Social engineering là gì? Làm thế nào để phòng tránh?

Nov 10, 2021

Social engineering hay còn gọi là là tấn công phi kỹ thuật, là nghệ thuật thao túng người dùng để họ lộ thông tin bí mật. Các loại thông tin mà bọn tội phạm này đang tìm kiếm có thể khác nhau

Mục Lục

Social engineering đối với lĩnh vực CNTT là một khái niệm khá quen thuộc. Nó là một kiểu tấn công mạng đang nở rộ trong những năm trở lại đây, và nhiều tổ chức doanh nghiệp đã trở thành nạn nhân của loại hình tấn công này do không có đủ kiến thức cũng như sự phòng bị. Vậy social engineering là gì và làm thế nào để phòng tránh? Tất cả sẽ được NSV giải đáp ngay sau đây.

Social engineering là gì

Social engineering hay còn gọi là là tấn công phi kỹ thuật, là nghệ thuật thao túng người dùng để họ lộ thông tin bí mật. Các loại thông tin mà bọn tội phạm này đang tìm kiếm có thể khác nhau, nhưng khi các cá nhân bị nhắm mục tiêu, bọn tội phạm thường cố gắng lừa bạn cung cấp cho chúng mật khẩu hoặc thông tin ngân hàng của bạn hoặc truy cập vào máy tính của bạn để bí mật cài đặt phần mềm độc hại – điều đó sẽ cấp cho chúng quyền truy cập vào mật khẩu và thông tin ngân hàng cũng như cấp cho họ quyền kiểm soát máy tính của bạn.

Tội phạm sử dụng các chiến thuật tấn công phi kỹ thuật vì thường dễ dàng đánh vào sự tin tưởng của bạn hơn là cố tìm cách để hack. Ví dụ, việc đánh lừa ai đó cung cấp cho bạn mật khẩu của họ sẽ dễ dàng hơn nhiều so với việc bạn thử hack mật khẩu của họ (trừ khi mật khẩu thực sự yếu).

Điều làm cho social engineering trở nên đặc biệt nguy hiểm là nó dựa vào lỗi của con người chứ không phải là các lỗ hổng bảo mật trong phần mềm và hệ điều hành. Những sai lầm do người dùng gây ra thường rất khó đoán, khiến chúng khó xác định và khó ngăn cản hơn so với sự xâm nhập dựa trên phần mềm độc hại.

Các hình thức social engineering

cac-hinh-thuc-social-engineering — Các hình thức social engineering - an ninh mạng

Scareware

Scareware liên quan đến việc nạn nhân bị tấn công bằng các báo động giả và các mối đe dọa không có thật. Người dùng bị đánh lừa để nghĩ rằng hệ thống của họ bị nhiễm phần mềm độc hại, khiến họ cài đặt phần mềm không cần thiết hoặc chính là phần mềm độc hại. Scareware còn được gọi là phần mềm lừa gạt, phần mềm quét giả mạo và phần mềm gian lận.

Một ví dụ về phần mềm đe dọa phổ biến là các pop-up bật lên dạng thông báo chính thống xuất hiện trong trình duyệt của bạn khi lướt web, hiển thị văn bản như "Máy tính của bạn có thể bị nhiễm các chương trình phần mềm gián điệp có hại". Nó đồng thời cung cấp bộ cài đặt công cụ (thường bị nhiễm phần mềm độc hại) cho bạn hoặc sẽ hướng bạn đến một trang web độc hại và làm cho máy tính của bạn bị nhiễm.

Phần mềm đe dọa tống tiền cũng được phát tán qua email spam đưa ra các cảnh báo không có thật hoặc đưa ra đề nghị cho người dùng mua các dịch vụ vô giá trị / có hại.

Pretexting

Ở đây kẻ tấn công có được thông tin thông qua một loạt các lời dối trá được tạo ra một cách khéo léo. Lừa đảo thường được bắt đầu bởi một thủ phạm giả vờ cần thông tin nhạy cảm từ nạn nhân để thực hiện một công việc quan trọng.

Kẻ tấn công thường bắt đầu bằng cách thiết lập lòng tin với nạn nhân của họ bằng cách đóng giả đồng nghiệp, cảnh sát, ngân hàng và cơ quan thuế hoặc những cơ quan chức trách. Chúng thường liên lạc và thông qua một vài câu hỏi để xác nhận danh tính nạn nhân, qua đó nhằm thu thập dữ liệu cá nhân quan trọng.

Tất cả các loại thông tin và hồ sơ được thu thập bằng cách sử dụng trò lừa đảo này chẳng hạn như sổ tiết kiệm, sổ bảo hiểm, địa chỉ và số điện thoại cá nhân, hồ sơ điện thoại, hồ sơ ngân hàng và thậm chí cả thông tin bảo mật liên quan đến mọi mặt cuộc sống của nạn nhân.

