Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi... của con người, các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering). Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật.
Các phương tiện và hành vi trong kỹ nghệ xã hội
Mặc dù kỹ nghệ xã hội (KNXH) là lĩnh vực thiên về nghệ thuật và có những biểu hiện trên thực tế rất đa dạng thì nội dung của nó vẫn có thể xem xét trên các phương diện chính: các phương tiện kỹ thuật được sử dụng, các phương pháp chi phối tâm lý và hành vi con người, các biểu hiện thường gặp trên thực tế.
Khi chưa có cách mạng thông tin, phương pháp chủ yếu của đạo chích (hay còn gọi là kỹ sư xã hội) là giao tiếp trực tiếp với mục tiêu. Thời đại công nghệ thông tin đã cung cấp cho KNXH những phương tiện mới, không chỉ tạo điều kiện thuận lợi để thực hiện các mánh khóe cũ mà còn giúp phát triển nhiều phương thức mới. Ba phương tiện kỹ thuật cơ bản được sử dụng trong KNXH là điện thoại, internet và các vật mang tin.
Điện thoại không chỉ là một trong những phương tiện liên lạc thuận lợi và phổ biến nhất mà nó còn cho phép thực hiện nhiều mánh khóe lừa gạt. Trước hết là hành vi giả danh, do thông tin trao đổi qua điện thoại là bằng giọng nói nên kẻ tấn công chỉ cần bắt chước giọng của người bị giả danh. Ở một số công ty, nơi mà công tác an ninh thông tin được chú trọng, người ta khuyến cáo nhân viên trong các cuộc đàm thoại yêu cầu người gọi để lại số điện thoại hoặc lắp đặt loại điện thoại hiển thị số của người gọi để chống lại việc giả mạo. Điện thoại di động rất dễ bị nghe trộm hoặc bị cài các chương trình gián điệp nếu chủ sở hữu của nó thiếu cảnh giác.
Giả danh qua internet còn dễ thực hiện hơn cả bằng điện thoại. Ở đây không cần phải bắt chước giọng nói, không phân biệt giới tính, độ tuổi, nghề nghiệp và vị trí xã hội. Trong giai đoạn khảo sát ban đầu, internet còn là công cụ hữu ích giúp đạo chích thu thập những thông tin cần thiết về mục tiêu. Trước đây, việc thu thập những thông tin như thế đòi hỏi đầu tư không ít công sức và không phải lúc nào cũng thành công thì ngày nay chúng đã có sẵn trên internet. Ngoài ra, internet còn là phương tiện lý tưởng để đánh cắp thông tin mật. Một chiêu thức hay được sử dụng trong lĩnh vực ngân hàng là các đạo chích gửi cho mục tiêu một thông điệp dưới dạng email nhân danh một ngân hàng nào đó, trong đó yêu cầu mục tiêu là khách hàng xác nhận các thông tin cá nhân. Email được gửi đi chứa đường dẫn tới trang web giả và yêu cầu khách hàng đưa vào các thông tin cá nhân, từ địa chỉ gia đình cho đến số PIN của thẻ ngân hàng.
Các vật mang tin như đĩa CD, USB đều là những phương tiện rất hữu hiệu trong việc lấy cắp thông tin. Đạo chích thường tận dụng sơ hở của mục tiêu để dùng các vật mang tin lấy cắp thông tin một cách nhanh chóng. Các phương tiện này cũng rất thuận lợi để thực hiện các mánh lới lừa đảo theo kiểu được bỏ quên một cách có chủ ý, nhằm mượn tay mục tiêu cài các chương trình gián điệp hoặc các chương trình phá hoại khác vào máy tính của họ.
Các nghiên cứu trong lĩnh vực KNXH đã chỉ ra rất nhiều điểm yếu của con người mà giới đạo chích có thể tận dụng để thực hiện các hành vi lừa đảo. Nhưng ngay cả những phẩm chất tốt như lòng nhân ái, sự hào hiệp, sự chân thực cũng là kẽ hở để đạo chích lợi dụng. Vì vậy, ngoài việc nắm kiến thức chung về phẩm chất của con người, giới kỹ sư xã hội rất chú trọng phân biệt đặc tính của từng kiểu người được hình thành do nghề nghiệp. Ví dụ, người làm lãnh đạo thường thể hiện nhẫn nại khi lắng nghe cấp dưới nhưng cũng có kiểu nói áp đặt, mệnh lệnh khi giao nhiệm vụ; thư ký thường có giọng nói dịu dàng, dễ chịu và lễ độ khi đầu dây bên kia là người lãnh đạo của mình; nhân viên dịch vụ kỹ thuật thường có thái độ thân thiện, nhẫn nại, sẵn sàng đáp ứng yêu cầu của khách hàng. Nắm được những đặc điểm của từng kiểu người sẽ giúp đạo chích có cơ hội thực hiện thành công những mánh lới giả mạo.
Nói chung, biểu hiện hành vi của đạo chích rất đa dạng và tùy vào bối cảnh cụ thể. Sau đây là một số hành vi điển hình:
- Đóng vai nhà lãnh đạo, cộng tác viên của công ty đối tác hoặc đồng nghiệp trong cùng công ty hoặc tổ chức, nhân viên của cơ sở dịch vụ kỹ thuật, nhà cung cấp sản phẩm, nhà cung cấp hệ điều hành hay các phần mềm ứng dụng.
- Sử dụng các website giả, yêu cầu xác thực lại và cung cấp mật khẩu; giả mạo chữ ký.
