Dính mã độc tống tiền? Đã có “người đàm phán”

HOA KIM 30/11/2021 18:05 GMT+7

TTCT - Làm cầu nối giữa nạn nhân và giới tội phạm công nghệ để chuộc các dữ liệu bị tấn công là một nghề mới nổi nhưng đã có không ít chuyện hậu trường kỳ thú.

 
 Ảnh: techchannel.news

Trước thềm Lễ Tạ ơn vừa qua, Cơ quan an ninh mạng và cơ sở hạ tầng cùng Cục Điều tra liên bang Mỹ (FBI) phát đi cảnh báo đối với loại tội phạm ransomware - một dạng mã độc có khả năng chặn quyền truy cập vào hệ thống máy tính hoặc dữ liệu của nạn nhân bằng cách mã hóa những thông tin này. Kẻ tấn công sau đó yêu cầu đối tượng thanh toán một khoản tiền chuộc - thường là dưới dạng tiền mã hóa để tránh bị truy vết - để mở khóa những dữ liệu này.

Nhiều nạn nhân chấp nhận trả tiền chuộc để lấy lại dữ liệu và tránh tình huống xấu nhất là các thông tin nhạy cảm bị rao bán trên thị trường chợ đen. Nhưng chuyện liên lạc với bọn tội phạm ra sao, thương thảo thế nào để “chốt” được giá tốt, hay thậm chí làm sao để có được số lượng tiền mã hóa lớn trong thời gian ngắn để thực hiện giao dịch là những việc không đơn giản nếu không phải dân trong nghề. Đây là lúc các chuyên gia đàm phán chuyên nghiệp với tội phạm ransomware vào cuộc.

Thỏa hiệp là khôn ngoan

Những cuộc gọi và e-mail hoảng hốt khi máy tính chẳng làm được gì ngoài chuyện hiển thị thông điệp đòi tiền chuộc của tin tặc là chuyện cơm bữa tại GroupSense, công ty an ninh mạng có trụ sở tại bang Virginia do Kurtis Minder (44 tuổi) sáng lập và làm CEO.

Thông điệp tống tiền cũng có nhiều sắc thái. Một số tin tặc thích hù dọa nạn nhân (“Bọn ta biết về ngươi còn nhiều hơn ngươi hiểu chính mình đấy”), số khác lại làm ra vẻ ngây thơ vô số tội (“Chà, hình như mấy tập tin quan trọng của bạn bị mã hóa rồi kìa”) hoặc như vừa làm một việc có ích cho nạn nhân (“Kính chào! Công việc kinh doanh của ông/bà đang gặp rủi ro nghiêm trọng. Có một lỗ hổng lớn trong hệ thống bảo mật của quý công ty”).

Khi nạn nhân làm theo hướng dẫn để truy cập trang web của tin tặc, đồng hồ điện tử lập tức hiện lên trên màn hình và bắt đầu đếm ngược thời gian còn lại để hoàn thành yêu cầu chuyển tiền cùng với một khung chat để trò chuyện trực tiếp với kẻ tấn công.

FBI khuyến cáo các nạn nhân không đàm phán với tin tặc, bởi lẽ càng nhiều công ty đồng ý trả tiền chuộc thì bọn tội phạm càng có lý do để tiếp tục phát tán ransomware. Nhưng khi cơ quan chức năng bó tay trong việc tìm ra kẻ tấn công và hệ thống bị ảnh hưởng cũng không thể khôi phục một cách nhanh chóng, các cơ quan thiết yếu gần như không còn lựa chọn nào khác nếu chẳng may trở thành nạn nhân. “Họ muốn các bệnh viện phải làm gì chứ, đóng cửa và để mặc bệnh nhân chết ư?” - tạp chí The New Yorker dẫn lời ông Philip Reiner, một chuyên gia an ninh mạng.

Các nạn nhân từ chối trả tiền có thể mất nhiều tháng để xây dựng lại hệ thống, và nếu dữ liệu của khách hàng bị đánh cắp hoặc rò rỉ thì họ còn đối diện nguy cơ chịu án phạt từ cơ quan quản lý. Năm 2018, thành phố Atlanta của Mỹ từng từ chối trả khoản tiền chuộc khoảng 50.000 USD để rồi sau đó tốn hơn 2 triệu USD cho các nỗ lực phục hồi sau một vụ tấn công tin tặc.