Lừa đảo

Là một trong những loại tấn công kỹ thuật xã hội phổ biến nhất. Kẻ xấu thường lừa đảo thông qua các chiến dịch email và tin nhắn văn bản nhằm tạo ra cảm giác cấp bách, tò mò hoặc sợ hãi ở nạn nhân. Sau đó, chúng làm họ tiết lộ thông tin nhạy cảm, nhấp vào liên kết đến các trang web độc hại hoặc mở tệp đính kèm có chứa phần mềm độc hại.

Một ví dụ là một email được gửi đến người dùng của một dịch vụ trực tuyến thông báo cho họ về hành vi vi phạm chính sách yêu cầu họ phải hành động ngay lập tức, chẳng hạn như yêu cầu thay đổi mật khẩu. Nó bao gồm một liên kết đến một trang web bất hợp pháp - gần giống với phiên bản hợp pháp của nó - khiến người dùng không nghi ngờ nhập thông tin đăng nhập hiện tại và mật khẩu mới của họ. Sau khi gửi biểu mẫu, thông tin sẽ được gửi đến kẻ tấn công.

Do các thư giống hệt nhau hoặc gần giống hệt nhau được gửi đến tất cả người dùng trong các chiến dịch lừa đảo, việc phát hiện và chặn chúng dễ dàng hơn nhiều đối với các máy chủ có quyền truy cập vào các nền tảng chia sẻ mối đe dọa .

Spear phishing - tấn công giả mạo

Đây là kiểu tấn công có thể nhắm đến nhiều con mồi hơn trong những trò lừa đảo qua mạng, theo đó kẻ tấn công chọn các cá nhân hoặc doanh nghiệp cụ thể. Sau đó, chúng điều chỉnh thông điệp của mình dựa trên đặc điểm, vị trí công việc và địa chỉ liên hệ của nạn nhân để cuộc tấn công của chúng ít bị phát hiện hơn. Lừa đảo qua giọng nói đòi hỏi phải nỗ lực nhiều hơn thay mặt cho thủ phạm và có thể mất hàng tuần, hàng tháng để giải quyết. Chúng khó bị phát hiện hơn nhiều và có tỷ lệ thành công cao nếu được thực hiện một cách khéo léo.

Thêm một kịch bản lừa đảo của tấn công giả mạo là kẻ xấu mạo danh nhà tư vấn CNTT của tổ chức/doanh nghiệp gửi email đến một hoặc nhiều nhân viên. Nó được viết và trình bày đúng câu cú ngữ nghĩa hệt những gì nhà tư vấn thường làm, do đó đánh lừa người nhận tin rằng đó là thông báo thật của nhà tư vấn. Thông báo nhắc người nhận thay đổi mật khẩu của họ và cung cấp cho họ một liên kết chuyển hướng họ đến một trang độc hại, nơi kẻ tấn công hiện nắm bắt thông tin đăng nhập của họ.

pretexting-social-engineering — Pretexting

Cách phòng chống tấn công phi kỹ thuật

Không mở email và tệp đính kèm từ các nguồn đáng ngờ

Nếu bạn không biết người gửi là ai thì bạn không cần trả lời email. Ngay cả khi bạn biết họ và nghi ngờ về tin nhắn của họ, hãy kiểm tra chéo và xác nhận tin tức từ các nguồn khác, chẳng hạn như qua điện thoại hoặc trực tiếp từ trang web của nhà cung cấp dịch vụ. Hãy nhớ rằng địa chỉ email luôn bị giả mạo; thậm chí một email có chủ đích đến từ một nguồn đáng tin cậy có thể đã thực sự được khởi tạo bởi kẻ tấn công.

Sử dụng xác thực đa yếu tố

Một trong những phần có giá trị nhất mà những kẻ tấn công tìm kiếm thông tin là thông tin xác thực của người dùng. Sử dụng xác thực đa yếu tố giúp đảm bảo bảo vệ tài khoản của bạn trong trường hợp hệ thống bị xâm phạm.

Cảnh giác với những lời đề nghị hấp dẫn

Nếu một lời đề nghị nghe có vẻ quá hấp dẫn, hãy suy nghĩ kỹ trước khi chấp nhận nó là sự thật. Nếu muốn chắc ăn, cứ lên Google và tra xem đúng là có thật không hay chỉ là lừa đảo.

Luôn cập nhật phần mềm chống vi-rút

Đảm bảo cập nhật tự động hoặc tạo thói quen tải xuống các chữ ký mới nhất mỗi ngày. Kiểm tra định kỳ để đảm bảo rằng các bản cập nhật đã được áp dụng và quét hệ thống của bạn để tìm các nhiễm trùng có thể xảy ra. (Xem thêm Top 14 công cụ quét lỗ hổng bảo mật tốt nhất hiện nay).

NSV tổng hợp

social engineering

Design - CAD

Manufacturing - CAM

Simulation & Analysis - CAE

Product Life Cycle - PLM

Endpoint Protection Platform - EPP

Endpoint Detection & Response - EDR

Data Loss Prevention - DLP

Vulnerability Assessment

Email Security

Blog