Social Engineering là một phương pháp tấn công bảo mật nhằm vào điểm yếu của con người chứ không phải điểm yếu của hệ thống. Những kẻ tấn công sử dụng Social Engineering để lừa nạn nhân tiết lộ thông tin cá nhân, mật khẩu hoặc thực hiện các hành động gây hại khác.
Social Engineering có thể được thực hiện thông qua nhiều phương tiện, bao gồm email, điện thoại, tin nhắn văn bản và mạng xã hội. Những kẻ tấn công thường sử dụng các thủ thuật tâm lý để khiến nạn nhân tin rằng họ đang giao tiếp với một người đáng tin cậy.
Social Engineering là gì?
Social Engineering là một thuật ngữ chỉ các phương pháp sử dụng sự tương tác giữa con người để thu thập thông tin nhạy cảm hoặc thuyết phục ai đó thực hiện một hành động nào đó.
Nói cách khác, Social Engineering là nghệ thuật lừa đảo con người. Thuật ngữ này thường được sử dụng trong lĩnh vực an ninh mạng, chỉ các cuộc tấn công mà kẻ xâm nhập lợi dụng lòng tin của con người để có được quyền truy cập vào các hệ thống.
Vai trò của Social Engineering trong an ninh mạng
Trong lĩnh vực an ninh mạng, Social Engineering đề cập đến các phương pháp khai thác điểm yếu trong bản chất con người để có được quyền truy cập vào các hệ thống máy tính và mạng.
Các cuộc tấn công Social Engineering nhắm vào con người chứ không phải công nghệ. Chúng lợi dụng xu hướng tin tưởng người khác của con người để đánh lừa họ tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động có hại.
Do đó, Social Engineering đóng một vai trò quan trọng trong chiến lược tổng thể về an ninh mạng. Nó là một mối đe dọa nghiêm trọng đối với cả cá nhân và tổ chức.
Tác động của Social Engineering đến an ninh mạng
Social Engineering là một trong những mối đe dọa lớn nhất đối với an ninh mạng. Theo các chuyên gia, hơn 90% số vụ tấn công mạng thành công liên quan đến yếu tố con người.
Lý do là vì con người là yếu tố dễ bị tổn thương nhất trong bất kỳ hệ thống an ninh nào. Ngay cả khi công nghệ được củng cố, nhưng nếu nhân viên không được đào tạo ý thức về an ninh mạng thì vẫn tiềm ẩn nguy cơ lớn.
Do đó, các công ty cần xem Social Engineering là một phần không thể thiếu trong chiến lược bảo mật toàn diện, cần đào tạo nhân viên về các cuộc tấn công phổ biến để hạn chế rủi ro.
Quy trình tấn công Social Engineering
Quy trình tấn công kỹ thuật tâm lý xã hội thường bao gồm các bước sau:
1. Thu thập thông tin:
Kẻ tấn công sẽ thu thập thông tin về nạn nhân tiềm năng, chẳng hạn như tên, địa chỉ, nơi làm việc, sở thích và các mối quan hệ cá nhân. Kẻ tấn công có thể sử dụng các công cụ trực tuyến như mạng xã hội, trang web và các nguồn thông tin công khai để thu thập thông tin này.
2. Xây dựng mối quan hệ:
Kẻ tấn công sẽ cố gắng xây dựng mối quan hệ với nạn nhân tiềm năng thông qua các tương tác trực tiếp hoặc trực tuyến. Kẻ tấn công có thể sử dụng các kỹ thuật như tâng bốc, tán tỉnh hoặc thậm chí là uy hiếp để lấy được sự tin tưởng của nạn nhân.
3. Cài mồi tấn công:
Khi kẻ tấn công đã xây dựng được mối quan hệ với nạn nhân, chúng sẽ bắt đầu cài mồi để thực hiện cuộc tấn công. Kẻ tấn công có thể gửi cho nạn nhân một email hoặc tin nhắn chứa liên kết độc hại, hoặc có thể thuyết phục nạn nhân cung cấp thông tin cá nhân hoặc tài chính.
4. Thực hiện tấn công:
Khi nạn nhân đã nhấp vào liên kết độc hại hoặc cung cấp thông tin cho kẻ tấn công, cuộc tấn công sẽ được thực hiện. Cuộc tấn công có thể là đánh cắp thông tin cá nhân, xâm phạm tài khoản trực tuyến hoặc thậm chí là cài đặt phần mềm độc hại trên máy tính của nạn nhân.
