post-image

Mắt Xích Bảo Mật Yếu Nhất

1. Tổng quan

Lời mở đầu

Kevin Mitnick là một trong những hacker huyền thoại ở Mỹ của thế kỷ 20, ông trở nên nổi tiếng với rất nhiều lần xâm nhập vào các hệ thống tối mật của chính phủ Hoa Kỳ và một số ngân hàng danh tiếng. Năm 1999 Mitnick bị bắt giam và phải bồi thường một khoản tiền lớn cho những thiệt hại ông ta gây ra. Sau khi hoàn lương, ông đã xuất bản quyển sách “Nghệ Thuật Lừa Đảo” chia sẻ những bí thuật để thực hiện các cuộc tấn công kể cả kỹ thuật và phi kỹ thuật.

Bài viết này đề cập đến một cuộc tấn công phi kỹ thuật phổ biến. Bằng cách ghép nối những mẩu thông tin tưởng chừng vô giá trị, kẻ tấn công có thể ghép chúng lại thành một bức tranh tổng thể và có được thứ mình cần.

Kẻ tấn công ở đây được gọi là “Didi Sands”, một head hunter tài năng. Và mục tiêu của cô là một danh sách các kỹ sư điện có kinh nghiệm làm việc trong ngành viễn thông, tất nhiên là để mời chào họ gia nhập công ty đối thủ. Câu chuyện trong bài được tóm tắt tổng hợp lại từ quyển sách “Nghệ Thuật Lừa Đảo” của hacker huyền thoại Kevin Mitnick.

Cuộc gọi thứ nhất: Lễ tân

Lễ tân :Chào buổi tối. Đây là Marie, tôi có thể giúp gì cho bạn?

Didi: Phiền bạn nối máy cho tôi đến bộ phận vận tải.

Lễ tân: Tôi không chắc là công ty có bộ phận này, để tôi tra danh mục xem sao. Ai đang gọi đấy?

Didi: Là Didi,

Lễ tân: Bạn có đang ở văn phòng hay không?

Didi: Không, tôi đang ở bên ngoài.

Lễ tân: Didi nào nhỉ?

Didi: Didi Sands. Tôi có số máy lẻ của bộ phận vận tải nhưng quên mất rồi.

Lễ tân: Chờ một chút.

Để làm giảm sự nghi ngờ, Didi đặt ra những câu hỏi đã được định ra từ trước, để thể hiện rằng cô là người của công ty, quen thuộc với những địa điểm của công ty.

Didi: Bạn ở toà nhà nào nhỉ, Lake View hay trụ sở chính?

Lễ tân: Trụ sở chính. (ngừng 1 chút) 805 555 6469

Để phòng trường hợp bộ phận vận tải không cung cấp được thông tin cần thiết, Didi hỏi luôn số điện thoại của bộ phận quản lý toà nhà, nhân viên lễ tân cung cấp luôn mà hoàn toàn không nghi ngờ gì hết. Lúc này bạn lễ tân có gọi điện cho bộ phận vận tải nhưng không ai trả lời. Didi hỏi thêm số điện thoại thứ 3 của bộ phận theo dõi công nợ ở Austin, Texas. Nhân viên lễ tân nói Didi đợi một lát và gác máy. Liệu có phải cô đi gặp nhân viên an ninh và trình báo về tình huống khả nghi? Không hề, tuy Didi có hơi phiền toái, nhưng đấy là công việc hàng ngày của Lễ tân. Sau vài phút, Marie trở lại và nối máy cho Didi đến bộ phận quản lý công nợ.

Cuộc gọi thứ 2: Peggy

Peggy: Peggy bộ phận công nợ xin nghe.

Didi: Xin chào Peggy, tôi là Didi ở Thousand Oaks.

Peggy: Xin chào Didi.

Didi: Bạn khoẻ chứ?

Peggy: Tôi khoẻ.

Didi sử dụng một thuật ngữ phổ biến trong các doanh nghiệp, “charge code”, là mã quản lý chi phí cho các bộ phận:

Didi: Tuyệt vời. Phiền bạn cho hỏi một chút, làm sao tôi tìm được charge code của một bộ phận nào đó?

Peggy: Cái đó bạn phải hỏi ở kế toán bộ phận.

Didi: Cảm ơn, bạn có thể cho tôi biết kế toán bộ phận ở tổng hành dinh Thousand Oaks không? Tôi đang phải điền vài giấy tờ nhưng không rõ lắm.

Peggy: Tôi chỉ biết là nếu mọi người cần charge code, họ phải hỏi kế toán bộ phận của mình.

