Các hình thức tấn công Social Engineering phổ biến
Social Engineering là gì?
Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn. Những kỹ thuật này dựa trên nền tảng là điểm yếu tâm lý, nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công, hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Với phương thức này, tin tặc chú trọng vào việc tiến hành khai thác các thói quen tự nhiên của người dùng, hơn việc khai thác các lỗ hổng bảo mật của hệ thống. Người dùng được trang bị kém về kiến thức bảo mật sẽ là cơ sở để tin tặc thực hiện tấn công.
Kể từ khi ra đời đến nay, phương thức tấn công này đem lại hiệu quả cao. Bởi, tấn công Social Engineering rất đa dạng, dễ dàng tùy biến hình thức thực hiện và hầu như chưa có biện pháp phòng thủ hiệu quả cụ thể.
Các hình thức tấn công lừa đảo Social Engineering phổ biến
Phishing
Phishing là một hình thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến, các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính bí mật như: tên đăng nhập, mật khẩu giao dịch và những thông tin nhạy cảm khác. Hình thức tấn công này còn có thể cài đặt các phần mềm độc hại vào thiết bị của người dùng. Đây thực sự là mối nguy hại lớn nếu người dùng chưa có kiến thức hoặc thiếu cảnh giác về hình thức tấn công này.
Có nhiều kỹ thuật lừa đảo được sử dụng để thực hiện tấn công phishing. Cụ thể:
Thư rác: (spam email) là kỹ thuật sử dụng email là công cụ lừa đảo người dùng, như: Nhúng vào email một liên kết chuyển hướng tới một trang web không an toàn; Giả mạo địa chỉ người gửi; Đính kèm mã độc dạng Trojan trong một tập tin của email hoặc quảng cáo để khai thác lỗ hổng trên thiết bị người dùng
Những email này yêu cầu người dùng cập nhật thông tin về các tài khoản cá nhân của họ, bằng việc chuyển hướng truy cập vào các trang web dường như thuộc về tổ chức hợp pháp và được ủy quyền. Tuy nhiên, thực tế đây là các trang web giả mạo, được tạo ra bởi tin tặc để lấy thông tin nhạy cảm của người dùng.
Một ví dụ thực tế về kỹ thuật tấn công này là chiến dịch Operation Lotus Blossom được công ty bảo mật Palo Alto (Mỹ) phát hiện và công bố năm 2015. Đây là một chiến dịch gián điệp không gian mạng có chủ đích nhằm chống lại các Chính phủ và các tổ chức quân sự ở Đông Nam Á kéo dài trong nhiều năm. Các quốc gia là mục tiêu trong chiến dịch này bao gồm: Hồng Kông, Đài Loan, Việt Nam, Philippines và Indonesia. Mã độc được phát tán bằng việc khai thác lỗ hổng của Microsoft Office thông qua một tập tin văn bản đính kèm email có nội dung liên quan đến cơ quan, tổ chức mục tiêu. Khi người dùng đọc nội dung văn bản, mã độc sẽ được kích hoạt và âm thầm đánh cắp các dữ liệu lưu trên máy tính và chuyển tới các máy chủ tại nước ngoài. Mã độc này còn được biết đến với một tên gọi khác là Elise.
Website lừa đảo: là một kỹ thuật tấn công khác của tấn công Phishing. Ví dụ, hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng cho những trang web này để nhận tiền công. Tuy nhiên, tin tặc thường lợi dụng kẽ hở trong giao dịch này, chuyển hướng người dùng đến một trang web giả mạo để đánh cắp thông tin của người dùng. Một hình thức khác là khiêu khích sự tò mò của người dùng bằng cách chèn vào trang web những quảng cáo có nội dung hấp dẫn để lây nhiễm mã độc
Lừa đảo qua mạng xã hội: Đây là hình thức lừa đảo mà tin tặc thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội khác. Các tin nhắn này có thể là thông báo trúng thưởng các hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone,… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng. Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sử dụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại,…
Watering Hole
Watering Hole là phương thức tấn công có chủ đích vào các tổ chức/doanh nghiệp (TC/DN) thông qua việc lừa các thành viên truy cập vào các trang web chứa mã độc. Tin tặc thường nhắm đến các trang web có nhiều người truy cập, web “đen” hoặc tạo ra các trang web riêng để lừa người dùng, trong đó cố ý chèn vào website các mã khai thác liên quan đến các lỗ hổng trình duyệt. Nếu truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng.
