Các kỹ thuật bẻ khoá mật khẩu phổ biến nhất

Social Engineer là phương pháp tấn công đơn giản nhưng lại vô cùng hiệu quả vì nó tấn công trực tiếp vào sự thiếu hiểu biết của người dùng.Phương pháp này kể từ khi ra đời đến nay vẫn là phương pháp cực kỳ hiệu quả do không có một dạng cố địch,có thể tùy biến tùy vào kẻ tấn công và khả năng phòng thủ là vô cùng khó khăn.

Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn. Những kỹ thuật dựa trên nền tảng là những điểm yếu tâm lý, những nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Với phương pháp này, tin tặc tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Người dùng được trang bị kém về kiến thức bảo mật sẽ tạo cơ hội cho kẻ thực hiện kỹ thuật tấn công này hành động.

Các kiểu tấn công Social Engineering

Về cơ bản, các phương pháp tấn công Social Engineering thuộc một trong hai hình thức chính: dựa vào con người (Human-Based) và dựa vào máy tính (Computer-Based). Trong cách chia này, con người và máy móc là công cụ, là đối tượng tấn công chứ không phải là cách tấn công vào con người hay máy móc.

Với cách dựa vào máy tính, cuộc tấn công được thực hiện theo một số cách thức gồm:
•  Phishing: Kẻ tấn công gửi một email hợp lệ cho người dùng yêu cầu cập nhật lại thông tin. Nội dung email sẽ dẫn người dùng đến các website lừa đảo giống hệt các website thật, qua đó lừa người dùng nhằm lấy được các thông tin về tài khoản người dùng.

•  Pop-Up Windows: Chúng ta rất dễ gặp hình thức này khi đang sử dụng trình duyệt web. Nội dung các Pop- Up này thường là thông báo chúng ta nhận được một món tiền, giải thưởng nào đó. Đồng thời, chuyển hướng người dùng tới một website giả yêu cầu điền thông tin hoặc kích hoạt Virus, Trojan, Spyware…

•  Hoax Letters: Thư thông báo về một Virus, Trojan, Worm mới có thể gây hại cho máy tính.

•  Chain Letters: Thư thông báo về những món quà hoặc phần mềm miễn phí với điều kiện người đọc mail phải chuyển tiếp cho một số lượng người kế tiếp.

•  Instant Chat Message (nhắn tin trực tuyến): Thu thập thông tin như ngày sinh, biệt danh thông qua Nick chat Online.

Với cách dựa vào con người, thông tin nhạy cảm được khai thác bằng cách tương tác, tiếp xúc, tận dụng sự tin tưởng, sợ hãi và bản năng tự nhiên muốn giúp đỡ người khác: 

•  Direct approach (tiếp cận trực tiếp): Hỏi trực tiếp đối tượng để khai thác thông tin. Đây là phương pháp đơn giản nhất nhưng vẫn có kết quả không ngờ đối với một số người có thái độ về bảo mật thông tin kém.

•  Dumpster Diving and Shoulder Surfing (bới rác và nhìn trộm): Đây là hai trong những hình thức được sử dụng sớm nhất của Social Engineering. Dumpster Diving có nghĩa là sẵn sàng thu thập những thứ dơ bẩn, đã bị vứt bỏ đi để lấy thông tin họ cần, điển hình là rác. Rác chứa thông tin quan trọng của chúng ta như thế nào? Trước khi là rác thì nó chính là những thông tin, tài liệu chúng ta sử dụng. Khi không cần dùng nữa, chúng ta sẽ vứt đi, tuy nhiên ta lại không xử lý chúng hoặc xử lý không cẩn thận thì các thông tin này có thể rơi vào tay những kẻ có ý đồ xấu. Shoulder Surfing là cách nhìn trộm mật khẩu hoặc mã PIN. Mọi người có chắc chắn rằng khi mình đánh mật khẩu tại một nơi công cộng sẽ không có ai nhìn thấy không? Thậm chí, bạn có đánh nhanh đến đâu, nếu chúng quay video rồi về phân tích thì không có gì đảm bảo thông tin mật khẩu của bạn còn bí mật.

