Manlina, Philippines một buổi chiều âm u, không khí trên sân khấu hội nghị thường niên của tổ chức giải pháp kinh doanh kỹ thuật số PLDT cũng ảm đạm không kém, cho đến khi có sự xuất hiện của một nhân vật khét tiếng, kẻ đã từng bị FBI truy lùng gắt gao nhất thế giới, kẻ đã từng là nỗi ám ảnh trong thế giới Internet, đó chính là Kevin Mitnick, một trong những hacker nổi tiếng nhất thế giới đương đại.

Vừa qua, Kevin Mitnick đã có một bài phát biểu quan trọng tại một sự kiện an ninh mạng lớn do tổ chức giải pháp kinh doanh kỹ thuật số PLDT chủ trì.

Nói qua một chút về quá khứ “bất hảo” của Kevin Mitnick. Hacker này đã bị FBI bắt giữ vào năm 1995, với hàng tá các cáo buộc về nhiều tội danh như lừa đảo qua mạng, sở hữu các thiết bị truy cập bất hợp pháp, vi phạm luật thông tin liên lạc điện tử, truy cập trái phép vào các hệ thống bảo mật liên bang và rất nhiều tội danh khác nữa.

Trước khi bị bắt giữ, trong khoảng thời gian bị FBI truy nã gắt gao, Kevin Mitnick cũng đã kịp tiện tay làm thêm vài phi vụ đình đám. Trong đó, một trong những vụ việc gây được tiếng vang rất lớn trong giới hacker chính là những pha “hẫng tay trên” các sản phẩm phần mềm từ nhiều công ty viễn thông và máy tính nổi tiếng. Theo đó, trong hai năm trốn truy nã FBI, Kevin Mitnick chỉ sử dụng 2 chiếc điện thoại khác nhau và lấy trộm được rất nhiều phần mềm của những công ty viễn thông, máy tính khác nhau, có giá trị lên đến hàng trăm nghìn đô la. Nếu một băng đảng tội phạm hay tệ hơn là một tổ chức khủng bố được tài trợ cần một gã có khả năng xoay chuyển tình thế hay thực hiện các phi vụ chấn động trên không gian mạng, không ai khác nguy hiểm hơn Kevin Mitnick. Từ ăn cắp dữ liệu, đột nhập hay phá hủy các hệ thống, tất cả chỉ nằm ở việc anh ta có muốn làm hay không.

Tuy nhiên, sau khi chấp hành xong án tù, không rõ FBI đã “giác ngộ” ra sao mà khiến cho Kevin Mitnick thay đổi hoàn toàn, rửa tay gác kiếm và trở thành một diễn giả về an ninh mạng và an toàn thông tin. Và đó là lý do tại sao mà chúng ta đã được chứng kiến một Kevin Mitnick tự tin đứng trước một rừng các chuyên gia bảo mật, các nhà báo, cũng như người hâm mộ để chia sẻ về một thời lừng lẫy của mình, trên sân khấu của PLDT.

Hãy cùng xem Kevin Mitnick nói gì về thế giới 4.0 và ngành công nghiệp an ninh mạng dưới con mắt của một trong những hacker nổi tiếng nhất thế giới!

“Không có bất cứ bản vá nào cho sự ngu ngốc”

“Không có bất cứ bản vá nào cho sự ngu ngốc, mọi sai lầm đều sẽ phải trả giá” đó là nguyên văn câu nói của Kevin Mitnick. Chiến lược cốt lõi làm nên sự thành công trong các phi vụ của Mitnick chính là các kỹ thuật xã hội, về cơ bản là khai thác một cách hiệu quả các hành vi và tâm lý của con người, để khiến một cá nhân làm những việc thường là gây bất lợi cho chính họ, đồng thời tạo điều kiện cho các hacker trổ tài. Có thể hiểu nôm na rằng kỹ thuật mà Kevin Mitnick sử dụng xoay quanh việc “ru ngủ” các nạn nhân, khiến họ trở nên bất cẩn và bị lừa một cách dễ dàng.

• Kevin Mitnick: Bảo mật phải dựa vào nhân tố con người

Với kỹ thuật này, có một điều mà bạn sẽ học được từ Kevin Mitnick đó là các công cụ, công nghệ bảo mật trên thực tế khó có thể bảo vệ cho chúng ta một cách hoàn toàn – cung cấp kiến thức cần thiết cho người dùng, nâng cao sự hiểu biết cũng như thiết lập các công cụ phòng vệ từ xa sẽ đóng vai trò quan trọng hơn trong cuộc chiến bảo mật. “Bạn có thể sở hữu công nghệ bảo mật đỉnh nhất, hay hệ thống máy tính tốt nhất thế giới, nhưng nếu bạn thiếu kiến thức, kinh nghiệm cũng như không đủ tỉnh táo và bị lừa, bạn vẫn chỉ là một miếng mồi béo bở cho các hacker”, Kevin Mitnick chia sẻ.

Một trong những kỹ thuật lừa đảo trực tuyến được sử dụng phổ biến nhất hiện nay là nhân bản các trang web (sử dụng các trang web ảo). Giả sử một người thường xuyên truy cập vào trang web có địa chỉ “safewebsite.com”, đăng ký tài khoản và đăng nhập vào trang web này. Một hacker nắm được thói quen đó, và có thể tạo ra một trang web clone của safewebsite.com bằng một URL tương tự, có thể ở dưới dạng “safewebsite.co” chẳng hạn. Sau đó hacker sẽ gửi email cho người dùng, lừa họ bấm vào liên kết kết và đăng nhập vào trang web safewebsite.co giả mạo kia.

Điều mà tin tặc muốn và cố gắng thực hiện đó là khiến cho nạn nhân không thể nhận thấy sự khác biệt nhỏ trong URL của trang web thật và trang web giả, và cuối cùng là đăng nhập thông tin cá nhân vào trang web giả. Điều mà nạn nhân sẽ không biết là một khi họ nhập thông tin đăng nhập, tin tặc sẽ có thể lấy cắp các thông tin này và sử dụng chúng cho mục đích riêng của mình.

“Các kỹ thuật xã hội khi được triển khai một cách thuần thục sẽ rất khó bị phát hiện. Ngoài ra, nhanh chóng, chi phí thấp, dễ dàng hơn hack hệ thống, và đạt hiệu quả đến 99.5% chính là điểm mạnh của kỹ thuật này”, Kevin Mitnick phát biểu.