Kỹ nghệ xã hội - mối đe dọa lớn đối với An toàn thông tin (phần 1)
Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi... của con người. Các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering). Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật.
Trước đây, khi chưa có mạng truyền thông, “đạo chích” phải rất khó khăn mới kiếm được thông tin, nhưng ngày nay bằng thủ thuật xã hội, nếu đoạt được mật khẩu truy cập, đạo chích có thể xâm nhập được vào cả kho dữ liệu. Kỹ nghệ xã hội bởi vậy được coi là mối nguy cơ lớn nhất đối với an ninh thông tin trong thời đại tin học. Bài báo này giới thiệu một số nét cơ bản về kỹ nghệ xã hội và các chiêu thức thường gặp, các phương pháp chống lại mối đe dọa này. Phần 1 này sẽ phân tích một số khái niệm về kỹ nghệ xã hội.
Khái niệm kỹ nghệ xã hội
Kỹ nghệ xã hội theo nghĩa chung nhất là nghệ thuật của người có chủ ý điều khiển hành vi của con người thông qua việc chi phối tâm lý và tận dụng các điểm yếu của họ để đạt được mục đích. Kẻ gian có thể đánh lạc hướng người bảo vệ để đột nhập một tòa nhà, đạo chích máy tính có thể tận dụng sự thiếu cảnh giác của nhân viên để lấy cắp mật khẩu truy cập mạng của các tổ chức nhằm ăn cắp hoặc phá hoại dữ liệu. Với việc sử dụng kỹ nghệ xã hội, các nhà tình báo có thể khai thác nhiều thông tin quan trọng về kinh tế, quân sự, chính trị; các nhà ngoại giao có thể biết được lập trường của đối phương trong đàm phán; các doanh nghiệp có thể nắm được chiến lược phát triển kinh doanh và sản phẩm của đối thủ.
Kỹ nghệ xã hội trong bài này được hiểu theo nghĩa hẹp hơn, đó là sự vận dụng kỹ nghệ xã hội vào lĩnh vực an ninh thông tin. Nói cách khác, đó là nghệ thuật điều khiển hành vi của con người để ăn cắp hoặc phá hoại thông tin mà không tấn công trực tiếp vào hệ thống kỹ thuật.
Trong thực tế, các thủ thuật của kỹ nghệ xã hội đã được con người sử dụng từ rất sớm nhưng thuật ngữ “kỹ nghệ xã hội” mới được phổ cập vào những năm 90 của thế kỷ XX bởi Kelvin Mitnick - một đạo chích tin học nổi tiếng người Mỹ. Ông không chỉ là người phổ biến thuật ngữ này mà còn có công phát triển nó thành nghệ thuật.
Trong cuốn “Nghệ thuật lừa đảo”, Mitnick đã kể lại rất nhiều câu chuyện về các kỹ sư xã hội (những kẻ tấn công sử dụng kỹ nghệ xã hội) và những thủ thuật mà họ đã sử dụng. Dưới đây là phần trích dẫn hai trong số các câu chuyện đó.
Câu chuyện kinh điển về Rifkin
Vào năm 1978, Rifkin - chuyên viên tư vấn cho ngân hàng Thái Bình Dương ở Los Angeles, làm việc cho ngân hàng này theo hợp đồng về thiết kế hệ thống sao lưu dữ liệu dự phòng. Với vai trò này, Rifkin được phép tiếp cận các thủ tục chuyển khoản và được quan sát những gì nhân viên ngân hàng thực hiện để hoàn thành công việc. Rifkin biết được rằng, mỗi buổi sáng các nhân viên làm nhiệm vụ chuyển khoản nhận được một mật mã, mật mã này được bảo vệ hết sức cẩn thận và được sử dụng để thực hiện các yêu cầu nhận, chuyển khoản.
Một số nhân viên không ghi nhớ mật mã (vốn được thay đổi hàng ngày). Vì thế họ ghi mật mã lên một mẩu giấy và đặt vào một chỗ nào đó trong tầm nhìn. Một lần, Rifkin đã vào phòng làm việc của họ và nhìn trộm được mật mã ghi trên mẩu giấy của các nhân viên. Khoảng 3 giờ đồng hồ sau, Rifkin đã mạo danh là Michel Hansen - một nhân viên chi nhánh quốc tế của ngân hàng này và gọi điện thoại đến phòng chuyển khoản để đề nghị chuyển một khoản tiền lớn vào tài khoản của anh ta ở một ngân hàng tại Thụy Sỹ. Khi được yêu cầu cung cấp số điện thoại văn phòng, mật mã tài khoản của Michel thì với những thông tin đã thu thập được, Rifkin đã trả lời rất chính xác và mọi việc diễn ra trôi chảy.
