Social Engineering là gì? Những điều về tấn công phi kỹ thuật có thể bạn chưa biết
Thịnh Văn Hạnh 14/06/2023 1131 Lượt xem Chia sẻ bài viết
Có rất nhiều loại tấn công mạng mà social engineering là một trong số đó. Social engineering là gì, dấu hiệu nhận biết, và cách phòng chống như thế nào, cùng BKNS tham khảo ngay trong bài viết dưới đây nhé.
Tóm Tắt Bài Viết
Social engineering là gì?
Social engineering là thuật ngữ được sử dụng cho một loại hoạt động độc hại được thực hiện thông qua các tương tác của con người. Nó sử dụng thao tác tâm lý để lừa người dùng mắc lỗi bảo mật hoặc cung cấp thông tin nhạy cảm.
Các cuộc tấn công social engineering xảy ra trong một hoặc nhiều bước. Trước tiên, hacker điều tra người dùng để thu thập thông tin cơ bản cần thiết. Chẳng hạn như các điểm xâm nhập tiềm năng và các giao thức bảo mật yếu, cần thiết để tiến hành cuộc tấn công. Sau đó, hacker sẽ làm cho người dùng tin tưởng và phá vỡ các quy tắc bảo mật. Chẳng hạn như tiết lộ thông tin nhạy cảm hoặc cấp quyền truy cập vào tài nguyên quan trọng.
Điều làm cho social engineering trở nên đặc biệt nguy hiểm là nó dựa vào lỗi của người dùng. Thay vì các lỗ hổng trong phần mềm và hệ điều hành. Những sai lầm do người dùng thực hiện ít có khả năng dự đoán hơn, khiến họ khó xác định hơn với sự xâm nhập dựa trên phần mềm malware độc hại.
Những kỹ thuật Social engineering
Các cuộc tấn công social engineering có nhiều hình thức khác nhau và có thể được thực hiện ở bất kỳ nơi nào có sự tương tác của con người. Vậy những loại tấn công social engineering là gì? Sau đây là 5 hình thức tấn công social engineering phổ biến nhất.
Baiting
Baiting, như tên gọi của nó, là một kỹ thuật sử dụng mồi nhử để khai thác lòng tham và sự tò mò của người dùng. Nó lôi kéo người dùng vào một cái bẫy, nơi thông tin cá nhân của họ bị đánh cắp hoặc hệ thống của họ bị nhiễm phần mềm độc hại.
Baiting có nhiều hình thức khác nhau để phân phối phần mềm độc hại. Ví dụ, kẻ tấn công có thể để lại mồi nhử, thường là một ổ đĩa Flash bị nhiễm phần mềm độc hại, ở những nơi mà người dùng có khả năng gặp chúng (ví dụ: nhà vệ sinh, thang máy, bãi đậu xe). Mồi nhử cần có diện mạo thực tế, ví dụ như được gắn nhãn là danh sách lương của một công ty.
Người dùng sẽ tiếp cận mồi nhử và cắm nó vào máy tính của họ ở cơ quan hoặc gia đình, dẫn đến việc tự động cài đặt phần mềm độc hại vào hệ thống của họ.
Các phương pháp baiting trực tuyến bao gồm các quảng cáo hấp dẫn dẫn đến các trang web độc hại hoặc khuyến khích người dùng tải xuống các ứng dụng bị nhiễm phần mềm độc hại.
Scareware
Scareware liên quan đến việc tấn công người dùng bằng cách tạo ra cảnh báo giả và các đe dọa không có thật. Người dùng bị lừa tin rằng hệ thống của họ đã bị nhiễm phần mềm độc hại. Scareware còn được gọi là phần mềm lừa đảo, phần mềm quét giả mạo và phần mềm gian lận.
Một ví dụ phổ biến về scareware là khi xuất hiện các cửa sổ bật lên trông như hợp pháp khi bạn duyệt web, hiển thị văn bản như “Máy tính của bạn có thể bị nhiễm spyware có hại.”. Nó sẽ cung cấp công cụ cài đặt cho bạn hoặc đưa bạn đến một trang web độc hại, dẫn đến việc nhiễm phần mềm độc hại cho máy tính của bạn.
Scareware cũng được phân phối qua email rác, đưa ra các cảnh báo không có thật hoặc đề xuất cho người dùng mua các dịch vụ vô giá trị và có hại.
Pretexting
Ở đây, kẻ tấn công thu thập thông tin bằng cách sử dụng các chiêu trò gian lận. Sự lừa đảo bắt đầu khi kẻ tấn công giả vờ cần thông tin nhạy cảm từ người dùng để thực hiện một công việc quan trọng.
Kẻ tấn công thường bắt đầu bằng cách xây dựng sự tin tưởng với người dùng bằng cách giả mạo đồng nghiệp, cảnh sát hoặc quan chức thuế. Sau đó, họ đặt ra các câu hỏi để thu thập các dữ liệu cá nhân quan trọng từ người dùng.