Khi sử dụng trong các cuộc tấn công có chủ đích, kỹ thuật tấn công Watering Hole thường hoạt động theo kịch bản như sau:
Bước 1: Thu thập thông tin về TC/DN mục tiêu. Các thông tin thu thập có thể bao gồm danh sách các website mà các nhân viên hay lãnh đạo của tổ chức thường xuyên truy cập. Sau đó, tin tặc bắt đầu tìm kiếm các trang web mà chúng để có thể xâm nhập, kết hợp với kỹ thuật tấn công local attack để nâng cao khả năng tấn công.
Bước 2: Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy cập, tin tặc sẽ thực hiện chèn các mã khai thác các lỗ hổng thông qua trình duyệt, ứng dụng flash hay java (flash và java thường được cài đặt mặc định trên máy tính của người dùng).
Bước 3: Sau khi người dùng truy cập vào các trang web độc hại, ngay lập tức mã độc sẽ được thực thi. Khi đó, tin tặc sẽ chiếm quyền điều khiển và cài đặt các chương trình độc hại cho phép điều khiển từ xa lên máy tính nạn nhân. Từ đó, khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó để tấn công các máy tính khác.
Pretexting
Pretexting là một kỹ thuật khác của tấn công Social Engineering, theo đó tin tặc tập trung vào việc tạo ra một lý do hợp lý, hoặc một kịch bản đã được tính toán từ trước để ăn cắp thông tin cá nhân của nạn nhân. Những loại tấn công này thường được biểu hiện dưới dạng lừa đảo rằng người dùng cần cung cấp một số thông tin nhất định để xác nhận danh tính.
Có thể hiểu đơn giản, Pretexting là hình thức giả danh người khác, thường là cảnh sát hoặc phóng viên để lấy thông tin từ đối tượng cần khai thác, phần lớn là thông qua dịch vụ viễn thông. Mánh khóe này được thám tử, nhân viên điều tra và cả tội phạm sử dụng, nhằm tiếp cận các nguồn cung cấp thông tin cá nhân trực tiếp qua điện thoại.
Đối với các cuộc tấn công cấp cao hơn, tin tặc sẽ cố thao túng các mục tiêu để khai thác các điểm yếu về cấu trúc của một tổ chức hoặc công ty. Ví dụ, một tin tặc mạo danh một kiểm toán viên của dịch vụ CNTT bên ngoài công ty với những lý lẽ hợp lý, đủ sức thuyết phục nhân viên an ninh về mặt vật lý, cho phép tin tặc vào cơ sở làm việc của công ty đó.
Không giống như các email lừa đảo vốn lợi dụng sự sợ hãi và khẩn cấp của nạn nhân, các cuộc tấn công Pretexting dựa vào việc xây dựng cảm giác tin cậy cho đối tượng cần khai thác.
