Home / Blog / General / Phương pháp Mitnick: Vì sao một cậu học sinh 15 tuổi có thể “rút sạch” tài khoản ngân hàng của bạn

Phương pháp Mitnick: Vì sao một cậu học sinh 15 tuổi có thể “rút sạch” tài khoản ngân hàng của bạn

Hãy thử hình dung: 3 giờ chiều của một ngày Thứ Ba bận rộn. Điện thoại của bạn đổ chuông, và màn hình hiển thị đúng số tổng đài công ty. Giọng nói từ đầu dây rất tự tin “Chào anh/chị, em là Jake bên IT. Bên em đang thấy một số hoạt động bất thường trên tài khoản của anh/chị và cần xác minh mật khẩu để bảo mật. Anh/chị hỗ trợ em chút được không ạ?”.

Nghe khá quen đúng không?

Đây chính là kỹ thuật mà một thiếu niên tên Kevin Mitnick đã mài giũa hoàn thiện từ năm 1983, rất lâu trước thời internet, smartphone, hay thậm chí trước cả Windows và Linux. Điều còn “choáng” hơn: kịch bản y hệt như vậy đang lặp lại hàng nghìn lần mỗi ngày trong các doanh nghiệp ở Mỹ, trên toàn thế giới và thậm chí ngay tại Việt Nam.

Trong cuốn hồi ký Ghost in the Wires, Mitnick - một trong những hacker nổi tiếng và tai tiếng nhất thế giới - tiết lộ một sự thật đáng suy ngẫm: những cuộc tấn công mạng tinh vi nhất không nhất thiết cần kỹ năng lập trình, phần mềm đắt tiền hay nhiều năm đào tạo kỹ thuật. Thứ chúng thực sự cần lại đơn giản hơn nhiều: tâm lý con người.

Nghệ thuật tạo dựng niềm tin

Khi muốn truy cập toàn bộ cơ sở dữ liệu của DMV California vào đầu thập niên 1980, Mitnick không viết mã phức tạp hay khai thác lỗ hổng phần mềm. Thay vào đó, tất cả những gì anh ta làm chỉ là… một cuộc gọi điện thoại.

Phương pháp của anh ta cực kỳ đơn giản nhưng hiệu quả.

Mitnick gọi đến DMV, giả danh một sĩ quan cảnh sát, biết chắc họ sẽ yêu cầu Requester Code - một thuật ngữ nội bộ chỉ nhân viên DMV mới dùng. Rồi đến “nước cờ” thiên tài: anh ta gọi ngược lại, lần này giả làm nhân viên DMV, nói cần xác minh một mã không có thật (made-up code). Nhân viên nhiệt tình ở đầu dây bên kia sẽ sửa lại cho đúng, vô tình cung cấp mã thật.

Và thế là xong!

Ngay sau đó, Mitnick đã có thể truy cập và rà soát toàn bộ hồ sơ lái xe tại California.

Bài học ở đây là gì? Niềm tin không được tạo nên từ bằng cấp hay chứng chỉ nào đó mà được tạo ra từ sự tự tin và việc sử dụng đúng thuật ngữ chuyên môn.

Thành công của Mitnick không phải do may mắn. Anh ta đã vô thức thực hiện thành công ba yếu tố quan trọng của thủ thuật social engineering:

1. Xây dựng niềm tin bằng thuật ngữ

Việc dùng đúng từ ngữ chỉ thông dụng trong nội bộ doanh nghiệp có thể tạo ra độ tin cậy gần như ngay tức thì. Khi Mitnick dùng thuật ngữ như Requester Code, anh ta không đoán mò mà đang chứng minh mình là "người trong nhà". Hiện nay, các hacker luôn nghiên cứu rất kỹ jargon của công ty, tên phần mềm, quy trình nội bộ qua LinkedIn, website công ty và mạng xã hội.