5. Rút lui:
Sau khi cuộc tấn công đã được thực hiện, kẻ tấn công sẽ rút lui và xóa dấu vết của mình. Kẻ tấn công có thể sử dụng các công cụ để xóa dấu vết khỏi hệ thống của nạn nhân hoặc có thể đơn giản là ngừng liên lạc với nạn nhân.
Social Engineering trong an ninh mạng
Ý nghĩa của Social Engineering
Social Engineering đề cập đến một loạt các phương pháp được sử dụng bởi tin tặc và kẻ xâm nhập để đánh lừa người dùng cung cấp thông tin nhạy cảm. Các thông tin này sau đó có thể được kẻ tấn công sử dụng để xâm nhập vào các hệ thống.
Trong bối cảnh an ninh mạng, Social Engineering rất nguy hiểm vì:
- Khai thác điểm yếu tâm lý con người
- Khó phòng thủ do dựa vào hành vi của con người
- Tiềm ẩn khắp mọi nơi, từ email đến mạng xã hội
- Gây thiệt hại lớn cho cả cá nhân và tổ chức
Do đó, để bảo vệ an ninh mạng, các tổ chức cần chú trọng đến yếu tố con người cùng với công nghệ.
Cơ chế hoạt động
Social Engineering hoạt động bằng cách khai thác các đặc điểm tâm lý và hành vi của con người. Cụ thể:
- Tận dụng tính ham mê tò mò của con người để nhử click vào đường link độc hại.
- Lợi dụng xu hướng tin tưởng vào thẩm quyền để giả danh nhân viên hỗ trợ hoặc nhân viên ngân hàng.
- Kích thích tâm lý tham lam để đánh cắp thông tin tài khoản, mật khẩu.
Nói cách khác, thay vì tấn công trực tiếp vào công nghệ, Social Engineering nhắm tới những điểm yếu trong tâm lý con người. Điều này khiến nó trở thành một mối đe dọa lớn mà khó có thể loại bỏ hoàn toàn.
Các loại hình tấn công phổ biến
Dưới đây là một số kỹ thuật tấn công xã hội phổ biến:
Phishing
Lừa đảo trực tuyến (Phishing)
Lừa đảo trực tuyến (phishing) là hình thức lừa đảo thực hiện thông qua các phương tiện truyền thông điện tử như email, tin nhắn, website… để đánh cắp thông tin cá nhân như tên đăng nhập, mật khẩu, số tài khoản ngân hàng, số thẻ tín dụng… của nạn nhân.
Những kẻ lừa đảo thường giả mạo các tổ chức uy tín, đáng tin cậy như ngân hàng, công ty quản lý thẻ tín dụng, trang thương mại điện tử… để gửi email hoặc tin nhắn cho nạn nhân, yêu cầu họ cung cấp thông tin cá nhân. Nếu nạn nhân tin tưởng và cung cấp thông tin thì sẽ bị đánh cắp.
Lừa đảo trực tuyến là một hình thức lừa đảo rất nguy hiểm vì nó có thể gây thiệt hại lớn cho nạn nhân, cả về tài chính lẫn danh tiếng. Vì vậy, người dùng cần hết sức cảnh giác với những email, tin nhắn hoặc website có nội dung khả nghi, yêu cầu cung cấp thông tin cá nhân.
Một số cách phòng tránh lừa đảo trực tuyến:
- Không mở email/ tin nhắn từ những người gửi không quen biết.
- Không nhấp vào các liên kết trong email/ tin nhắn từ những người gửi không quen biết.
- Không cung cấp thông tin cá nhân (tên đăng nhập, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng…) qua email hoặc qua các trang web không an toàn.
- Sử dụng phần mềm diệt virus và tường lửa để bảo vệ máy tính của bạn khỏi các phần mềm độc hại.
- Cập nhật phần mềm thường xuyên để vá các lỗ hổng bảo mật.
- Nếu nghi ngờ mình đã bị lừa đảo, hãy liên lạc ngay với ngân hàng hoặc công ty quản lý thẻ tín dụng của bạn để báo cáo và đóng tài khoản.