Theo dữ liệu từ Công ty an ninh mạng Kaspersky, đằng sau mỗi vụ tấn công ransomware lớn được báo chí biết đến và đưa tin là hằng hà sa số nạn nhân là các công ty vừa và nhỏ muốn giữ kín chuyện, và hơn một nửa trong số này đồng ý trả tiền cho bọn tin tặc. Việc trả tiền chuộc cho bọn tội phạm, dù không mấy vẻ vang, không nhất thiết là hành vi phạm pháp. Đơn cử như ở Mỹ, việc trả tiền chuộc được xem là hợp pháp miễn là số tiền đó không gửi đến các nước bị Mỹ cấm vận như Iran hoặc Triều Tiên, hoặc chi trả cho các tội phạm công nghệ nằm trong danh sách trừng phạt của Bộ Tài chính nước này.

Chữ tín của tin tặc

Nếu một công ty chấp nhận thanh toán tiền chuộc, lấy gì đảm bảo những tin tặc đó sẽ giữ lời hứa hoặc không giở thủ đoạn tương tự trong tương lai để “làm tiền” lần nữa? Câu trả lời, theo CEO Bill Siegel của Công ty Coveware, là “hoàn toàn không có gì đảm bảo”. Các nhóm tin tặc lớn thường hành động theo nguyên tắc và giữ đúng cam kết gửi chìa khóa để giải mã các tập tin sau khi nhận đủ tiền. Nhưng với các tin tặc tự phát hoặc cá nhân, rủi ro các công ty “tiền mất tật mang” khi trao tiền cho kẻ tấn công là có thật. Còn chuyện tin tặc có tấn công lần nữa hay không thì phụ thuộc vào khả năng vá lỗ hổng bảo mật của công ty chứ đừng trông cậy vào chữ tín. “Nếu việc tấn công một công ty không tốn nhiều công sức, ít rủi ro và khả năng thu lời cao, chúng sẽ tiếp tục và lặp đi lặp lại… Nếu công ty không nhìn nhận vấn đề nghiêm túc và khắc phục các lỗ hổng… thì khả năng bị tấn công lần nữa là 100%” - Siegel nói với Đài NPR.

Nghệ thuật đàm phán

Minder chuyên trị khâu đối thoại giữa nạn nhân và tin tặc trong vai trò một nhà đàm phán với tội phạm ransomware, một công việc mà theo ông chỉ mới xuất hiện trên thị trường vài năm trở lại đây. Ở Mỹ, số lượng chuyên gia thực thụ như Minder chưa đến chục người và họ thường hợp tác cùng các công ty bảo hiểm để giúp khách hàng lèo lái qua một cuộc khủng hoảng khi bị tin tặc tấn công. Với sự gia tăng của tội phạm ransomware từ khi đại dịch COVID-19 bùng phát, công việc của những người như Minder chưa lúc nào ngớt.

Minder tình cờ đến với nghề này. Đầu năm 2020, Công ty GroupSense của ông phát hiện dấu vết tin tặc trong hệ thống một công ty lớn và phát đi cảnh báo nhưng đã quá muộn. Bọn tội phạm để lại thông điệp đòi tiền chuộc, và công ty này ngỏ ý muốn Minder phụ trách quá trình đàm phán. Ban đầu ông do dự vì “chưa bao giờ nghĩ (đàm phán với tin tặc) là kỹ năng mà tôi có”, nhưng cuối cùng đành miễn cưỡng gật đầu.

Minder bắt đầu đọc tài liệu nghiên cứu về kỹ năng thương lượng cũng như xem video chia sẻ kinh nghiệm từ các chuyên gia đàm phán giải cứu con tin. Một số mánh Minder đúc kết được là tránh đưa ra các con số làm tròn vì chúng tạo cảm giác tùy hứng, và không bao giờ tùy tiện nhượng bộ nếu không muốn bị đánh giá là người dễ lung lay. Khen ngợi kỹ năng của tin tặc cũng là một chiến thuật được ông áp dụng hiệu quả: khi đối phương than phiền rằng đã bỏ nhiều công sức cho một phi vụ, ông liền đáp lại: “Anh là một tin tặc rất có năng khiếu và chúng tôi sẵn lòng trả tiền cho nỗ lực của anh. Nhưng mức giá mà anh đề nghị nằm ngoài khả năng của chúng tôi”.

