Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker

Để bạn có thể tự bảo vệ mình và nơi làm việc, hãy nghe lời khuyên từ một người thừa khả năng xem ảnh Facebook mà cũng hack được người khác.

Tự hào về môi trường làm việc của mình không phải điều gì đáng lên án. Tuy nhiên nếu bạn có thói quen selfie nơi công sở, chụp ảnh tập thể để lưu lại những khoảnh khắc vô tư chốn làm việc, thì những dòng dưới đây sẽ khiến bạn phải suy nghĩ đôi chút.

Hacker vẫn dạo quanh mạng xã hội để tìm kiếm ảnh, video hay bất cứ chi tiết gì có thể giúp đỡ họ trong công cuộc phá hoại. Cụ thể hơn, những nội dung bạn chia sẻ công khai trên mạng xã hội có thể bị biến thành công cụ tấn công nơi bạn làm việc.

Nếu bạn không tin, thì hãy cân nhắc tới việc ai đang đưa ra lời cảnh báo: tôi đang trích dẫn nội dung Stephanie Carruthers đăng tải trên Fast Company. Carruthers là thành viên cốt cán của đội hacker X-Force Red thuộc IBM, chuyên gia trong lĩnh vực đào bới bài đăng trên mạng xã hội để tìm ra những lỗ hổng bảo mật tiềm năng.

Dưới đây là những ý chính Stephanie “Snow” Carruthers nêu ra.

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 1.

May mắn thay, trong trường hợp của tôi, những “nạn nhân” đang trả lương để tôi tấn công họ. Tên tôi là Snow, một thành viên của đội ngũ hacker cấp cao công tác tại IBM, đội của được biết tới với cái tên X-Force Red. Các công ty thuê chúng tôi về để tìm ra các lỗ hổng bảo mật trước khi kẻ gian có thể lợi dụng chúng. 

Đối với tôi, điều này đồng nghĩa với việc lục lọi Internet để tìm kiếm thông tin, lựa cách lừa nhân viên tiết lộ ra những nội dung nhạy cảm, đôi khi còn là giả dạng để trà trộn vào đội ngũ nhân viên làm việc tại văn phòng.

Những bài đăng công khai trên mạng xã hội là một mỏ vàng đích thực, những chi tiết đó giúp ích rất nhiều trong những đợt “công kích” của nhóm. Ở nền của một tấm ảnh, có thể nhìn thấy rất nhiều thứ, từ thẻ an ninh cho tới màn hình laptop, hay thậm chí những tờ giấy nhớ ghi lại mật khẩu.

Không ai muốn trở thành lỗ hổng bảo mật cả. Vì thế, hãy để tôi giải thích cách những bài đăng tưởng như vô hại đó giúp chúng tôi - hay những kẻ gian tiềm năng khác - tấn công vào tổ chức của bạn.

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 2.

Điều đầu tiên, bạn có thể ngạc nhiên vì thông tin này đấy: trong tổng số những lần rà soát mạng xã hội, thì 75% nguồn thông tin tới từ nhân viên mới hoặc thực tập sinh. Thế hệ trẻ ngày nay lớn lên cùng mạng xã hội, vậy nên họ hứng khởi chia sẻ những hợp đồng thực tập, những cơ hội việc làm mới ngay khi có thể.

Cộng thêm việc các công ty không ngay lập tức đào tạo nhân viên cách chú tâm tới vấn đề bảo mật, thảm họa sẽ sớm xảy ra.

Biết được điểm yếu này, cộng thêm những hashtag cụ thể nữa, cho phép tôi nắm được hàng tấn thông tin chỉ sau vài giờ. Những hashtag thường thấy như #job, #firstday, … đi kèm với #têncôngty là ví dụ đơn giản nhất.

Tôi sẽ tìm gì trong những bài đăng như vậy? Có 4 loại bài đăng nhiều rủi ro nhất, tương đương với việc đem lại nhiều cơ hội cho hacker nhất.


Ảnh chụp tập thể

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 4.

