Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker

0
1673

Tự hào về môi trường làm việc của mình không phải điều gì đáng lên án. Tuy nhiên nếu bạn có thói quen selfie nơi công sở, chụp ảnh tập thể để lưu lại những khoảnh khắc vô tư chốn làm việc, thì những dòng dưới đây sẽ khiến bạn phải suy nghĩ đôi chút.

Hacker vẫn dạo quanh mạng xã hội để tìm kiếm ảnh, video hay bất cứ chi tiết gì có thể giúp đỡ họ trong công cuộc phá hoại. Cụ thể hơn, những nội dung bạn chia sẻ công khai trên mạng xã hội có thể bị biến thành công cụ tấn công nơi bạn làm việc.

Nếu bạn không tin, thì hãy cân nhắc tới việc ai đang đưa ra lời cảnh báo: tôi đang trích dẫn nội dung Stephanie Carruthers đăng tải trên Fast Company. Carruthers là thành viên cốt cán của đội hacker X-Force Red thuộc IBM, chuyên gia trong lĩnh vực đào bới bài đăng trên mạng xã hội để tìm ra những lỗ hổng bảo mật tiềm năng.

Dưới đây là những ý chính Stephanie “Snow” Carruthers nêu ra.

May mắn thay, trong trường hợp của tôi, những “nạn nhân” đang trả lương để tôi tấn công họ. Tên tôi là Snow, một thành viên của đội ngũ hacker cấp cao công tác tại IBM, đội của được biết tới với cái tên X-Force Red. Các công ty thuê chúng tôi về để tìm ra các lỗ hổng bảo mật trước khi kẻ gian có thể lợi dụng chúng. 

Đối với tôi, điều này đồng nghĩa với việc lục lọi Internet để tìm kiếm thông tin, lựa cách lừa nhân viên tiết lộ ra những nội dung nhạy cảm, đôi khi còn là giả dạng để trà trộn vào đội ngũ nhân viên làm việc tại văn phòng.

Những bài đăng công khai trên mạng xã hội là một mỏ vàng đích thực, những chi tiết đó giúp ích rất nhiều trong những đợt “công kích” của nhóm. Ở nền của một tấm ảnh, có thể nhìn thấy rất nhiều thứ, từ thẻ an ninh cho tới màn hình laptop, hay thậm chí những tờ giấy nhớ ghi lại mật khẩu.

Không ai muốn trở thành lỗ hổng bảo mật cả. Vì thế, hãy để tôi giải thích cách những bài đăng tưởng như vô hại đó giúp chúng tôi – hay những kẻ gian tiềm năng khác – tấn công vào tổ chức của bạn.

Điều đầu tiên, bạn có thể ngạc nhiên vì thông tin này đấy: trong tổng số những lần rà soát mạng xã hội, thì 75% nguồn thông tin tới từ nhân viên mới hoặc thực tập sinh. Thế hệ trẻ ngày nay lớn lên cùng mạng xã hội, vậy nên họ hứng khởi chia sẻ những hợp đồng thực tập, những cơ hội việc làm mới ngay khi có thể.

Cộng thêm việc các công ty không ngay lập tức đào tạo nhân viên cách chú tâm tới vấn đề bảo mật, thảm họa sẽ sớm xảy ra.

Biết được điểm yếu này, cộng thêm những hashtag cụ thể nữa, cho phép tôi nắm được hàng tấn thông tin chỉ sau vài giờ. Những hashtag thường thấy như #job, #firstday, … đi kèm với #têncôngty là ví dụ đơn giản nhất.

Tôi sẽ tìm gì trong những bài đăng như vậy? Có 4 loại bài đăng nhiều rủi ro nhất, tương đương với việc đem lại nhiều cơ hội cho hacker nhất.


Ảnh chụp tập thể

Ảnh của bạn với đồng nghiệp thân thiết khi nghỉ ăn trưa hay làm hoạt động gì đó cùng nhau chứa đựng nhiều thông tin hơn bạn tưởng. Ở phông nền tấm ảnh, chỉ cần xuất hiện một cái poster nêu lên sự kiện teambuilding sắp diễn ra, lịch trình họp hành gì đó hoặc địa chỉ email chẳng hạn, bạn sẽ đứng trước nguy cơ bại lộ những thông tin liên quan.

