Các bài đăng trên phương tiện truyền thông, mạng xã hội là một mỏ vàng cung cấp các chi tiết hỗ trợ cho các cuộc tấn công. Những gì có thể tìm thấy trong nền ảnh có thể tiết lộ rất nhiều từ thẻ ra vào đến màn hình máy tính xách tay hoặc thậm chí là giấy nhớ ghi mật khẩu.
Gen Z, thế hệ dùng mạng xã hội nhiều nhất đang dần tham gia lực lượng lao động. Theo Pew Research, trong số những người trong độ tuổi từ 18 đến 24, có 75% sử dụng Instagram, 73% sử dụng Snapchat, 76% sử dụng Facebook và 90% sử dụng YouTube. Để thế hệ này làm việc mà không có hướng dẫn về bảo mật mạng xã hội là một rủi ro lớn mà hầu hết các công ty hiện chưa xem xét tới. Số trường hợp thông tin Stephanie tìm được đến từ các thực tập sinh hoặc nhân viên mới chiếm tới 75%.
Biết được điểm yếu này, cùng một số hashtag hữu ích như #firstday, #newjob hoặc #intern + [#tên công ty] đã cho phép Stephanie tìm thấy vô số thông tin bà cần chỉ trong vòng vài giờ. Tuy nhiên, không chỉ nhân viên mới và thực tập sinh mới có thể là nguồn rò rỉ, mà đó còn có thể là nhóm truyền thông xã hội hoặc thành viên cấp cao của công ty chia sẻ hình ảnh nhóm.
Theo bà, có bốn loại các bài đăng nguy hiểm trên mạng xã hội mà tin tặc có thể lợi dụng.
Ảnh nhóm
Đăng ảnh của mình và những đồng nghiệp ở văn phòng, cho dù đó là vào giờ nghỉ trưa, thực hiện một hoạt động xã hội nào đó… có thể tiết lộ nhiều điều. Hãy suy nghĩ về các loại áp phích hoặc bảng trắng được treo trong các khu vực chung của văn phòng. Một tấm áp phích về “Giải bóng đá sắp bắt đầu” có nghĩa là người đăng ảnh sẽ không nghi ngờ gì nếu nhận được một email có liên kết trỏ đến lịch thi đấu mới nhất của đội.
Ảnh chụp với thẻ nhân viên
Điều này có vẻ hiển nhiên, nhưng có rất nhiều lần Stephanie thấy nhân viên mới đăng ảnh chụp cận cảnh thẻ an ninh công ty của họ, đặc biệt là vào ngày đầu tiên hoặc ngày cuối cùng tại văn phòng. Biết thẻ nhân viên của công ty trông như thế nào sẽ giúp việc làm giả trở nên dễ dàng. Tin tặc có thể sao chép, dán và in ảnh mặt mình vào chỉ trong vòng vài phút. Mặc dù thẻ giả này có thể không dùng để đi qua cửa tự động, nhưng bạn sẽ ngạc nhiên khi biết tin tặc có thể dễ dàng trà trộn, lẻn vào chỉ bằng cách giơ thẻ để bước qua cánh cửa công ty.
Trong một lần tìm kiếm, các thành viên nhóm X-Force Red tìm thấy một bức ảnh của một thực tập sinh cùng bức ảnh nhỏ có khuôn mặt của người đó trên phù hiệu công ty mới. Sau vài phút chỉnh sửa ảnh, nhóm có thể sử dụng hình ảnh đó để sản xuất thẻ giả.
Một ngày trong văn phòng
Khi một nhân viên quyết định quay blog video cả ngày của mình tại công ty, tin tặc đã có thể lấy được rất nhiều thông tin. Từ việc biết cách bố trí tòa nhà và các khu vực được bảo vệ bằng thẻ ra vào cho đến bảng trắng tiết lộ kế hoạch của công ty, điều này gần như tốt bằng việc đột nhập vào công ty ngoài đời thực.
Chẳng hạn một vlog dài 37 phút của một thực tập sinh quyết định đeo chiếc máy quay GoPro lên đầu và làm một video về cuộc sống hàng ngày trong văn phòng có giá trị đáng kinh ngạc. Stephanie nói rằng vlog đó cung cấp những thông tin sau:
Màn hình máy tính xách tay còn tiết lộ các loại công cụ và phần mềm bảo mật đang được dùng có thể sử dụng để dàn dựng một cuộc tấn công bằng cách tạo phần mềm độc hại tùy chỉnh được ngụy trang dưới dạng bản cập nhật phần mềm giả.