Baiting
Đó được gọi là phương thức tấn công watering hole. Đây là một chiến thuật đánh cắp dữ liệu bằng cách để lại thiết bị lưu trữ USB chứa mã độc tại nơi công cộng. Nạn nhân khi cắm thiết bị này vào máy tính sẽ vô tình cài đặt mã độc vào hệ thống, từ đó thông tin cá nhân, dữ liệu quan trọng sẽ bị đánh cắp. Phương thức tấn công theo kiểu này thường nhắm tới các công ty, tập đoàn lớn, thậm chí cả các cơ quan chính phủ.
Đối với các tội phạm mạng, chúng thường nghiên cứu, tìm hiểu sở thích, thói quen, hành vi duyệt web,… của đối tượng mà mình nhắm tới. Sau đó, chúng tạo ra các thiết bị USB có vẻ ngoài hấp dẫn, tiện lợi, chẳng hạn như thẻ nhớ, ổ đĩa chứa dữ liệu quan trọng, thú vị, rồi cố tình để quên tại những nơi mà chúng biết rằng đối tượng sẽ sử dụng hoặc lấy chúng, chẳng hạn như nhà vệ sinh, phòng họp, thang máy,…
Đây là một phương thức tấn công khá tinh vi, vì nạn nhân thường không hề hay biết rằng thiết bị lưu trữ USB mà họ nhặt được lại chứ mã độc. Hơn nữa, khi họ cắm thiết bị này vào máy tính, mã độc sẽ tự động chạy và cài đặt vào hệ thống, do đó rất khó để phát hiện và ngăn chặn.
Để bảo vệ bản thân khỏi các cuộc tấn công dạng watering hole, người dùng nên tuân theo một số nguyên tắc sau:
- Không cắm các thiết bị lưu trữ USB không rõ nguồn gốc vào máy tính.
- Cài đặt phần mềm diệt virus và thường xuyên cập nhật phần mềm này.
- Không mở các tệp tin đính kèm trong email hoặc tin nhắn từ người gửi không quen biết.
- Cẩn thận khi nhấp vào các liên kết trong email hoặc tin nhắn từ người gửi không quen biết.
Quid pro quo
Là hình thức mạo danh để đề nghị trao đổi, chẳng hạn như đề nghị tặng quà để đổi lấy thông tin nhạy cảm.
Đây là một hình thức tấn công lừa đảo trực tuyến (phishing) phổ biến, trong đó kẻ tấn công sẽ đóng giả làm một bên đáng tin cậy, chẳng hạn như ngân hàng, công ty phát hành thẻ tín dụng hoặc chính phủ, để đánh cắp thông tin cá nhân hoặc thông tin tài chính của nạn nhân.
Kẻ tấn công thường gửi email, tin nhắn văn bản hoặc tin nhắn qua mạng xã hội cho nạn nhân, yêu cầu nạn nhân cung cấp thông tin cá nhân hoặc nhấp vào một liên kết dẫn đến một trang web giả mạo. Trang web hoặc liên kết giả này sẽ yêu cầu nạn nhân nhập thông tin cá nhân, chẳng hạn như tên, địa chỉ, số điện thoại, ngày sinh, số thẻ tín dụng hoặc số an sinh xã hội.
Một số người dùng nhấp vào các liên kết đáng ngờ và họ cung cấp cho họ thông tin cá nhân hoặc thông tin tài chính. Đừng bao giờ chia sẻ thông tin cá nhân hoặc thông tin tài chính của bạn với bất kỳ ai mà bạn không tin tưởng hoặc chưa được xác minh. Nếu bạn nhận được email, tin nhắn văn bản hoặc tin nhắn qua mạng xã hội yêu cầu bạn cung cấp thông tin cá nhân hoặc nhấp vào một liên kết, hãy cẩn thận và hãy kiểm tra xem đó có phải là một nỗ lực tấn công lừa đảo hay không.
