Lừa đảo phi kỹ thuật và cách phòng tránh

14 Tháng Năm 2015
236 Views

Ngay cả chuyên gia CNTT cũng có thể trở thành nạn nhân của các cuộc tấn công dưới hình thức lừa đảo phi kỹ thuật. Đây là cách nhận ra những mối đe dọa và tránh trở thành mồi ngon cho tin tặc.

Thay vì đột nhập vào mạng máy tính hoặc hệ thống của doanh nghiệp, hacker sử dụng thủ đoạn tâm lý đối với con người, hay còn gọi là phương pháp phi kỹ thuật (social engineering). Mối đe dọa phi kĩ thuật có tác dụng trên diện rộng, ảnh hưởng đến ngay cả những chuyên gia CNTT hiểu biết nhất. Không có cách nào đảm bảo để có thể chống lại phương thức tấn công này và một nửa trận chiến nằm ở nhận thức về phương pháp mà tin tặc sử dụng.

Dưới đây là 7 phương thức tấn công phi kĩ thuật mà hacker thường sử dụng nhằm chiếm đoạt dữ liệu và ăn cắp tiền của người dùng, cộng thêm đó là những lời khuyên để tự bảo vệ mình.

Sử dụng thiết bị lưu trữ flash

Một chiến thuật mà tin tặc tấn công có chủ đích là “vô tình đánh rơi” một thiết bị lưu trữ flash đâu đó trong bãi đậu xe hay văn phòng của doanh nghiệp và hy vọng rằng một nhân viên tò mò nhặn lên rồi cắm vào máy tính – từ đó các phần mềm độc hại có thể được tuồn vào hệ thống dễ dàng. Đây là phương thức không có gì mới nhưng chiến thuật này có tỷ lệ thành công khá cao.

Cẩn trọng với thiết bị lưu trữ lạ

Mặc dù Microsoft lâu nay đã có ứng dụng tự động vô hiệu hóa ổ đĩa flash USB lưu trữ hoặc thẻ nhớ khi kết nối với máy tính, một tệp tin hấp dẫn thường là đủ để hấp dẫn nhân viên mở ra, có nghĩa là đồng thời kích hoạt phần mềm độc hại. Doanh nghiệp có thể vô hiệu hóa cổng USB hoàn toàn, tuy nhiên cách tiếp cận hợp lý hơn cả là thiết lập những tiêu chuẩn bắt buộc về bảo mật máy tính trong việc đào tạo, huấn luyện nhân viên.

Email lừa đảo chuyên nghiệp

Trong khi phần lớn các tin nhắn email lừa đảo có nội dung khá ngây ngô và rất nhiều lỗi thì cũng có rất nhiều nội dung mà trong đó có đầy đủ các thông tin, chương trình đáng tin cậy mạo danh từ ngân hàng, hãng thẻ tín dụng, công ty bảo hiểm hoặc thậm chí từ bộ phận nhân sự nào đó. Chỉ cần một sai lầm từ một nhân viên không tập trung, tò mò mở ra có thể đặt mạng nội bộ hoặc doanh nghiệp vào tình trạng nguy hiểm. Để bảo vệ chống lại các email lừa đảo, người dùng cần phải hiểu rằng tin tặc thường thiết kế nội dung để thuyết phục bạn nhấn vào một liên kết hoặc gửi đi thông tin cá nhân. Như vậy hãy thận trọng với việc tiết lộ bất kỳ thông tin nào dựa trên email và đừng bao giờ nhấn vào một URL, phải luôn luôn phải gõ ra các địa chỉ vào thanh trình duyệt để thay thế các đường dẫn trong email.