•  Impersonation and Important User (Giả danh và Người dùng quan trọng): Kẻ tấn công sẽ giả mạo một người quan trọng, chức vụ cao, có uy tín trong tổ chức. Hoặc chúng làm ra vẻ ngu ngơ, ngốc nghếch tưởng chừng như vô hại. Từ đó họ yêu cầu giúp đỡ, lợi dụng lòng tốt và sử dụng danh nghĩa của người khác. Họ không có những thứ cần thiết để khai thác hệ thống nên sẽ lợi dụng những người có thông tin mà không cần phải trải qua bất cứ sự xác nhận, kiểm tra nào.

•  Third-Party Authorization (Quyền bên thứ ba): Sử dụng tên của người có quyền để thực hiện việc mình mong muốn hoặc đã được chứng thực với hệ thống. Ví dụ: “Ông A đã nói là đồng ý” hoặc là “Trước khi đi nghỉ mát, giám đốc đã nói rằng tôi có thể liên lạc với cậu để lấy thông tin”. 

•  Pretexting: Với cách này, kẻ tấn công sẽ xây dựng một kịch bản chi tiết trước để khai thác nạn nhân: họ sẽ làm tăng độ tin tưởng của nạn nhân vào mình, từ đó sẽ làm nạn nhân vô ý hoặc có chủ ý tiết lộ thông tin hoặc thực hiện một hành động có lợi cho mình.

Ngoài ra, trong một vài trường hợp, một số hình thức tấn công được thực hiện dựa trên cả 2 hình thức trên như:

•  Spying (Gián điệp): Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của bạn, họ có thể cài người vào xin việc rồi bằng nhiều cách thức lấy thông tin nhạy cảm gửi ra bên ngoài.

•  Revenge (Tư thù): Nhân viên làm việc bất mãn với các chính sách, đãi ngộ nên lấy toàn bộ thông tin nhạy cảm của công ty gửi ra bên ngoài cho các đối tượng cần chúng.

Một số biện pháp phòng chống

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để phòng chống có hiệu quả, chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social Engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. 

–  Xây dựng chính sách bảo mật:

•  Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên vi phạm.

•  Tài liệu hướng dẫn cần viết rõ ràng để tất cả mọi nhân viên đều dễ dàng hiểu được.

•  Có những chương trình đào tạo thường xuyên cho cán bộ quản lý cũng như toàn thể nhân viên cập nhật kiến thức bảo mật mới.

•  Sau quá trình đào tạo, đánh giá hiệu quả đào tạo, đồng thời nhân viên nên ký một bản cam kết chịu trách nhiệm bảo đảm thông tin.

•  Nhân viên làm việc trực tiếp với hệ thống luôn đề cao cảnh giác, đồng thời cập nhật thông tin thường xuyên.

•  Mật khẩu: Cần đổi định kỳ, phức tạp, khó đoán biết; Tài khoản bị khóa sau một vài lần đăng nhập thất bại; Tuyệt đối không tiết lộ mật khẩu dưới bất kỳ hình thức nào.

• Bảo đảm an toàn vật lý: Xác nhận nhân viên ra vào bằng thẻ, đồng phục…; Giám sát khách đi vào; Khu vực cấm có ranh giới rõ ràng; Tiêu hủy tài liệu không còn sử dụng; Thuê bảo vệ…

–  Với dữ liệu cá nhân, công ty:
•  Phân loại thông tin: Mật, tuyệt mật, công cộng…
•  Phân quyền truy cập rõ ràng cho từng đối tượng.
• Thời gian phục hồi dữ liệu: Tính toán trước đề phòng Social Engineering xảy ra.
•  Kiểm tra thật kỹ hồ sơ nhân viên: Dễ quản lý và loại bỏ các trường hợp nghi ngờ
•  Không cung cấp thông tin cá nhân qua điện thoại, không hiển thị tài khoản/số điện thoại nếu không cần thiết.

Có thể  thấy, sự nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng… sẽ giúp mở rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng. Do đó, để phòng chống kiểu tấn công này một cách hiệu quả nhất, mọi người cần nâng cao nhận thức và trang bị các kiến thức cơ bản nhất cho mình.