Kỹ thuật xã hội hầu như không phải là một khái niệm mới, ngay cả trong thế giới an ninh mạng. Riêng các trò lừa đảo lừa đảo đã tồn tại gần 30 năm, trong đó những kẻ tấn công liên tục tìm ra những cách mới để lôi kéo nạn nhân nhấp vào liên kết, tải xuống tệp hoặc cung cấp thông tin nhạy cảm.
Các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC) lặp lại khái niệm này bằng cách cho phép kẻ tấn công giành được quyền truy cập vào tài khoản email hợp pháp và mạo danh chủ sở hữu của nó. Những kẻ tấn công lý luận rằng nạn nhân sẽ không đặt câu hỏi về email đến từ một nguồn đáng tin cậy — và thường thì họ đúng.
Nhưng email không phải là phương tiện hiệu quả duy nhất mà tội phạm mạng sử dụng để tham gia vào các cuộc tấn công lừa đảo qua mạng xã hội. Các doanh nghiệp hiện đại dựa vào nhiều ứng dụng kỹ thuật số, từ dịch vụ đám mây và VPN đến các công cụ truyền thông và dịch vụ tài chính. Hơn nữa, các ứng dụng này được kết nối với nhau, do đó kẻ tấn công có thể xâm phạm ứng dụng này cũng có thể xâm phạm ứng dụng khác. Các tổ chức không thể tập trung hoàn toàn vào các cuộc tấn công lừa đảo và BEC — nhất là khi sự xâm phạm ứng dụng kinh doanh (BAC) đang gia tăng.
Nhắm mục tiêu đăng nhập một lần
Các doanh nghiệp sử dụng các ứng dụng kỹ thuật số vì chúng hữu ích và tiện lợi. Trong thời đại làm việc từ xa, nhân viên cần quyền truy cập vào các công cụ và tài nguyên quan trọng từ nhiều địa điểm và thiết bị. Các ứng dụng có thể hợp lý hóa quy trình công việc, tăng khả năng truy cập vào thông tin quan trọng và giúp nhân viên thực hiện công việc của họ dễ dàng hơn. Một bộ phận riêng lẻ trong một tổ chức có thể sử dụng hàng tá ứng dụng, trong khicông ty trung bình sử dụng hơn 200. Thật không may, bộ phận bảo mật và CNTT không phải lúc nào cũng biết về — chứ đừng nói đến việc phê duyệt — những ứng dụng này, khiến việc giám sát trở thành một vấn đề.
Xác thực là một vấn đề khác. Việc tạo (và ghi nhớ) các kết hợp tên người dùng và mật khẩu duy nhất có thể là một thách thức đối với bất kỳ ai sử dụng hàng tá ứng dụng khác nhau để thực hiện công việc của mình. Sử dụng trình quản lý mật khẩu là một giải pháp nhưng bộ phận CNTT có thể khó thực thi. Thay vào đó, nhiều công ty hợp lý hóa quy trình xác thực của họ thông qua các giải pháp đăng nhập một lần (SSO), cho phép nhân viên đăng nhập vào tài khoản được phê duyệt một lần để truy cập vào tất cả các ứng dụng và dịch vụ được kết nối. Nhưng vì các dịch vụ SSO giúp người dùng dễ dàng truy cập vào hàng chục (thậm chí hàng trăm) ứng dụng kinh doanh nên chúng là mục tiêu có giá trị cao cho những kẻ tấn công. Tất nhiên, các nhà cung cấp SSO có các tính năng và khả năng bảo mật của riêng họ — nhưng lỗi của con người vẫn là một vấn đề khó giải quyết.
Kỹ thuật xã hội, phát triển
Nhiều ứng dụng — và chắc chắn là hầu hết các giải pháp SSO — đều có xác thực đa yếu tố (MFA). Điều này khiến kẻ tấn công khó xâm phạm tài khoản hơn, nhưng chắc chắn không phải là không thể. MFA có thể gây khó chịu cho người dùng, những người có thể phải sử dụng nó để đăng nhập vào tài khoản nhiều lần trong ngày — dẫn đến sự thiếu kiên nhẫn và đôi khi là bất cẩn.
