Kỹ nghệ xã hội - mối đe dọa lớn đối với An toàn thông tin (phần 2)

15:02 | 19/12/2011

Khi các thiết bị và phương tiện bảo vệ thông tin tin cậy ngày càng nhiều thì giới đạo chích, một mặt tiếp tục khai thác các điểm yếu của hệ thống kỹ thuật, mặt khác lại hướng sự chú ý vào khâu yếu nhất của hệ thống, đó là con người.

Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi... của con người, các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering). Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật.

Các phương tiện và hành vi trong kỹ nghệ xã hội

Mặc dù kỹ nghệ xã hội (KNXH) là lĩnh vực thiên về nghệ thuật và có những biểu hiện trên thực tế rất đa dạng thì nội dung của nó vẫn có thể xem xét trên các phương diện chính: các phương tiện kỹ thuật được sử dụng, các phương pháp chi phối tâm lý và hành vi con người, các biểu hiện thường gặp trên thực tế.

Khi chưa có cách mạng thông tin, phương pháp chủ yếu của đạo chích (hay còn gọi là kỹ sư xã hội) là giao tiếp trực tiếp với mục tiêu. Thời đại công nghệ thông tin đã cung cấp cho KNXH những phương tiện mới, không chỉ tạo điều kiện thuận lợi để thực hiện các mánh khóe cũ mà còn giúp phát triển nhiều phương thức mới. Ba phương tiện kỹ thuật cơ bản được sử dụng trong KNXH là điện thoại, internet và các vật mang tin.

Điện thoại không chỉ là một trong những phương tiện liên lạc thuận lợi và phổ biến nhất mà nó còn cho phép thực hiện nhiều mánh khóe lừa gạt. Trước hết là hành vi giả danh, do thông tin trao đổi qua điện thoại là bằng giọng nói nên kẻ tấn công chỉ cần bắt chước giọng của người bị giả danh. Ở một số công ty, nơi mà công tác an ninh thông tin được chú trọng, người ta khuyến cáo nhân viên trong các cuộc đàm thoại yêu cầu người gọi để lại số điện thoại hoặc lắp đặt loại điện thoại hiển thị số của người gọi để chống lại việc giả mạo. Điện thoại di động rất dễ bị nghe trộm hoặc bị cài các chương trình gián điệp nếu chủ sở hữu của nó thiếu cảnh giác.

Giả danh qua internet còn dễ thực hiện hơn cả bằng điện thoại. Ở đây không cần phải bắt chước giọng nói, không phân biệt giới tính, độ tuổi, nghề nghiệp và vị trí xã hội. Trong giai đoạn khảo sát ban đầu, internet còn là công cụ hữu ích giúp đạo chích thu thập những thông tin cần thiết về mục tiêu. Trước đây, việc thu thập những thông tin như thế đòi hỏi đầu tư không ít công sức và không phải lúc nào cũng thành công thì ngày nay chúng đã có sẵn trên internet. Ngoài ra, internet còn là phương tiện lý tưởng để đánh cắp thông tin mật. Một chiêu thức hay được sử dụng trong lĩnh vực ngân hàng là các đạo chích gửi cho mục tiêu một thông điệp dưới dạng email nhân danh một ngân hàng nào đó, trong đó yêu cầu mục tiêu là khách hàng xác nhận các thông tin cá nhân. Email được gửi đi chứa đường dẫn tới trang web giả và yêu cầu khách hàng đưa vào các thông tin cá nhân, từ địa chỉ gia đình cho đến số PIN của thẻ ngân hàng.

Các vật mang tin như đĩa CD, USB đều là những phương tiện rất hữu hiệu trong việc lấy cắp thông tin. Đạo chích thường tận dụng sơ hở của mục tiêu để dùng các vật mang tin lấy cắp thông tin một cách nhanh chóng. Các phương tiện này cũng rất thuận lợi để thực hiện các mánh lới lừa đảo theo kiểu được bỏ quên một cách có chủ ý, nhằm mượn tay mục tiêu cài các chương trình gián điệp hoặc các chương trình phá hoại khác vào máy tính của họ.

Các nghiên cứu trong lĩnh vực KNXH đã chỉ ra rất nhiều điểm yếu của con người mà giới đạo  chích có thể tận dụng để thực hiện các hành vi lừa đảo. Nhưng ngay cả những phẩm chất tốt như lòng nhân ái, sự hào hiệp, sự chân thực cũng là kẽ hở để đạo chích lợi dụng. Vì vậy, ngoài việc nắm kiến thức chung về phẩm chất của con người, giới kỹ sư xã hội rất chú trọng phân biệt đặc tính của từng kiểu người được hình thành do nghề nghiệp. Ví dụ, người làm lãnh đạo thường thể hiện nhẫn nại khi lắng nghe cấp dưới nhưng cũng có kiểu nói áp đặt, mệnh lệnh khi giao nhiệm vụ; thư ký thường có giọng nói dịu dàng, dễ chịu và lễ độ khi đầu dây bên kia là người lãnh đạo của mình; nhân viên dịch vụ kỹ thuật thường có thái độ thân thiện, nhẫn nại, sẵn sàng đáp ứng yêu cầu của khách hàng. Nắm được những đặc điểm của từng kiểu người sẽ giúp đạo chích có cơ hội thực hiện thành công những mánh lới giả mạo.

