Chúng ta hãy xem xét cách hacker sử dụng các công cụ mạng xã hội để có thể truy cập được hệ thống của nạn nhân.
1. Đánh cắp mật khẩu (Stealing password): đây là một cách thức thường được sử dụng, hacker sử dụng các thông tin có được từ profile của nạn nhân trên mạng xã hội, nhằm suy đoán câu hỏi nhắc mật khẩu của nạn nhân. Kỹ thuật này thường được sử dụng để lấy cắp tài khoản Twitter và e-mail của nạn nhân.
2. Làm bạn (Friending): trong kịch bản này, một hacker sẽ tìm cách lấy lòng tin của một cá nhân hay tổ chức. Sau đó chúng dẫn dụ nạn nhân nhấp vào các link hoặc những thứ kèm theo, những cái này có chứa malware và tích hợp sẵn một chương trình xử lý, hành động này nhằm dò tìm và khai thác các điểm yếu trong một hệ thống công ty. Lấy ví dụ, nói về Netragard CTO Adriel Desautels, anh ta có thể bắt gặp một cuộc đối thoại trực tuyến về nghề cá và sau đó gửi một tấm hình về con thuyền mà anh ta nghĩ là họ mua.
3. Giả mạo (Impersonation/social network squatting): trong trường hợp này, hacker sẽ tự gọi đến bạn, giả vờ như là người thân hay những người bạn quen trực tuyến trên mạng bằng cách sử dụng tên của những người mà bạn biết. Sau đó hắn sẽ đòi hỏi bạn làm một vài chuyện, như gửi cho một bảng tính hay dữ liệu từ văn phòng cho anh ta. Desautels nói :”Bất cứ gì bạn nhìn thấy trên hệ thống máy tính đều có thể bị lừa, bị điều khiển hay bị bổ sung bởi hacker”.
4. Giả dạng (Posing as an insider): Thử tưởng tượng thông tin mà bạn có thể khai thác từ một công nhân mà bạn không biết nếu bạn tự nhận mình như một nhân viên hỗ trợ IT hoặc là người ký hợp đồng. Desautels nói :”Khoảng chừng 90% số người mà chúng ta khai thác thành công đều tin tưởng chúng ta vì họ nghĩ chúng ta làm việc trong cùng công ty với họ”.
Trên blog của Netragard có mô tả một trường hợp xâm nhập như sau: anh ấy tự mạo danh là một người ký hợp đồng, và tỏ ra rất thân thiện với mọi người theo một kế hoạch có sẵn, nhằm tích góp các thông tin từ nhân viên, với mục tiêu cuối cùng là tìm được đường xâm nhập vào hệ thống của công ty đó.
Phước Biển
CTV UITnetwork
- 26/11/2009 17:22 - 12 "chiêu" lừa đảo qua email thường gặp dịp giáng …
- 26/11/2009 17:14 - Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp
- 25/11/2009 00:49 - Những con số ấn tượng từ báo cáo bảo mật năm 2009
- 08/11/2009 23:45 - Mạng xã hội đối mặt với đại dịch Phising
- 26/10/2009 22:14 - 10 "cái nhất" về bảo mật trong tháng 9
- 26/10/2009 09:39 - Virus Gumblar hồi sinh
- 26/10/2009 09:21 - Tấn công Phising và cách phòng tránh
- 21/10/2009 23:20 - Scareware – hiểm họa mới đang leo thang
- 19/10/2009 16:14 - Malware tồn tại trong máy tính dài hơn chúng ta ng…
- 11/10/2009 02:04 - Tạo user có full quyền administrator từ user thườn…