Vài ngày sau, Rifkin bay đến Thụy Sỹ, nhận tiền, đổi khoảng 8 triệu USD lấy kim cương tại Anh và quay lại Mỹ, sau khi vượt qua được sự kiểm soát của Hải quan.
Rifkin đã thực hiện một vụ ăn cắp ngân hàng lớn nhất mà không cần bất kỳ vũ khí nào, thậm chí chẳng cần đến máy tính. Điều kỳ lạ là thông tin về vụ này lại được ghi vào sách kỷ lục thế giới ở hạng mục “Những vụ lừa gạt máy tính lớn nhất”.
Câu chuyện Giôn - Xơn giả
Một công ty quốc tế tại thung lũng Silicon có các chi nhánh ở khắp thế giới, các chi nhánh này được kết nối với Trung tâm bởi mạng WAN toàn cầu. Brian Alterby – một kỹ sư xã hội muốn xâm nhập vào mạng này để ăn cắp thông tin và điều anh ta cần trước hết là mật khẩu để truy cập. Alterby biết rằng xâm nhập vào mạng từ một đầu mối xa sẽ dễ hơn bởi ở đây có mức độ bảo vệ thấp. Do đó, anh ta đã gọi điện vào văn phòng ở Chicago và yêu cầu được nói chuyện với nhân viên thuộc một bộ phận của công ty. Bằng các mánh khóe của mình, anh ta đã lừa và lấy
được mã số tác nghiệp của Jozev Giôn - nhân viên thuộc bộ phận phát triển kinh doanh này. Ngay sau đó, Alterby liền mạo danh là Jozev Giôn để gọi đến cho người quản trị hệ thống ở Texas. Khi người quản trị yêu cầu nhắc lại tên, số điện thoại và một số thông tin khác, Alterby đã chuẩn bị kỹ lưỡng nên đã đáp ứng ngay yêu cầu của người quản trị và anh này đã báo mật khẩu truy cập cho Alterby.
Hai ví dụ trên đây đã cho thấy sự lợi hại của kỹ nghệ xã hội và chứng tỏ rằng, ngay cả các hệ thống tưởng chừng như đã được bảo vệ cẩn mật như ngân hàng, hay các tập đoàn công nghệ tầm cỡ toàn cầu vẫn có thể dễ dàng bị kẻ gian qua mặt mà không cần bất kỳ phương tiện kỹ thuật nào.
Khả năng thành công của tấn công bằng kỹ nghệ xã hội
Sự thành công của tấn công bằng kỹ nghệ xã hội phụ thuộc vào hai yếu tố là phẩm chất và tài nghệ của kẻ tấn công và phẩm chất của người bị tấn công.
Các kỹ sư xã hội là những người có phẩm chất vượt trội như tính cẩn thận, chu đáo trong tư duy và hành động, sáng tạo và nhanh trí trong việc xử lý các tình huống phát sinh không dự kiến trước, khả năng nắm bắt tâm lý giỏi. Họ thấu hiểu những phẩm chất của con người, cả mặt tiêu cực cũng như tích cực và biết tận dụng triệt để chúng. Khi thực thi nhiệm vụ, họ là những diễn viên tài ba, có khả năng đóng nhiều vai khác nhau, thay đổi giọng nói hoặc bắt chước giọng của người khác để đánh lạc hướng mục tiêu.
Trước khi hành động, các kỹ sư xã hội thường chuẩn bị kế hoạch hết sức kỹ lưỡng, dành nhiều thời gian, hàng tuần, thậm chí hàng tháng để khảo sát mục tiêu, trụ sở làm việc và con người, thu thập số điện thoại công khai, địa chỉ e- mail và sử dụng internet để tìm kiếm thông tin ban đầu. Họ nghiên cứu kỹ các sơ hở của từng loại cơ quan, công sở, doanh nghiệp, đặc điểm của từng kiểu người, ưu thế trong sử dụng các phương tiện liên lạc để tấn công. Họ là những trinh sát giỏi trong điều tra mục tiêu và là những kỳ thủ chơi cờ, biết dự đoán trước các câu hỏi có thể và chuẩn bị sẵn các câu trả lời.