Ảnh của bạn với đồng nghiệp thân thiết khi nghỉ ăn trưa hay làm hoạt động gì đó cùng nhau chứa đựng nhiều thông tin hơn bạn tưởng. Ở phông nền tấm ảnh, chỉ cần xuất hiện một cái poster nêu lên sự kiện teambuilding sắp diễn ra, lịch trình họp hành gì đó hoặc địa chỉ email chẳng hạn, bạn sẽ đứng trước nguy cơ bại lộ những thông tin liên quan.

Đơn cử như trong trường hợp lộ mail, nhiều khả năng bạn sẽ nhận được một email khả nghi nào đó mà khi ấn vào, bạn sẽ chính thức biến thành lỗ hổng bảo mật của công ty.


Các thứ thẻ mà công ty cấp cho nhân viên

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 6.

Thoạt nghe thì điều này có vẻ hiển nhiên lắm, nhưng thực sự bạn sẽ bất ngờ tột độ khi thấy nhân viên mới chụp cận cảnh thẻ an ninh mới được cấp, nhất là khi mới nhận được thẻ hoặc khi mới nghỉ việc. 

Chỉ cần biết vẻ ngoài của cái thẻ ra sao, việc tạo ra một sản phẩm y hệt không khó. Tôi có thể copy, paste xong tự in ra một cái thẻ y hệt với một khuôn mặt khác, chỉ mất vài phút là xong. Có thể cái thẻ này không hoạt động được trên máy quét, nhưng bạn sẽ lại bất ngờ một lần nữa khi biết: chỉ cần cười thủ tục, giơ thẻ ra cho nhân viên an ninh kiểm tra qua loa là có thể dễ dàng đi vào.


“Gửi nhật ký yêu thương, hôm nay tôi ...”

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 8.

Khi nhân viên tính tới chuyện làm hẳn một video kể lể về một ngày làm việc dài ở công ty, hacker sẽ hí hửng vì vừa vớ bở. Qua nội dung đó, tôi biết được kiến trúc văn phòng, khu vực hạn chế ra vào, bảng đề chi tiết kế hoạch tương lai; xem video cũng đã tương đương với việc đột nhập vào công ty vậy.

Không chỉ thế, màn hình laptop có thể hiển thị những phần mềm bảo mật đã được cài đặt, qua đó tôi có thể gửi tới thiết bị một file độc hại ngụy trang dưới dạng cập nhật phần mềm bảo mật.


Những khiếu nại tưởng chừng chỉ là những lời cằn nhằn vô hại

Văn hóa “review” đã tồn tại từ lâu, có thể coi lời phàn nàn của khách hàng từ thời Ai Cập cổ đại chính là bản review đầu tiên con người từng thực hiện. Ai cũng có thể bị soi xét, công ty bạn không phải trường hợp ngoại lệ. Không cần biết thông tin lọt qua lối nào, tôi chỉ cần nắm rõ điều khiến nhân viên bất bình là sẽ có thể sáng tác được những nội dung độc hại, đánh đúng vào tâm lý nhân viên đang có.

Lấy ví dụ bằng một công ty từng thuê tôi về, nhân viên của họ phàn nàn trên mạng về chỗ đậu xe hơi ít, vậy nên tôi sáng tác ra một bức email trình bày về chính sách đặt chỗ đậu xe mới, đưa lời cảnh báo giả rằng mọi phương tiện nằm ngoài khu vực đỗ xe sẽ bị “cẩu” đi mất. Vô số nhân viên nhận được mail vừa hứng khởi vì có được chỗ đậu xe, lại vừa lo sợ xe bị nhấc đi mất, ngay lập tức ấn vào bản đồ chỗ đậu xe giả mà tôi tạo ra, được đính kèm theo mail. Không ai hay đó là một file độc hại.

Bài đăng trên mạng xã hội tưởng như vô hại, nhưng chúng lại là mỏ vàng cho hacker - Ảnh 10.

Sau khi nghe loạt ví dụ trên, có thể bạn sẽ thắc mắc hacker muốn thâm nhập vào văn phòng bình để làm gì. Ngắn gọn mà nói, vào được trong bốn bức tường văn phòng, tôi đã có thể có được ít nhiều lòng tin. Từ thông tin nhạy cảm được ghi trên bảng phòng họp lẫn mật khẩu Wi-Fi được đính giữa thanh thiên bạch nhật, tôi phá bỏ được rào cản ngăn tôi với những bí mật của công ty.

