Social engineering là gì? Cách phát hiện và ngăn chặn các cuộc tấn công phi kỹ thuật

3805
04-11-2021
Social engineering là gì? Cách phát hiện và ngăn chặn các cuộc tấn công phi kỹ thuật

Con người thường là mắt xích yếu nhất trong hệ thống an ninh mạng. Lợi dụng lỗ hổng đó, nhiều tin tặc đã thực hiện kỹ thuật Social Engineering khiến người dùng tự làm lộ thông tin quan trọng của mình. Vậy Social engineering là gì? Làm thế nào để phát hiện và ngăn chặn các cuộc tấn công nguy hiểm này? Hãy cùng Bizfly Cloud tìm hiểu chi tiết trong bài viết dưới đây!

Social engineering là gì?

Social Engineering (hay tấn công phi kỹ thuật) là một loại tấn công mạng trong đó tin tặc sử dụng thủ đoạn thao túng tâm lý và hành vi của con người để lấy cắp thông tin cá nhân, quyền truy cập hoặc dữ liệu có giá trị.

Điều làm cho Social Engineering trở nên đặc biệt nguy hiểm là nó dựa vào lỗi của con người, thay vì các lỗ hổng trong phần mềm và hệ điều hành. Những sai lầm do người dùng thực hiện khó xác định và khó dự đoán hơn so với sự xâm nhập dựa trên phần mềm độc hại. Bằng cách điều khiển cảm xúc của con người như tức giận, sợ hãi, tò mò… tin tặc có thể khiến chúng ta gạt bỏ lý trí sang một bên và bắt đầu hành động theo sự bốc đồng mà không quan tâm đến những gì chúng ta đang thực sự làm.

Nhìn chung, các cuộc tấn công Social Engineering chủ yếu có hai mục tiêu chính:

  • Phá hoại: Gây tổn thất bằng cách làm gián đoạn hoạt động kinh doanh hoặc làm hỏng dữ liệu.
  • Đánh cắp: Có được quyền truy cập vào các thông tin có giá trị, chẳng hạn như dữ liệu nhạy cảm, quyền truy cập hệ thống hoặc tiền.

Dưới đây là những con số biết nói về Social Engineering:

  • 98% các cuộc tấn công mạng liên quan đến một số hình thức Social Engineering
  • Trung bình, một tổ chức phải đối mặt với 700 mối đe dọa Social Engineering mỗi năm
  • Chỉ 27% công ty tổ chức chương trình đào tạo nâng cao nhận thức về Social Engineering cho nhân viên.
  • 43% nhân viên CNTT là nạn nhân của các cuộc tấn công Social Engineering
  • Trung bình, mỗi cuộc tấn công Social Engineering khiến công ty thiệt hại 130.000$

Cách hoạt động của Social engineering

Hầu hết các cuộc tấn công kỹ thuật xã hội dựa trên giao tiếp thực tế giữa những kẻ tấn công và nạn nhân. Kẻ tấn công có xu hướng thúc đẩy người dùng tự thỏa hiệp, thay vì sử dụng các phương pháp mạnh tay để tấn công dữ liệu của bạn.

Chu kỳ tấn công cung cấp cho những tên tội phạm này một quy trình đáng tin cậy để lừa dối người dùng. Các bước cho chu kỳ tấn công phi kỹ thuật thường như sau:

- Chuẩn bị bằng cách thu thập thông tin cơ bản về bạn hoặc một nhóm lớn hơn mà bạn là thành viên.

- Xâm nhập bằng cách thiết lập mối quan hệ hoặc bắt đầu tương tác, bắt đầu bằng cách xây dựng lòng tin.

- Khai thác nạn nhân một khi đã lấy được lòng tin và nắm trong tay một điểm yếu có thể thúc đẩy cuộc tấn công.

- Ngắt kết nối khi người dùng đã thực hiện hành động mong muốn.

Quá trình này có thể diễn ra trong một luồng email duy nhất hoặc kéo dài hàng tháng trong một loạt các cuộc trò chuyện trên mạng xã hội. Nó thậm chí có thể là một tương tác mặt đối mặt. Nhưng cuối cùng nó sẽ kết thúc bằng một hành động đến từ phía bạn, chẳng hạn như chia sẻ thông tin cá nhân hay để bạn tiếp xúc với phần mềm độc hại.

