Social engineering là một loại tấn công mạng thao túng tâm lý/cảm xúc con người. Người dùng sẽ dễ bị dính vào các cuộc tấn công này dễ dàng bởi sự tò mò hoặc sự sợ hãi. Bài viết này sẽ nói rõ hơn social engineering là gì? Các kỹ thuật tấn công social engineering là gì và cách phòng chống nó như thế nào.
Social engineering là gì?
Social engineering là thuật ngữ được sử dụng cho một loại hoạt động độc hại được thực hiện thông qua các tương tác của con người. Nó sử dụng thao tác tâm lý để lừa người dùng mắc lỗi bảo mật hoặc cung cấp thông tin nhạy cảm.
Các cuộc tấn công social engineering xảy ra trong một hoặc nhiều bước. Trước tiên, hacker điều tra người dùng để thu thập thông tin cơ bản cần thiết. Chẳng hạn như các điểm xâm nhập tiềm năng và các giao thức bảo mật yếu, cần thiết để tiến hành cuộc tấn công. Sau đó, hacker sẽ làm cho người dùng tin tưởng và phá vỡ các quy tắc bảo mật. Chẳng hạn như tiết lộ thông tin nhạy cảm hoặc cấp quyền truy cập vào tài nguyên quan trọng.
Điều làm cho social engineering trở nên đặc biệt nguy hiểm là nó dựa vào lỗi của người dùng. Thay vì các lỗ hổng trong phần mềm và hệ điều hành. Những sai lầm do người dùng thực hiện ít có khả năng dự đoán hơn, khiến họ khó xác định hơn với sự xâm nhập dựa trên phần mềm malware độc hại.
Những kỹ thuật Social engineering
Các cuộc tấn công social engineering có nhiều hình thức khác nhau và có thể được thực hiện ở bất kỳ nơi nào có sự tương tác của con người. Vậy những loại tấn công social engineering là gì? Sau đây là 5 hình thức tấn công social engineering phổ biến nhất.
Baiting
Như tên gọi của nó, tấn công bằng baiting sử dụng một mồi nhử để khơi gợi lòng tham và sự tò mò của người dùng. Chúng dụ người dùng vào một cái bẫy đánh cắp thông tin cá nhân của họ hoặc làm cho hệ thống của họ bị nhiễm phần mềm độc hại.
Hình thức baiting sử dụng nhiều phương tiện để phát tán phần mềm độc hại. Ví dụ những kẻ tấn không để lại mồi nhử – thường là Flash Drive bị nhiễm phần mềm độc hại ở những khu vực người dùng chắc chắn thấy chúng ( ví dụ: phòng tắm, thang máy, bãi đậu xe…). Mồi nhử cần phải có được một cái nhìn thực tế về nó. Chẳng hạn như một nhãn giới thiệu như là danh sách trả lương của công ty.
Người dùng sẽ tiếp cận mồi nhử và đưa nó vào máy tính ở cơ quan hoặc gia đình, dẫn đến việc cài đặt phần mềm độc hại tự động vào hệ thống.
Các hình thức baiting online bao gồm các quảng cáo lôi kéo dẫn đến các website độc hại hoặc khuyến khích người dùng tải xuống ứng dụng bị nhiễm phần mềm độc hại.
Scareware
Scareware liên quan đến việc người dùng bị tấn công bằng báo động giả và các mối đe dọa không có thật. Người dùng bị đánh lừa khi nghĩ rằng hệ thống của họ bị nhiễm phần mềm độc hại. Scareware còn được gọi là phần mềm lừa gạt, phần mềm scan giả mạo và phần mềm gian lận.
Một ví dụ về scareware phổ biến là các biểu ngữ bật lên trông hợp pháp xuất hiện khi bạn lướt web, hiển thị văn bản như ““Your computer may be infected with harmful spyware programs.”. Nó sẽ cung cấp cài đặt công cụ cho bạn hoặc sẽ hướng bạn đến một trang web độc hại nơi máy tính của bạn sẽ bị nhiễm.
Scareware cũng được phát tán qua spam email, đưa ra cảnh báo không có thật hoặc đưa ra đề nghị cho người dùng mua các dịch vụ vô giá trị và có hại.
Pretexting
Ở đây hacker có được thông tin thông qua một loạt các lời nói dối. Lừa đảo sẽ được bắt đầu khi hacker giả vờ cần thông tin nhạy cảm của người dùng để thực hiện công việc quan trọng.
Hacker thường bắt đầu bằng cách thiết lập lòng tin với người dùng bằng cách đóng giả đồng nghiệp, cảnh sát hoặc quan chức thuế. Sau đó đặt ra các câu hỏi để thu thập các dữ liệu cá nhân quan trọng của người dùng.