Những bài đăng trên mạng xã hội có thể cho tôi đủ thông tin, đến mức không cần tới thăm văn phòng tôi cũng biết; bởi lẽ bằng nền tảng mạng xã hội, bạn đã cho tôi nhìn thẳng vào bên trong rồi.

Thế nên, trước khi chia sẻ những bài đăng liên quan tới công việc của bạn, hãy tự đặt câu hỏi: “Trong bài đăng này, liệu có điều gì mà mình không muốn anh hacker tên Snow hay biết không?”.

 
 
List comment
 
Hãng hàng không giá rẻ làm lộ thông tin 9 triệu khách hàng
icon

Hôm 19/5, EasyJet thông báo vừa hứng chịu cuộc tấn công mạng nghiêm trọng từ thế lực “vô cùng tinh vi”.

 
Tìm con thất lạc sau 32 năm nhờ nhận diện khuôn mặt
icon

Một người đàn ông bị bắt cóc 32 năm trước tại Trung Quốc đã đoàn tụ với gia đình nhờ công nghệ nhận diện khuôn mặt.

 
Thu tiền thế nào từ người đọc báo online?
icon

Với khoảng 3,4 triệu thuê bao đăng ký đọc báo online, tờ The Times sẽ có 1.000 tỷ đồng mỗi tháng chỉ với nguồn thu từ người đọc. Thực tế này mở ra nhiều con đường mới để tăng doanh thu cho báo chí Việt Nam.

 
VPCP thành lập Tổ công tác triển khai dịch vụ chứng thực bản sao điện tử
icon

Văn phòng Chính phủ (VPCP) vừa thành lập Tổ công tác triển khai dịch vụ chứng thực bản sao điện tử từ bản chính trên Cổng dịch vụ công quốc gia. Tổ trưởng Tổ công tác là ông Mai Tiến Dũng, Bộ trưởng, Chủ nhiệm VPCP.

 
Cổng dịch vụ công Quốc gia là kênh hữu hiệu nhất để 'điện tử hóa' các dịch vụ hành chính
icon

Theo Bộ trưởng, Chủ nhiệm VPCP Mai Tiến Dũng, với những kết quả đạt được sau 5 tháng đi vào hoạt động, Cổng dịch vụ công Quốc gia là kênh hữu hiệu nhất để điện tử hóa các dịch vụ hành chính.

 
Vingroup công bố giải pháp công nghệ nâng cao 25% năng suất lao động
icon

Công ty CP Giải pháp và Dịch vụ Công nghệ Vantix (thuộc Vingroup) công bố giải pháp VinHR, có khả năng nâng cao 25% năng suất lao động phổ thông thông qua thiết bị IoT cá nhân và AI.

“The Lion King”: Cuộc cách mạng của công nghệ mô phỏng hình ảnh bằng máy tính
icon

Công nghệ CGI không còn xa lạ đối với điện ảnh thế giới, được các nhà làm phim khai thác mạnh mẽ. Nhưng ở bộ phim 'The Lion King' phiên bản live-action, công nghệ hoạt hình máy tính tả thực được đưa lên tầm cao mới.

Phụ huynh đau đầu kiểm soát con sử dụng mạng xã hội
icon

Nhiều gia đình thực sự lo ngại về việc không kiểm soát được con em mình sử dụng mạng xã hội ngay cả khi các con chỉ ở trong nhà.

12 địa phương đã tích hợp thanh toán online trên Cổng dịch vụ công quốc gia
icon

Văn phòng Chính phủ hiện đã hoàn thành việc kết nối, tích hợp hệ thống thanh toán trực tuyến của Cổng dịch vụ công quốc gia với Cổng dịch vụ công, hệ thống thông tin một cửa điện tử cấp tỉnh của 12 tỉnh, thành phố.

Kết nối dữ liệu phòng, chống dịch bệnh Covid-19 về Bộ Y tế
icon

Theo đề nghị của Ban chỉ đạo quốc gia phòng chống dịch Covid-19, Bộ TT&TT sẽ phối hợp với Bộ Y tế hướng dẫn, hỗ trợ các cơ quan, tổ chức và cá nhân thực hiện kết nối dữ liệu phòng chống, dịch bệnh Covid-19 về Bộ Y tế.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123