Tất cả các loại thông tin và hồ sơ quan trọng được thu thập thông qua các phương pháp lừa đảo này, bao gồm số an sinh xã hội, địa chỉ và số điện thoại cá nhân, lịch sử cuộc gọi điện thoại, ngày nghỉ phép của nhân viên, hồ sơ ngân hàng…
Phishing
Là một trong những loại tấn công kỹ thuật socail engineering phổ biến nhất, phishing là các chiến dịch email và tin nhắn văn bản nhằm tạo ra cảm giác cấp bách, tò mò hoặc sợ hãi ở người dùng. Sau đó, nó thúc đẩy họ tiết lộ thông tin nhạy cảm, nhấp vào các liên kết đến các trang web độc hại hoặc mở ra các file đính kèm có chứa phần mềm độc hại.
Một ví dụ là một email được gửi đến người dùng của một dịch vụ online. Thông báo cho họ hành vi vi phạm chính sách, yêu cầu họ đổi mật khẩu ngay lập tức. Nó bao gồm một liên kết đến một trang web bất hợp pháp ( gần giống với phiên bản hợp pháp) khiến người dùng không nghi ngờ nhập thông tin đăng nhập hiện tại và mật khẩu mới của họ. Sau khi gửi biểu mẫu, thông tin sẽ được gửi đến hacker.
Spear phishing
Đây là phiên bản tấn công mục tiêu của hình thức lừa đảo thông qua email (phishing). Kẻ tấn công này chọn cụ thể các cá nhân hoặc doanh nghiệp để tiến hành. Sau đó, họ điều chỉnh thông điệp của mình dựa trên các đặc điểm, vị trí công việc và thông tin liên hệ của người dùng để làm cho cuộc tấn công khó bị phát hiện hơn. Spear phishing đòi hỏi nhiều công sức hơn và có thể kéo dài từ vài tuần đến vài tháng để triển khai. Điều này làm cho nó khó bị phát hiện và có tỷ lệ thành công cao hơn nếu được thực hiện một cách tinh vi.
Một tình huống spear phishing có thể liên quan đến kẻ tấn công giả danh một nhà tư vấn Công nghệ thông tin từ tổ chức nào đó, gửi email tới một hoặc nhiều nhân viên. Email được viết và ký tên giống như những gì mà một nhà tư vấn thực sự thường làm. Điều này đánh lừa người nhận email rằng đó là một thông điệp chính thức. Thông báo yêu cầu người nhận thay đổi mật khẩu và cung cấp một liên kết dẫn tới một trang web độc hại, nơi mà kẻ tấn công thu thập thông tin đăng nhập của họ.
Phòng chống Social engineering
Vậy những cách để phòng chống social engineering là gì? Social engineering thao túng cảm xúc của con người. Chẳng hạn như tò mò, sợ hãi. Điều này nhằm thực hiện các âm mưu và lôi kéo người dùng vào bẫy. Do đó, hãy cảnh giác bất cứ khi nào bạn cảm thấy lo lắng trước một email, bị thu hút bởi một lời đề nghị trên một trang web. Cảnh giác có thể giúp bạn tránh khỏi hầu hết các cuộc tấn công social engineering.
Ngoài ra, các mẹo sau đây có thể giúp nâng cao cảnh giác của bạn đối với các cuộc tấn công social engineering.
- Không mở email và file đính kèm từ các nguồn đáng nghi ngờ – Nếu bạn không biết người gửi, bạn không cần trả lời email. Ngay cả khi bạn biết họ và nghi ngờ về tin nhắn của họ, hãy kiểm tra chéo và xác nhận tin tức từ các nguồn khác. Chẳng hạn như qua điện thoại hoặc trực tiếp từ các trang web của nhà cung cấp dịch vụ. Hãy nhớ rằng địa chỉ email luôn bị giả mạo, thậm chí một email có chủ đích đến từ một người đáng tin cậy có thể đã được khởi tạo bởi hacker.
- Sử dụng xác thực đa yếu tố – Một trong những phần có giá trị mà hacker tìm kiếm từ người dùng là thông tin xác thực của họ. Sử dụng xác thực đa yếu tố giúp đảm bảo bảo vệ tài khoản của bạn trong trường hợp hệ thống bị xâm phạm.
- Cảnh giác với những lời đề nghị hấp dẫn – Nếu một lời đề nghị nghe có vẻ quá hấp dẫn, hãy suy nghĩ kỹ trước khi chấp nhận nó. Việc tìm kiếm trên Google có thể giúp bạn nhanh chóng xác định xem bạn đang đối phó với một đề nghị hợp pháp hay không.
Kết luận
Trên đây là kiến thức về Social Engineering mà BKNS muốn gửi tới bạn. Qua đây BKNS tin rằng bạn đã hiểu Social Engineering là gì, những kỹ thuật engineering và các cách phòng chống căn bản. Hy vọng những kiến thức này sẽ giúp ích được cho bạn trong công việc thực tế.