Điều quan trọng là phải cảnh giác với các cuộc tấn công phi kỹ thuật này vì đôi khi nó phức tạp hơn bạn nghĩ rất nhiều. Không ít nhân viên và người tiêu dùng không nhận ra rằng chỉ với một vài mẩu thông tin là có thể cung cấp cho tin tặc quyền truy cập vào nhiều mạng xã hội và tài khoản.

Đặc điểm của các cuộc tấn công phi kỹ thuật

Các cuộc tấn công phi kỹ thuật tập trung vào việc vận dụng tối đa khả năng thuyết phục và sự tự tin của kẻ tấn công. Khi phải đối mặt với những chiêu trò này, bạn có nhiều khả năng thực hiện những hành động mà bình thường, bạn sẽ không thực hiện.

Trong số hầu hết các cuộc tấn công, bạn sẽ thấy mình bị lừa khi:

Cảm xúc dâng cao: Có thể thao túng cảm xúc người dùng sẽ giúp cho kẻ tấn công chiếm ưu thế trong bất kỳ tương tác nào. Bạn có nhiều khả năng thực hiện các hành động phi lý trí hoặc rủi ro khi ở trong trạng thái cảm xúc dâng cao hoặc không được kiểm soát. Những cảm xúc sau đây đều có khả năng kích thích đến hành vi của bạn:

Nỗi sợ

Sự phấn khích

Sự tò mò

Sự phẫn nộ

Tội lỗi

Sự sầu não

Tính cấp thiết: Kẻ tấn công sẽ mang đến cho bạn những cơ hội nhận phần quà giá trị nhưng kèm theo đó sẽ là yêu cầu về mặt thời gian. Bạn sẽ vô tình thỏa hiệp với bản thân trước khi kịp suy nghĩ kỹ chỉ để nhận được một giải thưởng/ phần thưởng nào đó mà nó sẽ biến mất nếu như bạn không hành động nhanh chóng. Cách tiếp cận này nhìn chung sẽ lấn át khả năng tư duy phản biện của bạn.

Niềm tin: Niềm tin là vô giá và cần thiết cho một cuộc tấn công phi kỹ thuật. Vì mục đích cuối cùng của kẻ tấn công là lừa dối bạn, nên sự tự tin đóng một vai trò quan trọng ở đây. Họ đã nghiên cứu kỹ về bạn để tạo ra một câu chuyện dễ tin và không có khả năng gây nghi ngờ.

Có một số ngoại lệ cho những đặc điểm này. Trong một số trường hợp, những kẻ tấn công sử dụng các phương pháp tấn công phi kỹ thuật đơn giản hơn để có được quyền truy cập mạng hoặc máy tính. Ví dụ: một tin tặc có thể thường xuyên đến khu ăn uống công cộng của một tòa nhà văn phòng lớn và nhìn lướt qua màn hình máy tính bảng hay laptop cá nhân của những người dùng. Làm như vậy có thể giúp họ nắm trong tay một lượng lớn mật khẩu và tên người dùng mà không cần gửi email hoặc viết một dòng mã vi rút.

Các loại Social engineering

Social engineering là gì? Cách phát hiện và ngăn chặn các cuộc tấn công phi kỹ thuật - Ảnh 1.

Dưới đây là một số phương pháp phổ biến được những kẻ tấn công phi kỹ thuật sử dụng:

Tấn công lừa đảo (phishing attacks)

Những kẻ tấn công lừa đảo giả mạo thường tồn tại dưới một tổ chức hoặc cá nhân đáng tin cậy luôn cố gắng thuyết phục bạn tiết lộ dữ liệu cá nhân và các vật có giá trị khác.

Các cuộc tấn công sử dụng lừa đảo được nhắm mục tiêu theo một trong hai cách:

Spam phishing, hay còn gọi là lừa đảo hàng loạt, là một cuộc tấn công trên diện rộng nhằm vào nhiều người dùng. Các cuộc tấn công này không được cá nhân hóa và cố gắng “bắt” bất kỳ người nào cả tin.

