FBI Cảnh Báo Nhóm Tống Tiền Thầm Lặng Giả Dạng Nhân Viên CNTT Tại Các Công Ty Luật

FBI đã phát cảnh báo chính thức rằng một tác nhân đe dọa có tên Silent Ransom Group (SRG) đang nhắm vào các công ty luật thông qua các cuộc tấn công kết hợp kỹ thuật xã hội và mạo danh trực tiếp. Không giống hầu hết các vụ tấn công mạng khởi phát từ xa, các thành viên SRG xuất hiện trực tiếp, đóng giả nhân viên hỗ trợ CNTT, giành quyền truy cập vật lý vào thiết bị văn phòng, đánh cắp dữ liệu nhạy cảm, rồi tống tiền tổ chức. Đối với các chuyên gia pháp lý vốn cho rằng hàng rào phòng thủ số của họ đã đủ, cảnh báo này là một hồi chuông cảnh tỉnh quan trọng.

Cách Silent Ransom Group Tiếp Cận Vật Lý Vào Mạng Lưới Công Ty Luật

Cơ chế tiếp cận của SRG tuy đơn giản nhưng cực kỳ hiệu quả. Kẻ tấn công tiến hành trinh sát công ty luật mục tiêu, xác định nhân sự, địa điểm văn phòng và quy trình làm việc CNTT. Sau đó, chúng trực tiếp có mặt tại văn phòng, mạo danh kỹ thuật viên CNTT hoặc nhà thầu hỗ trợ. Bằng cách thể hiện sự tự tin và am hiểu về môi trường của công ty, chúng thuyết phục nhân viên cấp quyền truy cập vào máy tính, máy chủ hoặc các thiết bị mạng khác.

Khi đã vào được bên trong, nhóm này trực tiếp trích xuất dữ liệu từ các máy mà chúng chạm tay được. Dữ liệu này có thể bao gồm hồ sơ khách hàng, tài liệu vụ án, hồ sơ tài chính, hoặc các thông tin liên lạc đặc quyền. Sau khi đánh cắp dữ liệu, nạn nhân sẽ nhận được yêu cầu tống tiền, kèm theo lời đe dọa công bố hoặc bán thông tin đã đánh cắp nếu không trả tiền.

Các công ty luật là mục tiêu đặc biệt hấp dẫn trong mô hình này. Họ nắm giữ khối lượng lớn dữ liệu khách hàng nhạy cảm, đặc quyền và thường mang tính bảo mật cao. Các công ty luật, về mặt lịch sử, cũng là những tổ chức được xây dựng trên nền tảng niềm tin và các mối quan hệ chuyên nghiệp, điều này khiến nhân viên có xu hướng dễ dàng nhường sự lịch thiệp cho người tỏ ra đến làm việc với tư cách chính thức.

Tại Sao VPN và Phân Đoạn Mạng Không Ngăn Được Kẻ Đã Ở Trong Phòng

Hầu hết các cuộc thảo luận về an ninh mạng đều xoay quanh các mối đe dọa từ xa: email lừa đảo, nhồi thông tin xác thực, mã độc tống tiền phát tán qua các đường link độc hại. Các công cụ thường được triển khai để đối phó, bao gồm VPN, tường lửa và phân đoạn mạng, được thiết kế để kiểm soát lưu lượng ra vào hệ thống qua internet. Chúng hầu như không có tác dụng khi kẻ tấn công đang ngồi trước một máy trạm bên trong tòa nhà.

Các vụ tấn công mạo danh trực tiếp mà các công ty luật phải đối mặt từ những nhóm như SRG vượt qua mọi lớp phòng thủ dựa trên mạng. Nếu ai đó được cho ngồi vào một máy tính đã đăng nhập, thì xác thực đa yếu tố đã được thông qua. Nếu họ cắm ổ USB hoặc truy cập thư mục dùng chung qua mạng nội bộ, thì các đường hầm mã hóa giữa những người dùng từ xa trở nên vô nghĩa. Phân đoạn mạng có thể hạn chế phần nào sự di chuyển ngang, nhưng không ngăn được việc truy cập vào những gì đã có sẵn từ chính thiết bị đang dùng.

Đây là vấn đề cốt lõi của việc coi an ninh mạng chỉ thuần túy là một môn kỹ thuật. Hành vi con người và môi trường vật lý tạo ra những bề mặt tấn công mà không sản phẩm phần mềm nào giải quyết triệt để. Nguyên tắc tương tự cũng áp dụng cho các mối đe dọa nội bộ và lạm dụng thông tin xác thực, như đã thấy trong những vụ việc ở đó kiểm soát truy cập bị vượt qua không phải bằng kỹ thuật tấn công tinh vi mà bởi lỗi đơn giản hoặc sự cẩu thả của con người, một kịch bản đã được phân tích trong bài về một nhà thầu của CISA làm lộ khóa AWS và mật khẩu trên kho GitHub công khai.