- Đề nghị giúp đỡ khi tổ chức hoặc doanh nghiệp gặp các vấn đề kỹ thuật, làm cho vấn đề xuất hiện lại và nhận được yêu cầu giúp đỡ, gửi phần mềm hỗ trợ, bí mật cài virus và phần mềm gián điệp kèm theo các bức thư điện tử...
- Để lại các vật mang tin có chứa các chương trình độc hại.
- Sử dụng ngôn ngữ và tiếng lóng nội bộ để tạo niềm tin.
Bảo vệ chống lại kỹ nghệ xã hội
Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin.
KNXH là nghệ thuật tác động lên con người, do đó cũng chỉ có thể chống lại nó bằng chính con người. Rất nhiều mánh lới của KNXH dường như rất đơn giản nhưng vẫn đem lại hiệu quả cao. Chính Kelvin Mitnick cũng thừa nhận rằng đã lấy được mật khẩu và nhiều bí mật của các công ty chỉ đơn giản bằng sự khéo léo, nhiều khi bằng cách hỏi trực tiếp đối tượng. Trong cuốn “Nghệ thuật đánh lừa”, Kelvin Mitnick đã nhắc lại câu nói nổi tiếng của Anhxtanh “Chỉ có thể tin vào hai thứ: sự tồn tại của vũ trụ và sự ngu xuẩn của con người” và ông bổ sung thêm “Tôi thì chỉ tin vào vế thứ hai của câu nói”. Từ những ví dụ kinh điển đầu tiên được đề cập trong bài viết trước, chúng ta đã thấy sự sơ suất đến khó tin của con người ngay cả khi liên quan đến khối tài sản lớn.
Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống. Bruce Sneider - một trong những chuyên gia an ninh thông tin hàng đầu thế giới cũng đã nói “An ninh - đó không phải là vấn đề kỹ thuật, đó là vấn đề của con người và của quản lý”. Do đó, nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại KNXH nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin. Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp sau:
- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước hết của đạo chích chứ không phải các phương tiện kỹ thuật.
- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được.
- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất. Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình.
- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức.
- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm nhấn đặc biệt về các biện pháp chống KNXH.
Xây dựng chương trình đào tạo và huấn luyện đặc biệt
Các chuyên gia giàu kinh nghiệm trong lĩnh vực KNXH khẳng định: Bất cứ một hệ thống an ninh kỹ thuật nào dù được trang bị đồng bộ bởi các chương trình xác thực, hệ thống phát hiện và chống xâm nhập, hệ thống mã hóa và hạn chế tiếp cận trái phép đều không thể bảo vệ được hệ thống thông tin. C ác công ty tổ chức kiểm tra khả năng xâm nhập vào mạng máy tính của mình dựa vào công nghệ KNXH khẳng định đều thành công 100%.
Bởi vậy, cách duy nhất để đảm bảo an toàn cho tổ chức là phải xây dựng một hệ thống đảm bảo an toàn thông tin kết hợp đồng bộ các phương tiện kỹ thuật với các biện pháp tổ chức, quản lý, chính sách và nguồn nhân lực, bao gồm: Các phương tiện kỹ thuật bảo vệ thông tin; Hệ thống quản lý an toàn thông tin; Chính sách an toàn thông tin; Nguồn nhân lực; Chương trình đào tạo và huấn luyện về bảo vệ thông tin.
Ý thức bảo vệ thông tin chống KNXH phải xuyên suốt toàn bộ các bộ phận cấu thành của hệ thống an toàn thông tin, đặc biệt trong việc xây dựng nguồn lực và chương trình đào tạo, huấn luyện.... Đặc biệt, chính sách an toàn thông tin phải thể hiện được mục tiêu này. Vì vậy, ngoài những quy định chung cho tất cả tổ chức, cần có những quy định riêng cho từng nhóm cán bộ, nhân viên. Tối thiểu cần có quy định cho nhóm các nhà quản lý, các nhân viên IT, các nhân viên bảo vệ....
Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên như:
- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.
- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc....
- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.
Trên thế giới, các hacker đẳng cấp về thực chất là các kỹ sư xã hội. Dù nhiều người trong số họ là những chuyên gia kỹ thuật xuất sắc, nhưng trong thành công của họ, theo thống kê, sử dụng KNXH tới hơn 80%. Điều này cho thấy đây thật sự là mối đe dọa lớn nhất và muốn đảm bảo an toàn cho hệ thống thông tin của các tổ chức, doanh nghiệp thì bên cạnh các phương tiện kỹ thuật cần đặc biệt chú trọng khâu yếu nhất, đó là con người.
10:00 | 31/05/2022
16:00 | 04/09/2018
08:00 | 19/09/2018
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Các dạng tấn công web nói chung và tấn công thay đổi giao diện website nói riêng được xem là một trong các mối đe dọa chính đối với nhiều cơ quan, tổ chức có các hệ thống cung cấp dịch vụ trên nền web. Một cuộc tấn công thay đổi giao diện có thể để lại những hậu quả nghiêm trọng. Nhiều kỹ thuật, giải pháp và công cụ giám sát, phát hiện dạng tấn công này đã được nghiên cứu, phát triển và triển khai trên thực tế. Tuy vậy, một số giải pháp chỉ có khả năng hoạt động với các trang web có nội dung tĩnh hoặc ít thay đổi, hoặc yêu cầu cao về tài nguyên tính toán, hoặc có tỷ lệ phát hiện sai cao. Bài báo này đề xuất một mô hình học sâu cho phát hiện tấn công thay đổi giao diện website, trong đó có xem xét, xử lý ảnh chụp màn hình trang web.
13:00 | 28/08/2024
