Bài viết này thuộc series “Học gì ở Positive Hack Camp?”, nơi tôi chia sẻ, tổng hợp và minh hoạ lại những kiến thức bản thân đã học trong camp.
”Positive Hack Camp là sáng kiến giáo dục toàn cầu của Positive Technologies và Positive Education dành cho các chuyên gia an ninh mạng được triển khai tại Moskva với sự hỗ trợ của Bộ Phát triển Kỹ thuật số Nga và Quỹ Phát triển An ninh mạng Quốc tế Cyberus.
Chương trình kéo dài trong 2 tuần, bao gồm các khóa đào tạo thực hành chuyên sâu, các nghiên cứu tình huống thực tế và kết nối quốc tế với sự hướng dẫn của các chuyên gia hàng đầu của Nga. Mục tiêu của chương trình là giúp các quốc gia phát triển nhân tài và chuyên môn về an ninh thông tin, hỗ trợ chủ quyền không gian mạng và tương lai số an toàn.” (Theo Báo Nhân dân Điện tử)
“Trong số gần trăm người đang ngồi trong căn phòng này, các bạn có thể cùng học và biết cách làm. Tuy nhiên, cuối cùng thì tôi cá là cùng lắm chỉ có vài ba người có thể thực hiện tấn công kiểu này, một cách chuyên nghiệp. Bạn có thể gửi email rác, gọi điện thoại lừa đảo 2-3 ngày, nhưng sẽ không trụ được lâu đâu.
Egor Bogomolov
Một ngày gọi 30, 50 cuộc điện thoại; thử nghĩ xem bạn có thể làm điều đó bao lâu? Một tháng? Hai tháng? Một năm? Hai năm? Việc nói dối và lừa lọc là đi ngược lại với bản chất của chúng ta – con người luôn mong muốn được chấp nhận, hợp tác và tin tưởng. Nó sẽ lấy đi của bạn rất nhiều năng lượng.”
Security Expert, Founder of Singleton Security, CEO of CyberEd
(aka. thầy tôi)
Bài học này là cách “cạy cửa” cuối cùng, cũng là kỹ thuật tấn công được mệnh danh là phương thức có hiệu quả cao nhất hiện nay.
Trước khi vào bài này, hãy thử làm một bài test nho nhỏ xem chính bản thân bạn có đủ năng lực để bảo vệ bản thân trước tấn công kiểu này chưa nhé. Sau đó hãy quay lại đọc tiếp.
Dưới đây là bài test Phishing Quiz của anh Gồ:
https://phishingquiz.withgoogle.com
Bạn nhận được kết quả ra sao?
Phishing là một hình thức tấn công lừa đảo trực tuyến, trong đó kẻ xấu mạo danh các tổ chức, cá nhân uy tín để lừa người dùng cung cấp thông tin nhạy cảm như mật khẩu, mã giao dịch, thông tin thẻ tín dụng. Kẻ tấn công sử dụng email, tin nhắn SMS, website giả mạo hoặc các kênh trực tuyến khác để đánh cắp thông tin, tài sản hoặc cài đặt mã độc vào thiết bị của nạn nhân.
Đây mới chỉ là một trong số vô vàn các kỹ thuật đa dạng được xếp loại dưới mục “Tấn công phi kỹ thuật”. Tuy nhiên đây là kỹ thuật phổ biến nhất và có tỉ lệ thành công cao.
Bài hôm nay tôi viết không phải là để chỉ các bạn cách chống lừa đảo, mà là cách để nghĩ như một kẻ “đào lửa”.
Về cơ bản, chữ “social” trong “Social Engineering” đã ám chỉ khía cạnh xã hội của phương thức tấn công này. Nó khai thác những khía cạnh tâm lý xã hội của con người để tiến hành lừa lọc, giả mạo hay thao túng.
- Finding information goals (Tìm kiếm thông tin)
- Preparing the scenario (Chuẩn bị kịch bản)
- Apply the attack scenarios and measuring results (Áp dụng kịch bản tấn công và đo lường kết quả)
1 – Tìm kiếm thông tin
Trong bài tập này, chúng tôi được giả định là đang muốn xâm nhập vào một công ty/ doanh nghiệp bằng cách thao túng nhân sự của họ. Tuỳ vào tình huống thực tế mà các bước cụ thể sẽ có hơi khác, song mục đích là như nhau: Tìm kiếm thông tin, nâng cao hiểu biết về đối tượng càng nhiều càng tốt.
Thứ tự mục tiêu của chúng ta sẽ là đi từ cái lớn đến cái bé, từ công ty lớn tới các thực thể nhỏ hơn, và sau cùng là những nhân viên trực tiếp.
Điều tra về công ty
Thông tin chúng ta muốn có sẽ là:
- Hồ sơ doanh nghiệp
- Quy trình nghiệp vụ
- Các vai trò chủ chốt
- Bộ máy quản lý
- Thông tin liên hệ
Với những thông tin này, bạn chỉ cần chịu khó tìm kiếm, đào bới trên Internet là ra. Phần đa chúng sẽ được tìm thấy trên trang chủ của doanh nghiệp.
