Các bài đăng trên mạng xã hội giúp tin tặc thu thập thông tin để tấn công doanh nghiệp như thế nào?
Các bài đăng trên phương tiện truyền thông, mạng xã hội là một mỏ vàng cung cấp các chi tiết hỗ trợ cho các cuộc tấn công. Những gì có thể tìm thấy trong nền ảnh có thể tiết lộ rất nhiều từ thẻ ra vào đến màn hình máy tính xách tay hoặc thậm chí là giấy nhớ ghi mật khẩu.
Gen Z, thế hệ dùng mạng xã hội nhiều nhất đang dần tham gia lực lượng lao động. Theo Pew Research, trong số những người trong độ tuổi từ 18 đến 24, có 75% sử dụng Instagram, 73% sử dụng Snapchat, 76% sử dụng Facebook và 90% sử dụng YouTube. Để thế hệ này làm việc mà không có hướng dẫn về bảo mật mạng xã hội là một rủi ro lớn mà hầu hết các công ty hiện chưa xem xét tới. Số trường hợp thông tin Stephanie tìm được đến từ các thực tập sinh hoặc nhân viên mới chiếm tới 75%.
Biết được điểm yếu này, cùng một số hashtag hữu ích như #firstday, #newjob hoặc #intern + [#tên công ty] đã cho phép Stephanie tìm thấy vô số thông tin bà cần chỉ trong vòng vài giờ. Tuy nhiên, không chỉ nhân viên mới và thực tập sinh mới có thể là nguồn rò rỉ, mà đó còn có thể là nhóm truyền thông xã hội hoặc thành viên cấp cao của công ty chia sẻ hình ảnh nhóm.
Theo bà, có bốn loại các bài đăng nguy hiểm trên mạng xã hội mà tin tặc có thể lợi dụng.
Ảnh nhóm
Đăng ảnh của mình và những đồng nghiệp ở văn phòng, cho dù đó là vào giờ nghỉ trưa, thực hiện một hoạt động xã hội nào đó… có thể tiết lộ nhiều điều. Hãy suy nghĩ về các loại áp phích hoặc bảng trắng được treo trong các khu vực chung của văn phòng. Một tấm áp phích về “Giải bóng đá sắp bắt đầu” có nghĩa là người đăng ảnh sẽ không nghi ngờ gì nếu nhận được một email có liên kết trỏ đến lịch thi đấu mới nhất của đội.
Ảnh chụp với thẻ nhân viên
Điều này có vẻ hiển nhiên, nhưng có rất nhiều lần Stephanie thấy nhân viên mới đăng ảnh chụp cận cảnh thẻ an ninh công ty của họ, đặc biệt là vào ngày đầu tiên hoặc ngày cuối cùng tại văn phòng. Biết thẻ nhân viên của công ty trông như thế nào sẽ giúp việc làm giả trở nên dễ dàng. Tin tặc có thể sao chép, dán và in ảnh mặt mình vào chỉ trong vòng vài phút. Mặc dù thẻ giả này có thể không dùng để đi qua cửa tự động, nhưng bạn sẽ ngạc nhiên khi biết tin tặc có thể dễ dàng trà trộn, lẻn vào chỉ bằng cách giơ thẻ để bước qua cánh cửa công ty.
Trong một lần tìm kiếm, các thành viên nhóm X-Force Red tìm thấy một bức ảnh của một thực tập sinh cùng bức ảnh nhỏ có khuôn mặt của người đó trên phù hiệu công ty mới. Sau vài phút chỉnh sửa ảnh, nhóm có thể sử dụng hình ảnh đó để sản xuất thẻ giả.
Một ngày trong văn phòng
Khi một nhân viên quyết định quay blog video cả ngày của mình tại công ty, tin tặc đã có thể lấy được rất nhiều thông tin. Từ việc biết cách bố trí tòa nhà và các khu vực được bảo vệ bằng thẻ ra vào cho đến bảng trắng tiết lộ kế hoạch của công ty, điều này gần như tốt bằng việc đột nhập vào công ty ngoài đời thực.
Chẳng hạn một vlog dài 37 phút của một thực tập sinh quyết định đeo chiếc máy quay GoPro lên đầu và làm một video về cuộc sống hàng ngày trong văn phòng có giá trị đáng kinh ngạc. Stephanie nói rằng vlog đó cung cấp những thông tin sau:
- Phần mềm antivirus mà công ty sử dụng
- Bố cục thẻ nhân viên
- Cách bố trí tòa nhà
- Thủ tục ra vào
- Thông tin đăng nhập
- Quy định về trang phục/đồ dùng của nhân viên
- Lịch sự kiện nhân viên
- Địa điểm ăn trưa của nhân viên
- Vị trí của bảo vệ
- Các khu vực chung
- Hệ điều hành của máy tính
- Cấu trúc bãi đỗ xe
- Số điện thoại
- Chìa khóa vật lý, token
- Khu vực hút thuốc hay được sử dụng
- Bộ phần mềm văn phòng
- Tài liệu nhạy cảm
- “Lối đi bí mật không ai khác biết mà tôi sử dụng trong trường hợp tôi quên thẻ của mình”
- Cửa quay
- Các nhà cung cấp
- Những thiếu sót trong việc kiểm soát cửa ra vào
Màn hình máy tính xách tay còn tiết lộ các loại công cụ và phần mềm bảo mật đang được dùng có thể sử dụng để dàn dựng một cuộc tấn công bằng cách tạo phần mềm độc hại tùy chỉnh được ngụy trang dưới dạng bản cập nhật phần mềm giả.
Những phàn nàn trên mạng
Trong nền văn hóa “đánh giá” ngày nay, các công ty không cung cấp hàng tiêu dùng cũng không an toàn. Cho dù thông qua Glassdoor, trang tìm kiếm việc làm hay các trang mạng xã hội, việc tìm hiểu những vấn đề hiện ảnh hưởng đến nhân viên có thể giúp nhóm của Stephanie tạo một email lừa đảo lợi dụng các khiếu nại và mong muốn của họ.
Ví dụ, với một công ty có nhiều nhân viên phàn nàn trên mạng về việc thiếu chỗ đỗ xe, nhóm tin tặc mũ trắng đã viết một email giải thích chính sách đỗ xe mới và cảnh báo tất cả những xe đỗ bên ngoài vị trí được chỉ định sẽ bị kéo đi. Sự phấn khích khi cuối cùng cũng có một chỗ đỗ xe, cộng với nỗi sợ xe bị kéo đi, đã dẫn đến rất nhiều cú nhấp chuột vào tệp đính kèm bản đồ đỗ xe giả mạo (độc hại) có trong email.
Các doanh nghiệp có thể làm gì?
Các doanh nên đào tạo nhân viên và thực tập sinh về việc giữ an toàn cho tài sản của công ty để ngăn chặn các hành vi vi phạm trên mạng xã hội. Yêu cầu họ để ý đến các chính sách của công ty khi đăng bài trên bất kỳ trang mạng xã hội nào hoặc các nền tảng khác yêu cầu thông tin của công ty. Hướng dẫn họ thông qua các tình huống phổ biến về bảo vệ thông tin cá nhân và bảo mật dữ liệu của công ty là điều cần thiết đối với bảo mật doanh nghiệp.
Nguyễn Anh Tuấn