Nếu bạn không chắc chắn, bạn có thể liên hệ trực tiếp với công ty hoặc cơ quan mà kẻ tấn công mạo danh để xác nhận xem email, tin nhắn văn bản hoặc tin nhắn qua mạng xã hội mà bạn nhận được có hợp pháp hay không. Hoặc, bạn có thể truy cập trang web chính thức của công ty hoặc cơ quan đó và xem họ có đang chạy chương trình khuyến mãi hoặc trao đổi nào không. Nếu kẻ tấn công đã đánh cắp thông tin cá nhân của bạn, bạn nên liên hệ với ngân hàng và công ty phát hành thẻ tín dụng của bạn để thông báo cho họ và yêu cầu họ hủy hoặc đóng tài khoản của bạn để tránh bị gian lận tài chính. Bạn cũng nên thay đổi mật khẩu cho tất cả các tài khoản trực tuyến của bạn và cài đặt phần mềm diệt vi-rút và phần mềm chống phần mềm gián điệp để bảo vệ máy tính của bạn khỏi các cuộc tấn công trong tương lai.
Scareware
Kỹ thuật lừa đảo này còn được gọi là “scareware”, là một hình thức lừa đảo trực tuyến trong đó kẻ tấn công cố gắng lừa người dùng truy cập vào các đường liên kết độc hại bằng cách cảnh báo sai rằng máy tính của họ đã bị nhiễm virus.
Những kẻ lừa đảo thường gửi email hoặc tin nhắn giả mạo từ một tổ chức có uy tín, chẳng hạn như Microsoft hoặc Apple, cảnh báo người dùng rằng máy tính của họ đã bị nhiễm một loại virus nguy hiểm và cần phải hành động ngay lập tức. Trong thông báo giả mạo, kẻ lừa đảo sẽ cung cấp một liên kết để người dùng nhấp vào để “sửa chữa” vấn đề. Khi người dùng nhấp vào liên kết này, họ sẽ được đưa đến một trang web độc hại, nơi họ sẽ bị yêu cầu tải xuống phần mềm giả mạo để “loại bỏ” virus.
Trong một số trường hợp, kẻ lừa đảo thậm chí còn tạo ra các trang web giả mạo trông giống hệt với các trang web chính thức của các tổ chức có uy tín, chẳng hạn như trang web của Microsoft hoặc Apple. Điều này khiến người dùng dễ dàng bị lừa và tin rằng họ đang truy cập vào một trang web hợp pháp.
Các cuộc tấn công xã hội lừa đảo người dùng rất tinh vi và liên tục thay đổi. Do đó, việc nâng cao nhận thức và cảnh giác là vô cùng cần thiết để bảo vệ bản thân khỏi những loại lừa đảo này.
Biện pháp phòng tránh
Để hạn chế nguy cơ tấn công, cần áp dụng một số biện pháp sau:
- Đào tạo nhân viên nhận biết các thủ thuật lừa đảo thông dụng
- Xây dựng quy trình xác thực nghiêm ngặt khi tiếp nhận yêu cầu trợ giúp
- Mã hóa và sao lưu dữ liệu định kỳ
- Cập nhật phần mềm, hệ điều hành thường xuyên
- Lắp đặt tường lửa, phần mềm diệt virus chặt chẽ
- Giám sát và lọc nội dung độc hại từ email, mạng xã hội
Việc nâng cao nhận thức và thực hiện biện pháp phòng ngừa toàn diện sẽ giúp hạn chế đáng kể nguy cơ bị tấn công thành công.
Tuy nhiên, việc cập nhật và áp dụng các biện pháp bảo mật mới là điều cần thiết để đối phó với sự thay đổi liên tục của kỹ thuật tấn công. Chỉ khi có sự hợp tác chặt chẽ giữa các tổ chức, doanh nghiệp và người dùng cá nhân, chúng ta mới có thể đảm bảo an toàn cho thông tin và hệ thống của mình trước những cuộc tấn công của kẻ xấu.
Kết luận
Trong thời đại công nghệ thông tin hiện đại, kỹ thuật tấn công xã hội đã trở thành một trong những mối đe dọa lớn nhất đối với an ninh mạng. Để bảo vệ thông tin và hệ thống của mình, người dùng cần có nhận thức và thực hiện các biện pháp phòng ngừa hiệu quả. Ngoài ra, việc cập nhật và áp dụng các biện pháp bảo mật mới là điều cần thiết để đối phó với sự thay đổi liên tục của kỹ thuật tấn công. Chỉ khi có sự hợp tác chặt chẽ giữa các tổ chức, doanh nghiệp và người dùng cá nhân, chúng ta mới có thể đảm bảo an toàn cho thông tin và hệ thống của mình trước những cuộc tấn công của kẻ xấu.