Tin tức giả mạo được phát ra từ tài khoản Twitter của Associated Press

Hồi năm 2013, tài khoản Twitter của Associated Press cập nhật trạng thái với tiêu đề “Tin nóng: Hai vụ nổ ở Nhà Trắng và Barack Obama bị thương”. Ngay lập tức, hãng thông tấn Associated Press thông báo rằng tài khoản Twitter của họ đã bị xâm nhập. Tweet này ngay lập tức đã có tác động xấu lên xã hội cũng như thị trường chứng khoán. Đây là một cuộc tấn công lừa đảo dưới dạng phi kĩ thuật với dòng thông điệp được gửi đến cho một số nhân viên AP lơ là thiếu cảnh giác và đã tạo nên dòng tweet trên.

Sent: Tue 2013/04/23 12:12
From: [Một nhân viên AP]
Chủ đề: Tin tức

Xin chào,
Hãy đọc bài viết sau đây, nó rất quan trọng:
http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/
[Một nhân viên AP khác]
Associated Press
San Diego
điện thoại di động [removed]

Email từ bạn bè và đồng nghiệp

Tương tự như các dạng email lừa đảo khác, loại hình này sẽ nhắm trực tiếp vào đối tượng người dùng cụ thể hoặc một nhóm được lựa chọn từ trước. Sự phổ biến của nền tảng mạng xã hội làm cho phương thức này trở nên dễ dàng hơn bao giờ hết khi cho phép tin tặc có thể tìm thấy thông tin cá nhân của người dùng đang dần xuất hiện trên mạng ngày càng nhiều. Ví dụ như một bảng lương giả hay danh mục tuyển dụng với tên của doanh nghiệp, hoặc tập tin đính kèm được gửi từ người bạn học cũ…

Hãng bảo mật RSA Security đã thay thế gần như toàn bộ 40 triệu thiết bị token SecurID trên toàn thế giới vào hồi năm 2011 sau khi trở thành nạn nhân của social engineering. Những kẻ tấn công đã gửi 2 emaillừa đảo khác nhau trong 2 ngày gần nhau. Email được gửi đến 2 nhóm nhân viên với tiêu đề Kế hoạch tuyển dụng 2011.

Các email được thiết kế vừa đủ để lừa một trong những nhân viên mở file excel đính kèm có tựa đề “2011 Tuyển dụng plan.xls.” Tập tin này có chứa mã độc backdoor khai thác lỗ hổng bảo mật của Adobe Flash (CVE-2011-0609).

Điểm mấu chốt là người dùng nên cảnh giác với tất cả các file đính kèm e-mail trong trường hợp bộ lọc máy chủ không kiểm soát hết các tập tin đính kèm độc hại .

Công ty bảo mật RSA bị tấn công bởi các hoạt động phi kĩ thuật

Cảnh giác với những cuộc gọi điện thoại

Tin tặc có thể sử dụng các cuộc gọi điện thoại cho một trong những hình thức thu thập thông tin cá nhân về người dùng hoặc xác nhận những gì họ đã biết để được sử dụng như là một phần của cuộc tấn công phức tạp hơn. Một trong những cách tốt nhất để bảo vệ chống lại các cuộc gọi điện thoại như vậy là yêu cầu để lại số điện thoại và cung cấp để gọi cho họ quay lại ngay. Ngoài ra, kiểm tra người gọi bằng cách yêu cầu nguồn thông tin mà họ đã biết về bạn. Cuối cùng, không bao giờ tiết lộ hay trao đổi những thông tin nhạy cảm như mật khẩu khi bạn nói chuyện qua điện thoại.

Thông tin nhạy cảm có thể bị nghe lén

Bảo vệ tài khoản email của bạn

Email là nguồn dữ liệu giàu có về thông tin cá nhân cũng như công việc của một người. Cho nên các tài khoản email luôn là mục tiêu hấp dẫn và tin tặc đang tìm mọi cách để có thể xâm nhập, truy cập rồi thay đổi mật khẩu của bạn. Trên mặt trận này, tin tặc sử dụng phương thức truy cập bằng cách khai thác, hay phỏng đoán câu trả lời từ những câu hỏi thiết lập lại mật khẩu của nhà cung cấp dịch vụ email đưa ra. Để đảm bảo chắc chắn thì bạn hãy lựa chọn nhà cung cấp dịch vụ email có thể cung cấp các bản ghi về việc theo dõi an ninh. Đối với các tổ chức quản lý tên miền của mình thì nên thiết lập các hạng mục an ninh về việc chuyển quyền sở hữu và quyền thay đổi thông tin DNS.