Tất cả các loại thông tin và hồ sơ thích hợp được thu thập bằng cách sử dụng trò lừa đảo này. Chẳng hạn như số an sinh xã hội, địa chỉ và số điện thoại các nhân, hồ sợ điện thoại, ngày nghỉ phép của nhân viên, hồ sơ ngân hàng…
Phishing
Là một trong những loại tấn công kỹ thuật socail engineering phổ biến nhất, phishing là các chiến dịch email và tin nhắn văn bản nhằm tạo ra cảm giác cấp bách, tò mò hoặc sợ hãi ở người dùng. Sau đó, nó thúc đẩy họ tiết lộ thông tin nhạy cảm, nhấp vào các liên kết đến các trang web độc hại hoặc mở ra các file đính kèm có chứa phần mềm độc hại.
Một ví dụ là một email được gửi đến người dùng của một dịch vụ online. Thông báo cho họ hành vi vi phạm chính sách, yêu cầu họ đổi mật khẩu ngay lập tức. Nó bao gồm một liên kết đến một trang web bất hợp pháp ( gần giống với phiên bản hợp pháp) khiến người dùng không nghi ngờ nhập thông tin đăng nhập hiện tại và mật khẩu mới của họ. Sau khi gửi biểu mẫu, thông tin sẽ được gửi đến hacker.
Spear phishing
Đây là phiên bản được nhắm mục tiêu nhiều hơn của phiên bản phishing. Theo đó hacker chọn các cá nhân hoặc doanh nghiệp cụ thể. Sau đó, chúng điều chỉnh thông điệp của mình dựa trên các đặc điểm, vị trí công việc và địa chỉ liên hệ của người dùng để cuộc tấn công ít bị phát hiện hơn. Spear phishing đòi hỏi nhiều công sức hơn và có thể mất hằng tuần, hằng tháng để giải quyết. Ví chúng khó bị phát hiện hơn và có tỷ lệ thành công cao hơn nếu được thực hiện một cách khéo léo.
Một tình huống spear phishing có thể liên quan đến hacker, khi mạo danh nhà tư vấn Công nghệ thông tin của tổ chức, gửi email đến một hoặc nhiều nhân viên. Nó được viết và ký chính xác những gì mà nhà tư vấn thường làm. Do đó đánh lừa người nhận tin rằng đó là một thông điệp xác thực. Thông báo nhắc người nhận thay đổi mật khẩu của họ và cung cấp cho họ một liên kết chuyển hướng đến một trang độc hại, nơi mà hacker nắm bắt thông tin đăng nhập của họ.
Phòng chống Social engineering
Vậy những cách để phòng chống social engineering là gì? Social engineering thao túng cảm xúc của con người. Chẳng hạn như tò mò, sợ hãi. Điều này nhằm thực hiện các âm mưu và lôi kéo người dùng vào bẫy. Do đó, hãy cảnh giác bất cứ khi nào bạn cảm thấy lo lắng trước một email, bị thu hút bởi một lời đề nghị trên một trang web. Cảnh giác có thể giúp bạn tránh khỏi hầu hết các cuộc tấn công social engineering.
Hơn nữa , các mẹo sau đây có thể giúp nâng cao cảnh giác của bạn đối với các cuộc tấn công social engineering.
- Không mở email và file đính kèm từ các nguồn đáng nghi ngờ – Nếu bạn không biết người gửi, bạn không cần trả lời email. Ngay cả khi bạn biết họ và nghi ngờ về tin nhắn của họ, hãy kiểm tra chéo và xác nhận tin tức từ các nguồn khác. Chẳng hạn như qua điện thoại hoặc trực tiếp từ các trang web của nhà cung cấp dịch vụ. Hãy nhớ rằng địa chỉ email luôn bị giả mạo, thậm chí một email có chủ đích đến từ một người đáng tin cậy có thể đã được khởi tạo bởi hacker.
- Sử dụng xác thực đa yếu tố – Một trong những phần có giá trị mà hacker tìm kiếm từ người dùng là thông tin xác thực của họ. Sử dụng xác thực đa yếu tố giúp đảm bảo bảo vệ tài khoản của bạn trong trường hợp hệ thống bị xâm phạm.
- Cảnh giác với những lời đề nghị hấp dẫn – Nếu một lời đề nghị nghe có vẻ quá hấp dẫn, hãy suy nghĩ kỹ trước khi chấp nhận nó. Việc tìm kiếm trên Google có thể giúp bạn nhanh chóng xác định xem bạn đang đối phó với một đề nghị hợp pháp hay không.
Kết luận
Bài viết trên đã giúp bạn hiểu rõ hơn về social engineering và các phương pháp để phòng chống nó. Chúc bạn thành công!