Ví dụ bạn có thể nhận một cuộc gọi như: "Chào anh, em gọi về việc tích hợp Salesforce với hệ thống CRM. Bên em đang thấy có lỗi đồng bộ trong API log."

2. Khai thác yếu tố quyền lực

Con người có xu hướng tuân thủ mệnh lệnh từ cấp trên hoặc những người có vị thế hơn. Và đó là lý do mà Mitnick thường giả danh sĩ quan cảnh sát, kỹ thuật viên mạng hoặc lãnh đạo doanh nghiệp vì những vị trí này mặc nhiên mang lại cảm giác quyền lực. Các social engineer (kể tấn công sử dụng phương thức social engineering) ngày nay cũng áp dụng chiến thuật tương tự khi giả mạo IT support, nhân sự (HR), hoặc các lãnh đạo cấp cao C-suite.

Ví dụ như bạn có thể nhận một tin nhắn LinkedIn từ "Giám đốc An ninh Thông tin (CISO) mới" yêu cầu audit nhanh quyền truy cập của bạn.

3. Tạo cảm giác khẩn cấp

Trong tình huống gấp gáp, khả năng tư duy phản biện của con người thường bị "đóng băng". Mitnick nói rằng hệ thống đang gặp rủi ro hoặc sắp ngừng hoạt động, khiến người nghe phải đưa ra quyết định vội vàng trong trạng thái bối rối.

Ví dụ: "Tài khoản Microsoft 365 của bạn sẽ bị đình chỉ trong vòng hai giờ do phát hiện hoạt động đáng ngờ. Hãy nhấp vào đây để xác minh ngay."

Từ phone booth đến deepfake

Những điều khiến Kevin Mitnick trở nên nguy hiểm vào năm 1983 cũng đang trở thành nỗi khiếp sợ trong kỷ nguyên số ngày nay. Kỹ thuật cốt lõi vẫn vậy, nhưng công cụ đã tiến hóa vượt bậc:

Xưa: Mitnick đọc tài liệu nhân viên vứt đi để nghiên cứu mục tiêu
Nay: Hacker xây dựng profile chi tiết từ Facebook, LinkedIn, Instagram, website công ty

Xưa: Mitnick bắt chước giọng nói, cử chỉ qua điện thoại
Nay: AI có thể giả dạng giọng nói chỉ từ 3 giây âm thanh mẫu và tạo các video call thuyết phục

Xưa: Làm thẻ nhân viên và giấy tờ giả
Nay: Các website lừa đảo tinh vi gần như không thể phân biệt với website thật

Xưa: Tấn công từng công ty một
Nay: Tool tự động tấn công cá nhân hóa hàng nghìn mục tiêu cùng lúc

Điều đáng sợ nhất là gì? Các kỹ thuật của Mitnick trước đây đòi hỏi rất nhiều thời gian nghiên cứu và chuẩn bị. Trong khi đó, các công cụ AI hiện nay có thể tạo ra những cuộc tấn công cá nhân hóa, thuyết phục ở quy mô lớn với rất ít hoặc gần như không cần sự can thiệp của con người.

Sử dụng kỹ năng mà ai cũng có

Điều khiến kỹ thuật thao túng tâm lý này trở nên đáng sợ là vì chúng không cần đến chuyên môn kỹ thuật. Những kỹ năng mà Mitnick sử dụng - xây dựng sự thân thiện, thể hiện sự tự tin và tạo cảm giác cấp bách - thực chất đều là kỹ năng giao tiếp xã hội cơ bản mà nhiều người sở hữu.

Người bạn không rành công nghệ của bạn có thể không biết viết malware hay khai thác buffer overflow, nhưng cô ấy hoàn toàn có thể gọi điện đến văn phòng, giả danh người từ trụ sở chính và thuyết phục ai đó chia sẻ thông tin nhạy cảm.