Một số giải pháp MFA yêu cầu người dùng nhập mã hoặc hiển thị dấu vân tay của họ. Những người khác chỉ cần hỏi: “Đây có phải là bạn không?” Cách thứ hai, mặc dù dễ dàng hơn cho người dùng nhưng lại mang lại cho kẻ tấn công không gian để hoạt động. Kẻ tấn công đã có được một bộ thông tin xác thực người dùng có thể cố gắng đăng nhập nhiều lần, mặc dù biết rằng tài khoản được bảo vệ MFA. Bằng cách gửi thư rác vào điện thoại của người dùng với các yêu cầu xác thực MFA, những kẻ tấn công làm tăng sự mệt mỏi cảnh giác của nạn nhân. Nhiều nạn nhân, khi nhận được vô số yêu cầu, cho rằng bộ phận CNTT đang cố truy cập vào tài khoản hoặc nhấp vào “phê duyệt” chỉ để ngăn chặn lũ thông báo. Mọi người dễ bị làm phiền và những kẻ tấn công đang lợi dụng điều này để làm lợi thế cho họ.
Theo nhiều cách, điều này làm cho BAC dễ thực hiện hơn BEC. Những kẻ thù tham gia vào BAC chỉ cần quấy rầy nạn nhân của họ đưa ra một quyết định tồi. Và bằng cách nhắm mục tiêu vào các nhà cung cấp danh tính và SSO, kẻ tấn công có thể có quyền truy cập vào hàng tá ứng dụng khác nhau, bao gồm cả dịch vụ nhân sự và trả lương. Các ứng dụng thường được sử dụng như Workday thường được truy cập bằng SSO, cho phép kẻ tấn công tham gia vào các hoạt động như gửi tiền trực tiếp và gian lận tiền lương để chuyển tiền trực tiếp vào tài khoản của chính chúng.
Loại hoạt động này có thể dễ dàng không được chú ý — đó là lý do tại sao điều quan trọng là phải có sẵn các công cụ phát hiện trong mạng để có thể xác định hành vi đáng ngờ, ngay cả từ tài khoản người dùng được ủy quyền. Ngoài ra, doanh nghiệp nên ưu tiên sử dụng Khóa bảo mật nhận dạng nhanh trực tuyến (FIDO) chống lừa đảo
khi sử dụng MFA. Nếu các yếu tố chỉ FIDO cho MFA là không thực tế thì điều tốt nhất tiếp theo là vô hiệu hóa email, SMS, giọng nói và mật khẩu một lần dựa trên thời gian (TOTP) để sử dụng thông báo đẩy, sau đó định cấu hình chính sách MFA hoặc nhà cung cấp danh tính để hạn chế quyền truy cập tới các thiết bị được quản lý như một lớp bảo mật bổ sung.
Ưu tiên phòng ngừa BAC
mới đây nghiên cứu chỉ ra
rằng chiến thuật BEC hoặc BAC được sử dụng trong 51% tổng số sự cố. Mặc dù ít được biết đến hơn BEC nhưng BAC thành công sẽ cấp cho kẻ tấn công quyền truy cập vào nhiều ứng dụng cá nhân và doanh nghiệp được liên kết với tài khoản. Kỹ thuật tấn công xã hội vẫn là một công cụ mang lại lợi nhuận cao cho những kẻ tấn công ngày nay — một công cụ được phát triển cùng với các công nghệ bảo mật được thiết kế để ngăn chặn nó.
Các doanh nghiệp hiện đại phải đào tạo nhân viên của mình, dạy họ cách nhận biết các dấu hiệu của một vụ lừa đảo tiềm ẩn và nơi để báo cáo. Với việc các doanh nghiệp sử dụng nhiều ứng dụng hơn mỗi năm, nhân viên phải hợp tác chặt chẽ với nhóm bảo mật của họ để giúp hệ thống luôn được bảo vệ trước những kẻ tấn công ngày càng tinh quái.