 
 Ảnh: AdobeStock

Minder đặc biệt để tâm đến cách xưng hô với tin tặc để tạo không khí đôi bên cùng vui vẻ. Về điểm này, những nạn nhân tự mình đàm phán dễ mắc sai lầm nghiêm trọng là mất bình tĩnh, thậm chí nặng lời xúc phạm kẻ tấn công - hành động chỉ có tác dụng ngược. Bạn gái của Minder biết nói tiếng Nga, Romania, Ukraine và Litva, nên ông thường nhờ cô giúp đỡ chọn lọc từ ngữ khi giao tiếp với tin tặc đến từ các nước Đông Âu. Nhờ vậy mà tỉ lệ đàm phán thành công của Minder là khá cao, và hầu hết khách hàng của ông đều chốt được mức tiền chuộc cuối cùng thấp hơn từ 80 - 90% so với yêu sách ban đầu.

Công ty GroupSense của Minder tính phí theo giờ cho dịch vụ đàm phán với tin tặc, áp dụng mức giá trần tùy thuộc quy mô công ty khách hàng. Hầu hết các doanh nghiệp tốn từ 20.000 đến 25.000 USD cho dịch vụ của GroupSense bên cạnh khoản tiền chuộc phải trả cho tin tặc, và công ty thỉnh thoảng cũng nhận hỗ trợ miễn phí cho các doanh nghiệp nhỏ hoặc tổ chức phi lợi nhuận. Một số đơn vị cung cấp dịch vụ tương tự thì tính tiền theo tỉ lệ phần trăm trên tổng số tiền tiết kiệm được so với yêu cầu ban đầu của kẻ tấn công.

Minder cũng tiết lộ những tình huống trớ trêu nhưng không hiếm trong nghề. Một số công ty muốn mọi tin nhắn với tin tặc đều phải được phê duyệt trước, số khác thì mất kiên nhẫn nhanh chóng và nổi nóng khi cuộc thương lượng kéo dài hơn dự kiến. “Đôi khi bạn phải đàm phán với 2 bên cùng một lúc - với tin tặc và với nạn nhân. Bạn cần có tính cách phù hợp để vừa đồng cảm (với khách hàng) vừa chỉ cho họ thấy lối đi đúng mà không tạo cảm giác ý kiến của họ bị phản bác” - Minder giải thích với The New Yorker.■

Dù mới nổi nhưng ngành đàm phán với tin tặc cũng đã kịp có các công ty lừa đảo. Một công ty ở Florida tự nhận là “chuyên gia hàng đầu thế giới” về khôi phục dữ liệu bị tấn công bởi khủng bố mạng và mã độc, chuyên khuyến khích nạn nhân sử dụng các dịch vụ của họ để cứu dữ liệu và hệ thống thay vì trả tiền chuộc cho bọn tin tặc. Lời quảng cáo này rõ ràng có sức thuyết phục với những công ty không muốn thỏa hiệp cùng tội phạm. Vấn đề là công ty kia sẽ âm thầm đứng ra thương lượng với tin tặc chứ không phải vận dụng kỹ thuật gì. Sau khi tội phạm ngã giá, công ty này sẽ báo phí dịch vụ với khách hàng cao hơn để ăn chênh lệch, được tiếng “cứu dữ liệu” dù thực tế là do chính tin tặc trả lại. Mike Fowler, một cựu cảnh sát điều tra tội phạm ma túy hiện đầu quân cho GroupSense, kể một khách hàng của hãng đã mất 145.000 USD cho công ty ở Florida để “khôi phục các tập tin” bị mã hóa, trong khi số tiền doanh nghiệp gian xảo kia đã chốt với tin tặc là 65.000 USD.


Bình luận Xem thêm
Bình luận (0)
Xem thêm bình luận