Những vụ rò rỉ dữ liệu nghiêm trọng thường không bắt đầu bằng những dòng mã phức tạp, mà chỉ từ một cuộc trò chuyện đơn giản. Đây không phải là vấn đề về trình độ CNTT, mà là về việc thấu hiểu bản chất con người.

Phòng vệ trước phương pháp Mitnick

Nhưng đừng vì vậy mà lo lắng, chúng ta vẫn có thể tránh rơi vào những tình huống này và nhận thức chính là tuyến phòng thủ hiệu quả nhất. Dưới đây là một số biện pháp thực tế để bảo vệ bản thân và tổ chức:

Đừng tin, hãy xác thực: Thiết lập quy trình gọi lại cho các yêu cầu nhạy cảm. Nếu ai đó tự xưng thuộc bộ phận IT, hãy kết thúc cuộc gọi và gọi lại trực tiếp cho IT bằng số liên hệ chính thức.
Cảnh giác với những yêu cầu cấp bách: Những trường hợp khẩn cấp thực sự rất hiếm khi xảy ra. Đa số các yêu cầu hối thúc đều là cái bẫy tâm lý. Hãy dành thêm thời gian để kiểm chứng.
Hạn chế chia sẻ thông tin: Cẩn trọng với những gì bạn đăng lên mạng xã hội. Những chi tiết cá nhân vô tình tiết lộ chính là ""kho báu"" để kẻ tấn công xây dựng kịch bản lừa đảo.
Đào tạo định kỳ: Thực hiện các bài kiểm tra mô phỏng tấn công giả định. Hãy biến nó thành một trò chơi rèn luyện thay vì một hình phạt.
Tạo môi trường báo cáo an toàn: Nhân viên cần cảm thấy thoải mái khi báo cáo các liên hệ nghi ngờ mà không sợ bị đổ lỗi.

Câu chuyện của Mitnick: Bức tranh hai mặt

Sau này, Mitnick đã trở thành một trong những chuyên gia tư vấn an ninh mạng được kính trọng nhất thế giới, sử dụng chính kiến thức tấn công phi kỹ thuật của mình để giúp các doanh nghiệp phòng vệ tốt hơn. Hành trình từ một hacker khét tiếng trở thành người bảo vệ an ninh mạng cho thấy một điều quan trọng: những kỹ năng khiến ai đó trở nên nguy hiểm cũng có thể khiến họ trở nên vô cùng giá trị.

Những kỹ thuật đã biến một thiếu niên ở California thành hacker bị FBI truy nã gắt gao nhất trong thập niên 1980 đến nay vẫn là nền tảng của cyberattack hiện đại. Hiểu về Phương pháp Mitnick không chỉ là câu chuyện về an ninh mạng - mà còn là bài học về việc tâm lý con người dễ bị khai thác đến mức nào.

Trong thời đại công nghệ siêu phát triển, những hacker nguy hiểm nhất không hẳn là những kẻ am tường kỹ thuật nhất. Họ là những người hiểu rằng đằng sau mọi hệ thống bảo mật đều có con người. Và con người - như Mitnick đã chứng minh từ nhiều thập kỷ trước - thực ra rất dễ bị “hack”.

Vì vậy, lần tới khi điện thoại reo với một yêu cầu "khẩn cấp", hãy nhớ rằng: Bạn có thể đang đối đầu với một Kevin Mitnick thế hệ mới. Lựa chọn nằm ở bạn: trở thành nạn nhân tiếp theo, hay tỉnh táo gác máy để xác thực lại thông tin?

Nguồn:

Mitnick, Kevin D., and William L. Simon.Ghost in the Wires: My Adventures as the World's Most Wanted Hacker. Little, Brown and Company, 2011.
Mitnick Security. ""Ghost in the Wires by Kevin Mitnick."" Mitnick Security, https://www.mitnicksecurity.com/ghost-in-the-wires "

Tài liệu gốc: The Mitnick Method: Why a 15-Year old schoolboy can empty your bank account