Phishing Spear hay rộng hơn là Whaling phishing là một loại lừa đảo qua email có nhắm mục tiêu. Loại này sử dụng thông tin được cá nhân hóa để nhắm mục tiêu người dùng cụ thể. Các cuộc tấn công whaling phishing đặc biệt nhắm vào các mục tiêu vào những con cá lớn, có giá trị cao như những người nổi tiếng, quản lý cấp cao tại các công ty và các quan chức chính phủ quốc gia.

Mỗi phương thức được sử dụng trong lừa đảo đều có các phương thức phân phối độc đáo, bao gồm nhưng không giới hạn ở:

Các cuộc gọi điện thoại lừa đảo bằng giọng nói (Voice phishing - Vishing) có thể là hệ thống tin nhắn tự động ghi lại tất cả các thông tin đầu vào của bạn. Đôi khi, người đó sẽ gọi điện trực tiếp cho bạn để tăng sự tin tưởng và khẩn cấp.

SMS phishing (Smishing) Tin nhắn SMS hoặc tin nhắn trên các ứng dụng di động có thể đính kèm liên kết web hoặc lời nhắc theo dõi qua email hoặc số điện thoại lừa đảo.

Lừa đảo qua email (Email phishing) là phương thức lừa đảo truyền thống nhất, sử dụng email thúc giục bạn trả lời hoặc theo dõi bằng các phương thức khác. Có thể sử dụng liên kết web, số điện thoại hoặc tệp đính kèm phần mềm độc hại.

Lừa đảo Angler (Angler phishing) diễn ra trên các trang mạng xã hội, nơi kẻ tấn công bắt chước một nhân viên chăm sóc khách hàng của một công ty đáng tin cậy nào đó. Họ chặn thông tin liên lạc của bạn với một thương hiệu để chiếm đoạt và chuyển hướng cuộc trò chuyện của bạn thành tin nhắn riêng tư, sau đó họ tiến hành cuộc tấn công.

Công cụ tìm kiếm lừa đảo (Search Engine phishing) cố gắng đặt liên kết đến các trang web giả mạo ở đầu kết quả tìm kiếm. Đây có thể là những quảng cáo trả phí hoặc sử dụng các phương pháp tối ưu hóa hợp pháp để thao túng thứ hạng tìm kiếm.

Các liên kết lừa đảo URL (URL phishing) cám dỗ bạn truy cập vào các trang web lừa đảo. Các liên kết này thường được gửi trong email, tin nhắn văn bản, tin nhắn trên mạng xã hội và quảng cáo trực tuyến. Các cuộc tấn công ẩn các liên kết trong văn bản hoặc nút siêu liên kết, sử dụng các công cụ rút ngắn liên kết hoặc các URL bị đánh lừa.

Lừa đảo trong phiên (In-session phishing) xuất hiện làm gián đoạn quá trình duyệt web bình thường của bạn. Ví dụ: bạn có thể thấy các cửa sổ bật lên hiển thị mẫu đăng nhập giả mạo cho các trang bạn hiện đang truy cập.

Baiting Attacks

Baiting lạm dụng sự tò mò tự nhiên của bạn để dụ bạn tiếp xúc với kẻ tấn công. Cuộc tấn công thường liên quan đến việc lây nhiễm phần mềm độc hại cho bạn.

Các phương pháp mồi phổ biến có thể bao gồm:

Ổ USB được để ở các không gian công cộng, như thư viện và bãi đậu xe.

Tệp đính kèm email bao gồm chi tiết về phiếu mua hàng miễn phí hoặc phần mềm miễn phí gian lận.

Các cuộc tấn công trực tiếp

Các cuộc tấn công thực tế liên quan đến việc những kẻ tấn công xuất hiện trực tiếp, đóng giả là một người hợp pháp để có quyền truy cập vào các khu vực hoặc thông tin trái phép.