Nói chung, biểu hiện hành vi của đạo chích rất đa dạng và tùy vào bối cảnh cụ thể. Sau đây là một số hành vi điển hình:

- Đóng vai nhà lãnh đạo, cộng tác viên của công ty đối tác hoặc đồng nghiệp trong cùng công ty hoặc tổ chức, nhân viên của cơ sở dịch vụ kỹ thuật, nhà cung cấp sản phẩm, nhà cung cấp hệ điều hành hay các phần mềm ứng dụng. 

-  Sử dụng các website giả, yêu cầu xác thực lại và cung cấp mật khẩu; giả mạo chữ ký.

-  Đề nghị giúp đỡ khi tổ chức hoặc doanh nghiệp gặp các vấn đề kỹ thuật, làm cho vấn đề xuất hiện lại và nhận được yêu cầu giúp đỡ, gửi phần mềm hỗ trợ, bí mật cài virus và phần mềm gián điệp kèm theo các bức thư điện tử...

- Để lại các vật mang tin có chứa các chương trình độc hại.

-  Sử dụng ngôn ngữ và tiếng lóng nội bộ để tạo niềm tin.

Bảo vệ chống lại kỹ nghệ xã hội

Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin.

KNXH là nghệ thuật tác động lên con người, do đó cũng chỉ có thể chống lại nó bằng chính con người. Rất nhiều mánh lới của KNXH dường như rất đơn giản nhưng vẫn đem lại hiệu quả cao. Chính Kelvin Mitnick cũng thừa nhận rằng đã lấy được mật khẩu và nhiều bí mật của các công ty chỉ đơn giản bằng sự khéo léo, nhiều khi bằng cách hỏi trực tiếp đối tượng. Trong cuốn “Nghệ thuật đánh lừa”, Kelvin Mitnick đã nhắc lại câu nói nổi tiếng của Anhxtanh “Chỉ có thể tin vào hai thứ: sự tồn tại của vũ trụ và sự ngu xuẩn của con người” và ông bổ sung thêm “Tôi thì chỉ tin vào vế thứ hai của câu nói”. Từ những ví dụ kinh điển đầu tiên được đề cập trong bài viết trước, chúng ta đã thấy sự sơ suất đến khó tin của con người ngay cả khi liên quan đến khối tài sản lớn.

Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống. Bruce Sneider - một trong những chuyên gia an ninh thông tin hàng đầu thế giới cũng đã nói “An ninh - đó không phải là vấn đề kỹ thuật, đó là vấn đề của con người và của quản lý”. Do đó, nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại KNXH nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin. Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp sau:

- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước hết của đạo chích chứ không phải các phương tiện kỹ thuật.

- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được.

-  Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất. Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình.

- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức.

- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm nhấn đặc biệt về các biện pháp chống KNXH.

Xây dựng chương trình đào tạo và huấn luyện đặc biệt    

Các chuyên gia giàu kinh nghiệm trong lĩnh vực KNXH khẳng định: Bất cứ một hệ thống an ninh kỹ thuật nào dù được trang bị đồng bộ bởi các chương trình xác thực, hệ thống phát hiện và chống xâm nhập, hệ thống mã hóa và hạn chế tiếp cận trái phép đều không thể bảo vệ được hệ thống thông tin. C ác công ty tổ chức kiểm tra khả năng xâm nhập vào mạng máy tính của mình dựa vào công nghệ KNXH khẳng định đều thành công 100%.

Bởi vậy, cách duy nhất để đảm bảo an toàn cho tổ chức là phải xây dựng một hệ thống đảm bảo an toàn thông tin kết hợp đồng bộ các phương tiện kỹ thuật với các biện pháp tổ chức, quản lý, chính sách và nguồn nhân lực, bao gồm: Các phương tiện kỹ thuật bảo vệ thông tin; Hệ thống quản lý an toàn thông tin; Chính sách an toàn thông tin; Nguồn nhân lực; Chương trình đào tạo và huấn luyện về bảo vệ thông tin.

Ý thức bảo vệ thông tin chống KNXH phải xuyên suốt toàn bộ các bộ phận cấu thành của hệ thống an toàn thông tin, đặc biệt trong việc xây dựng nguồn lực và chương trình đào tạo, huấn luyện.... Đặc biệt, chính sách an toàn thông tin phải thể hiện được mục tiêu này. Vì vậy, ngoài những quy định chung cho tất cả tổ chức, cần có những quy định riêng cho từng nhóm cán bộ, nhân viên. Tối thiểu cần có quy định cho nhóm các nhà quản lý, các nhân viên IT, các nhân viên bảo vệ....

Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên như:

- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.

- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những  yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc....

- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.

Trên thế giới, các hacker đẳng cấp về thực chất là các kỹ sư xã hội. Dù nhiều người trong số họ là những chuyên gia kỹ thuật xuất sắc, nhưng trong thành công của họ, theo thống kê, sử dụng KNXH tới hơn 80%. Điều này cho thấy đây thật sự là mối đe dọa lớn nhất và muốn đảm bảo an toàn cho hệ thống thông tin của các tổ chức, doanh nghiệp thì bên cạnh các phương tiện kỹ thuật cần đặc biệt chú trọng khâu yếu nhất, đó là con người.