Social Engineering: Nghệ thuật hack bất chấp các thể loại mật khẩu

Ngoài thuật ngữ Phishing (lừa đảo giả mạo), một thuật ngữ chuyên môn khác là Social-Engineering cũng là một trong những mối đe dọa mạng phổ biến nhất hiện nay. Điều đáng chú ý là cách hack này được xem là một trong những phương thức bất chấp các loại mật khẩu, rất khó ngăn chặn bằng mật khẩu.

Nói cho dễ hiểu, Social Engineering (tạm dịch: kĩ nghệ xã hội) là những kỹ năng mềm nhằm khai thác các yếu tố xã hội mà tội phạm mạng có thể qua mặt hàng rào an ninh chẳng cần tới mật khẩu hay câu hỏi bảo mật. Một công ty an ninh mạng cho biết Social Engineering chính là “bất kỳ hành vi nào tác động tới một ai đó để họ làm theo ý mình”.

Chẳng hạn như những người lạ gọi đến nhà cung cấp dịch vụ di động và giả vờ người dùng, rồi thuyết phục nhân viên cài đặt lại thẻ SIM của nạn nhân. Các bước thực hiện theo đúng “quy trình” khiến nhân viên chẳng mảy may nghi ngờ, trong khi chủ SIM không hề biết gì.

Như vậy có thể nhận thấy, mặc dù các chuyên gia bảo mật không ít lần khuyến cáo và gợi ý cách tạo ra mật khẩu tối ưu nhất, nhưng mọi thứ dường như chẳng ngăn cản nổi với phương thức tấn công mới này. Tin tặc có thể đột nhập email hoăc iCloud của nạn nhân mà không cần tới keylogger, zero day hoặc USB cài sẵn phần mềm độc hại. Chúng dễ dàng hơn nhiều, tất cả chỉ cần một chút kỹ năng mềm.

Trong quá khứ đã có nhiều báo cáo về cách hack này. Chẳng hạn như năm 2012, một tin tặc đã giả mạo phóng viên Mat Honan của tờ Wired để nhân viên Apple hỗ trợ kỹ thuật bỏ qua câu hỏi bảo mật. Sau đó, hacker nay có thể qua mặt và truy cập tài khoản iCloud của Mat, đồng thời chiếm cả tài khoản Gmail, Twitter và can thiệp vào iPhone, iPad, MacBook Air của nạn nhân.

 “Tôi biết sự việc được thực hiện như thế nào. Đó là hacker và Apple. Chẳng cần tới mật khẩu, tin tặc vẫn có quyền truy cập nhờ hỗ trợ từ nhân viên Apple và một vài ‘kỹ nghệ xã hội thông minh’ để bỏ qua các câu hỏi bảo mật”, phóng viên Mat Honan giải thích thời điểm đó.

Social Engineering chủ yếu dựa vào kĩ năng mềm trong xã hội thực tế như cách giao tiếp, cách thả thính (thuyết phục, dụ dỗ) và vận may. Có nhiều diễn đàn ngầm hướng dẫn các cách sử dụng Social-Engineering nhằm đạt được mục đích xâm nhập vào thiết bị và tài khoản của nạn nhân. Chiêu lừa này rất hiệu quả mà không một loại mật khẩu nào có thể ngăn cản được.

Chính vì vậy, trong bối cảnh như hiện nay, người dùng luôn được khuyến cáo hãy cẩn trọng khi chia sẻ thông tin cá nhân của mình trên mạng xã hội, trên internet hay thậm chí với những người khác. KHông nên tiết lộ bất kỳ thông tin cá nhân nào tiềm ẩn nguy cơ bị tin tặc khai thác để giả danh, đồng thời thiết lập ngay hình thức bảo mật 2 lớp với mọi tài khoản.

Xuân Dung