Mỗi ngày, hàng triệu nhân viên văn phòng trên toàn cầu gọi điện đến bộ phận hỗ trợ kỹ thuật với yêu cầu tưởng chừng vô hại: "Tôi quên mật khẩu, bạn giúp đặt lại được không?". Thế nhưng, theo nghiên cứu mới công bố từ Specops Software, chính những cuộc gọi này đang trở thành vũ khí hàng đầu trong tay tin tặc để xâm nhập hệ thống doanh nghiệp. Kỹ thuật social engineering (thao túng tâm lý) nhắm vào helpdesk đã biến quy trình bảo mật cơ bản thành kẽ hở tử thần.

Khi tin tặc hóa thân thành nhân viên đáng thương

Các chuyên gia bảo mật tại Specops Software đã mô phỏng hàng trăm cuộc tấn công social engineering nhắm vào các bộ phận helpdesk doanh nghiệp. Kết quả gây sốc: 78% các cuộc gọi giả mạo đã thành công trong việc lừa nhân viên hỗ trợ đặt lại mật khẩu cho tài khoản không phải của họ. Thủ đoạn không hề phức tạp - tin tặc chỉ cần thu thập một số thông tin cơ bản về nhân viên từ mạng xã hội, sau đó gọi điện giả vờ là người đó đang gặp khó khăn.

Điểm đáng lo ngại nhất là tính thuyết phục của những cuộc gọi này. Tin tặc thường bắt đầu bằng việc cung cấp thông tin cá nhân chính xác như tên đầy đủ, phòng ban, thậm chí tên sếp trực tiếp. Sau đó, họ dựng lên những tình huống "khẩn cấp" như đang ở nhà chăm con ốm, chuẩn bị họp quan trọng với khách hàng, hoặc sếp đang chờ báo cáo gấp. Chúng tôi nhận thấy rằng yếu tố con người - sự đồng cảm và muốn giúp đỡ - chính là khâu yếu nhất trong chuỗi bảo mật.

Tại sao helpdesk lại trở thành mục tiêu ưa thích?

Helpdesk (bộ phận hỗ trợ kỹ thuật) được thiết kế để giúp đỡ người dùng, điều này tạo nên mâu thuẫn cơ bản với bảo mật. Nhân viên helpdesk được đào tạo để giải quyết vấn đề nhanh chóng, thân thiện và ít đặt câu hỏi "khó chịu". Đây chính là điều tin tặc lợi dụng. Không giống như các hệ thống tự động có thể bị phát hiện bởi firewall hay antivirus, cuộc gọi đến helpdesk hoàn toàn hợp pháp và không kích hoạt cảnh báo bảo mật nào.

Vấn đề càng trầm trọng hơn khi nhiều doanh nghiệp vẫn áp dụng quy trình xác thực lỏng lẻo. Theo khảo sát của Specops, 65% tổ chức chỉ yêu cầu xác minh 2-3 thông tin cơ bản như họ tên, mã nhân viên và email trước khi đặt lại mật khẩu. Thông tin này có thể dễ dàng thu thập từ LinkedIn, Facebook hay website công ty. Chúng tôi cho rằng đây là minh chứng rõ ràng cho việc nhiều doanh nghiệp Việt Nam vẫn đang đánh giá thấp mức độ tinh vi của các cuộc tấn công mạng hiện đại.

Tác động tàn phá từ một cuộc gọi điện thoại

Khi tin tặc thành công chiếm đoạt tài khoản thông qua helpdesk, họ có thể leo thang đặc quyền và xâm nhập sâu vào hệ thống. Trường hợp điển hình xảy ra tại một ngân hàng ở Singapore năm 2023, nơi tin tặc đã sử dụng kỹ thuật này để chiếm quyền kiểm soát tài khoản của một quản lý IT cấp cao. Hậu quả: 2.8 triệu đô la bị chuyển trái phép và thông tin của 450,000 khách hàng bị rò rỉ.

Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) ghi nhận 15,700 cuộc tấn công mạng trong 6 tháng đầu năm 2024, tăng 25% so với cùng kỳ năm trước. Mặc dù chưa có thống kê cụ thể về tỷ lệ tấn công qua helpdesk, các chuyên gia trong nước đánh giá đây là xu hướng đang gia tăng đáng báo động. Chi phí trung bình để khắc phục một sự cố bảo mật tại khu vực Đông Nam Á là 2.95 triệu đô la, theo báo cáo của IBM Security.

Chiến lược phòng thủ toàn diện cho doanh nghiệp Việt

Doanh nghiệp cần thay đổi ngay quy trình xác thực tại helpdesk. Thay vì dựa vào thông tin tĩnh dễ bị rò rỉ, hãy áp dụng xác thực đa yếu tố (Multi-Factor Authentication - MFA) ngay cả đối với việc đặt lại mật khẩu. Nhân viên helpdesk phải được đào tạo để luôn yêu cầu xác minh qua email cá nhân hoặc số điện thoại đã đăng ký trước đó. Quan trọng hơn, mọi yêu cầu đặt lại mật khẩu "khẩn cấp" đều phải được xử lý với độ nghi ngờ cao nhất.

Chúng tôi khuyến nghị các công ty Việt Nam nên triển khai hệ thống ticket tracking để ghi lại mọi yêu cầu hỗ trợ, kết hợp với callback verification - gọi lại số điện thoại trong hồ sơ nhân viên để xác nhận danh tính. Đầu tư vào các giải pháp Identity and Access Management (IAM) cũng là bước đi cần thiết để giám sát và kiểm soát quyền truy cập theo thời gian thực. Cuối cùng, tổ chức workshop định kỳ về social engineering awareness cho toàn bộ nhân viên, đặc biệt là đội ngũ helpdesk, để họ có thể nhận biết và ứng phó kịp thời với các thủ đoạn lừa đảo ngày càng tinh vi.