Bài học kinh nghiệm từ vụ hack email Podesta

Từ vụ hack email của Clinton Campaign Chairman John Podesta đã cho chúng ta thấy được bài học là việc lừa đảo ai đó cung cấp cho mình thông tin tài khoản và mật khẩu là rât dễ. Một email được gửi đến tài khoản gmail Podesta để nói ai đó đã sử dụng mật khẩu của mình để đăng nhập vào tài khoản của mình từ Ukraina và yêu cầu họ thay đổi mật khẩu. Nó bao gồm một liên kết để thay đổi mật khẩu.

Bài học kinh nghiệm từ vụ hack email Podesta

Các liên kết để thay đổi mật khẩu sử dụng một địa chỉ dịch vụ rút ngắn bit.ly. ĐiViệc rút ngắn url mất một url dài và làm giảm nó đến một url ngắn hơn nhiều – trong trường hợp này nó là https://bit.ly/1PibSU0 nó sẽ chuyển hướng đến một đường link dài hơn.

IT Technician Charles Delavan nói với tờ New York Times rằng việc hack là một phần lỗi của mình. Ông đã sử dụng từ “hợp pháp” thay vì “bất hợp pháp” đến sai lầm của mình khi nói đến bất kỳ vấn đề thay đổi mật khẩu bao gồm việc thay đổi mật khẩu từ một đường link không được tin tưởng ở bên ngoài.

Khi một ai đó nhấp vào liên kết trong email lừa đảo – không phải bởi Delavan và thay đổi mật khẩu,  họ đã cung cấp các thông tin email và mật khẩu của Podesta đến kẻ lừa đảo. Ông cũng chỉ thị cho rằng họ nên cho phép xác thực hai yếu tố. Nếu điều này đã được thực hiện, mật khẩu sẽ không gửi đến tay kẻ lừa đảo. Sau khi lấy thông tin từ Podesta kẻ lừa đảo email Podesta đưa chúng lên Wikileaks. Những email này cung cấp một cái nhìn mảy may vào chiến dịch Clinton và được chứng minh là rất có hại trong cuộc bầu cử.

Những gì chúng ta cần phải hiểu tất cả điều này là để đảm bảo an toàn không chỉ đơn giản là huấn luyện cho một chuyên gia IT. Mọi người cần được tham gia vào khóa đào tạo bảo mật. Đôi khi các chuyên gia IT sẽ nhập nhầm một chỉ dẫn. Nếu các nhân viên được đào tạo tốt, họ sẽ biết tốt hơn so với bấm vào một liên kết trong một email để thay đổi mật khẩu. Nếu nhân viên đã kích hoạt xác thực hai yếu tố hoặc trực tiếp đến gmail để thay đổi mật khẩu, việc hack sẽ bị ngăn chặn.

Điều quan trọng là tất cả mọi người cần được đào tạo về thủ tục an ninh an toàn thông tin như là một phần của nhiệm vụ và trách nhiệm của mình trong công việc.

hernandosun