Baiting và Quid Pro Quo
Kỹ thuật tấn công Baiting lợi dụng sự tò mò của con người. Đặc điểm chính của loại tấn công này là lời hứa về một mặt hàng hay một sản phẩm cụ thể nào đó mà tin tặc sử dụng để đánh lừa nạn nhân. Ví dụ điển hình là một kịch bản tấn công mà tin tặc sử dụng một tệp độc hại được giả mạo thành bản cập nhật phần mềm hoặc phần mềm phổ biến nào đó. Tin tặc cũng có thể tấn công Baiting về mặt vật lý, ví dụ như phát miễn phí thẻ USB bị nhiễm độc trong khu vực lân cận của tổ chức mục tiêu và đợi nhân viên nội bộ lây nhiễm phần mềm độc hại vào máy tính của công ty. Sau khi được thực thi trên các máy tính, các phần mềm độc hại được cài đặt trên các USB này sẽ giúp tin tặc chiếm được toàn quyền điều khiển, qua đó phục vụ cho mục đích tấn công tiếp theo.
Tấn công Quid Pro Quo (còn được gọi là tấn công Something For Something) là một biến thể của Baiting. Tuy nhiên, thay vì dụ đưa ra lời hứa về một sản phẩm, tin tặc hứa hẹn một dịch vụ hoặc một lợi ích dựa trên việc thực hiện một hành động cụ thể nào đó qua một một dịch vụ hoặc lợi ích được tin tặc xây dựng để trao đổi thông tin hoặc quyền truy cập.
Cuộc tấn công Quid Pro Quo thường gặp nhất xảy ra khi một tin tặc mạo danh nhân viên CNTT của một tổ chức lớn. Tin tặc đó cố gắng liên lạc qua điện thoại với nhân viên của tổ chức định tấn công, sau đó cung cấp và hướng dẫn cho họ một số thông tin liên quan đến việc nâng cấp hoặc cài đặt phần mềm. Để tạo điều kiện cho việc thực hiện các hành vi độc hại, các tin tặc sẽ yêu cầu nạn nhân tạm thời vô hiệu hóa phần mềm antivirus cài trong máy, nhờ đó ứng dụng độc hại được thực thi mà không gặp phải bất cứ trở ngại nào.
Biện pháp phòng chống
Đối với cá nhân
Để phòng tránh tấn công Social Engineering người dùng cần lưu ý:
- Cẩn thận và không nên trả lời bất kỳ thư rác nào yêu cầu xác nhận, cập nhật bất kỳ thông tin nào về tài khoản của cá nhân, TC/DN.
- Không kích chuột vào bất kỳ liên kết đi kèm với thư rác nếu không chắc chắn về nó.
- Cảnh giác với các thông tin khuyến mại, trúng thưởng nhận được trên mạng xã hội; Không nhấp chuột vào các đường dẫn của các trang web lạ; Không cung cấp thông tin cá nhân, đặc biệt là tài khoản ngân hàng; Sử dụng mật khẩu phức tạp đối với các tài khoản mạng xã hội như Facebook và thường xuyên thay đổi các mật khẩu này.
- Cảnh giác khi thực hiện truy cập vào các trang web, đặc biệt là các trang web không phổ biến vì chúng rất có thể tồn tại lỗ hổng mà tin tặc đang nhắm vào để khai thác.
Đối với các tổ chức, doanh nghiệp
Các TC/DN nên thực hiện các giải pháp phòng chống tấn công Social Engineering như sau:
- Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài khoản mạng xã hội, website, hệ thống.
- Tránh sử dụng một mật khẩu cho nhiều tài khoản khác nhau nhằm tránh nguy cơ lộ lọt thông tin.
- Hạn chế đăng những thông tin cá nhân, thông tin công ty, doanh nghiệp lên mạng xã hội để tránh kẻ xấu mạo danh.
- Nâng cao kiến thức về tấn công và cách phòng tránh Social Engineering, kỹ năng an toàn thông tin cho cán bộ, nhân viên; Thực hiện các buổi tập huấn với các tình huống giả mạo, qua đó nâng cao nhận thức, ý thức cảnh giác và kinh nghiệm đối phó với những tình huống tương tự.
- Thường xuyên cập nhật bản vá cho phần mềm, hệ điều hành.
Nguyễn Mạnh Hà, Vũ Duy Thăng - Bộ tư lệnh 86, Bộ Quốc phòng