Phân loại các kỹ thuật tấn công lừa đảo (phần 1)
Tấn công lừa đảo dựa vào các kỹ thuật về con người là kiểu tấn công thực hiện các kỹ thuật thu thập thông tin nhạy cảm bằng cách tương tác trực tiếp với nạn nhân, khai thác các yếu tố về lòng tin, sự sợ hãi và nhu cầu giúp đỡ người khác một cách tự nhiên của con người. Ví dụ như một kẻ tấn công lừa những nhân viên mới đến làm việc hoặc trong giai đoạn thử việc rằng hắn ta là cấp trên, lãnh đạo và yêu cầu nhân viên mới này để hắn truy cập vào hệ thống. Hoặc là gọi điện thoại giả là một khách hàng bị quên mất mật khẩu, yêu cầu được giúp đỡ để lấy lại mật khẩu...
Dưới đây là các kỹ thuật tấn công lừa đảo dựa vào các kỹ thuật về con người.
Mạo danh làm 1 người dùng cuối hợp lệ: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẻ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Kẻ tấn công mạo danh mình là người gác cổng, nhân viên, đối tác, để đột nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính hoặc là hỏi thăm những người đồng nghiệp.
Mạo danh làm 1 người dùng quan trọng: Đóng giả làm một người quan trọng của một công ty khách, khách hàng tiềm năng... Kẻ tấn công sẽ giả mạo là một người trong vai trò của một người sử dụng quan trọng như người quản lý cấp cao, trưởng phòng hoặc những người cần trợ giúp ngay lập tức, kẻ tấn công có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Mạo danh làm 1 nhân viên hỗ trợ kỹ thuật: Trong kỹ thuật này, kẻ tấn công mạo danh thành 1 nhân viên hỗ trợ kỹ thuật của tổ chức để tiếp xúc với khách hàng và cố gắng yêu cầu khách hàng cung cấp các thông tin nhạy cảm. Đa số nạn nhân sẽ dễ dàng cung cấp các thông tin nhạy cảm vì nghĩ rằng đây là một trong những quy trình làm việc của tổ chức và tổ chức này chẳng có lý do gì để sử dụng các thông tin của mình vào các công việc gây hại cả. Đây là một trong những tâm lý thiếu an toàn rất phổ biến hiện nay, nhất là ở Việt Nam thì mức độ hiểu biết và vận dụng quyền cá nhân của người dân vẫn còn chưa tốt.
Mạo danh làm người thứ ba được ủy quyền bởi một người hay tổ chức nào đó: Lấy danh nghĩa được sự cho phép hoặc ủy quyền của một người nào đó để truy cập vào hệ thống. Thông thường thì kẻ tấn công giả mạo là một người được ủy quyền bởi một người quan trọng, có địa vị cao và có sức ảnh hướng lớn tới nạn nhân, như thế sẽ gây được áp lực và nhận được sự nể trọng, nhún nhường của nạn nhân, thậm chí nạn nhân có thể sẽ bỏ qua các thủ tục và chính sách thông thường của tổ chức để thực hiện yêu cầu của người này.
Nghe trộm: Trong kỹ thuật này, kẻ tấn công sẽ nghe trộm, nghe lén các cuộc hội thoại hoặc lén đọc các tin nhắn của nạn nhân, chặn bắt bất cứ dạng thông tin nào như Audio, Video hoặc là các bản viết tay…Hơn nữa, kẻ tấn công có thể sử dụng các kênh giao tiếp như là đường dây điện thoại, thư điện tử, các tin nhắn nhanh... để thu thập thông tin cần thiết cho mục đích của chúng.
