dữ liệu cho các cuộc tấn công lớn hơn. Cuộc đời bạn tôi, Mat Honan, đã bị hủy hoại bởi social engineering sau khi Apple và Amazon tiết lộ cho hacker thông tin cá nhân của anh ấy.

Tôi chưa bao giờ gặp Chris, nhưng công ty Social-Engineer của anh ta khá uy tín nên tôi đã có một thỏa thuận với anh ấy. Chris và nhóm của anh ấy có hai tuần, được sử dụng mọi công cụ, để hack sâu vào đời sống số của tôi nhưng không được đánh cắp tiền hoặc dữ liệu. Họ cũng không được phép xóa dữ liệu của tôi.

Trước khi bắt đầu, Chris đã gửi email cho tôi: "Cầu chúa che chở cho anh".

Chris bắt đầu lập hồ sơ về tôi, sử dụng những thông tin công khai như địa chỉ email của tôi, thông tin công việc và các tài khoản mạng xã hội của tôi. Hầu hết thông tin trên được tôi đăng tải trên mạng xã hội nhưng một số thì không. Họ tìm thấy địa chỉ nhà tôi bằng cách phóng to bức ảnh chụp chú chó của tôi được đăng trên Twitter. Địa chỉ nhà được khắc rất nhỏ trên chiếc thẻ ở cổ chú chó.

Khi đã có những thông tin cá nhân của tôi, Chris và nhóm của anh bắt đầu công việc. Họ gọi tới Time Warner Cable và Comcast, giả làm bạn gái tôi để kiểm tra xem tôi có lập tài khoản ở hai công ty này hay không. Họ cũng gọi tới điện lực địa phương để hỏi tài khoản của tôi ở đó, tôi có tài khoản ở điện lực nhưng đứng tên người khác. Họ tìm thấy mã Social Security của tôi nhờ một công cụ tìm kiếm đặc biệt và nghiên cứu các hoạt động trên mạng xã hội của tôi. Tất cả những thông tin mà họ thu thập về tôi lên tới 13 trang.

Nếu Chris là một hacker mũ đen, anh có thể tàn phá toàn bộ cuộc sống của tôi với những thông tin mà anh có. Anh cắt điện ngôi nhà của tôi, truy cập vào tài khoản ngân hàng của tôi và đánh cắp toàn bộ số tiền. Ngoài ra, kết hợp những thông tin đã thu thập được với nhau Chris hoàn toàn có khả năng tổ chức một cuộc tấn công tinh vi hơn. Chris đã thử làm điều này.

Dựa vào Twitter, anh ta thấy tôi muốn đặt mua một chiếc hoverboard trên Alibaba. Sau đó, anh ta đã viết một email lừa đảo từ một tài khoản Alibaba giả mạo yêu cầu tôi nhấp vào một đường dẫn để xác nhận địa chỉ email với hải quan. Tôi đã bị lừa.

Để cho tôi thấy rõ cách tấn công, Chris đã nhờ Jessica Clark tiến hành một "vishing" - một vụ lừa đảo qua điện thoại. Cô ấy gọi tới nhà mạng của tôi, giả vờ là vợ của tôi và yêu cầu họ cấp quyền truy cập vào tài khoản của tôi. Để hành động này trở nên thuyết phục, cô ấy đã tìm một video có tiếng trẻ em khóc trên YouTube và bật trong khi gọi điện.

Cô nói trong tiếng nấc, trình bày một cách thuyết phục rằng tôi đang đi nước ngoài công tác và liệu cô ấy có thể truy cập vào tài khoản của tôi để tìm một số thông tin cô cần nhằm vay tiền trang trải cuộc sống trong lúc chờ tôi về.

Vụ vishing này thành công. Nhân viên dịch vụ khách hàng tin rằng Jessica là vợ tôi và không chỉ có quyền truy cập vào tài khoản của tôi cô ấy còn có thể đổi mật khẩu, đoạt hoàn toàn quyền điều khiển trong tay tôi.

Social engineering rất đáng sợ bởi nó có thể xảy ra với bất cứ ai, bất kể họ thận trọng và bảo mật tốt như thế nào. Sau tất cả, tôi không hề sai mà chính nhà mạng của tôi đã sai. Tuy nhiên, tính chất liên kết của bảo mật kỹ thuật số khiến chúng ta đều dễ bị tổn thương nếu các công ty bảo vệ dữ liệu của chúng ta không hoàn thành công việc của công việc. Mật khẩu của bạn mạnh như thế nào chăng nữa cũng trở nên vô dụng nếu công ty điện địa phương lúc nào cũng sẵn sàng cung cấp thông tin của bạn qua điện thoại cho người lạ.

Một điều đáng sợ khác về social engineering đó là nó rất dễ thực hiện. Bất cứ ai cũng có thể thực hiện nó mà chẳng cần biết gì về lập trình. Tất cả những công cụ cần thiết chỉ là Google, một chiếc điện thoại và một chút khả năng diễn xuất. Tôi rùng mình khi nghĩ tới những gì một hacker có kỹ năng có thề tàn phá khi nhìn vào những gì Chris và nhóm của ông thực hiện mà không cần dùng tới những công cụ tinh vi.

Phần 1: Hacker: Anh là ai?

Phần 3: Những chiêu lừa đảo tinh vi 

PV (Theo Fusion - Dựa trên lời kể của Kevin Roose)
Xem thêm các kỳ:

Tin đọc nhiều

Nhanh chóng giữ tên miền quốc gia Chỉ sau một thời gian ngắn phải mượn danh ".au", chúng ta đã...
Thất bại thấy trước của Winston Churchill Churchill hy vọng sức mạnh hùng biện huyền thoại của ông sẽ...
Internet đến Việt Nam từ tình yêu của một người Úc Hơn 20 năm trước, những người bạn Úc và các du học sinh...
Nước Úc đã tham chiến tại Việt Nam, giờ cần giúp Việt Nam hội nhập "Tôi cảm thấy có lỗi khi Úc đã tham chiến trong cuộc chiến...