Những nguy cơ lớn từ mạng xã hội

Nixxer là một trong những kỹ sư chuyên nghiệp và tài năng nhất tại Úc trong việc tìm kiếm thông tin thông qua chiêu thức/thủ thuật lừa đảo phi kỹ thuật (social engineering).

Trong một sự kiện gần đây và trong một cuộc trò chuyện sau đó với tờ The Register, Nixxer đã trình diễn (chứ chưa tiến hành hành vi phá hoại thực sự) khả năng tìm kiếm thông tin cá nhân nhằm tấn công một nạn nhân bất kỳ.

Những vũ khí mà chàng hacker này sử dụng bao gồm một "hỗn hợp" công cụ tìm kiếm thông tin nguồn mở và các công cụ đặc chế, kết hợp với tài năng và kinh nghiệm đánh hơi, liên hệ và dò la thông tin cá nhân, đã cho thấy việc đánh cắp thông tin định danh có thể gây nguy hiểm đến mức nào.

Ngoài ra, hành vi đánh cắp định danh cũng giúp chúng ta nhận thức rằng ngay cả những tài khoản Facebook được thiết lập chặt chẽ nhất cũng "thủng lỗ chỗ như những cái sàng".

Bản thân Nixxer là một "con ma" bởi anh không dùng tên thật và không thể tìm thấy trên mạng.

Mặc dù vậy, danh tính hacker của anh được sử dụng công khai ở các sự kiện như hội nghị về bảo mật Unrestcon ở Melbourne, nơi anh đã trình bày cách tìm kiếm thông tin để truy cập các tài khoản ngân hàng.

Dịp này, Nixxer nhắm đến một địa chỉ được cho là của một người đàn ông có gia đình ở bang Kansas, Mỹ.

Nixxer chọn địa chỉ đó bằng cách chọn ngẫu nhiên qua Pastebin với từ khóa “dox” vốn là từ được dùng để chỉ những thông tin cá nhân bị công khai trên mạng.

Những hồ sơ này không tiết lộ một cái tên nào và Nixxer không thể chắc chắn liệu địa chỉ là có thật hay không. Tuy nhiên, việc xác minh địa chỉ đó không hề tốn thời gian khi có Google, dịch vụ bản đồ trực tuyến của Microsoft và các cơ sở dữ liệu về đất đai.

Nixxer không chỉ tìm thấy các chi tiết về người đàn ông này, mà còn về những chủ sở hữu trước đây của ngôi nhà đó. Những cơ sở dữ liệu công cộng khác tiết lộ về giá trị của ngôi nhà, cho phép ước lượng chính xác thu nhập mà gia đình họ cần có để sở hữu ngôi nhà.

Nixxer ước tính tổng thu nhập của cả gia đình nạn nhân vào khoảng 120.000 USD.

Hình ảnh ngôi nhà trên dịch vụ bản đồ cho thấy một chiếc xe hơi đang đậu bên đường. Mặc dù biển xe bị che đi nhưng hacker vẫn có thể nhìn ra tên hãng xe, mẫu xe và tiểu bang nơi chiếc xe được đăng ký.

"Bạn có thể nhận biết biển của bang Kansas dựa vào màu, hình dạng của chiếc biển cùng số chữ số và chữ cái trên đó", Nixxer nói.

Ngoài ra, khoảng sân nhỏ sau nhà chỉ ra trong nhà có ít nhất vài đứa trẻ.

"Sân bóng nhìn thấy ở sau nhà cũng là một thông tin hữu ích", Nixxer nhận định, “Có một trường học trong thị trấn và một đội bóng địa phương.Với từng đó thông tin, bạn có thể thực hiện một vụ tấn công lừa đảo khéo léo".

Ảnh minh họa.

Các dịch vụ cung cấp thông tin định danh trên mạng là mối đe dọa lớn đối với những người muốn giữ bí mật thông tin cá nhân. Dịch vụ data.com của Salesforce là kho báu cho những kẻ dò la, nó cho phép trao đổi thông tin cá nhân và khuyến khích mọi người tải lên thông tin liên hệ của mình để đổi lấy quyền truy cập thông tin của những người khác.

Ảnh hưởng của trang mạng đó có thể rất kinh khủng: địa chỉ nhà cũ của một trong những người bạn qua email của bạn bị trang mạng đó chộp được và đáp ứng cho bất cứ ai sẵn sàng chia sẻ liên lạc của họ hay mở ví, bất chấp mọi nỗ lực che đậy của bạn.