Các cuộc tấn công có tính chất này phổ biến nhất trong môi trường doanh nghiệp, chẳng hạn như chính phủ, doanh nghiệp hoặc các tổ chức khác. Những kẻ tấn công có thể giả vờ là đại diện của một nhà cung cấp nổi tiếng, đáng tin cậy đến thăm công ty. Họ che giấu danh tính của họ nhưng thể hiện ra ngoài đủ tin cậy để tránh các câu hỏi. Điều này đòi hỏi kẻ tấn công phải nghiên cứu kỹ người mà họ giả mạo và xác định sẵn mức độ rủi ro cao. Vì vậy, nếu ai đó đang thử phương pháp này thì họ đã định sẵn được mức thưởng cao nếu thành công.

Các cuộc tấn công pretexting

Pretexting sử dụng danh tính lừa đảo làm “cái cớ” để thiết lập lòng tin, chẳng hạn như trực tiếp mạo danh nhà cung cấp hoặc nhân viên của công ty. Cách tiếp cận này đòi hỏi kẻ tấn công phải tương tác với bạn một cách chủ động hơn. Việc khai thác xảy ra sau khi họ đã thuyết phục bạn tin rằng họ là nhân viên thực sự.

Access Tailgating Attack 

Đây là kĩ thuật trong đó người không có thẩm quyền lấy quyền truy cập vào khu vực giới hạn bằng cách theo chân người có thẩm quyền. Những kẻ tấn công có thể chơi xã giao với bạn hoặc thuyết phục bạn rằng chúng cũng được phép ra vào trong khu vực, cộng với việc sử dụng ID giả, họ có thể theo sát bạn khi đi qua điểm kiểm tra. Pretexting cũng có thể đóng một vai trò ở đây.

Quid Pro Quo Attacks

Quid pro quo là một thuật ngữ gần như có nghĩa là “một sự ban ơn”, trong ngữ cảnh lừa đảo có nghĩa là một sự trao đổi thông tin cá nhân của bạn để lấy một số phần thưởng hoặc khoản bồi thường khác. Quà tặng hoặc đề nghị tham gia vào các nghiên cứu có thể khiến bạn mắc bẫy của kiểu tấn công này.

Các cuộc tấn công giả mạo DNS và nhiễm độc bộ nhớ cache

Đây là loại tấn công thao túng trình duyệt và máy chủ website khiến bạn phải di chuyển từ một máy chủ hợp pháp sang một máy chủ giả mạo. Sau khi bị nhiễm lỗi khai thác này, chuyển hướng sẽ tiếp tục xảy ra trừ khi dữ liệu định tuyến không chính xác bị xóa khỏi hệ thống liên quan. 

Scareware Attacks

Scareware là một dạng phần mềm độc hại được sử dụng để khiến bạn sợ hãi khi thực hiện một hành động. Phần mềm độc hại lừa đảo này sử dụng các cảnh báo đáng báo động báo cáo việc lây nhiễm phần mềm độc hại giả mạo hoặc cho rằng một trong các tài khoản của bạn đã bị xâm phạm.

Do đó, nó hù dọa khiến bạn mua phần mềm an ninh mạng gian lận hoặc tiết lộ các chi tiết riêng tư như thông tin đăng nhập tài khoản.

Watering Hole Attacks

Các cuộc tấn công Watering Hole sẽ lây nhiễm phần mềm độc hại cho các trang web phổ biến để tác động đến nhiều người dùng cùng một lúc. Nó đòi hỏi kẻ tấn công phải lập kế hoạch cẩn thận để tìm ra điểm yếu trong các trang web cụ thể. Họ tìm kiếm các lỗ hổng hiện có chưa được biết đến và các lỗ hổng mới được vá gần đây để khai thác những điểm yếu đó.

Các phương pháp tấn công phi kỹ thuật khác thường

Trong một số trường hợp, tội phạm mạng đã sử dụng các phương pháp phức tạp để hoàn thành các cuộc tấn công mạng của chúng, bao gồm:

Lừa đảo qua fax: Khi khách hàng của một ngân hàng nhận được email giả mạo yêu cầu họ xác nhận mã truy cập - thì phương pháp xác nhận không phải qua email / Internet thông thường mà thay vào đó, khách hàng được yêu cầu in biểu mẫu trong email, sau đó điền thông tin chi tiết vào và fax biểu mẫu đến số điện thoại của tội phạm mạng.

