Không tồn tại một cơ chế bảo mật nào có thể bảo vệ khỏi những kỹ thuật social engineering mà hacker sử dụng. Chỉ có việc giáo dục con người về cách nhận biết và phản ứng đối với các cuộc tấn công như vậy mới có thể giảm thiểu khả năng thành công của hacker.
Phần này mình sẽ miêu tả về social engineering, các mục tiêu thường bị tấn công, các hành vi dễ bị tấn công, các yếu tố làm cho các tổ chức dễ bị tấn công, lý do tại sao social engineering hiệu quả, các nguyên tắc của social engineering, và các giai đoạn của một cuộc tấn công social engineering.
Tổng quan về Social Engineering
Social Engineering là gì?
Trước khi tiến hành một cuộc tấn công social engineering, hacker thu thập thông tin về mục tiêu từ các nguồn khác nhau như:
- Trang web chính thức của tổ chức, nơi có thể chia sẽ các thông tin như tên và địa chỉ email của nhân viên.
- Các bài viết quảng cáo của tổ chức mục tiêu thông qua phương tiện truyền thông giúp tiết lộ thông tin về sản phẩm và ưu đãi.
- Các blog, diễn đàn có thể chia sẻ thông tin cá nhân và tổ chức.
Sau khi thu thập thông tin, hacker sử dụng các phương pháp khác nhau như impersonation, piggybacking, tailgating, reverse social engineering và các phương pháp khác để tiến hành tấn công.
Social engineering là nghệ thuật thao túng con người để tiết lộ thông tin nhạy cảm nhằm sử dụng cho một số hành động trái phép. Bất chấp các chính sách bảo mật, hacker có thể xâm phạm thông tin nhạy cảm, nhắm vào điểm yếu của con người. Nhân viên thậm chí không nhận ra mình đã mắc lỗi về bảo mật và vô ý tiết lộ thông tin quan trọng của tổ chức.
Để việc tấn công dễ thành công hơn, hacker đặc biệt quan tâm đến việc phát triển kỹ năng social engineering và có thể trở nên thành thạo đến mức nạn nhân có thể không nhận ra. Hacker cũng phải biết ranh giới của tổ chức và những người nằm trong phạm vi đó như bảo vệ, lễ tân, nhân viên, … để khai thác sự bất cẩn của con người. Chúng điều chỉnh bản thân mình để không bị nghi ngờ và liên kết những hành vi và diện mạo cụ thể với các thực thể đã biết. Ví dụ, một người đàn ông mặc đồng phục mang một đống gói hàng sẽ được coi là nhân viên giao hàng.
Mục tiêu của tấn công Social Engineering
Kỹ thuật Social Engineering lợi dụng sự yếu đuối trong bản chất con người. Thông thường, mọi người tin tưởng và tin vào người khác, và cảm thấy hài lòng khi giúp đỡ những người cần sự trợ giúp. Dưới đây là các mục tiêu phổ biến nhất:
- Lễ tân
- Nhân viên hỗ trợ kỹ thuật
- Người quản trị
- Người dùng, khách hàng
- Nhà cung cấp (đối tác) của tổ chức mục tiêu
- Các cấp quản lý cao cấp
Những ảnh hưởng của cuộc tấn công Social Engineering
Social Engineering có thể dẫn đến những tổn thất đáng kể đối với tổ chức, mặc dù ban đầu có vẻ không nguy hiểm. Tác động của cuộc tấn công social egineering bao gồm:
- Mất mát kinh tế: Các đối thủ đánh cắp thông tin như kế hoạch phát triển và chiến lược tiếp thị của công ty, có thể dẫn đến mất mát kinh tế.
- Tổn thất uy tín: Uy tín đối với một tổ chức là quan trọng để thu hút khách hàng. Kiểu tấn công này có thể gây tổn hại đến uy tín đó bằng cách rò rỉ dữ liệu nhạy cảm của tổ chức.
- Mất quyền riêng tư: Quyền riêng tư là một vấn đề lớn, đặc biệt đối với các tổ chức lớn. Nếu một tổ chức không thể bảo vệ quyền riêng tư của các bên liên quan hoặc khách hàng thì người ta có thể mất niềm tin vào công ty và có thể chấm dứt mối quan hệ kinh doanh.
- Nguy cơ khủng bố: Khủng bố và các yếu tố chống xã hội đe dọa tài sản của tổ chức – người và tài sản.
- Kiện tụng: Kiện tụng gây ra tiêu cực và ảnh hưởng đến hoạt động kinh doanh.
Các yếu tố dễ bị tấn công
- Quyền lực: Quyền lực ám chỉ quyền được thực hiện sức mạnh trong một tổ chức. Hacker tận dụng điều này bằng cách tự mình đóng vai mình là một người có quyền lực, như giám đốc hay người điều hành của tổ chức để đánh cắp dữ liệu quan trọng. Ví dụ, hacker có thể gọi điện cho một người dùng và khẳng định mình là quản quản trị viên của công ty. Hacker thông báo cho nạn nhân là máy đã bị nhiễm virus và yêu cầu nạn nhân cung cấp thông tin đăng nhập để bảo vệ dữ liệu khỏi việc mất cắp. Sau khi lấy được thông tin đăng nhập của nạn nhân, hacker sẽ sử dụng tài khoản đó vào nhiều mục đích xấu khác.