Khi cần, các kỹ sư xã hội sẵn sàng sử dụng các biện pháp mua chuộc, thậm chí đe dọa các nhân viên của cơ quan hoặc doanh nghiệp khi nắm được điểm yếu của họ. Các kiểu lừa gạt là những phương pháp ưa thích của họ. Chẳng hạn để cài chương trình gây hại vào máy tính của một công ty, những kẻ tấn công sử dụng kỹ nghệ xã hội có thể đóng vai nhân viên của một công ty đối tác hay đối địch, giả vờ để quên trên bàn làm việc của cán bộ công ty kia một đĩa CD hay một USB có chứa các thông tin giả là thông tin quan trọng của công ty anh ta kèm theo chương trình gây hại. Trong những trường hợp như thế, người cán bộ của công ty kia dễ dàng sập bẫy và vô tình giúp kẻ gian cài chương trình có hại vào máy tính của công ty mình.
Không ít các kỹ sư xã hội đồng thời cũng là những chuyên gia công nghệ tài giỏi. Kelvin Mitnick trong cuốn “Nghệ thuật lừa đảo” đã kể lại quá trình nghiên cứu để ông nắm vững và hiểu tường tận các loại điện thoại cố định, di động, máy tính, mạng máy tính, các hệ điều hành và nhiều thiết bị viễn thông khác cũng như ưu thế của từng loại trong việc sử dụng để thực hiện các hành vi lừa gạt. Trong một cuốn khác có tên “Nghệ thuật xâm nhập” mà ông là đồng tác giả, Mitnick đã kể lại câu chuyện một nhóm chuyên gia đứng đầu là Aleks Mifield (họ tên đã được thay đổi) đã xâm nhập vào các casino tại Las Vegas và kiếm lợi trong suốt hơn ba năm như thế nào. Họ nguyên là những kỹ sư máy tính, trong một chuyến công tác tới Las Vegas, họ đã trở thành những kẻ lừa đảo nhờ một ý nghĩ bất ngờ “Các máy đánh bạc tự động đều dựa trên các chương trình máy tính, tại sao chúng ta không dựa vào đó để kiếm tiền?”. Và với tài năng công nghệ sẵn có, sau một thời gian tìm hiểu họ đã dễ dàng nắm được cách thức vận hành và những khiếm khuyết trong phần mềm của máy đánh bạc tự động. Họ đã thiết kế chương trình riêng phục vụ cho mục tiêu kiếm lợi. Vận dụng các thủ thuật của kỹ nghệ xã hội, họ đã thành công trong việc cài chương trình của mình vào các máy tự động đánh bạc của một số casino, vượt qua được hệ thống camera và sự kiểm soát của các nhân viên giám sát. Cũng nhờ những phẩm chất xã hội, họ đã biết hành động đúng mức để tránh mọi nghi ngờ có thể dính tới pháp luật: “Thắng vừa phải, định kỳ thay đổi địa điểm chơi, chấm dứt trò chơi ba năm sau đó”.
Con người thường sở hữu một số phẩm chất tích cực khiến họ trở thành nạn nhân của các thủ thuật kỹ nghệ xã hội như lòng tốt, sự mong muốn được giúp đỡ người khác và những phẩm chất tiêu cực như thiếu cảnh giác, nhẹ dạ cả tin, thói ba hoa, tính háo danh, hám lợi, sự bất cẩn trong thực thi nhiệm vụ. Theo một kết quả khảo sát tại một công ty được chọn làm mục tiêu tấn công, người ta đã thực hiện 140 cuộc gọi điện thoại tới nhân viên của công ty với những câu hỏi đã được chuẩn bị sẵn. Kết quả cho thấy hầu như tất cả đều cung cấp thông tin mà những người gọi tìm kiếm, chỉ có 5 nhân viên từ chối. Cũng tại công ty này, có tới 90% nhân viên là mục tiêu giả định đã mở URL được gửi bởi những người tấn công giả định, thậm chí họ cũng chẳng cần biết nhận được từ ai
Hadnagy, người sáng lập website social - engineer.org và là tác giả cuốn “The Art of Human Hacking” cho biết, một phần thông tin quan trọng của Wikileaks gây được sự chú ý lớn trong năm 2010 vừa qua liên quan đến kỹ nghệ xã hội. Một người lính của quân đội Mỹ - Bradley Manning đã bị buộc tội vì cung cấp một số thông tin mật quân sự và ngoại giao cho Julian Assange - người sáng lập ra Wikileaks. Đây có thể không phải là trường hợp bị mua chuộc vì vụ lợi mà là từ thái độ phản đối chiến tranh.