Hacker lợi dụng yếu tố con người để lừa đảo trực tuyến

20:26 17/04/2019
Hacker tác động đến tâm lý người dùng để khai thác mà không nhắm vào lỗ hổng phần mềm an ninh. Phương pháp "social engineering" được tổ chức Cảnh sát hình sự quốc tế Interpol đánh giá là một trong những xu hướng lừa đảo đang tăng trên thế giới.


Hiện nay, bọn lừa đảo hành động ngày càng tinh vi hơn và biết cách tấn công mạnh vào tâm lý sợ hãi của người dùng Internet một cách khéo léo. Bọn tội phạm sẽ cố gắng xây dựng mối quan hệ với nạn nhân thông qua nhiều kỹ thuật và sau đó kích thích tâm lý sợ hãi nơi nạn nhân, thúc bách phải làm theo những gì chúng đề nghị mà không hề nghi ngờ gì. 

Phương pháp được hacker sử dụng được gọi là "social engineering", tức là tấn công vào yếu tố con người để phá vỡ hệ thống an ninh. Phần đông chúng ta thường nghĩ rằng mình thông minh đến mức không dễ bị bọn tội phạm lừa đảo bằng email và điện thoại, nhưng trên thực tế bất cứ ai cũng có thể rơi vào bẫy của bọn chúng. 

Cụ thể là, hacker tác động đến tâm lý người dùng để khai thác mà không nhắm vào lỗ hổng phần mềm an ninh. Phương pháp "social engineering" được tổ chức Cảnh sát hình sự quốc tế Interpol đánh giá là một trong những xu hướng lừa đảo đang tăng trên thế giới.

Trong vài năm qua, loại lừa đảo này gia tăng đột biến cho thấy đây là dạng hoạt động béo bở của bọn tội phạm. Trong khi đó, hacker không cần phải là nhà lập trình tài giỏi để thực hiện "social engineering" mà chỉ cần có một người sẵn sàng nói chuyện hay trao đổi qua email. Sau đó, bọn tội phạm có thể dùng tiền để mua dữ liệu công ty bị xâm nhập hay nghiên cứu lý lịch trực tuyến trên mạng xã hội của nạn nhân.

Christopher Hadnagy.

Cách đây không lâu, nữ doanh nhân Anh tên là Emma Watson nhận được một cuộc gọi điện thoại từ "đội chống lừa đảo" trong ngân hàng mà bà gửi tiền. Họ báo tin đã chặn được những giao dịch tài chính bất thường trên tài khoản của Watson và đề nghị nữ doanh nhân chuyển tiền vào một số tài khoản được tạo lập mới với tên của bà. 

Emma Watson kể: "Bọn chúng biết cách thuyết phục khi nói rằng "tôi biết điều này làm mất thời gian quý báu của bà và tôi sẽ giúp đỡ". Bọn chúng gọi đến tôi qua đường dây truyền tín hiệu trên mặt đất. Bọn chúng biết sử dụng mọi ngôn ngữ". 

Thực ra, hoàn toàn không phải ngân hàng thực hiện cuộc gọi mà bọn lừa đảo mạo danh đội chống lừa đảo của ngân hàng. Cuối cùng, Emma Watson chuyển 100.000 bảng Anh (khoảng 150.000 USD) vào các tài khoản trực tuyến của bọn lừa đảo. Về sau, chỉ một phần số tiền của Watson được truy tìm ra và trả về cho bà.

Loại lừa đảo này gọi là "vishing", nghĩa là bọn tội phạm sử dụng điện thoại và ra sức thuyết phục nạn nhân chuyển giao thông tin cá nhân hay chuyển tiền. Nạn nhân bị thuyết phục đến mức tin rằng tiền của mình đang gặp nguy hiểm và phải hành động thật nhanh. 

Nạn nhân cũng dễ tin vào số điện thoại quen thuộc được bọn lừa đảo sử dụng. Trong một số trường hợp, bọn lừa đảo sử dụng đường dây điện thoại của chính nạn nhân và nếu người này gọi ngược trở lại ngân hàng thì tín hiệu được truyền thẳng đến bọn chúng. 

Đối với trường hợp này, chuyên gia an ninh Christopher Hadnagy khuyên lúc đó mọi người nên sử dụng số điện thoại khác để kiểm tra thông tin. Ngoài ra, nạn nhân dễ tin tưởng hơn khi nghe thấy những âm thanh hỗn tạp trong điện thoại như là cuộc gọi được thực hiện từ một trung tâm nào đó hơn là từ căn cứ yên tĩnh của bọn tội phạm.

Nạn nhân Emma Watson.

Những vụ lừa đảo  "phishing" qua email đang tăng về số lượng và ngày càng tinh vi hơn. Nữ Cố vấn an ninh mạng độc lập Jessica Barker giải thích: "Bọn tội phạm lợi dụng lòng tin của nạn nhân bằng cách giả danh nhân viên một ngân hàng, sử dụng tên của một người bạn hay người mà nạn nhân có mối quan hệ giao tiếp buộc nạn nhân phải trao đổi thông tin với bọn chúng". 

Mới đây, doanh nhân Christopher Hadnagy cũng bị "phishing" khi đang chuẩn bị dự một hội nghị tại thành phố Las Vegascủa Mỹ. Hadnagy có một số đơn đặt hàng tại Amazon và sau đó ông nhận được một email báo tin "một trong những đơn đặt hàng mới đây của bạn sẽ không được chuyển đi do thẻ tín dụng bị từ chối". Email giống hệt như được gửi từ Amazon. 

Tuy nhiên, Hadnagy cảm thấy nghi ngờ vì trong email có đơn đặt hàng mà ông không hề thực hiện với Amazon. Hadnagy bắt đầu điều tra và sau đó phát hiện email thật ra xuất phát từ một trang web của Nga chứ không phải từ Amazon.com! 

Hadnagy phát biểu: "Đó là bài học tôi muốn gửi đến mọi người. Bất cứ ai cũng có thể trở thành nạn nhân nếu như bị đánh trúng tâm lý vào đúng thời điểm khó nghi ngờ nhất". Jessica Barker khuyên mọi người không nhấp chuột vào đường link nếu thấy nghi ngờ đồng thời không bao giờ sử dụng số điện thoại hay đường link do email cung cấp.

Một kỹ thuật khác được bọn lừa đảo khai thác gọi là "smishing" được các chuyên gia an ninh cảnh báo có dấu hiệu tăng mạnh trong thời gian sắp tới. Smashing - một dạng biến thể của Phishing - sử dụng tin nhắn SMS gửi đến smartphone của nạn nhân nhằm lừa đảo đánh cắp thông tin cá nhân. 

Thông thường, các ngân hàng cũng sử dụng tin nhắn gửi đến khách hàng của họ cho nên loại lừa đảo bằng smashing dễ dàng đánh lừa bất cứ ai. Trong trường hợp này, mọi người nên sử dụng số điện thoại từ nguồn đáng tin cậy để gọi đến ngân hàng kiểm tra thông tin mà không dùng bất cứ số nào do tin nhắn cung cấp.

Thiên Minh