Điều tra về cơ cấu tổ chức
Những đầu mối chúng ta quan tâm sẽ là:
- Các nấc thang báo cáo và đưa quyết định, vd. CEO → CISO → SOC
- Quan hệ phụ thuộc lẫn nhau giữa các phòng ban, vd. IT → Tài chính
- Các vị trị còn trống trong doanh nghiệp, vd. 1 vị trí security hơn 90 ngày chưa tuyển được người…
Điều tra về nhân viên
Hiện tại có rất nhiều công cụ giúp bạn tự động hoá quy trình tìm kiếm thông tin nhân sự, từ email, số điện thoại, tới cả những thông tin cá nhân đời tư – đơn giản vì mọi người bấy giờ đăng quá trời lên trên mạng xã hội. Bạn có thể tham khảo dưới đây.
Công cụ: h8mail, TheHarvester/ TruffleHog
Tư liệu: hunter.io, snov.io, phonebook.cz
Kỹ thuật: SMTP user enumeration, OWA enumeration
2 – Xây dựng kịch bản
Trước khi bắt tay vào làm những đạo diễn cho cuộc chơi làm “con artist”, hãy học một chút tâm lý học nhé.
6 Nguyên lý của sự ảnh hưởng (The Six Principles of Influence) – Robert Cialdini
- Reciprocity (Có qua có lại): Xu hướng đáp trả lại lòng tốt của người khác khi ta đã nhận từ họ thứ gì đó.
- Commitment & Consistency (Sự cam kết và sự nhất quán): Một khi lời hứa đã được đưa ra, quan điểm đã được nói lên, hay một vị trí đã được đảm nhận, đa số mọi người mong muốn tuân thủ nó.
- Social proof (Bằng chứng xã hội): Con người thường bắt chước những kẻ khác, nhất là khi họ không chắc chắn về việc sẽ phải làm gì.
- Authority (Quyền lực và thẩm quyền): Mọi người thường nghe lời những kẻ có quyền lực, có uy tín, có chuyên môn, vv… ngay cả khi những người này kêu gọi những hành động vô lý.
- Liking (Sự tương đồng và ưu ái): Chúng ta có xu hướng thích những người giống mình và những người yêu quý ta.
- Scarcity (Sự khan hiếm): Cơ hội trông hấp dẫn hơn khi nó có vẻ không nhiều.
Đây chỉ là một trong số rất nhiều nguyên lý mà tấn công xã hội dựa trên. Tôi thấy không chỉ là làm hacker, hiểu biết về tâm lý học đem đến lợi thế lớn trong cuộc sống.
Rồi, giờ bắt tay vào việc chính thôi. Sẽ có ba công việc chính bạn cần chuẩn bị:
- Kịch bản tấn công
- Kỹ thuật che giấu (masking)
- Ứng dụng công cụ tự động hoá
Kịch bản tấn công
Bạn nào mà xem nhiều chương trình cảnh báo lừa đảo (như gia đình tôi, không hiểu sao mọi người lại có đam mê lớn về nó?) thì sẽ biết kha khá những gì tôi sắp viết. Kịch bản đa dạng và được đổi mới thường xuyên, nhưng phổ biến nhất chúng ta có:
- Phishing: Phương thức lừa đảo nhằm chiếm đoạt tài khoản (username – password) của người dùng.
- Vishing: Kỹ nghệ “đào lửa” rất phổ biến ở Việt Nam và thế giới – gọi điện thoại để lừa chiếm đoạt thông tin nhạy cảm với nhiều ngữ cảnh/ tình huống khác nhau; hoặc thao túng nạn nhân thực hiện các hành động theo yêu cầu.
- Tôi cũng được yêu thương bởi cộng đồng scammer, không chỉ ở vùng tam giác vàng mà còn cả quốc tế, chắc tại tôi đi cũng lắm. Từ những chú công an, shipper, những deal business kiếm tiền giàu xổi, tới cả đặc vụ điều tra quốc gia rồi Interpol(!) đồ, những nhân vật tôi gặp cũng khá ngộ nghĩnh.
Hôm nào làm việc buồn chán quá thì tôi thấy đó cũng là một điểm nhấn cho ngày dài lạc trôi của bản thân. Còn những hôm còn lại thì, thực ra tôi cũng sớm mệt mỏi mà chặn số lạ từ lâu rồi. - Một phần lớn của điều này tôi cho rằng đến từ an toàn thông tin phiên bản “trust me bro” của các nhà mạng cung cấp dịch vụ. Hồi tôi sang Singapore, mới mua cái sim Singtel chưa đầy 24 tiếng, còn chưa đăng ký dịch vụ hay thông tin tài khoản gì, đã có lừa đảo gọi hỏi thăm. (What are you doing, Singtel?)
