Vào một buổi sáng thông thường, tôi nhận khoảng 30 email mới trong hộp thư cá nhân của mình và 40 trong tài khoản làm việc. Bạn biết cảm giác như thế nào. Tôi lưu trữ những thứ tôi không muốn, quét một phần của một bản tin, nhấp vào một tài liệu Google của đồng nghiệp và nhấp vào "theo dõi đơn hàng của tôi" nhiều lần hơn tôi muốn thừa nhận. Đó đều là những điều khá thông thường.
Những ngày này, tuy nhiên, tôi đối mặt với hộp thư của mình với sự quyết tâm đau lòng. Bởi vì trong khoảng năm tuần mùa xuân này, tôi đã bị một đội hacker từ công ty PhishMe tấn công, mục tiêu của họ là ... lừa đảo tôi. Tôi đã cung cấp cho Giám đốc Công nghệ Aaron Higbee địa chỉ email cá nhân và chuyên nghiệp của mình, và toàn bộ sự cho phép để họ đánh lừa tôi nhấp vào một liên kết độc hại, tải xuống một tệp đính kèm xấu, hoặc truy cập vào một trang web giả mạo nơi thông tin cá nhân của tôi có thể bị đe dọa.
Nếu bạn nghĩ rằng điều đó có thể tạo ra một độ sâu nhất định của sự hoang mang, bạn hoàn toàn đúng. Mọi email từ bác sĩ của tôi có thể là giả mạo. Mỗi album ảnh kỳ nghỉ được chia sẻ, đều là một bẫy. Tôi biết rằng họ đang đến với tôi. Tôi chỉ không biết khi nào hoặc làm thế nào.
Sự cảnh báo siêu nhạy bén là một điều khá khó duy trì nếu bạn không quen với nó. Và vào lúc lừa đảo đầu tiên đánh vào hộp thư cá nhân của tôi, ba tuần sau khi quá trình bắt đầu, tôi đã đã giảm bớt chút ít.
Chủ đề là “Quyết Định Tòa Án”, và nó nói: “Đây là một lời nhắc nhở để xuất hiện vào ngày 2 tháng 6 cho phiên xử của bạn.” Nhóm PhishMe không biết rằng kẻ trộm đã đột nhập vào căn hộ của tôi và tôi đã nhận được nhiều thông báo tương tự vì vậy. Tôi bắt đầu cuống cuồng cuộc xem lại email liên quan đến vụ đột nhập, hoảng loạn rằng tôi đã hiểu nhầm điều gì đó cần phải làm cho vụ án. Email mới bao gồm một tệp đính kèm Microsoft Word, như nhiều thông điệp chính thức khác tôi đã nhận trong quá khứ.
Nhưng sau đó tôi nhận ra rằng email mới đến từ [email protected], không phải là địa chỉ .gov. Tôi thở phào—một tên ngốc. Ít nhất là tôi chưa nhấp chuột để tải xuống.
Đội tình báo của PhishMe sau đó nói với tôi rằng họ đã dựa trên cố gắng thông báo của tòa án thực tế đang lan truyền vào thời điểm đó—cho đến cả tệp .doc đính kèm. Nhóm mô phỏng email của họ dựa trên mối đe dọa hoạt động đó và cá nhân hóa nó cho tôi dựa trên thông tin công khai như huyện nào tôi sống ở. “Một kịch bản lừa đảo cố gắng làm cho người ta phấn khích,” Higbee nói. “Sẽ có một số kích thích gây ra những chủ đề cảm xúc cao như sợ hãi, thưởng, và sự cấp bách.”
Sau sự cố gần như vụ thông báo tòa án, PhishMe mở cửa lũ, đánh vào tài khoản của tôi với một thông điệp lừa đảo mỗi vài ngày trong hơn hai tuần. Hộp thư đến của tôi trở thành một chiến trường số, nơi có những dòng chủ đề nhấp nhô như “Hành động cần thiết: Xác nhận loại bỏ địa chỉ email như một địa chỉ bí danh tài khoản,” và “Đơn hàng của bạn đã được xử lý,” với một nút màu vàng giống như Amazon để “Quản lý đơn hàng của bạn.”
