Social Engineering và điểm yếu nhất trong một hệ thống thông tin


An ninh mạng bao gồm nhiều yếu tố: kỹ thuật, quy trình vận hành và con người. Trong đó con người là yếu tố quan trọng nhất nhưng cũng là điểm yếu nhất trong hệ thống.

Trong bài viết này, tôi sẽ giới thiệu sơ nét với các bạn về Social Engineering (SE) – hình thức tấn công nhằm vào yếu tố con người.

Trong một cuộc tấn công kiểu SE, hacker “bẻ gãy” hệ thống hoặc mạng bằng cách giao tiếp xã hội với victim (nạn nhân của cuộc tấn công), có thể là: nói chuyện trực tiếp, gọi điện, gửi e-mail… và tìm cách đánh lừa, thuyết phục victim tiết lộ các thông tin có thể được dùng để vượt qua bức tường bảo mật lối vào hệ thống của victim.

Thường thì thông tin do victim vô tình tiết lộ này sẽ được hacker khai thác để đạt được quyền truy cập vào hệ thống hoặc mạng (hiển nhiên, việc truy cập này là trái phép.

Chìa khóa để bảo vệ chính bạn và những người dùng khác khỏi kiểu tấn công SE là trang bị về mặt nhận thức! Hãy làm cho mọi người hiểu được tính phổ biến và nguy hại của SE bằng cách đưa ra một vài kịch bản SE thường được hacker sử dụng để khiến victim sập bẫy.

Dưới đây là các tình huống điển hình của kiểu tấn công SE:

  • Hacker giả làm Admin: trong ví dụ này, hacker gọi cho người dùng và mạo nhận mình là quản trị mạng. Hacker sẽ gắng thuyết phục người dùng thay đổi password của họ (thường thì để đổi mới password, bạn phải nhập vào password cũ trước đó) hoặc tiết lộ các thông tin liên quan tới password.
  • Hacker giả làm người dùng: trong trường hợp này, hacker gọi cho người quản trị mạng ngờ ngệch… (để hacker không bị phát giác là người dùng giả mạo :D) và đóng vai làm người dùng khó tính đang rất nản lòng khi không thể đăng nhập vào hệ thống mạng. Người quản trị thản nhiên giúp đỡ tận tình “người dùng” này bằng cách đặt lại password và cung cấp password mới để đăng nhập cho “người dùng” là hacker giả mạo ở trên.
  • Hacker giả làm nhà sản xuất: tình huống tiếp theo là hacker gửi email cho một khách hàng (là victim đây ;)) và đóng giả làm nhà sản xuất phần mềm hoặc thiết bị nào đó mà khách hàng này đang sử dụng. Sau đó, hacker cố gắng đưa ra những khuyến cáo thật thuyết phục để victim tin tưởng và cài đặt các gói cập nhật cho sản phẩm từ nhà sản xuất tốt bụng này! Nhưng victim đâu ngờ rằng gói update thật ra là một chú Trojan sẽ giúp hacker có được quyền truy cập vào hệ thống của victim.

Qua phần trình bày về SE ở trên, bạn có thể nhận thấy điểm đáng chú ý trong tấn công kiểu SE là hình thức này không yêu cầu quá cao kiến thức về kỹ thuật hacking nhưng hacker vẫn có thể đạt được mục đích truy cập trái phép vào hệ thống nhờ khả năng giao thiệp tốt và nắm bắt tâm lý con người – một kỹ năng không dễ gì thuần thục.

–manthang.

“Cơm thêm”:

Kevil Mitnick – bậc thầy của những bậc thầy về kỹ thuật Social Engineering. Mitnick đã viết cuốn sách kinh điển “The Art of Deception” trong giai đoạn ông bị quản thúc 3 năm (2001-2004) sau khi mãn hạn 5 năm tù vì tội đánh cắp phần mềm và sửa đổi dữ liệu tại công ty Motorola, Nokia, Sun, Novell và ĐH Southern California.

Quyển sách mang tên tiếng Việt “Nghệ thuật lừa đảo” này giới thiệu hơn 20 kịch bản mà Mitnick và những kẻ lừa đảo khác thường hay sử dụng dùng để bịp các nhà quản trị mạng, người dùng nhằm lấy được mật khẩu, mã khóa và các thông tin bảo mật quan trọng khác.

Mitnick cho biết cuốn sách này hướng tới đối tượng là các chuyên gia an ninh mạng, giúp họ có thêm kinh nghiệm nhằm tránh những cú lừa tương tự trong tương lai. Nhưng Mitnick cũng không phủ nhận rằng cuốn sách có thể trở thành nguồn tài liệu béo bở cho những kẻ có mưu đồ bất chính!

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s