Những phàn nàn trên mạng
Trong nền văn hóa “đánh giá” ngày nay, các công ty không cung cấp hàng tiêu dùng cũng không an toàn. Cho dù thông qua Glassdoor, trang tìm kiếm việc làm hay các trang mạng xã hội, việc tìm hiểu những vấn đề hiện ảnh hưởng đến nhân viên có thể giúp nhóm của Stephanie tạo một email lừa đảo lợi dụng các khiếu nại và mong muốn của họ.
Ví dụ, với một công ty có nhiều nhân viên phàn nàn trên mạng về việc thiếu chỗ đỗ xe, nhóm tin tặc mũ trắng đã viết một email giải thích chính sách đỗ xe mới và cảnh báo tất cả những xe đỗ bên ngoài vị trí được chỉ định sẽ bị kéo đi. Sự phấn khích khi cuối cùng cũng có một chỗ đỗ xe, cộng với nỗi sợ xe bị kéo đi, đã dẫn đến rất nhiều cú nhấp chuột vào tệp đính kèm bản đồ đỗ xe giả mạo (độc hại) có trong email.
Các doanh nghiệp có thể làm gì?
Các doanh nên đào tạo nhân viên và thực tập sinh về việc giữ an toàn cho tài sản của công ty để ngăn chặn các hành vi vi phạm trên mạng xã hội. Yêu cầu họ để ý đến các chính sách của công ty khi đăng bài trên bất kỳ trang mạng xã hội nào hoặc các nền tảng khác yêu cầu thông tin của công ty. Hướng dẫn họ thông qua các tình huống phổ biến về bảo vệ thông tin cá nhân và bảo mật dữ liệu của công ty là điều cần thiết đối với bảo mật doanh nghiệp.
Nguyễn Anh Tuấn
16:00 | 06/09/2022
11:00 | 07/10/2024
08:00 | 22/02/2021
07:00 | 17/01/2024
16:00 | 12/05/2020
07:00 | 06/07/2018
08:22 | 28/04/2017
07:00 | 22/05/2023
13:00 | 23/10/2024
Trong tháng 9, hệ thống phát hiện cảnh báo sớm botnet ghi nhận 18 hệ thống cơ quan nhà nước đã kết nối đến hạ tầng botnet (mạng máy tính ma), đặt ra các nguy cơ mất an toàn thông tin. Cục An toàn thông tin, Bộ TT&TT đã vào cuộc hỗ trợ xử lý.
18:00 | 30/09/2024
Chiều ngày 30/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã tổ chức Lễ bế mạc diễn tập thực chiến đảm bảo an toàn thông tin mạng (ATTTM) cho hệ thống công nghệ thông tin của Ban Cơ yếu Chính phủ năm 2024.
10:00 | 18/09/2024
Ngày 17/9/2024, tại Thành phố Hồ Chí Minh, diễn ra Hội thảo khoa học về An toàn thông tin năm 2024 với chủ đề “An toàn thông tin trong xu hướng Chuyển đổi số”. Hội thảo được tổ chức bởi Trung tâm 286 - Bộ Tư lệnh 86, quy tụ hơn 200 chuyên gia bảo mật, đại diện các cơ quan, đơn vị trong và ngoài quân đội, cơ quan quản lý, các tổ chức hoạt động trong lĩnh vực an toàn thông tin, an ninh mạng khu vực phía Nam.
08:00 | 06/09/2024
Ngày 05/9, tại Hà Nội, Cục An toàn thông tin (ATTT) thuộc Bộ TT&TT tổ chức Lễ kỷ niệm 10 năm thành lập (9/9/2014 - 9/9/2024). Tại buổi lễ, Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng nhấn mạnh, ngoài vũ khí số, yêu cầu Cục ATTT phải có binh pháp số. Cục ATTT cần xây dựng cho mình một binh pháp trên không gian mạng.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Suốt chặng đường 79 năm xây dựng, chiến đấu và trưởng thành (12/9/1945 - 12/9/2024), ngành Cơ yếu Việt Nam luôn xứng đáng là lực lượng đặc biệt tin cậy, cùng toàn Đảng, toàn quân và toàn dân lập nên những chiến công hiển hách trong sự nghiệp đấu tranh giải phóng dân tộc, giành độc lập, tự do, thống nhất đất nước, xây dựng và bảo vệ Tổ quốc.
11:00 | 24/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
14:00 | 28/10/2024
Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.
09:00 | 29/10/2024
