Đó là kết quả “nghiên cứu” mới nhất được công bố tại hội thảo Hacker Mũ Đen đang tổ chức tại Washington, Mỹ. Hai thành viên nhóm nghiên cứu đã chứng minh các chuyên gia bảo mật cũng bị lừa dễ dàng bởi chính những điều họ khuyên khách hàng… đừng mắc phải, đặc biệt trên các site mạng xã hội.
Chuyên gia bảo mật cũng dễ bị lừa
Chỉ cần một mẹo nhỏ, các chuyên gia bảo mật đã bị dụ dỗ đăng nhập vào trang mạng xã hội của những người thậm chí họ không hề quen biết. Đó là các trang mạo danh chuyên gia có tiếng tăm trong ngành.
Cú lừa nhỏ này đã cho thấy thậm chí những người hay nghi kị nhất trên internet hay mạng xã hội vẫn có thể phạm sai lầm cơ bản mà họ nghĩ bản thân họ sẽ chẳng bao giờ mắc phải. Những trang này có thể gây ảnh hưởng tới cả những trang “sạch”, do kẻ xấu có thể lợi dụng chức năng “mời làm bạn” để dụ dỗ nạn nhân ấn vào đường link trên trang độc hại.
Vài site mạng xã hội có cách thiết kế khá nguy hiểm khi cho phép người dùng đăng mã lập trình lên trang, hoặc lên trang của người khác. Những trang này có thể gây ảnh hưởng tới cả những trang “sạch”, do kẻ xấu có thể lợi dụng chức năng “mời làm bạn” để dụ dỗ nạn nhân ấn vào đường link trên trang độc hại.
Chuyên gia bảo mật
Shawn Moyer, trưởng bộ phận bảo mật của Agura Digital Scurity, và Nathan Hamiel, cố vấn trưởng của Idea Infoformation Security, đã thực hiện trò lừa nho nhỏ như sau: Trước hết, họ rà soát các trang mạng xã hội lớn để kiểm tra các nhân vật tiếng tăm trong lĩnh vực bảo mật đã đăng kí tài khoản hay chưa. Sau khi đăng kí được tài khoản, các thông tin còn thiếu sẽ được bổ sung bằng nguồn chính thống trên báo chí. Để tăng độ “tin cậy” cho các tài khoản giả mạo này, đề nghị kết bạn sẽ được gửi đi hàng loạt.
Do đó, trên mạng luôn có người chấp nhận đề nghị mà không suy xét, không để ý kết quả là tài khoản giả sẽ có lượng “bạn” kha khá sau một thời gian ngắn. Và cuối cùng, khi trang mạo danh đã đạt đủ độ “thật”, bộ đôi sẽ gửi lời mời kết bạn tới những chuyên gia bảo mật có tiếng tăm trên các mạng xã hội khác.
Cuộc thử nghiêm cho một kết quả bất ngờ: Ba lần thử nghiệm, mỗi lần là một tài khoản khác nhau “câu” được tới 50 người chỉ trong vòng 24 giờ. Một vài người trong số đó, thậm chí là lãnh đạo bộ phận bảo mật của các tập đoàn lớn. Moyer đã từ chối cung cấp tên của các nạn nhân, nhưng trên bình luận “Chúng tôi thật sự ngạc nhiên với sự cả tin của mọi người. Bất kì nạn nhân nào trong số trên cũng đều “sẵn sàng” nhấn vào link trên site độc hại hoặc xem lý lịch trên site để bị tuồn một phần mềm độc hại vào trong máy”.
Xem ra, cánh nhà báo là những người cảnh giác hơn cả: Moyer – trưởng bộ phận bảo mật của Agura Digital Scurity và Hamiel – cố vấn trưởng của Idea Infoformation Security thậm chí suýt nhận phỏng vấn với một nhà báo trong danh sách “bạn”, nhưng sau đó bị lật tẩy vì người này gửi thư đề nghị xác nhận đến chính chủ.
Theo AP