Đơn cử như trong trường hợp lộ mail, nhiều khả năng bạn sẽ nhận được một email khả nghi nào đó mà khi ấn vào, bạn sẽ chính thức biến thành lỗ hổng bảo mật của công ty.


Các thứ thẻ mà công ty cấp cho nhân viên

Thoạt nghe thì điều này có vẻ hiển nhiên lắm, nhưng thực sự bạn sẽ bất ngờ tột độ khi thấy nhân viên mới chụp cận cảnh thẻ an ninh mới được cấp, nhất là khi mới nhận được thẻ hoặc khi mới nghỉ việc. 

Chỉ cần biết vẻ ngoài của cái thẻ ra sao, việc tạo ra một sản phẩm y hệt không khó. Tôi có thể copy, paste xong tự in ra một cái thẻ y hệt với một khuôn mặt khác, chỉ mất vài phút là xong. Có thể cái thẻ này không hoạt động được trên máy quét, nhưng bạn sẽ lại bất ngờ một lần nữa khi biết: chỉ cần cười thủ tục, giơ thẻ ra cho nhân viên an ninh kiểm tra qua loa là có thể dễ dàng đi vào.


“Gửi nhật ký yêu thương, hôm nay tôi …”

Khi nhân viên tính tới chuyện làm hẳn một video kể lể về một ngày làm việc dài ở công ty, hacker sẽ hí hửng vì vừa vớ bở. Qua nội dung đó, tôi biết được kiến trúc văn phòng, khu vực hạn chế ra vào, bảng đề chi tiết kế hoạch tương lai; xem video cũng đã tương đương với việc đột nhập vào công ty vậy.

Không chỉ thế, màn hình laptop có thể hiển thị những phần mềm bảo mật đã được cài đặt, qua đó tôi có thể gửi tới thiết bị một file độc hại ngụy trang dưới dạng cập nhật phần mềm bảo mật.


Những khiếu nại tưởng chừng chỉ là những lời cằn nhằn vô hại

Văn hóa “review” đã tồn tại từ lâu, có thể coi lời phàn nàn của khách hàng từ thời Ai Cập cổ đại chính là bản review đầu tiên con người từng thực hiện. Ai cũng có thể bị soi xét, công ty bạn không phải trường hợp ngoại lệ. Không cần biết thông tin lọt qua lối nào, tôi chỉ cần nắm rõ điều khiến nhân viên bất bình là sẽ có thể sáng tác được những nội dung độc hại, đánh đúng vào tâm lý nhân viên đang có.

Lấy ví dụ bằng một công ty từng thuê tôi về, nhân viên của họ phàn nàn trên mạng về chỗ đậu xe hơi ít, vậy nên tôi sáng tác ra một bức email trình bày về chính sách đặt chỗ đậu xe mới, đưa lời cảnh báo giả rằng mọi phương tiện nằm ngoài khu vực đỗ xe sẽ bị “cẩu” đi mất. Vô số nhân viên nhận được mail vừa hứng khởi vì có được chỗ đậu xe, lại vừa lo sợ xe bị nhấc đi mất, ngay lập tức ấn vào bản đồ chỗ đậu xe giả mà tôi tạo ra, được đính kèm theo mail. Không ai hay đó là một file độc hại.

Sau khi nghe loạt ví dụ trên, có thể bạn sẽ thắc mắc hacker muốn thâm nhập vào văn phòng bình để làm gì. Ngắn gọn mà nói, vào được trong bốn bức tường văn phòng, tôi đã có thể có được ít nhiều lòng tin. Từ thông tin nhạy cảm được ghi trên bảng phòng họp lẫn mật khẩu Wi-Fi được đính giữa thanh thiên bạch nhật, tôi phá bỏ được rào cản ngăn tôi với những bí mật của công ty.

Những bài đăng trên mạng xã hội có thể cho tôi đủ thông tin, đến mức không cần tới thăm văn phòng tôi cũng biết; bởi lẽ bằng nền tảng mạng xã hội, bạn đã cho tôi nhìn thẳng vào bên trong rồi.

Thế nên, trước khi chia sẻ những bài đăng liên quan tới công việc của bạn, hãy tự đặt câu hỏi: “Trong bài đăng này, liệu có điều gì mà mình không muốn anh hacker tên Snow hay biết không?”.