Bên cạnh đó, data.com chỉ là một trong số rất nhiều những trang mạng như kiểu Wayin – nơi khẳng định rằng cứ 14 người thì có 1 người bị họ giữ dữ liệu.

Nixxer đã sử dụng các trang mạng đó để tra cứu địa chỉ lấy từ Pastebin và để tìm ra tên của chủ nhận hiện tại cũng như những người chủ cũ của ngôi nhà ở Kansas.

Với tên của người cần tấn công, anh nhanh chóng tìm ra địa chỉ trước đó của người đàn ông cùng với địa chỉ email cá nhân, công việc và ngày sinh. "Các trang mạng này có ở khắp nơi", Nixxer nói, "Bạn chỉ cần trả một USD hay thứ gì khác và bạn sẽ truy cập được bất cứ thứ gì bạn muốn, tất cả đều ở đó. Nó thật đáng sợ".

Facebook là thuốc độc với những người thực sự coi trọng bí mật cá nhân và không có gì đáng ngạc nhiên khi Nixxer kiên quyết không tham gia mạng xã hội này, dù chỉ là bằng tên giả.

Nixxer có lý do của mình: giới hacker đã tạo ra những công cụ đáng sợ cho phép bỏ qua các thiết lập kiểm soát quyền riêng tư mà Facebook đặt ra. Các công cụ được đặc chế trong quá trình Nixxer làm việc với các cơ quan chính phủ có thể sử dụng tài khoản giả để thu thập thông tin về đối tượng cần điều tra, dù thiết lập bảo vệ quyền riêng tư được đặt ở mức cao nhất.

Không một tài khoản nào trong số 7 tài khoản giả mà Nixxer tải vào được người đàn ông trong câu chuyện của chúng ta chấp nhận kết bạn nhưng công cụ vẫn có thể vô hiệu hóa chức năng bảo vệ quyền riêng tư của Facebook.

Nhờ đó, Nixxer có thể tìm được thông tin định danh của anh chị, bố mẹ và anh em họ của nạn nhân qua Facebook và LinkedIn.

Anh cũng có hàng đống ảnh chụp và thông tin để xác nhận những khám phá trước đó của mình.

Anh chị em ruột và các con của người này đều làm tại một công ty mà Nixxer xác định là công ty gia đình.

"Facebook là một mạng gồm toàn những người mà ai cũng có thể bị lợi dụng", Nixxer nói, "Bạn có thể dùng hồ sơ giả để theo dõi mọi chuyển động của mục tiêu, chỉ thông qua Facebook".

Nixxer chuyển hướng sang việc kinh doanh của người đàn ông và biết được nạn nhân mà mình đang tấn công là giám đốc.

"Vào thời điểm này, tôi có đủ thông tin để mở hoặc đóng tài khoản ngân hàng của ông ta hay làm bất cứ việc gì tôi thích", Nixxer nói.

Với cái thòng lọng thông tin cá nhân đã được thắt chặt, bước tiếp theo của Nixxer là mô phỏng trang web của công ty nạn nhân. Một phép tìm kiếm đơn giản trên Shodan cho thấy website này chạy một bản Linux chưa được vá. Nixxer nhanh chóng giành được quyền truy cập vào máy chủ web với quyền root. Với một trang web giả mạo, các kiểu tấn công đều có thể xảy ra.

Liệu bạn có thể tránh các cuộc tấn công như kiểu Nixxer đã trình bày ở trên? Hacker này nghĩ bạn có thể, với bước đầu tiên là tránh sử dụng Facebook.

Lẽ đó, Nixxer khuyên người dùng không có lý do gì để viết ra thật sự nơi trưởng thành, ai là anh chị thật, hay bản thân đã đi đâu để mua quần áo ngày hôm qua.

Tuy thế, rõ ràng là việc khóa tài khoản vẫn chẳng thể nào ngăn được Nixxer cũng như đội quân hacker đông đảo trên khắp thể giới tìm đủ thông tin người dùng để rồi sử dụng chúng nhằm hủy hoại nạn nhân và những người khác có liên quan.

Nixxer khuyến cáo người dùng tốt hơn hết là nên sử dụng định danh giả trên mạng xã hội và triển khai Ublock Plus, AdBlock Plus cũng như các công cụ chặn script trên trình duyệt.

(lược dịch the The Register)