Với nhiều người, việc chụp ảnh selfie, chụp ảnh tập thể nơi công sở và chia sẻ lên mạng xã hội để lưu lại những khoảnh khắc vui vẻ khi làm việc là điều hết sức bình thường. Tuy nhiên, những nội dung bạn chia sẻ công khai trên mạng xã hội có thể bị hacker, những kẻ vẫn dạo quanh mạng xã hội để tìm kiếm ảnh, video hay bất cứ chi tiết gì có thể giúp đỡ họ trong công cuộc phá hoại, lợi dụng biến thành công cụ tấn công nơi bạn làm việc.
Dưới đây là lời chia sẻ của Stephanie Carruthers, thành viên cốt cán của đội hacker X-Force Red thuộc IBM, chuyên gia trong lĩnh vực đào bới bài đăng trên mạng xã hội để tìm ra những lỗ hổng bảo mật tiềm năng, một người thừa khả năng xem ảnh Facebook mà cũng hack được người khác. Sau khi đọc xong, bạn có thể sẽ phải suy nghĩ đôi chút trước khi đăng bất kỳ nội dung gì lên mạng xã hội.
Công việc của Carruthers là tìm ra các lỗ hổng bảo mật của các công ty trước khi kẻ gian có thể lợi dụng chúng.
Có một sự thật mà không phải ai cũng biết, những bài đăng công khai trên mạng xã hội tưởng như vô hại lại là một mỏ vàng đích thực, ẩn chứa nhiều thông tin hữu ích giúp nhóm của Carruthers thực hiện các đợt “công kích”. Họ có thể thấy rất nhiều thứ từ nền của một tấm ảnh, ví dụ như thẻ an ninh, màn hình laptop hay thậm chí là những tờ giấy nhớ ghi lại mật khẩu.
Có 4 loại bài đăng ẩn chứa nhiều rủi ro nhất, điều này có nghĩa là đem lại nhiều cơ hội cho hacker nhất.
Ảnh chụp tập thể
Ảnh chụp tập thể với đồng nghiệp trong giờ trưa hay khi tham gia các hoạt động gì đó cùng nhau chứa đựng nhiều thông tin hơn bạn tưởng. Những cái poster nêu lên sự kiện teambuilding sắp diễn ra, lịch trình họp hành gì đó hoặc địa chỉ email… rất dễ xuất hiện trong phông nền của tấm ảnh và khiến bạn đứng trước nguy cơ bại lộ những thông tin liên quan.
Ví dụ như trong trường hợp lộ mail, hacker sẽ lợi dụng gửi cho bạn một email chứa mã độc mà khi mở ra bạn sẽ chính thức biến thành lỗ hổng bảo mật của công ty.
Các loại thẻ mà công ty cấp cho nhân viên
Các nhân viên mới khi được mới nhận được thẻ an ninh hay chụp cận cảnh thẻ và đăng lên mạng xã hội. Điều này giúp Carruthers dễ dàng tạo ra một sản phẩm y hệt với một khuôn mặt khác chỉ trong vài phút. Có thể cái thẻ này không hoạt động trên máy quét nhưng cũng đủ để Carruthers ra vào công ty bạn một cách dễ dàng.
Video nhật ký công việc
Nếu nhân viên làm hẳn một video kể về một ngày làm việc tại công ty, xem video đó Carruthers có thể biết được kiến trúc văn phòng, khu vực hạn chế ra vào, bảng đề chi tiết kế hoạch tương lai… tương đương với việc đột nhập vào công ty vậy.
Ngoài ra, màn hình laptop có thể hiển thị những phần mềm bảo mật đã được cài đặt. Dựa vào điều đó Carruthers có thể gửi tới thiết bị một file độc hại ngụy trang dưới dạng cập nhật phần mềm bảo mật.
Những khiếu nại hoặc lời than vãn
Với bất kỳ công ty nào, việc nhân viên phàn nàn về công việc, chính sách đãi ngộ là điều không thể tránh khỏi. Chỉ cần nắm được thông tin đó, Carruthers có thể sáng tác được những nội dung độc hại, đánh đúng vào tâm lý nhân viên đang có.
Ví dụ, nhân viên của một công ty từng thuê Carruthers phàn nàn trên mạng xã hội về chỗ để xe ít. Lợi dụng điều này, Carruthers đã sáng tác ra một bức email trình bày về chính sách đặt chỗ để xe mới, kèm theo lời cảnh báo giả rằng mọi phương tiện nằm ngoài khu vực đỗ xe sẽ bị “cẩu” đi mất.
Vô số nhân viên nhận được mail vui mừng vì có được chỗ để xe và lo sợ xe sẽ bị “cẩu”đi mất đã ngay lập tức ấn vào bản đồ chỗ đậu xe giả thực chất là một file độc hại mà Carruthers tạo ra, được đính kèm theo mail.
Sau khi thâm nhập được vào trong bốn bức tường văn phòng, Carruthers có thể có được ít nhiều thông tin, từ thông tin nhạy cảm được ghi trên bảng phòng họp lẫn mật khẩu wifi được đính giữa thanh thiên bạch nhật. Dựa vào đó, Carruthers có thể phá bỏ được hàng rào ngăn cản để nắm được những bí mật của công ty.
Với những bài đăng trên mạng xã hội, Carruthers có thể có đủ thông tin để nhìn thẳng vào bên trong văn phòng mà không cần tới tận nơi.
Vì vậy, trước khi chia sẻ những bài đăng liên quan tới công việc của bạn, hãy tự đặt câu hỏi "Bài đăng của mình có gì mà mình không muốn hacker biết không?" nhé.