Thế giới thiệt hại 114 tỷ USD mỗi năm do tin tặc

Tấn công mạng vào các tập đoàn lớn - Cực dễ?

Thử nghiệm cho thấy nhân viên của các công ty lớn như Oracle, Apple, AT&T, Symantec, Sysco, United Airlines, Verizon Communications... đều dễ dãi cung cấp thông tin cho hacker.

Ảnh minh họa

Vì sao các công ty lớn lại dễ dàng trở thành nạn nhân của các vụ tấn công ảo? Theo các hacker đang tham gia hội nghị Defcon, hội nghị hacking lớn nhất thế giới diễn ra tại Las Vegas, nhân viên của các tập đoàn lớn được đào tạo rất kém về bảo mật, khiến hacker "cực kỳ dễ dàng" dụ dỗ họ tiết lộ thông tin nhạy cảm, từ đó lên kế hoạch tấn công chống lại tổ chức.

Vào thời điểm những tập đoàn lớn như Sony Corp và Quỹ tiền tệ quốc tế (IMF) trở thành nạn nhân của những vụ xâm hại bảo mật nặng nề, các công ty mới bắt đầu chú ý đến bảo mật. Nhưng không may, các hacker cho rằng nhân viên của một số công ty lớn tại Mỹ vẫn thiếu kiến thức về bảo mật.

Cụ thể, các nhân viên công ty lớn thậm chí còn sử dụng máy tính của công ty để truy cập những website do hacker - là những người tham dự cuộc thi trong hội nghị Defcon - "mớm" cho. Trong trường hợp này, nếu họ (hacker) là những tội phạm thực thụ, phần mềm mã độc có thể đã được tải vào máy tính.

Giả vờ là một nhân viên của một công ty CNTT, một trong những hacker tham dự hội nghị đã thuyết phục thành công nhân viên khác chuyển thông tin về cấu hình máy tính của cô. Với thông tin đó, hacker có thể dễ dàng quyết định mã độc nào thích hợp nhất để trở thành vũ khí thực hiện cuộc tấn công cả tập đoàn.

"Với tôi, đó là một ví dụ rất đáng sợ, bởi cô nhân viên kia sẵn sàng đáp ứng yêu cầu của tôi". Chris Hadnagy, một trong những nhà tổ chức hội nghị Defcon ở Las Vegas, nói. "Điều này có thể bị những kẻ tội phạm chuyên nghiệp lợi dụng".

Một nhóm các hacker tốt bụng đã tổ chức hội nghị Defcon để chứng minh tính xác thực của những nghiên cứu về các lỗ hổng bảo mật, cũng như cảnh báo cho các công ty về các vấn đề bảo mật cần nâng cấp, sửa chữa. Cuộc thi tấn công mạng lưới mấy tính được các hacker mũ trắng tài trợ tại hội nghị cũng nhằm mục đích phơi bày những lỗ hổng bảo mật trong các công ty, và khuyến khích các công ty nhận thức rõ hơn về rủi ro bị tấn công, mà nguyên nhân xuất phát từ chính nhân viên.

Oracle là một trong những công ty đáng báo động nhất. "Oracle đã bị hạ đo ván", Hadnagy, đồng tác giả cuốn sách: "Social Engineering: The Art of Human Hacking", nói. Các nhân viên tại Oracle, một trong những nhà sản xuất phần mềm lớn nhất thế giới, đã dễ dãi cung cấp hầu hết các số liệu mà hacker cần.

Đáng ngạc nhiên là ngoài Oracle, các công ty khác cũng trở thành nạn nhân nếu hacker nhắm vào. Đó đều là những tổ chức rất có tên tuổi trong làng CNTT như Apple, AT&T, ConAgra Foods, Delta Air Lines, Symantec, Sysco, United Continental Holdings, United Airlines và Verizon Communications.

Theo các chuyên gia bảo mật, các hacker thường sử dụng "chiến thuật mạng xã hội" để dụ dỗ người khác cung cấp thông tin hoặc tải phần mềm mã độc. Hacker gửi một email lừa đảo người khác, giả vờ làm bạn. Email đó yêu cầu người nhận mở một tệp tin (file) nhiễm virus hoặc truy cập một website độc hại.

Trong năm qua, vô số hoạt động tấn công của các nhóm hacker như LulzSec và Anonymous đã được công bố. Nhiều tổ chức như Bộ Quốc phòng Mỹ, IMF, EMC Corp, Sony, NASA, Arizona Police và các cơ quan chính phủ trên thế giới đều là đích ngắm của hacker.

Theo ICTnew