- Tôi cũng được yêu thương bởi cộng đồng scammer, không chỉ ở vùng tam giác vàng mà còn cả quốc tế, chắc tại tôi đi cũng lắm. Từ những chú công an, shipper, những deal business kiếm tiền giàu xổi, tới cả đặc vụ điều tra quốc gia rồi Interpol(!) đồ, những nhân vật tôi gặp cũng khá ngộ nghĩnh.
- Baiting: “Bait” ở đây nghĩa là cái bẫy – nó có thể là một chiếc USB rơi trên đường, link tải xuống những thứ hay ho miễn phí, một cái ví ai đó bỏ quên, hoặc một món hời khó tin nào đó. Thường vì lòng tham hay sự sợ hãi mà chúng ta sẽ rơi vào những cái bẫy này, mà sau này khi bình tĩnh lại mới suy xét được.
Kỹ thuật che giấu
Trong cái lừa phải có cái “như thật” thì mới có thể thành công. Dưới đây là một số kỹ thuật có thể bạn sẽ cần:
- Domain masking (Che giấu tên miền): Sử dụng các ký tự/ ký hiệu tương tự (homograph), lỗi typo nhỏ (typo squatting), logo hay biểu tượng giống với cái gốc. Dùng các đuôi ít thấy khác, thay vì
.comthì có thể là.cohay.net. - Sender spoofing (Thay đổi tên người gửi): Tìm hiểu các kỹ thuật viết một email theo các chuẩn RFC 822, 5322. Các lỗi thường gặp của doanh nghiệp: Thiếu chính sách DMARC/DKIM, sử dụng các giao thức email lỗi thời (SMTP mà không có TLS)…
- Gửi mail không thẩm quyền qua một tên miền nhất định: SMTP Local Delivery Configuration
- Evil proxy (Máy trung gian giả mạo): Thay vì phải ngồi làm một trang web giả mạo, bạn có thể thử cái này, đòi hỏi kỹ năng cao hơn một chút. Mục tiêu là đọc được mã xác thực hai bước và thực hiện việc nhái lại hoàn hảo (mirror) các chức năng của web gốc.
Sử dụng công cụ tự động hoá
Một vài công cụ cho bạn tham khảo:
- SET (Social Engineering Toolkit): https://github.com/trustedsec/social-engineer-toolkit
- GoPhish: https://getgophish.com/
- Metasploit Framework: https://www.metasploit.com/
3 – Tấn công và đánh giá kết quả
Tôi cho rằng những kẻ lừa đảo giỏi chắc chắn phải xuất sắc ở một khía cạnh nào đó, và họ là những người có cái đầu rất khá. (Tôi đang nói chủ mưu chứ không phải bộ máy những người “công nhân” bị bắt để đi lừa đồng bào nhé…)
Vì để tiến hành có hiệu quả cao, chúng ta phải đặt ra những câu hỏi như:
- Khi nào thì bắt đầu? Khi nào dừng lại? Khi nào chờ? Tính toán thời gian như một trò chơi trí não để con mồi thực sự “cắn câu”.
- Điều gì tồi tệ có thể xảy ra? Điều gì có thể sai? Ai đó có thể block bạn, cảm thấy có gì đó sai và báo cáo với cấp trên,…
- Đo lường thành quả bằng gì? Số lượng email mở, số lần nhấn link, chạy script,…
Ở những bộ máy lừa đảo lớn, kẻ “mastermind” đã tính và viết sẵn hết những điều này vào trong kịch bản và những gì cần làm tiếp theo; bộ máy “nhân viên” chỉ cần làm theo. Thế mới thấy kẻ thực sự xảo quyệt chẳng bao giờ lộ diện và cũng là kẻ được ‘ăn’ nhiều nhất…
Với phần thực hành, chúng tôi làm việc với MSFVenom của Metasploit Framework.
Nếu bạn có hứng thú về chủ đề này, tôi khuyến khích bạn tìm đọc cuốn “The Art of Deception” của hacker huyền thoại Kelvin Mitnick (idol của tôi và của nhiều người khác 🙂). Tuy rằng kịch bản lừa đảo được làm mới và thay đổi từng ngày, song có những nguyên lý muôn thuở luôn luôn đúng. Nói không quá, việc đọc cuốn sách này đã giúp tôi thoát khỏi nhiều lần suýt bị lừa lớn.
Tôi đánh giá nó là một cuốn sách xuất sắc, ở chỗ một khi bạn đã hiểu nguyên lý mà Mitnick trình bày, rất khó để bạn có thể bị lừa thêm một lần nào nữa. NEVER. EVER.
Nếu sách dài quá, hãy nhớ lời nhắc này của Kelvin ở cuối sách: Always verify, verify, verify. Hãy luôn luôn xác thực/ xác nhận lại một lần nữa. Kiểm tra lại thông tin với nhiều đầu mối, càng nhiều càng tốt.
Kết lại bài này, tôi nghĩ có thứ khác quan trọng hơn là chúc các bạn thành công. Tôi chúc bạn là người sống có trách nhiệm!