Các chuyên gia bảo mật máy tính thường bị cho là những tay soi mói, nghi ngờ mọi thứ. Nhưng trên thực tế, xem ra họ cũng... dễ bị dụ dỗ như dân không chuyên!
Đó là kết quả "nghiên cứu" mới nhất được công bố tại hội thảo Hacker Mũ Đen dang tổ chức tại Washington, Mĩ. Hai thành viên nhóm nghiên cứu đã chứng minh các chuyên gia bảo mật cũng bị lừa dễ dàng bởi chính những điều họ khuyên khách hàng... đừng mắc phải, đặc biệt trên các site mạng xã hội.
Chỉ cần một mẹo nhỏ, các chuyên gia bảo mật bị dụ dỗ đăng nhập vào trang mạng xã hội của những người thậm chí không quen biết. Đó là các trang mạo danh chuyên gia có tiếng tăm trong ngành. Cú lừa nhỏ này cho thấy thậm chí những người hay nghi kị nhất trên Internet vẫn có thể phạm sai lầm cơ bản.
Vài site mạng xã hội có cách thiết kế khá nguy hiểm khi cho phép người dùng đăng mã lập trình lên trang, hoặc lên trang của người khác. Những trang này có thể gây ảnh hưởng tới cả những trang "sạch", do kẻ xấu có thể lợi dụng chức năng "mời làm bạn" để dụ dỗ nạn nhân ấn vào đường link trên trang độc hại.
Shawn Moyer, trưởng bộ phận bảo mật của Agura Digital Scurity, và Nathan Hammel, cố vấn trưởng của Idea Infoformation Security, đã thực hiện trò lừa nho nhỏ như sau: Trước hết, họ rà soát các trang mạng xã hội lớn để kiểm tra các nhân vật tiếng tăm trong lĩnh vực bảo mật đã đăng kí tài khoản hay chưa. Sau khi đăng kí được tài khoản, các thông tin còn thiếu sẽ được bổ sung bằng nguồn chính thống trên báo chí. Để tăng độ "tin cậy" cho các tài khoản giả mạo này, đề nghị kết bạn sẽ được gửi đi hàng loạt. Do trên mạng luôn có người chấp nhận đề nghị mà không suy xét, kết quả là tài khoản giả sẽ có lượng "bạn" kha khá sau một thời gian ngắn. Và cuối cùng, khi trang mạo danh đã đạt đủ độ "thật", bộ đôi sẽ gửi lời mời kết bạn tới những chuyên gia bảo mật có tiếng tăm trên các mạng xã hội khác.
Cuộc thử nghiêm cho kết quả bất ngờ: ba lần thử nghiệm, mỗi lần một tài khoản khác nhau "câu" được tới 50 người chỉ trong 24 giờ. Một vài người trong số đó thậm chí là lãnh đạo bộ phận bảo mật của các tập đoàn lớn. Moyer từ chối cung cấp tên của các nạn nhân, nhưng bình luận "Chúng tôi thật sự ngạc nhiên với sự cả tin của mọi người. Bất kì nạn nhân nào trong số trên cũng đều "sẵn sàng" nhấn vào link trên site độc hại hoặc xem lý lịch trên site để bị tuồn một phần mềm độc hại vào trong máy"
Xem ra, cánh nhà báo là những người cảnh giác hơn cả: Moyer và Hamiel thậm chí suýt nhận phỏng vấn với một nhà báo trong danh sách "bạn", nhưng sau đó bị lật tẩy vì người này gửi thư đề nghị xác nhận đến chính chủ.
Theo Dân trí/AP
Bình luận