Kevin Mitnick chia sẻ về mẹo và thủ thuật mà các hacker thường dùng

Manlina, Philippines một buổi chiều âm u, không khí trên sân khấu hội nghị thường niên của tổ chức giải pháp kinh doanh kỹ thuật số PLDT cũng ảm đạm không kém, cho đến khi có sự xuất hiện của một nhân vật khét tiếng, kẻ đã từng bị FBI truy lùng gắt gao nhất thế giới, kẻ đã từng là nỗi ám ảnh trong thế giới Internet, đó chính là Kevin Mitnick, một trong những hacker nổi tiếng nhất thế giới đương đại.

Vừa qua, Kevin Mitnick đã có một bài phát biểu quan trọng tại một sự kiện an ninh mạng lớn do tổ chức giải pháp kinh doanh kỹ thuật số PLDT chủ trì.

Nói qua một chút về quá khứ “bất hảo” của Kevin Mitnick. Hacker này đã bị FBI bắt giữ vào năm 1995, với hàng tá các cáo buộc về nhiều tội danh như lừa đảo qua mạng, sở hữu các thiết bị truy cập bất hợp pháp, vi phạm luật thông tin liên lạc điện tử, truy cập trái phép vào các hệ thống bảo mật liên bang và rất nhiều tội danh khác nữa.

Trước khi bị bắt giữ, trong khoảng thời gian bị FBI truy nã gắt gao, Kevin Mitnick cũng đã kịp tiện tay làm thêm vài phi vụ đình đám. Trong đó, một trong những vụ việc gây được tiếng vang rất lớn trong giới hacker chính là những pha “hẫng tay trên” các sản phẩm phần mềm từ nhiều công ty viễn thông và máy tính nổi tiếng. Theo đó, trong hai năm trốn truy nã FBI, Kevin Mitnick chỉ sử dụng 2 chiếc điện thoại khác nhau và lấy trộm được rất nhiều phần mềm của những công ty viễn thông, máy tính khác nhau, có giá trị lên đến hàng trăm nghìn đô la. Nếu một băng đảng tội phạm hay tệ hơn là một tổ chức khủng bố được tài trợ cần một gã có khả năng xoay chuyển tình thế hay thực hiện các phi vụ chấn động trên không gian mạng, không ai khác nguy hiểm hơn Kevin Mitnick. Từ ăn cắp dữ liệu, đột nhập hay phá hủy các hệ thống, tất cả chỉ nằm ở việc anh ta có muốn làm hay không.

Tuy nhiên, sau khi chấp hành xong án tù, không rõ FBI đã “giác ngộ” ra sao mà khiến cho Kevin Mitnick thay đổi hoàn toàn, rửa tay gác kiếm và trở thành một diễn giả về an ninh mạng và an toàn thông tin. Và đó là lý do tại sao mà chúng ta đã được chứng kiến một Kevin Mitnick tự tin đứng trước một rừng các chuyên gia bảo mật, các nhà báo, cũng như người hâm mộ để chia sẻ về một thời lừng lẫy của mình, trên sân khấu của PLDT.

Hãy cùng xem Kevin Mitnick nói gì về thế giới 4.0 và ngành công nghiệp an ninh mạng dưới con mắt của một trong những hacker nổi tiếng nhất thế giới!

“Không có bất cứ bản vá nào cho sự ngu ngốc”

“Không có bất cứ bản vá nào cho sự ngu ngốc, mọi sai lầm đều sẽ phải trả giá” đó là nguyên văn câu nói của Kevin Mitnick. Chiến lược cốt lõi làm nên sự thành công trong các phi vụ của Mitnick chính là các kỹ thuật xã hội, về cơ bản là khai thác một cách hiệu quả các hành vi và tâm lý của con người, để khiến một cá nhân làm những việc thường là gây bất lợi cho chính họ, đồng thời tạo điều kiện cho các hacker trổ tài. Có thể hiểu nôm na rằng kỹ thuật mà Kevin Mitnick sử dụng xoay quanh việc “ru ngủ” các nạn nhân, khiến họ trở nên bất cẩn và bị lừa một cách dễ dàng.