An ninh vật lý tại văn phòng

Các nhà nghiên cứu bảo mật đã thử nghiệm và cho biết họ có thể tự do ra vào các tổ chức bằng cách mặc một chiếc áo sơ mi, hoặc đeo thẻ có in logo của doanh nghiệp bằng cách trà trộn vào nhóm người đi từ các khu vực hút thuốc lá hay nhà vệ sinh. Những rủi ro của việc đột nhập này không hề phóng đại chút nào và từ bên trong thì tin tặc có thể phá vỡ các bức tường lửa của doanh nghiệp để cấy vào đó nhữngphần mềm độc hại trên máy trạm ngay bên trong văn phòng.

Tin tặc đã đánh cắp số lượng lớn thẻ tín dụng từ nhà bán lẻ Target

Trừ khi bạn vận hành một doanh nghiệp nhỏ, trong đó mọi người đều quen biết nhau nhưng cũng nên cẩn thận bằng cách sử dụng thẻ an ninh với hình ảnh nhận dạng. Tất nhiên, nhân viên cũng cần được đào tạo để nhận ra phù hiệu giả và nhận thức được sự nguy hiểm của hình thức đột nhập này.

40 triệu tài khoản thẻ tín dụng và ghi nợ đã bị hacker ghé thăm vào “Ngày thứ Sáu đen tối” (Black Friday) hồi năm 2013 đã gây thiệt hại không nhỏ cho hệ thống cửa hàng bán lẻ Target. Vụ tấn công này được ghi nhận là có sự đột nhập từ bên trong thông qua nhân viên của Target và tin tặc dành được quyền truy cập bằng các thông tin thu được từ hệ thống sưởi, thông gió và điều hòa không khí.

Giả mạo cuộc gọi hỗ trợ kỹ thuật

Một trong những tình huống phổ biến nhất là kẻ lừa đảo gọi điện thoại cho nạn nhân và giả bộ là từMicrosoft với mục đích điều tra các cuộc tấn công phần mềm độc hại và cố gắng thuyết phục người sử dụng cấp quyền truy cập máy tính từ xa. Khi đã đạt được quyền truy cập thì tin tặc sẽ khiến người dùng tin rằng họ đang nhiễm phần mềm độc hại rất nghiêm trọng, thường thì lúc này máy tính sẽ bị cài đặt phần mềm lừa đảo đội lốt dưới dạng antivirus, internet security…. Người dùng có thể bị yêu cầu trả một khoản phí nào đó để giải quyết vấn đề. Các giải pháp tương đối đơn giản để đối phó với việc này là cho người dùng biết rằng Microsoft bao giờ liên lạc với người dùng cuối về việc máy tính của họ nhiễm phần mềm độc hại.

Experian bị lừa đảo và làm lộ thông tin hàng triệu người dùng.

Một điển hình cho phi vụ giả mạo cuộc gọi hỗ trợ là hacker người Việt Ngô Minh Hiếu giả danh cơ quan điều tra để lừa đảo và truy cập vào hệ thống thông tin của Experian. Thông tin cá nhân của hàng triệu người Mỹ bị tiết lộ và được bán lại cho nhiều nhóm tội phạm mạng khác. Đây được đánh giá là một trong những vụ tấn công thông tin người dùng lớn nhất trong lịch sử.

 

Theo pcworld

Tin tức liên quan

ĐỐI TÁC TRƯỜNG LIÊN KẾT