PhishMe thực hiện các mô phỏng như vậy với khách hàng doanh nghiệp, cố gắng kiểm tra mức độ dễ bị tấn công của họ bởi một email lừa đảo đặt ở đúng chỗ. Và công ty liên tục cố gắng làm rối bản thân nhân viên của mình nữa. “Tôi lo lắng về mục tiêu trên lưng của chúng tôi vì chúng tôi đang phục vụ khách hàng lớn,” Higbee nói. “Người nghiên cứu an ninh và những kẻ chơi khăm có thể nghĩ ‘thật buồn cười nếu bạn có thể lừa đảo PhishMe được chứ?’ Nên chúng tôi luôn hướng một chương trình lừa đảo tích cực vào bản thân mình.”
Bởi vì họ luôn ở trạng thái cảnh báo—như tôi trong thí nghiệm—nhân viên của PhishMe thường xuất sắc trong những kiểm tra này. Nhưng Higbee gần đây đã tổ chức một cuộc lừa đảo phức tạp mà lừa dối được sáu trong số 370 nhân viên để tiết lộ dữ liệu của họ. Cuộc tấn công được dựa trên một xu hướng khôn ngoan. Thay vì lừa người dùng chia sẻ trực tiếp thông tin đăng nhập của họ, những kẻ tấn công thuyết phục họ cấp quyền truy cập cho ứng dụng bên thứ ba độc hại đến một tài khoản như email của họ—chiến lược giống như trong một vụ lừa đảo Google Docs mới nổi. Higbee thực hiện màn lừa dối nội bộ của mình bằng cách lợi dụng tính năng “Add-In” của tài khoản Microsoft Office 365 Outlook.
Đây là thách thức bẩm sinh của lừa đảo và chủ đề đã khiến tôi hoang mang đến ngày nay: Các chiến thuật luôn thay đổi, và hậu quả có thể làm hủy diệt. Hãy hỏi Sony Pictures hoặc Ủy ban Quốc gia Dân chủ. Việc cài đặt phần mềm độc hại trên một máy tính hoặc truy cập vào mạng bằng cách lừa dối người ta tương tác với nội dung web đáng ngờ thường dễ dàng hơn so với các kỹ thuật hack thuần túy. Xu hướng con người hóa cuối cùng lại dễ dàng bị khai thác hơn là các phòng thủ số phức tạp của thế giới số.
Trong thử nghiệm của tôi, tôi cá nhân chưa bao giờ nhấp vào một trong những liên kết PhishMe, hoặc tải xuống một trong những tệp đính kèm khá nghi ngờ của họ—nhưng tôi đã gần như thực hiện điều này nhiều lần. Tôi cũng mở tất cả các thử nghiệm lừa đảo mà họ gửi. Tôi nghi ngờ về nhiều email chỉ từ dòng chủ đề của chúng, nhưng không đủ để làm cho tôi bỏ qua mong muốn xác nhận rằng ai đó đã đột nhập vào tài khoản Amazon của tôi và đặt hàng 1.000 quả bóng tennis.
Gần cuối thí nghiệm, chỉ cách nhau vài ngày, cả PhishMe và Conde Nast (công ty tôi làm việc) đều gửi email với nội dung đáng sợ tương tự đến địa chỉ làm việc của tôi về việc đào tạo bắt buộc về tuân thủ an ninh mạng. Là người nghiên cứu và viết về bảo mật mỗi ngày, tôi đã tiếp cận tình huống một cách chín chắn và thông tin: tôi phớt lờ đi đợt email đầu tiên đó, sau đó ngừng mở những email đe dọa về việc không tuân thủ. Có thể tôi đã bị HR mắng mỏ. Nhưng, héo, tôi không bị lừa đảo.