Social engineering attacks là gì

Trong lĩnh vực bảo mật thông tin, Social Engineering là một thuật ngữ khá phổ biến. Nó là một kiểu tấn công nhằm thao túng các hành vi của con người, nhằm mục đích tấn công hệ thống mà không cần thực hiện các kỹ thuật phức tạp. Để hiểu rõ hơn về tấn công phi kỹ thuật (Social Engineering), bạn nhất định không được bỏ qua bài viết dưới đây. Hãy cùng BKHOST theo dõi.

Nội dung bài viết

• Social Engineering là gì?
• Một vài kiểu tấn công phi kỹ thuật phổ biến
  • Baiting
  • Scareware
  • Pretexting
  • Phishing
  • Phishing Spear
• Cách phòng chống Social Engineering
• Tổng kết về Social Engineering

Social Engineering còn được biết đến với tên gọi là tấn công phi kỹ thuật, dùng để chỉ các hành động gây hại, nhận biết qua quá trình con người tương tác. Hiểu một cách đơn giản, đây là kỹ thuật dùng thao túng tâm lý nhằm khiến người dùng mắc lỗi liên quan đến bảo mật hoặc cung cấp những loại thông tin nhạy cảm. Social Engineering tiến hành khai thác thông tin và dùng các thông tin này để nhằm vụ lợi mục đích riêng.

Mua domain và hosting tại BKHOST

BKHOST là một trong những nhà cung cấp dịch vụ domain và hosting uy tín nhất tại Việt Nam.

Rất nhiều chương trình khuyến mãi hấp dẫn đang chờ bạn. Đăng ký ngay hôm nay:

thuê tên miền và hosting

Tấn công phi kỹ thuật diễn ra theo nhiều bước khác nhau. Theo đó, các thông tin liên quan đến nạn nhân được thu thập để tiến hành cuộc tấn công. Kẻ tấn công thực hiện hành vi nào đó nhằm khiến nạn nhân tin tưởng, mất cảnh giác, cung cấp các hành động mang tính chất kích thích để phá vỡ tính bảo mật. Ví dụ như nó sẽ cung cấp quyền truy cập vào tài nguyên nào đó hoặc tiết lộ những thông tin nhạy cảm.

Không dựa theo các lỗ hổng của hệ điều hành, tấn công phi kỹ thuật (Social Engineering) đặc biệt nguy hiểm là do lỗi của con người. Social Engineering không dùng các phương thức kỹ thuật như tin tặc hay phương thức phá hủy hệ thống, thay vào đó, nó sẽ đến tấn công bằng kỹ thuật tinh vy. Nếu không cảnh giác, nạn nhân rất dễ mắc bẫy.

Một vài kiểu tấn công phi kỹ thuật phổ biến

Các cuộc tấn công phi kỹ thuật được chia thành nhiều loại với cách thức thực hiện khác nhau tại bất kỳ nơi nào xuất hiện sự tương tác của con người. Dưới đây là một vài hình thức tấn công phổ biến nhất bạn có thể tham khảo.

Baiting

Baiting là cuộc tấn công bằng mồi nhử, dùng lời hứa để khơi gợi sự tò mò và lòng tham của nạn nhân. Người dùng sẽ bị rơi vào một cái bẫy thông tin cá nhân khiến hệ thống bị nhiễm phần mềm độc hại. Phương tiện vật lý được dùng để lan truyền và phát tán các phần mềm độc hại. Chẳng hạn kẻ tấn công để lại ổ đĩa flash có nhiễm phần mềm độc hại tại nơi dễ dàng nhìn thấy nạn nhân. Qua đó, nạn nhân được xác định, tăng khả năng tấn công.

Khi nạn nhân tò mò, chạm hoặc tiếp xúc với con mồi, phần mềm độc hại tự nhiên sẽ xâm nhập vào hệ thống một cách dễ dàng. Các hình thức môi nhử không nhất thiết diễn ra trên thế giới thực mà hoàn toàn có thể áp dụng trực tuyến. Một số quảng cáo gây hại cũng sẽ xuất hiện trên website để lừa người dùng.

Scareware

Scareware là hình thức cho thấy nạn nhân chịu sự tấn công của báo động giả, các mối đe dọa xuất hiện theo một hình thức hư cấu nào đó. Khi người dùng cho rằng hệ thống của họ nhiễm phần mềm độc hại và cài đặt lại có nghĩa là bạn đã bị đánh lừa. Scareware còn được biết đến là phần mềm quét giả mạo, gian lận hay phần mềm lừa dối.

Ví dụ về phần mềm Scareware là các biểu ngữ xuất hiện một cách hợp pháp khi lướt web. Một đoạn văn bản chứa nội dung như “Máy tính của bạn có thể bị nhiễm virus hay phần mềm độc hại”. Sau đó nó sẽ hướng bạn đến một website độc hại khác nếu chẳng may kích vào là bạn đã bị nhiễm virus xâm nhập. Scareware phát tán qua email spam để đưa các cảnh báo không có thật, khuyến khích người dùng mua dịch vụ.