Nhìn trộm: Nhìn trộm hay nôm na là nhìn qua vai là tên nói về một hành động của một kẻ trộm sử dụng để tìm hiểu mật khẩu, số định danh, số tài khoản của cá nhân nào đó. Kẻ tấn công sẽ nhìn qua vai hoặc quan sát ở khoảng cách với một chiếc ống nhòm, thực hiện điều này nhằm lấy được các mẩu thông tin của nạn nhân như mật khẩu, mã PIN, các bản thiết kế…
Bới rác: Bới rác là hành động nhằm thu thập thông tin bằng cách cố gắng moi móc thùng rác của một người hay một tổ chức để thu được các thông tin cần thiết thông qua những vật liệu mang tin bị vứt bỏ trong thùng rác như giấy in, ảnh, hồ sơ, hóa đơn, chìa khóa, các vật lưu lại dấu vân tay, các vật lưu lại ADN như tóc, nước bọt, máu, da… các thiết bị lưu trữ thông tin như đĩa mềm, đĩa CD/DVD, ổ cứng… Sau đó kẻ tấn công có thể sử dụng các kỹ thuật tái tạo, dán ghép các mảnh tài liệu bị hủy để trích xuất thông tin chứa trong đó.
Các thông tin có thể thu thập được bao gồm: Hóa đơn điện thoại; Thông tin liên lạc; Thông tin tài chính; Chiến lược kinh doanh; Thông tin hoạt động của tổ chức; Các văn bản, hợp đồng, con dấu...; Thư từ, công văn, chữ ký…
Theo đuôi: Một người dùng bất hợp pháp đeo một cái bảng định danh giả, đi vào một vùng được đảm bảo an ninh chặt chẽ bằng cách theo sau một người hoặc nhóm người có thẩm quyền hợp lệ thông qua những cánh cửa yêu cầu khóa truy cập.
Ví dụ: Kẻ tấn công đeo một chiếc thẻ giả đi theo sau một người dùng hợp lệ đi đến một cánh cổng kiểm tra quyền ra vào bằng cách quẹt thẻ. Khi người dùng hợp lệ kia quẹt thẻ và được chấp nhận đi vào thì cánh cổng được mở ra để cho người dùng hợp lệ đi vào, kẻ tấn công sẽ đi ngay sau và cũng giả vờ quẹt thẻ vào thiết bị, tuy không hợp lệ nhưng kẻ tấn công cùng một lúc đi vào với người dùng hợp lệ kia mà cánh cửa chưa kịp đóng lại. Bằng cách đó kẻ tấn công đã đi vào được trong hệ thống trông giống như là một người dùng hợp lệ, cả người quan sát camera theo dõi cũng khó mà phát hiện ra được.
Giúp đỡ kẻ ngốc (PiggyBacking): Một người được ủy quyền cung cấp quyền truy cập tới một người không có thẩm quyền bằng cách mở cửa an ninh giúp anh ta. Ví dụ: "Tôi bỏ quên thẻ ra vào của tôi ở nhà rồi, anh giúp tôi nhé”.
Tấn công lừa đảo ngược: Trong kỹ thuật này, kẻ tấn công sẽ ngầm phá hoại một phần nào đó trong cơ sở vật chất của tổ chức, sau đó sẽ mạo danh một người xuất hiện trong vị trí của một nhân viên sửa chữa, hỗ trợ kỹ thuật để khắc phục hư hỏng mà hắn vừa phá hoại để được trao quyền đi vào trong và truy cập tài nguyên của tổ chức.
Tấn công lừa đảo ngược bao gồm các bước:
Bước 1: Ngầm phá hoại một phần nào đó trong cơ sở vật chất của tổ chức.
Bước 2: Tiếp thị các giải pháp sửa chữa, khắc phục hư hỏng mà hắn vừa phá hoại.
Bước 3: Mạo danh hỗ trợ kỹ thuật giúp sửa chữa hư hỏng hắn tạo ra và lấy được quyền đi vào trong hệ thống.
Ví dụ: Tấn công, cài virus vào máy tính nạn nhân rồi tiếp thị phần mềm diệt virus, tiện thể cài trojan vào và đánh cắp thông tin. (Còn nữa).
Nguyễn Hà