Phân phối phần mềm độc hại qua thư truyền thống: Tại Nhật Bản, tội phạm mạng đã sử dụng dịch vụ giao hàng tận nhà để phân phối đĩa CD bị nhiễm phần mềm gián điệp Trojan. Các đĩa đã được giao cho khách hàng của một ngân hàng Nhật Bản. Địa chỉ của khách hàng trước đó đã bị đánh cắp khỏi cơ sở dữ liệu của ngân hàng.

Cách phát hiện social engineering

Social engineering là gì? Cách phát hiện và ngăn chặn các cuộc tấn công phi kỹ thuật - Ảnh 2.

Bảo vệ bản thân khỏi các cuộc tấn công phi kỹ thuật đòi hỏi bạn phải có sự nhận thức cao. Hành động chậm lại và suy nghĩ kỹ trước khi làm bất cứ điều gì. Những kẻ tấn công mong bạn hành động trước khi cân nhắc rủi ro, có nghĩa là bạn nên làm ngược lại. 

Dưới đây là một số câu hỏi bạn tự nên đặt ra khi đang nghi ngờ một cuộc tấn công:

Cảm xúc của tôi có đang dâng cao không?: Khi bạn đặc biệt tò mò, sợ hãi hoặc phấn khích, bạn thường ít suy xét đến hậu quả của hành động.

Email này có phải đến từ một người gửi hợp pháp không?: Kiểm tra địa chỉ email và hồ sơ mạng xã hội một cách cẩn thận khi nhận được một tin nhắn đáng ngờ.

Bạn của tôi có thực sự gửi tin nhắn này cho tôi không?

Trang web tôi đang truy cập có chi tiết kỳ lạ không?: Sự bất thường trong URL, chất lượng hình ảnh kém, logo công ty cũ hoặc không chính xác và lỗi chính tả trên trang web đều có thể là dấu hiệu của một trang web lừa đảo. 

Đề xuất nghe có vẻ giả mạo?: Những đề xuất về một phần thưởng hay quà tặng gì đó luôn rất đáng ngờ.

Tệp đính kèm hoặc liên kết đáng ngờ?: Nếu một liên kết hoặc tên tệp xuất hiện mơ hồ hoặc kỳ lạ trong email, hãy xem xét lại tính xác thực của toàn bộ thông tin liên lạc. 

Người này có thể chứng minh danh tính của họ không?: Nếu bạn không thể yêu cầu người này xác minh danh tính của họ với tổ chức, mà là do họ tự nhận là một phần của công ty, thì không được cho họ truy cập vào nơi họ đang yêu cầu. 

Làm thế nào để ngăn chặn các cuộc tấn công phi kỹ thuật?

Ngoài việc phát hiện một cuộc tấn công, bạn cũng có thể chủ động về quyền riêng tư và bảo mật của mình. Biết cách ngăn chặn các cuộc tấn công phi kỹ thuật là vô cùng quan trọng đối với tất cả người dùng cả di động lẫn máy tính. 

Social engineering là gì? Cách phát hiện và ngăn chặn các cuộc tấn công phi kỹ thuật - Ảnh 3.

Dưới đây là một số cách quan trọng để bảo vệ mọi người khỏi tất cả các loại tấn công mạng:

Giao tiếp an toàn và hình thành thói quen quản lý tài khoản

Không bao giờ nhấp vào các liên kết trong bất kỳ email hoặc tin nhắn nào

Sử dụng nhiều bước xác thực như sinh trắc vân tay, mật mã gửi qua số điện thoại,...