Pretexting

Loại tấn công phi kỹ thuật (Social Engineering) tiếp theo được đề cập đến là Pretexting. Một loạt lời nói dối được tạo ra một cách khéo léo. Thủ phạm cho thấy mình đang cần những thông tin nhạy cảm từ phía nạn nhân cho nhiệm vụ đặc biệt nào đó. Kẻ tấn công sẽ tìm cách để thiết lập lòng tin từ nạn nhân như đóng giả cảnh sát, nhân viên ngân hàng, đồng nghiệp… Họ sẽ đặt các câu hỏi để xác thực danh tính nạn nhân đồng thời thu thập dữ liệu cá nhân quan trọng.

Thông tin về hồ sơ được thu thập thông qua địa chỉ nhà, sổ an sinh xã hội, số điện thoại, số ngày làm việc, số ngày nghỉ… Thậm chí, thông tin bảo mật liên quan đến công việc, công ty, tổ chức cũng có thể bị đánh cắp một cách vô cùng dễ dàng.

Phishing

Phishing hay lừa đảo là loại tấn công kỹ thuật phổ biến hàng đầu, hình thức thực hiện là qua tin nhắn văn bản, email với tính chất cấp bách nhằm khơi gợi sự sợ hãi hay trí tò mò của nạn nhân. Thông tin nhạy cảm được tiết lộ khi bạn ấn vào các đường liên kết dẫn đến trang web độc hại. Một trường hợp khác đó là các tệp tin đính kèm phần mềm độc hại cũng có thể xuất hiện.

Ví dụ về Phishing đó là khi một email gửi đến người dụng thông tin về dịch vụ trực tuyến và nói rằng bạn đã vi phạm chính sách nào đó, yêu cầu hành động ngay, đổi mật khẩu tài khoản chẳng hạn. Người dùng không nghi ngờ và đăng nhập luôn theo đường link có trong mail. Sau khi hoàn thành và gửi biểu mẫu, thông tin mới sẽ được gửi đến kẻ tấn công.

Phishing Spear

Phishing Spear là hình thức cuối cùng được nhắc đến trong bài viết này. Hình thức này được thực hiện nhằm thực hiện lừa đảo qua mạng. Kẻ tấn công sẽ xác định con mồi là doanh nghiệp hay đối tượng nào đó trước khi tiến hành các cuộc tấn công. Chúng điều chỉnh thông điệp trên vị trí việc làm, đặc điểm cá nhân và các thông tin về địa chỉ liên hệ. Phishing Spear hiểu rõ hơn là cuộc tấn công phi kỹ thuật (Social Engineering) qua giọng nói.

Lừa đảo qua giọng nói diễn ra hàng tuần, hàng tháng và cần đến rất nhiều sự nỗ lực. Tỷ lệ phát hiện của hình thức này cao hơn và cách thức thực hiện cũng sẽ khéo léo hơn. Chẳng hạn như chúng mạo danh nhà tư vấn từ các tổ chức, công ty gửi email xác nhận đến nạn nhân. Nhiệm vụ tư vấn thường là nhiều chủ đề xoay quanh con người, lừa đảo nạn nhân bằng các thông điệp mang tính chắc chắn. Chẳng hạn khi bạn thay đổi mật khẩu hoặc cung cấp các liên kết mang tính chuyển hướng đến trang web độc hại. Kẻ tấn công ngay lập tức tiếp nhận và đánh cắp thông tin.

Có rất nhiều cách để Social Engineering thao túng con người. Dù là email, tin nhắn văn bản hay lời tư vấn… từ một đối tượng nào đó, bạn cũng đều phải cảnh giác. Các mẹo dưới đây sẽ hữu ích với bạn:

• Tuyệt đối không nên mở tệp tin, email từ các nguồn đáng nghi khi không biết người gửi tin là ai. Hoặc ngay cả khi bạn biết người gửi tin nhắn nhưng phát hiện họ có dấu hiệu bất thường hãy kiểm tra lại vì kẻ tấn công cũng có thể giả mạo email người thân của bạn.
• Kẻ tấn công cần tìm kiếm thông tin xác thực từ người dùng. Vì thế, hãy cảnh giác với một vài lời đề nghị hấp dẫn, mang tính mời gọi, kích thích trí tò mò.
• Hãy cập nhật phần mềm chống độc hại, virus, chúng sẽ tự động cập nhật và tạo thói quen kiểm tra định kỳ, đảm bảo hệ thống được cập nhật liên tục, trơn tru.

Bài viết đã giới thiệu tổng quan về Tấn công phi kỹ thuật (Social Engineering) và một vài hình thức tấn công phổ biến nhất. Hy vọng người dùng cảnh giác khi truy cập mạng xã hội cũng như trong cách ứng xử, làm việc mỗi ngày để tránh bị lừa đảo.

Nếu còn gặp bất cứ vướng mắc gì về Social Engineering, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

Đăng ký Gmail Doanh Nghiệp tại BKHOST

BKHOST đang có chương trình khuyến mại cực tốt cho khách hàng đăng ký dịch vụ Gmail Tên Miền Riêng:

• Giảm giá lên đến 20%.
• Giá chỉ từ 495k/5 mail.
• Dung lượng lên đến 30GB/user.

Đăng ký ngay:

email doanh nghiệp