Kiến Trúc Zero-Trust và Các Biện Pháp Kiểm Soát An Ninh Vật Lý Thực Sự Giảm Thiểu Mối Đe Dọa Này

Kiến trúc zero-trust thường được thảo luận trong bối cảnh truy cập từ xa, nhưng nguyên tắc cốt lõi của nó áp dụng trực tiếp ở đây: đừng bao giờ cho rằng một người hoặc thiết bị nên được trao quyền truy cập chỉ vì họ có vẻ như đang ở đúng chỗ. Đối với môi trường vật lý, điều này chuyển thành một số thực hành cụ thể.

Thứ nhất, quy trình xác minh khách và nhà cung cấp cần được chính thức hóa và thực thi nhất quán. Bất kỳ ai tự nhận là hỗ trợ CNTT phải được xác minh qua một kênh độc lập trước khi được phép tiếp cận bất kỳ thiết bị nào mà không có giám sát. Điều đó có nghĩa là gọi điện trực tiếp cho bộ phận CNTT, không dùng số do chính khách đó cung cấp, và xác nhận cuộc hẹn này đã được lên lịch.

Thứ hai, các máy trạm và thiết bị nên yêu cầu xác thực lại sau một khoảng thời gian không hoạt động, và lý tưởng nhất là không nên duy trì trạng thái đăng nhập vào các hệ thống nhạy cảm khi không có người giám sát. Khóa cổng vật lý hoặc thiết bị chặn USB có thể ngăn việc truyền dữ liệu trái phép từ các thiết bị bị truy cập không được phép.

Thứ ba, ghi nhật ký truy cập ở cấp độ thiết bị rất quan trọng. Nếu một người không được phép giành được quyền truy cập, các dấu vết pháp y sẽ giúp xác định những gì đã bị lấy đi và giới hạn phạm vi của khiếu nại tống tiền sau đó.

Cuối cùng, đào tạo nhân viên cần đề cập rõ ràng đến các kịch bản tấn công bằng kỹ thuật xã hội trực tiếp, chứ không chỉ là email lừa đảo. Nhân viên tại các công ty luật, đặc biệt là nhân viên lễ tân, nên biết rằng sự lịch sự và sự phục tùng trước người có vẻ là người có thẩm quyền chính là những đặc điểm mà kẻ tấn công khai thác.

Điều Này Có Ý Nghĩa Gì Với Bạn: Các Bước Hành Động Cho Chuyên Gia Trong Những Ngành Nhạy Cảm

Nếu bạn làm việc trong lĩnh vực luật, tài chính, chăm sóc sức khỏe hoặc bất kỳ lĩnh vực nào khác xử lý thông tin đặc quyền hoặc bị quản lý, thì cảnh báo về SRG sẽ thúc đẩy bạn rà soát lại cả tư thế an ninh số và an ninh vật lý của mình. Sau đây là nơi để bắt đầu:

  • Rà soát quy trình tiếp cận của khách. Tổ chức của bạn có quy trình chính thức để xác minh các chuyến thăm CNTT không báo trước không? Nếu câu trả lời là không hoặc chưa rõ ràng, thì lỗ hổng đó cần được khắc phục ngay lập tức.
  • Xem xét chính sách khóa thiết bị và xác thực. Các thiết bị tự động khóa sau khi không hoạt động và yêu cầu thông tin xác thực để tiếp tục làm giảm đáng kể cơ hội cho kẻ tấn công vật lý.
  • Đào tạo nhân viên về kỹ thuật xã hội trực tiếp. Tổ chức các tình huống mô phỏng với nhóm của bạn trong đó có người giả làm nhà cung cấp hoặc nhà thầu CNTT. Rèn luyện thói quen xác minh trước khi cấp quyền truy cập.
  • Đánh giá mô hình truy cập dữ liệu của bạn. Áp dụng nguyên tắc đặc quyền tối thiểu để ngay cả khi một máy trạm bị xâm phạm, kẻ tấn công cũng không thể với tới dữ liệu nằm ngoài những gì mà tài khoản người dùng cụ thể đó thường xử lý.
  • Kiểm tra cả chính sách truy cập từ xa. An ninh vật lý và các biện pháp kiểm soát truy cập số hoạt động cùng nhau. Rà soát cái này mà bỏ qua cái kia sẽ để lại những lỗ hổng.

Cảnh báo của FBI về Silent Ransom Group là một lời nhắc nhở rằng an ninh hiệu quả đòi hỏi phải suy nghĩ về các mối đe dọa trong không gian ba chiều: mạng lưới, thiết bị và căn phòng. Đối với các chuyên gia trong những ngành nhạy cảm, đây chính là lúc để đánh giá xem các giao thức hiện tại của bạn có thực sự ngăn chặn được một kẻ bước qua cửa chính trông như thể họ thuộc về nơi đó hay không.