- Đe dọa: Đe dọa ám chỉ việc hăm dọa nạn nhân thực hiện một số hành động bằng cách sử dụng các chiến thuật đe dọa như giả mạo một người khác và thao túng người dùng để tiết lộ thông tin nhạy cảm. Ví dụ, hacker có thể gọi điện cho lễ tân của các nhà lãnh đạo với yêu cầu sau đây:
“Giám đốc đang thuyết trình với khách hàng nhưng không thể mở file. Giám đốc bảo tôi gọi cho bạn và yêu cầu bạn gửi file cho tôi để Giám đốc có thể bắt đầu buổi thuyết trình.” - Đồng thuận: Đồng thuận ám chỉ việc người ta thường sẵn lòng thích những thứ hoặc làm những điều mà người khác thích hoặc làm. Hacker có thể tạo ra các trang web và đăng các đánh giá giả về lợi ích của một số sản phẩm như phần mềm chống malware (rogueware). Do đó, nếu người dùng tìm kiếm trên Internet để tải xuống rogueware, họ sẽ gặp những trang web này và tin tưởng vào những đánh giá giả mạo. Hơn nữa, nếu người dùng tải xuống, hacker có thể cài đặt trojan kèm theo.
- Khan hiếm: Khan hiếm thường ám chỉ việc tạo ra một cảm giác khẩn cấp trong quá trình ra quyết định. Do tình trạng khẩn cấp này, hacker có thể kiểm soát thông tin được cung cấp cho nạn nhân và thao túng quá trình ra quyết định.
- Sự khẩn cấp: Sự khẩn cấp ám chỉ khuyến khích mọi người hành động ngay lập tức. Ví dụ, ransomware thường sử dụng nguyên tắc khẩn cấp, khiến nạn nhân phải hành động ngay lập tức trong một khoảng thời gian nhất định. Nạn nhân nhìn thấy đồng hồ đếm ngược chạy trên máy tính bị nhiễm và biết rằng việc không ra quyết định yêu cầu trong thời gian quy định có thể dẫn đến mất mát dữ liệu.
- Sự quen thuộc: Ám chỉ rằng con người có xu hướng dễ bị thuyết phục làm điều gì đó khi được yêu cầu bởi một người mà họ thích. Điều này cho thấy rằng con người có xu hướng mua sản phẩm nếu được quảng cáo bởi một người nổi tiếng mà họ ngưỡng mộ.
- Tin tưởng: Hacker thường cố gắng xây dựng một mối quan hệ tin tưởng với nạn nhân.
- Sự tham lam: Một số người bản tính tham lam và tìm cách kiếm được lượng tài sản lớn thông qua hoạt động bất hợp pháp. Hacker lôi kéo những người này bằng cách hứa hẹn sẽ cho họ điều gì đó mà không phải trả giá (kích động lòng tham của họ).
Nguyên nhân bị tấn công
Có nhiều yếu tố làm cho các công ty dễ bị tấn công social engineering, sau đây là một số lí do:
- Thiếu đào tạo về kiến thức bảo mật: Do nhân viên có thể không biết về những thủ đoạn mà hacker sử dụng để lôi kéo họ. Do đó, trách nhiệm tối thiểu của bất kỳ tổ chức nào là giáo dục nhân viên về các kỹ thuật social engineering và các mối đe dọa liên quan.
- Quyền truy cập không chặt chẽ: Đối với bất kỳ công ty nào, một trong những tài sản chính của họ là cơ sở dữ liệu. Công ty phải đảm bảo đào tạo đúng và giám sát nhân viên quan trọng truy cập vào dữ liệu nhạy cảm.
- Tổ chức có nhiều trụ sở, chi nhánh: Một số tổ chức có các chi nhánh của mình tại các vị trí địa lý khác nhau, làm cho việc quản lý hệ thống trở nên khó khăn.
- Thiếu chính sách bảo mật: Chính sách bảo mật là nền tảng của cơ sở hạ tầng bảo mật, là một tài liệu cấp cao mô tả các biện pháp kiểm soát bảo mật được triển khai. Một số biện pháp bảo mật cần được thực hiện nghiêm túc như là chính sách thay đổi mật khẩu, chính sách chia sẻ thông tin, đặc quyền truy cập, xác thực người dùng, bảo mật tập trung, …
Giống như các kỹ thuật khác, social engineering không xử lý các vấn đề liên quan đến kỹ thuật máy móc, thay vào đó là thao túng tâm lý con người để trích xuất thông tin mong muốn. Dưới đây là những lý do tại social engineering vẫn hiệu quả trong thời đại ngày nay:
- Con người dễ bị ảnh hưởng bởi sự biến đổi.
- Rất khó phát hiện.
- Không có phương pháp nào đảm bảo an toàn hoàn toàn khỏi social engineering.
- Không có phần cứng hoặc phần mềm cụ thể nào có sẵn để bảo vệ khỏi social engineering.
- Phương pháp này tương đối rẻ (hoặc miễn phí) và dễ dàng triển khai.
Quy trình của một cuộc tấn công Social Engineering
- Nghiên cứu về mục tiêu: Trước khi tấn công vào mạng của tổ chức mục tiêu, hacker thu thập đủ thông tin để xâm nhập vào hệ thống.
- Chọn mục tiêu: Sau khi thăm dò, hacker chọn một mục tiêu để trích xuất. Thông thường, hacker cố gắng tiếp cận những nhân viên bất mãn vì họ dễ bị thao túng hơn.
- Xây dựng mối quan hệ: Khi đã chọn được mục tiêu, hacker xây dựng mối quan hệ với người đó xây dựng lòng tin.
- Lợi dụng mối quan hệ: Hacker lợi dụng mối quan hệ và trích xuất thông tin nhạy cảm về các tài khoản, thông tin tài chính, các công nghệ đang sử dụng và các kế hoạch sắp tới của tổ chức.
Các bạn có thể đọc tiếp các phần khác của CEH ở đây.