Sử dụng mật khẩu mạnh và một trình quản lý mật khẩu

Tránh chia sẻ tên trường học, vật nuôi, nơi sinh hoặc các thông tin cá nhân khác

Hết sức thận trọng khi kết bạn qua mạng

Thói quen sử dụng mạng an toàn

Không bao giờ để người lạ kết nối với mạng wifi chính của bạn

Sử dụng mạng riêng ảo VPN

Giữ an toàn cho tất cả các thiết bị và dịch vụ được kết nối mạng

Thói quen sử dụng thiết bị an toàn

Sử dụng phần mềm bảo mật internet toàn diện

Đừng bao giờ để thiết bị của bạn không được bảo mật ở nơi công cộng

Duy trì phần mềm được cập nhật ngay khi có sẵn

Kiểm tra các vi phạm dữ liệu đã biết của các tài khoản trực tuyến

Cách phòng chống tấn công của Social engineering

Social Engineering thao túng cảm xúc của con người, chẳng hạn như tò mò hoặc sợ hãi, để dụ dỗ và lôi kéo nạn nhân vào bẫy. Do đó, hãy cảnh giác bất cứ khi nào bạn cảm thấy lo lắng trước một email, bị thu hút bởi một lời chào mời trên một trang web… Luôn luôn cảnh giác và có ý thức tự bảo vệ chính bản thân trước các cuộc tấn công mạng bằng một số mẹo dưới đây:

  • Không mở email và tệp đính kèm từ các nguồn không tin cậy. Nếu bạn không chắc chắn người gửi có uy tín hay không, bạn không nhất thiết phải trả lời email hoặc click xem tệp đính kèm. Địa chỉ email hoàn toàn có thể bị giả mạo. Hãy kiểm tra chéo và xác nhận tin tức từ các nguồn khác, chẳng hạn như điện thoại hoặc liên hệ trực tiếp từ trang web của nhà cung cấp dịch vụ.
  • Sử dụng xác thực đa yếu tố. Một trong những thông tin có giá trị nhất mà những kẻ tấn công tìm kiếm đó là thông tin xác thực của người dùng. Hãy sử dụng xác thực đa yếu tố để bảo vệ tài khoản của bạn trong trường hợp hệ thống bị xâm phạm.
  • Luôn cập nhật phần mềm chống virus. Hãy kiểm tra định kỳ để đảm bảo rằng phần mềm chống virus đã được cập nhật phiên bản mới nhất và quét hệ thống hàng ngày để tìm ra các lỗ hổng bảo mật kịp thời.
  • Sao lưu dữ liệu thường xuyên. Nếu bạn trở thành nạn nhân của một cuộc tấn công Social Engineering, toàn bộ ổ cứng của bạn sẽ có nguy cơ bị hỏng, do đó cần phải có một bản sao lưu trên ổ cứng ngoài hoặc được lưu trên đám mây để khôi phục dữ liệu.
  • Không cắm một USB không tin cậy vào máy tính của bạn. Ngoài ra, bạn cũng nên tắt tính năng Autorun trên máy của mình. Autorun là một tính năng cho phép Windows tự động chạy chương trình khởi động khi một thiết bị CD, DVD hoặc USB được cắm vào ổ đĩa.
  • Cẩn trọng với các thông tin cá nhân nhạy cảm. Tất cả các tài liệu nhạy cảm như bảng sao kê ngân hàng, thông tin khoản vay… không nên lưu trữ trong máy tính. Bạn cũng không nên đăng nhiều thông tin về bản thân lên mạng xã hội để tránh các cuộc tấn công mạng không mong muốn.
  • Luôn cảnh giác và có ý thức tự bảo vệ bản thân. Hãy suy nghĩ kỹ trước khi click vào bất cứ điều gì nghe có vẻ hấp dẫn. Bạn có thể Google để tra cứu thêm và xác định xem đó có phải là một cái bẫy hay không. Ngoài ra, các tổ chức, doanh nghiệp cần thường xuyên đào tạo kiến thức về an ninh mạng cho đội ngũ nhân viên để mỗi cá nhân có thể tự bảo vệ mình trước các cuộc tấn công mạng.

Kết

Trong thời gian nhiễu loạn thông tin như hiện nay, hiện tượng social engineering ngày càng trở nên phổ biến. Việc hiểu được social engineering là gì sẽ giúp bạn biết cách bảo vệ bản thân khỏi các cuộc tấn công phi kỹ thuật. Nếu tất cả người dùng nhận thức được các mối đe dọa, sự an toàn của chúng ta với tư cách là một xã hội tập thể sẽ được cải thiện. Đảm bảo nâng cao nhận thức về những rủi ro này bằng cách chia sẻ những gì bạn đã học được với đồng nghiệp, gia đình và bạn bè của bạn.

SHARE