Cho ví dụ về một tình huống bị tấn công Social Engineering

Social engineering là một loại tấn công mạng thao túng tâm lý/cảm xúc con người. Người dùng sẽ dễ bị dính vào các cuộc tấn công này dễ dàng bởi sự tò mò hoặc sự sợ hãi. Bài viết này sẽ nói rõ hơn social engineering là gì? Các kỹ thuật tấn công social engineering là gì và cách phòng chống nó như thế nào.

Social engineering là thuật ngữ được sử dụng cho một loại hoạt động độc hại được thực hiện thông qua các tương tác của con người. Nó sử dụng thao tác tâm lý để lừa người dùng mắc lỗi bảo mật hoặc cung cấp thông tin nhạy cảm.

Các cuộc tấn công social engineering xảy ra trong một hoặc nhiều bước. Trước tiên, hacker điều tra người dùng để thu thập thông tin cơ bản cần thiết. Chẳng hạn như các điểm xâm nhập tiềm năng và các giao thức bảo mật yếu, cần thiết để tiến hành cuộc tấn công. Sau đó, hacker sẽ làm cho người dùng tin tưởng và phá vỡ các quy tắc bảo mật. Chẳng hạn như tiết lộ thông tin nhạy cảm hoặc cấp quyền truy cập vào tài nguyên quan trọng.

Điều làm cho social engineering trở nên đặc biệt nguy hiểm là nó dựa vào lỗi của người dùng. Thay vì các lỗ hổng trong phần mềm và hệ điều hành. Những sai lầm do người dùng thực hiện ít có khả năng dự đoán hơn, khiến họ khó xác định hơn với sự xâm nhập dựa trên phần mềm malware độc hại.

Các cuộc tấn công social engineering có nhiều hình thức khác nhau và có thể được thực hiện ở bất kỳ nơi nào có sự tương tác của con người. Vậy những loại tấn công social engineering là gì? Sau đây là 5 hình thức tấn công social engineering phổ biến nhất.

Như tên gọi của nó, tấn công bằng baiting sử dụng một mồi nhử để khơi gợi lòng tham và sự tò mò của người dùng. Chúng dụ người dùng vào một cái bẫy đánh cắp thông tin cá nhân của họ hoặc làm cho hệ thống của họ bị nhiễm phần mềm độc hại.

Hình thức baiting sử dụng nhiều phương tiện để phát tán phần mềm độc hại. Ví dụ những kẻ tấn không để lại mồi nhử – thường là Flash Drive bị nhiễm phần mềm độc hại ở những khu vực người dùng chắc chắn thấy chúng ( ví dụ: phòng tắm, thang máy, bãi đậu xe…). Mồi nhử cần phải có được một cái nhìn thực tế về nó. Chẳng hạn như một nhãn giới thiệu như là danh sách trả lương của công ty.

Người dùng sẽ tiếp cận mồi nhử và đưa nó vào máy tính ở cơ quan hoặc gia đình, dẫn đến việc cài đặt phần mềm độc hại tự động vào hệ thống.

Các hình thức baiting online bao gồm các quảng cáo lôi kéo dẫn đến các website độc hại hoặc khuyến khích người dùng tải xuống ứng dụng bị nhiễm phần mềm độc hại.

Scareware liên quan đến việc người dùng bị tấn công bằng báo động giả và các mối đe dọa không có thật. Người dùng bị đánh lừa khi nghĩ rằng hệ thống của họ bị nhiễm phần mềm độc hại. Scareware còn được gọi là phần mềm lừa gạt, phần mềm scan giả mạo và phần mềm gian lận.

Một ví dụ về scareware phổ biến là các biểu ngữ bật lên trông hợp pháp xuất hiện khi bạn lướt web, hiển thị văn bản như ““Your computer may be infected with harmful spyware programs.”. Nó sẽ cung cấp cài đặt công cụ cho bạn hoặc sẽ hướng bạn đến một trang web độc hại nơi máy tính của bạn sẽ bị nhiễm.

Scareware cũng được phát tán qua spam email, đưa ra cảnh báo không có thật hoặc đưa ra đề nghị cho người dùng mua các dịch vụ vô giá trị và có hại.

Pretexting

Ở đây hacker có được thông tin thông qua một loạt các lời nói dối. Lừa đảo sẽ được bắt đầu khi hacker giả vờ cần thông tin nhạy cảm của người dùng để thực hiện công việc quan trọng.

Hacker thường bắt đầu bằng cách thiết lập lòng tin với người dùng bằng cách đóng giả đồng nghiệp, cảnh sát hoặc quan chức thuế. Sau đó đặt ra các câu hỏi để thu thập các dữ liệu cá nhân quan trọng của người dùng.

Tất cả các loại thông tin và hồ sơ thích hợp được thu thập bằng cách sử dụng trò lừa đảo này. Chẳng hạn như số an sinh xã hội, địa chỉ và số điện thoại các nhân, hồ sợ điện thoại, ngày nghỉ phép của nhân viên, hồ sơ ngân hàng…

Là một trong những loại tấn công kỹ thuật socail engineering phổ biến nhất, phishing là các chiến dịch email và tin nhắn văn bản nhằm tạo ra cảm giác cấp bách, tò mò hoặc sợ hãi ở người dùng. Sau đó, nó thúc đẩy họ tiết lộ thông tin nhạy cảm, nhấp vào các liên kết đến các trang web độc hại hoặc mở ra các file đính kèm có chứa phần mềm độc hại.

Một ví dụ là một email được gửi đến người dùng của một dịch vụ online. Thông báo cho họ hành vi vi phạm chính sách, yêu cầu họ đổi mật khẩu ngay lập tức. Nó bao gồm một liên kết đến một trang web bất hợp pháp ( gần giống với phiên bản hợp pháp) khiến người dùng không nghi ngờ nhập thông tin đăng nhập hiện tại và mật khẩu mới của họ. Sau khi gửi biểu mẫu, thông tin sẽ được gửi đến hacker.

Đây là phiên bản được nhắm mục tiêu nhiều hơn của phiên bản phishing. Theo đó hacker chọn các cá nhân hoặc doanh nghiệp cụ thể. Sau đó, chúng điều chỉnh thông điệp của mình dựa trên các đặc điểm, vị trí công việc và địa chỉ liên hệ của người dùng để cuộc tấn công ít bị phát hiện hơn. Spear phishing đòi hỏi nhiều công sức hơn và có thể mất hằng tuần, hằng tháng để giải quyết. Ví chúng khó bị phát hiện hơn và có tỷ lệ thành công cao hơn nếu được thực hiện một cách khéo léo.

Một tình huống spear phishing có thể liên quan đến hacker, khi mạo danh nhà tư vấn Công nghệ thông tin của tổ chức, gửi email đến một hoặc nhiều nhân viên. Nó được viết và ký chính xác những gì mà nhà tư vấn thường làm. Do đó đánh lừa người nhận tin rằng đó là một thông điệp xác thực. Thông báo nhắc người nhận thay đổi mật khẩu của họ và cung cấp cho họ một liên kết chuyển hướng đến một trang độc hại, nơi mà hacker nắm bắt thông tin đăng nhập của họ.

Vậy những cách để phòng chống social engineering là gì? Social engineering thao túng cảm xúc của con người. Chẳng hạn như tò mò, sợ hãi. Điều này nhằm thực hiện các âm mưu và lôi kéo người dùng vào bẫy. Do đó, hãy cảnh giác bất cứ khi nào bạn cảm thấy lo lắng trước một email, bị thu hút bởi một lời đề nghị trên một trang web. Cảnh giác có thể giúp bạn tránh khỏi hầu hết các cuộc tấn công social engineering.

Hơn nữa , các mẹo sau đây có thể giúp nâng cao cảnh giác của bạn đối với các cuộc tấn công social engineering.

• Không mở email và file đính kèm từ các nguồn đáng nghi ngờ – Nếu bạn không biết người gửi, bạn không cần trả lời email. Ngay cả khi bạn biết họ và nghi ngờ về tin nhắn của họ, hãy kiểm tra chéo và xác nhận tin tức từ các nguồn khác. Chẳng hạn như qua điện thoại hoặc trực tiếp từ các trang web của nhà cung cấp dịch vụ. Hãy nhớ rằng địa chỉ email luôn bị giả mạo, thậm chí một email có chủ đích đến từ một người đáng tin cậy có thể đã được khởi tạo bởi hacker.
• Sử dụng xác thực đa yếu tố – Một trong những phần có giá trị mà hacker tìm kiếm từ người dùng là thông tin xác thực của họ. Sử dụng xác thực đa yếu tố giúp đảm bảo bảo vệ tài khoản của bạn trong trường hợp hệ thống bị xâm phạm.
• Cảnh giác với những lời đề nghị hấp dẫn – Nếu một lời đề nghị nghe có vẻ quá hấp dẫn, hãy suy nghĩ kỹ trước khi chấp nhận nó. Việc tìm kiếm trên Google có thể giúp bạn nhanh chóng xác định xem bạn đang đối phó với một đề nghị hợp pháp hay không.

Bài viết trên đã giúp bạn hiểu rõ hơn về social engineering và các phương pháp để phòng chống nó. Chúc bạn thành công!

Trang chủ | Tin tức bảo mật | SOCIAL ENGINEERING LÀ GÌ? 5 DẠNG TẤN CÔNG SOCIAL ENGINEERING

Social Engineering hay còn gọi là tấn công phi kỹ thuật là một hình thức tấn công khá phổ biến trong lĩnh vực an ninh mạng. Tuy nhiên, một số cá nhân và doanh nghiệp chưa có kiến thức và thông tin về hình thức tấn công này. Do đó, cá nhân và doanh nghiệp có nguy cơ bị đánh cắp dữ liệu từ hacker bởi  hình thức tấn công này. Để giúp các bạn hiểu rõ hơn về hình thức tấn công Social Engineering thì các bạn hãy cùng Athena tìm hiểu chi tiết về hình thức tấn công này nhé.

Để các bạn hiểu rõ hơn tôi sẽ chia ra các phần:

1. SOCIAL ENGINEERING LÀ GÌ ?

Nếu hành vi đánh lừa có hiệu quả (nạn nhân tin rằng kẻ tấn công là người mà họ nói), hacker sẽ khuyến khích nạn nhân thực hiện thêm hành động. Điều này có thể cung cấp thông tin nhạy cảm như mật khẩu, ngày sinh, chi tiết tài khoản ngân hàng hoặc yêu cầu chuyển tiền.

Hoặc họ có thể khuyến khích nạn nhân truy cập trang web có cài đặt phần mềm độc hại có thể gây gián đoạn máy tính của nạn nhân. Trong trường hợp xấu hơn, bạn sẽ bị chiếm quyền điều khiển thiết bị dẫn đến nguy cơ mất dữ liệu  và mất tiền rất là cao.

2. TẠI SAO SOCIAL ENGINEERING LẠI NGUY HIỂM ĐẾN NHƯ VẬY ?

Một trong những mối nguy hiểm lớn nhất của Social Engineering là cuộc tấn công không nhất thiết phải tấn công tất cả cá nhân trong một tổ chức: Một nạn nhân bị lừa thành công có thể cung cấp đủ thông tin để kích hoạt một cuộc tấn công có thể ảnh hưởng đến toàn bộ tổ chức mà hacker nhắm tới.

Theo thời gian, các cuộc tấn công Social Engineering ngày càng phát triển tinh vi. Không chỉ các trang web hoặc email giả mạo với giao diện “uy tín” để đánh lừa nạn nhân tiết lộ dữ liệu có thể được sử dụng để đánh cắp danh tính, Social Engineering còn trở thành một trong những cách phổ biến nhất để những hacker làm gián đoạn hệ thống phòng thủ ban đầu của một tổ chức.

3. CÁC DẠNG TẤN CÔNG SOCIAL ENGINEERING PHỔ BIẾN

Kỹ thuật tấn công Social Engineering  có rất nhiều dạng tấn công. Dưới đây là 5 dạng tấn công Social Engineering phổ biến:

3.1. PHISHING

Phishing là loại tấn công Social Engineering phổ biến nhất. Chúng thường có dạng một email trông như thể nó đến từ một nguồn hợp pháp. Đôi khi những kẻ tấn công sẽ cố gắng ép nạn nhân cung cấp thông tin thẻ tín dụng hoặc dữ liệu cá nhân khác. Vào những trường hợp khác, email lừa đảo được gửi để lấy thông tin đăng nhập của nhân viên hoặc các thông tin khác để sử dụng trong một cuộc tấn công nâng cao chống lại công ty của họ.

Nếu bạn chưa biết Phishing là gì thì hãy tham khảo qua bài viết này https://athena.edu.vn/tan-cong-phishing-la-gi/

Các ví dụ khác về lừa đảo mà bạn có thể gặp là lừa đảo trực tuyến, nhắm mục tiêu vào các cá nhân cụ thể thay vì một nhóm người và săn cá voi, nhắm mục tiêu vào các giám đốc điều hành cấp cao.

Trong thời gian gần đây, những kẻ tấn công đã lợi dụng sự phát triển của phần mềm như một dịch vụ (SaaS), chẳng hạn như Microsoft 365. Các chiến dịch lừa đảo này thường dưới dạng một email giả mạo là của Microsoft. Email chứa yêu cầu người dùng đăng nhập và đặt lại mật khẩu của họ vì họ không đăng nhập gần đây hoặc email có nội dung cho rằng có sự cố với tài khoản mà họ cần lưu ý. Đường dẫn URL thu hút người dùng nhấp vào và khắc phục sự cố bằng cách điền các thông tin vào form.

3.2. Watering hole attacks

Watering Hole Attacks  thường liên quan tới các cuộc tấn công có chủ đích vào các cơ quan, tổ chức, doanh nghiệp. Thông qua việc lừa người dùng truy cập vào các website chứa mã độc.

Hacker thường nhắm đến các website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng của chúng để lừa người và cố gắng chèn các mã khai thác liên quan đến các lỗ hổng trình duyệt vào website.

Bất cứ khi nào người dùng truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng. Và chúng có khả năng thực hiện các cuộc tấn công tiếp theo khi dữ liệu hoặc thiết bị của cá nhân đó đã bị xâm phạm.

3.3. Business email compromise attacks

Business Email Compromise Attacks (BEC) là một hình thức lừa đảo qua email trong đó hacker giả dạng giám đốc điều hành và cố gắng lừa người nhận thực hiện chức năng kinh doanh của họ, vì một mục đích bất hợp pháp, chẳng hạn như chuyển tiền cho họ. Đôi khi hacker còn đi xa hơn khi gọi điện cho cá nhân và mạo danh giám đốc điều hành.

3.4. Physical Social Engineering

Khi nói về an ninh mạng, chúng ta cũng cần nói đến các khía cạnh vật lý của việc bảo vệ dữ liệu và tài sản. Một số người nhất định trong tổ chức của bạn – chẳng hạn như nhân viên bộ phận hỗ trợ, lễ tân và những người thường xuyên đi công tác hay du lịch – có nhiều nguy cơ hơn từ các cuộc tấn công kỹ thuật xã hội vật lý, xảy ra trực tiếp.

Tổ chức của bạn phải có các biện pháp kiểm soát bảo mật vật lý hiệu quả như nhật ký khách truy cập,và kiểm tra lý lịch. Nhân viên ở các vị trí có nguy cơ bị tấn công Social Engineering cao hơn có thể được hưởng lợi từ việc đào tạo chuyên biệt từ các cuộc tấn công kỹ thuật xã hội vật lý.

3.5. USB BAITING

USB Baiting nghe có vẻ hơi phi thực tế, nhưng nó xảy ra thường xuyên hơn bạn nghĩ. Về cơ bản những gì sẽ xảy ra là tội phạm mạng cài đặt phần mềm độc hại vào USB và để chúng ở những nơi chiến lược, hy vọng rằng ai đó sẽ nhặt USB lên và cắm nó vào môi trường công ty, do đó vô tình phát tán mã độc vào tổ chức của mục tiêu.

4. LÀM THẾ NÀO ĐỂ BẢO VỆ CÁ NHÂN TỔ CHỨC TRÁNH KHỎI SOCIAL ENGINEERING ?

Các công ty, tổ chức đào tạo nhận thức cho nhân viên của mình về cuộc tấn công Social Engineering được thực hiện như thế nào để nâng cao kiến thức bảo mật mạng cho nhân viên.

Việc đào tạo nhất quán phù hợp với tổ chức của bạn rất được khuyến khích. Điều này nên bao gồm các minh chứng về các cách thức mà hacker có thể cố gắng để đánh cắp dữ liệu từ nhân viên của bạn.

Ví dụ: Bạn có thể mô phỏng một tình huống trong đó hacker đóng vai một nhân viên ngân hàng yêu cầu mục tiêu xác minh thông tin tài khoản của họ. Một tình huống khác có thể là một người quản lý cấp cao (có địa chỉ email đã bị giả mạo hoặc sao chép) yêu cầu mục tiêu gửi một khoản thanh toán đến một tài khoản nhất định.

Đào tạo kiến thức giúp dạy cho nhân viên cách phòng thủ trước các cuộc tấn công như vậy và hiểu tại sao vai trò của họ rất quan trọng trong việc bảo mật thông tin của các tổ chức. Nếu doanh nghiệp của bạn chưa có kiến thức hay kỹ năng về bảo mật mạng thì có thể tham gia các khóa học bảo mật tại Athena.

Các tổ chức cũng nên thiết lập một bộ chính sách bảo mật rõ ràng để giúp nhân viên đưa ra quyết định tốt nhất để tránh khỏi các cuộc tấn công đặc biệt là tấn công Social Engineering. Ví dụ về các chính sách yêu cầu bảo mật bao gồm:

• Quản lý mật khẩu: Các nguyên tắc như số lượng và loại ký tự mà mỗi mật khẩu phải có, tần suất phải thay đổi mật khẩu và thậm chí một quy tắc đơn giản là nhân viên không được tiết lộ mật khẩu cho bất kỳ ai – bất kể vị trí của họ – sẽ giúp bảo mật thông tin tài sản.
• Xác thực đa yếu tố: Xác thực cho các dịch vụ mạng rủi ro cao như nhóm modem và VPN nên sử dụng xác thực đa yếu tố thay vì mật khẩu cố định.
• Bảo mật email với hệ thống phòng thủ chống lừa đảo: Nhiều lớp bảo vệ email có thể giảm thiểu nguy cơ lừa đảo và các cuộc tấn công Social Engineering. Một số công cụ bảo mật email được tích hợp sẵn các biện pháp chống lừa đảo.

TÓM LẠI

Qua bài viết trên Athena đã giúp bạn hiểu rõ được hình thức tấn công Social Engineering và cách phòng chống để tránh khỏi các cuộc tấn công. Nếu bên phía bạn cần đào tạo hay tư vấn về bảo mật mạng, an ninh mạng hãy liên hệ với chúng tôi qua hotline 094 320 00 88 – 094 323 00 99 hoặc Zalo zalo.me/athena2004. Chúng tôi sẽ hỗ trợ bạn.