Với kỹ thuật này, có một điều mà bạn sẽ học được từ Kevin Mitnick đó là các công cụ, công nghệ bảo mật trên thực tế khó có thể bảo vệ cho chúng ta một cách hoàn toàn – cung cấp kiến thức cần thiết cho người dùng, nâng cao sự hiểu biết cũng như thiết lập các công cụ phòng vệ từ xa sẽ đóng vai trò quan trọng hơn trong cuộc chiến bảo mật. “Bạn có thể sở hữu công nghệ bảo mật đỉnh nhất, hay hệ thống máy tính tốt nhất thế giới, nhưng nếu bạn thiếu kiến thức, kinh nghiệm cũng như không đủ tỉnh táo và bị lừa, bạn vẫn chỉ là một miếng mồi béo bở cho các hacker”, Kevin Mitnick chia sẻ.

Một trong những kỹ thuật lừa đảo trực tuyến được sử dụng phổ biến nhất hiện nay là nhân bản các trang web (sử dụng các trang web ảo). Giả sử một người thường xuyên truy cập vào trang web có địa chỉ “safewebsite.com”, đăng ký tài khoản và đăng nhập vào trang web này. Một hacker nắm được thói quen đó, và có thể tạo ra một trang web clone của safewebsite.com bằng một URL tương tự, có thể ở dưới dạng “safewebsite.co” chẳng hạn. Sau đó hacker sẽ gửi email cho người dùng, lừa họ bấm vào liên kết kết và đăng nhập vào trang web safewebsite.co giả mạo kia.

Điều mà tin tặc muốn và cố gắng thực hiện đó là khiến cho nạn nhân không thể nhận thấy sự khác biệt nhỏ trong URL của trang web thật và trang web giả, và cuối cùng là đăng nhập thông tin cá nhân vào trang web giả. Điều mà nạn nhân sẽ không biết là một khi họ nhập thông tin đăng nhập, tin tặc sẽ có thể lấy cắp các thông tin này và sử dụng chúng cho mục đích riêng của mình.

“Các kỹ thuật xã hội khi được triển khai một cách thuần thục sẽ rất khó bị phát hiện. Ngoài ra, nhanh chóng, chi phí thấp, dễ dàng hơn hack hệ thống, và đạt hiệu quả đến 99.5% chính là điểm mạnh của kỹ thuật này”, Kevin Mitnick phát biểu.

Sơ xuất từ phía người dùng

Điều quan trọng ở đây, đối với chủ sở hữu cũng như quản trị viên của các mạng máy tính lớn, đó là “giả sử người dùng mắc phải những sơ suất có thể dẫn đến hậu quả nghiêm trọng”. Các doanh nghiệp bây giờ phải cần được bảo vệ không chỉ khỏi những kẻ tấn công bên ngoài mà còn từ chính những người dùng trong hệ thống của họ.

Kevin Mitnick cũng tiết lộ một mánh khóe lừa đảo khác thường được sử dụng phổ biến hiện nay: Khi tấn công vào hệ thống của một doanh nghiệp, tin tặc sẽ ưu tiên nhắm vào các cá nhân ít có chuyên môn trong lĩnh vực bảo mật thông tin, chẳng hạn như các bộ phận bán hàng và tiếp thị. Đương nhiên họ chẳng ngu gì mà động đến các bộ phận có nhiều chuyên môn như phòng công nghệ thông tin bởi “rất có thể, các nhân viên IT có thừa kiến thức cũng như kinh nghiệm để đối phó với các mánh khóe của hacker”.

Quỹ đạo tấn công thông thường của tin tặc khi nhắm vào các doanh nghiệp đó là: Thứ nhất, lừa bịp (tức là sử dụng một email hầu như không có hại) và thứ hai, phát tán các phần mềm độc hại, mã độc vào máy tính của nhân viên, cho phép chúng trinh sát và thu thập các thông tin cần thiết.

Và tuy rằng hầu hết các công ty hiện nay đều sở hữu các hệ thống ngăn chặn email độc hại, nhưng điều mà một số kẻ tấn công thực hiện để ứng phó với các hệ thống này đó là sử dụng các tên miền có vẻ uy tín để có thể vượt qua sự kiểm soát của các bộ lọc email cấp doanh nghiệp.

