Tấn công Social Engineering toàn tập [part 1]

Giới thiệu

Trên thế giới, khi nói về vấn đề bảo mật thông tin, người ta không thể không nói đến Social Engineering – một kỹ thuật khai thác thông tin rất nguy hiểm, khó phát hiện, phòng chống và gây thiệt hại to lớn cho công tác bảo mật thông tin. Ngày nay, công nghệ thông tin đóng vai trò chủ chốt trong nhiều lĩnh vực quan trọng của xã hội như kinh tế, giáo dục, chính trị và quân sự – những lĩnh vực trong đó sự lỏng lẻo về công tác bảo mật thông tin sẽ khiến chúng ta phải trả giá đắt. Chính vì thế, Social Engineering nhận được nhiều sự quan tâm toàn cầu, đặc biệt là trong lĩnh vực công nghệ thông tin

Khái niệm về Social Engineering

Bên cạnh các biện pháp tấn công bằng kỹ thuật như sử dụng các chương trình tấn công thì hacker thường vận dụng kết hợp với các phương pháp phi kỹ thuật, tận dụng các kiến thức và kỹ năng xã hội để đạt được kết quả nhanh chóng và hiệu quả hơn. Và phương pháp tấn công không dựa trên các kỹ thuật hay công cụ thuần túy này được gọi là Social Engineering, trong đời thực thì dạng tấn công này có thể xem như là các kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt được một mục tiêu nào đó.

Social Engineering

Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống của một tổ chức, công ty, doanh nghiệp. Kỹ thuật tấn công Social Engineering là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh, lấy cắp dữ liệu hoặc tống tiền. Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện qua mạng internet, tỉ lệ thành công của hình thức này rất cao, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công.

Social Engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng phương pháp Social Engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Các hacker khi tiến hành các cuộc tấn công Social Engineering thường tận dụng những mối quan hệ thân thiết, tin cậy mà trong môi trường thông tin được gọi là các “trust relationship” để tiến hành khai thác mục tiêu. Điển hình như vụ Tiến Sĩ Lê Đăng Doanh bị hacker đắnh cắp hộp thư và gởi mail cho tất cả đồng nghiệp, bạn bè trong danh bạ để hỏi mượn tiền do đang bị kẹt tại nước ngoài, hoặc chúng ta cũng thường xuyên nhận tin nhắn từ các số máy lạ để yêu cầu mua giùm một thẻ điện thoại rồi gởi mã số đến số của hacker.

Việc tấn công này rất hiệu quả vì đánh vào điểm yếu nhất trong quy trình an toàn thông tin của chúng ta, đó là sự kém hiểu biết của người dùng. Chính vì vậy để phòng chống các dạng tấn công này thì doanh nghiệp cần có những chương trình đào tạo nhăm nâng cao nhận thức an toàn thông tin cho nhân viên của mình. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu.

Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người.

Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ – để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập.

Sau đây là một ví dụ về kỹ thuật tấn công Social Engineering được Kapil Raina kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông đang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào? Bằng cách lấy một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giã vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phòng tài chính vừa có cuộc công ta xa, và những thông tin của ông này có thể giúp họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng…sẽ giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng.

Thủ thuật sử dụng

Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối.

Social Engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng :

Social Engineering là việc lấy được thông tin cần thiết từ một người nào đó hơn là phá hủy hệ thống

Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.

Điểm yếu của con người

Phần mềm và phần cứng của máy tính là những thứ vô cùng phức tạp. Tuy nhiên, con người, kẻ đã tạo ra chúng lại phức tạp hơn gấp nhiều lần. Bởi vì con người có nhân cách, có tâm lý, tình cảm là những thứ mà các vật nhân tạo chưa thể có được. Đây chính là điểm vô cùng mạnh đã giúp con người thành công như ngày hôm nay, nhưng cũng là một điểm yếu của con người. Và Social Engineering chính là phương pháp tấn công vô cùng nguy hiểm dựa trên những điểm yếu này.

  • Thứ nhất, con người luôn mong muốn điều có lợi cho mình và tránh khỏi các phiền hà, rắc rối: Ví dụ khi một nhân viên chăm sóc khác hàng của một công ty dịch vụ sẽ luôn được yêu cầu rằng phải làm cho khách hàng hài lòng nhất có thể. Từ đó, họ sẽ được những phản hồi tốt về chất lượng dịch vụ, được tính điểm cao trong hệ thống… Với mục tiêu này, nhân viên của chúng ta sẽ luôn cố gắng đáp ứng yêu cầu cho khách hàng một cách tốt nhất. Chính vì lí do này, nhiều khi họ, những người nắm giữ thông tin, dữ liệu về hệ thống sẽ cung cấp rất nhiều thông tin không nên cung cấp cho khách hàng.
  • Thứ hai, con người thường có khuynh hướng giúp đỡ người khác: Con người chúng ta là một sinh vật sống có tình cảm, luôn sẵn sàng giúp đỡ một người khi họ gặp vấn đề gì đó. Vì vậy sẽ rất dễ dàng để bị kẻ xấu lợi dụng.
  • Thứ ba, con người thường chấp nhận một thông tin mới hơn là nghi ngờ tính xác thực của thông tin đó: Hầu hết trong chúng ta ai cũng vậy, mọi người khi nghe một thông báo, một khẳng định, một lời khuyên mới nào đó… chúng ta đều tin nó là có thật. Việc này sẽ kéo dài cho đến khi chúng ta phát hiện nó là không thật. Quãng thời gian này có thể không dài, tuy nhiên sẽ không ngắn để thực hiện một số mục đích.
  • Thứ tư, con người luôn muốn làm nhanh một việc, cắt bỏ giai đoạn: Chúng ta thường xuyên thực hiện công việc với tâm lý như thế, tuy nhiên lại không nhận thức được hậu quả của việc đó. Chẳng hạn như việc quên mật khẩu có thể khắc phục được bằng việc viết mật khẩu ra giấy và bảo quản cẩn thận.
  • Thứ năm, thái độ của một người đối với việc bảo vệ thông tin cá nhân của mình không cao: Đây là một tâm lý vô cùng quan trọng và nguy hiểm để kẻ xấu dựa vào đó có thể thực hiện mọi mưu đồ của mình. Người ta luôn nghĩ rằng thông tin cá nhân của mình không quan trọng, tuy nhiên họ lại không biết rằng, một người không nằm trong hệ thống bảo mật vẫn có thể làm ảnh hưởng đến toàn bộ hệ thống bảo mật.

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social Engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.

Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social Engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social Engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.

Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng được sử dụng trong Social Engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.

Xem tiếp part 2 tại: https://nhattruong.blog/2022/12/25/tan-cong-social-engineering-toan-tap-part-2/

Published by Nhat Truong

Hi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: