Quy trình mua hàng sử dụng thẻ
7.2.1 Tấn công phi kỹ thuật
Các cán bộ IT có xu hướng tập trung vào phương diện kỹ thuật của an ninh mạng: bức tường lửa, mã hóa, chữ ký số .v.v. Tuy nhiên, điểm yếu của phần lớn các mạng lại là con người sử dụng nó. Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vơ thưởng vơ phạt, kẻ tấn cơng có thể làm tổn hại đến hệ thống mạng máy tính.
Ví dụ, kẻ tấn cơng gửi một bức thư điện tử như sau đến người dùng:
Người dùng của xyz.com kính mến
Chúng tơi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã được sử dụng để gửi một lượng rất lớn spam trong tuần lễ qua. Hiển nhiên là máy tính của Ơng (Bà) đã bị tổn hại và hiện giờ đang chạy trên một máy chủủy quyền bị nhiễm virus con ngựa thành Tơ-roa.
Chúng tơi khun Ơng (Bà) hãy tn thủ các chỉ dẫn được đính kèm bức thư này (xyz.com.zip) để bảo vệ máy tính của Ơng (Bà) được an tồn.
Chúc Ơng (Bà) may mắn. Đội hỗ trợ kỹ thuật của xyz.com.
Thông điệp được gửi đến từ site cung cấp dịch vụ thư điện tử PostMaster@xyz.com và tỏ ra là một đề nghị hợp pháp từ đội hỗ trợ kỹ thuật của công ty. Người gửi sử dụng quyền hạn của đội hỗ trợ kỹ thuật và lợi dụng sự lo ngại của người nhận rằng có một cái gì đó khơng đúng xẩy ra và cần giải quyết tình huống này. Tuy nhiên, việc người nhận mở file nén kèm theo sẽ cài đặt máy chủ ủy quyền bị nhiễm con ngựa thành Tơ-roa mà người nhận yêu cầu loại bỏ. Đây là một ví dụ điển hình về tấn cơng phi kỹ thuật, vì quyết định của người nhận có mở hay khơng file nén sẽ quyết định cuộc tấn cơng có thành cơng hay không, chứ không phụ thuộc vào kỹ năng của người gửi.
Tấn công phi kỹ thuật cũng bao gồm hai loại: một loại dựa trên con người và một loại dựa trên máy tính. Tấn cơng phi kỹ thuật dựa trên con người thực hiện nhờcác phương pháp truyền thông truyền thống (qua miệng, qua điện thoại). Ví dụ, một hacker giả bộ làm nhân viên hỗ trợ IT của công ty gọi điện đến một nhân viên nào đó của công ty và hỏi password của nhân viên với lý do là cần password đó để xác định một vấn đềnào đó trong hệ thống. Hacker có thể giả danh là một cán bộ quản lý nào đó của cơng ty hỏi cán bộ IT một password nào đó mà anh ta quên mất. Sợ rằng nếu từ chối là bất hợp tác với cấp trên, nhân viên IT chiều lịng thơng báo. Các nhân viên IT cũng có thể sơ xuất ghi chép password trên các mảnh giấy nhỏ, hoặc các loại giấy nháp, bị bỏ đi và sau đó những kẻ hacker nhìn thấy hoặc nhặt được.
Trong tấn cơng phi kỹ thuật dựa trên máy tính, nhiều thủđoạn khác nhau được sử dụng để kích động cá nhân tiết lộ thông tin nhạy cảm. Kẻ lừa đảo sử dụng các địa chỉ thư điện tử giả hoặc làm chệch hướng các liên kết Web tới một địa chỉ khác với địa chỉ thực hoặc tới một website giả mạo website thực cần liên kết. Những liên kết này có thể sẽhướng người sử dụng tới những website vô bổ, ngoài mong muốn nhằm thực hiện những mưu đồ của tin tặc.
Cho dù các hành vi lừa đảo không làm nguy hại trực tiếp các tệp dữ liệu hoặc các máy chủ mạng nhưng nó đe doạ tính tồn vẹn của một website. Nếu những kẻ tin tặc làm chệch hướng khách hàng tới một website giả mạo, giống hệt website mà khách hàng dự định giao dịch, chúng có thể thu thập các thông tin vềđơn đặt hàng và thực hiện các đơn đặt hàng ăn cắp được, những đơn đặt hàng mà lẽ ra phải thuộc về chủ nhân của những website thật. Hoặc, với mục đích làm mất thanh danh hoặc uy tín của các doanh nghiệp, tin tặc có thể làm thay đổi nội dung các đơn đặt hàng, như thay đổi số lượng hay tên các mặt hàng cần mua, sau đó gửi các đơn hàng đã bị thay đổi tới các website thật. Tất nhiên, khi nhận được những hàng hố khơng phù hợp, khách hàng sẽ khơng thể chấp nhận những sai sót này. Và trong những trường hợp như vậy, doanh nghiệp sẽ là người gánh chịu tất cả, vừa mất uy tín, vừa phải chịu tồn bộ các chi phí của quá trình thực hiện đơn đặt hàng.
Các hành vi lừa đảo khơng những đe doạ tính tồn vẹn, mà cịn đe doạ tính xác thực của các giao dịch thương mại điện tử. Với những trò ranh ma của mình, tin tặc có thể làm cho các giao dịch thương mại điện tử trởthành “trắng đen lẫn lộn” và cả doanh nghiệp lẫn khách hàng khó đều có thể xác định được đâu là thật, đâu là giả.