Trong buổi nói chuyện, Kevin Mitnick cũng đã nhắc đến việc thậm chí ngay cả các hệ thống xác thực hai yếu tố tiên tiến nhất vẫn có thể bị đánh bại bằng kỹ thuật xã hội. Bằng việc sử dụng các trang web nhân bản giả mạo, tin tặc cũng có thể đánh cắp cái được gọi là “session cookie – cookie phiên”, xuất hiện sau khi người dùng nhập mã xác thực của yếu tố thứ hai thường được gửi đến điện thoại của họ thông qua số điện thoại đã liên kết với tài khoản. Tin tặc sẽ cố gắng giữ cookie phiên đó, sau đó chúng có thể dán cookie vào console của mình và rồi, đường hoàng truy cập vào tài khoản của người dùng.

Cũng có một vài thủ thuật khác được Kevin Mitnick nhắc đến. Ví dụ như một hacker có thể đặt tên cho điểm truy cập WiFi của mình theo một điểm truy cập công cộng phổ biến, như “Starbucks” chẳng hạn. Nếu trước đó, người dùng đã kết nối với một mạng WiFi có cùng tên, rất có thể, điện thoại sẽ tự động kết nối lại với điểm phát sóng đó – được lưu trữ bởi tin tặc, những kẻ đang muốn giành quyền kiểm soát thiết bị của họ.

“Đừng đặt sự tin tưởng vô điều kiện vào các hệ thống mạng không dây mở!”.

Ngoài ra, Kevin Mitnick cũng không quên nhấn mạnh vào sự cần thiết của việc phải đào tạo cũng như nâng cao kiến thức, nhận thức về bảo mật cho nhân viên ở tất cả các cấp trong một tổ chức doanh nghiệp. Đồng thời, việc kiểm tra và giám sát thâm nhập bảo mật thường xuyên cũng là một phần quan trọng của một mô hình an ninh mạng thực sự thành công.

“Ở thời đại bùng nổ của công nghệ thông tin như hiện nay, an ninh mạng không còn được xem là một ‘tùy chọn’ như trước nữa, đặc biệt là trong bối cảnh tình hình bảo mật thông tin thay đổi liên tục mỗi ngày. Khi các mối đe dọa mạng trở nên phức tạp hơn, chúng tôi, với tư cách của Enterprise Group đảm bảo với khách hàng của mình rằng chúng tôi có thể cung cấp cho họ các dịch vụ tinh vi và hiện đại nhất để bảo vệ họ trước những kỹ thuật tấn công hàng đầu của hacker”, Jovy Hernandez, người đứng đầu PLDT và Smart Enterprise Groups phát biểu kết thúc hội nghị.

Tại sự kiện lần này, ePLDT cũng đã giới thiệu danh mục các giải pháp, hệ sinh thái an ninh mạng và trung tâm điều hành an ninh mạng (Security Operations Center) – cơ sở hoạt động chính của họ. Công ty giải thích rằng các giải pháp của họ được xây dựng trên ba trụ cột cơ bản, đó là: Tham vấn (quản lý rủi ro và đánh giá lỗ hổng), quản lý an ninh mạng, và cuối cùng là ứng phó sự cố. Cả ba khía cạnh này hình thành nên cách tiếp cận của công ty trong việc chống lại các mối đe dọa một cách hiệu quả trong bối cảnh tình hình bảo mật thông tin phức tạp ngày nay.

(nguồn QuanTriMang)

Tổ Chức Giáo Dục FPTfpt.edu.vn

Hệ Thống Đào Tạo An Ninh Mạng Quốc Tế FPT Jetkingjetking.fpt.edu.vn

FPT Jetking là một trong số ít cơ sở hàng đầu đào tạo ngành an ninh mạng tại Việt Nam. FPT Jetking thuộc Viện Đào tạo quốc tế FPT, là đơn vị liên kết giữa tổ chức giáo dục FPT với Jetking Ấn Độ. FPT Jetking đào tạo chuyên sâu về quản trị hạ tầng an ninh mạng. Sinh viên tại đây có khả năng làm việc ngay sau khi tốt nghiệp trong những lĩnh vực đang là xu hướng mới, có nhu cầu nhân lực lớn trong ngành CNTT toàn cầu như an ninh mạng, quản trị mạng, quản trị hệ thống, điện toán đám mây…

đánh giá