Didi: Bạn có biết mã charge code của bạn ở Texas không?

Peggy: Chúng tôi có charge code của riêng mình nhưng không có toàn bộ danh sách.

Didi: Mã charge code có bao nhiêu chữ số? Ví dụ chỗ của bạn?

Peggy: Của bạn bắt đầu bằng 9WC hay SAT?

Didi cũng không hiểu những ký tự đó đại diện cho cái gì nhưng điều đó không quan trọng lắm.

Didi: 9WC

Peggy: Vậy nó thường gồm 4 ký tự, bạn nói bạn thuộc văn phòng nào?

Didi: Tổng hành dinh Thousand Oaks.

Peggy: Uhm, vậy đây là 1 ví dụ charge code cho Thousand Oaks, IA5N, chữ N trong Nancy.

Bằng cách bám lấy một người tốt bụng đủ lâu, Didi đã có được charge code cần thiết. Một thông tin mà không ai nghĩ rằng cần phải bảo mật, vì cho rằng nó không có ý nghĩa đối với người ngoài.

Cuộc gọi thứ 3: Cố tình gọi nhầm số

Didi bắt đầu cuộc gọi tới bộ phận quản lý văn phòng với giọng nói truyền cảm: “Xin lỗi đã làm phiền…”. Didi bịa chuyện rằng cô là một nhân viên đã làm mất sơ đồ nhân sự công ty và cần hỏi xem là có thể xin một bản in ở đâu. Người nghe trả lời rằng bản in đã bị lỗi thời vì hiện tại công ty đã đưa sơ đồ này lên mạng nội bộ. Didi nói cô thích sử dụng bản in, đầu dây bên kia cho biết cô có thể xin được ở bộ phận in ấn. Và không cần Didi hỏi, người đàn ông bên kia đầu dây đã tự tìm số điện thoại của bộ phận in ấn và cung cấp cho cô.

Cuộc gọi thứ 4: Bart ở bộ phận in ấn

Didi trình bày một câu chuyện về việc cô là một nhân viên ở Thousand Oaks, đang cần một bản in sơ đồ nhân sự của công ty để cung cấp cho một nhà thầu tư vấn. Bart yêu cầu cô điền vào một đơn xin cung cấp, tuy nhiên cô nói rằng cô đã hết đơn mẫu và đang cần gấp, nhờ anh điền giúp. Có lẽ chất giọng thì thầm truyền cảm của Didi khiến Bart bị tác động và anh rất nhiệt tình điền đơn, in sơ đồ nhân sự rồi gửi đến một địa chỉ hòm thư thuê bao của cô (Đương nhiên tên người nhận là giả). Tất nhiên là anh sẽ phải hỏi charge code của cô để gán chi phí cho bộ phận cụ thể, và lúc này mã charge code tưởng chừng vô dụng lại giúp cô qua được cửa ải cuối cùng.

Và như thế, Didi đã có được một bản danh sách các nhân sự cấp cao chỉ bằng vài cú điện thoại.

Kết 

Cũng như trong trò chơi xếp hình, mỗi mảnh ghép đều có vẻ không liên quan lắm đến bức tranh toàn cảnh. Tuy nhiên ghi cách mảnh ghép được sắp xếp lại cùng nhau thì người ta sẽ thấy được điều mình cần. Trong trường hợp này là sơ đồ nhân sự của cả công ty.

Trong phi vụ này, Didi bắt đầu bằng việc hỏi ba số điện thoại của các bộ phận khác nhau. Việc này khá đơn giản vì 3 số điện thoại này không có gì là bí mật, đặc biệt là với nhân viên trong tổ chức. Các chuyên gia học cách để giả bộ mình là người trong tổ chức, và Didi là bậc thầy về chuyện này. Một trong 3 số điện thoại đã giúp Didi tìm được một mã charge code, và mã charge code này giúp cô có được bản sơ đồ nhân sự của một công ty. Những kỹ năng mà cô sử dụng ở đây là: Giọng nói thân thiện, sử dụng những thuật ngữ trong tổ chức, và kỹ năng cô sử dụng trong cuộc gọi cuối cùng là kỹ năng thả thính. Và trên hết là những kỹ năng thao túng con người không dễ đạt được, đó là những điều chỉ có được sau rất nhiều lần luyện tập, từ vô số những thất bại của những người khác.

Bất kể một công ty được trang bị các công nghệ bảo mật mạnh đến đâu, thì mắt xích bảo mật yếu nhất vẫn là con người.

Theo bạn, quan điểm này có đúng không?

Nguồn:codelearn.io

Trả lời

Email của bạn sẽ không được hiển thị công khai.