Social engineering là một thuật ngữ khá phổ biến trong lĩnh vực an ninh mạng. Đây là một dạng thai khác thông tin nhưng thay vì từ các lỗ hổng của bảo mật thì social engineering lại khai thác thông qua con người.
Social engineering hay tấn công xã hội là một kỹ thuật tấn công mà tin tặc sử dụng các biện pháp tác động tâm lý, thao túng hành vi để khai thác thông tin hoặc thuyết phục nạn nhân thực hiện một hành vi nào đó.
Social engineering thường được sử dụng trong 2 chuỗi tấn công điển hình sau:
1. Tấn công mục tiêu tổ chức
Trong thời đại ngày nay, khi các hệ thống phòng thủ, bảo mật được đầu tư đẩy mạnh, việc tấn công trực tiếp vào các hệ thống mạng trở nên quá khó khăn. Các nhóm tin tặc thường có xu hướng khai thác điểm yếu con người, cụ thể là nhân sự nắm nhiều thông tin quan trọng. Ví dụ như quản trị hệ thống, IT hỗ trợ, quản trị nhân sự, giám đốc, quản lý,…
Ảnh 1: Mô hình tấn công tổ chức sử dụng social engineering
Thông qua nạn nhân của social engineering, kẻ tấn công có thể cài cắm mã độc làm bàn đạp tấn công sâu hơn vào trong hệ thống hoặc tấn công trực tiếp vào hạ tầng sử dụng các thông tin nhạy cảm, tài khoản đặc quyền đã thu thập được
2. Tấn công mục tiêu cá nhân
Khác với tấn công mục tiêu tổ chức, tấn công social engineering vào mục tiêu cá nhân nhắm tới tài sản của nạn nhân trong tài khoản ngân hàng, chứng khoán,… Đây là chuỗi tấn công mới nổi trong thời gian gần đây, gây thiệt hại rất lớn về tài chính cho nạn nhân.
Ảnh 2: Mô hình tấn công cá nhân sử dụng social engineering
Tin tặc thường sử dụng nhiều kịch bản lừa đảo như thư mời, hỗ trợ dịch vụ công, quyết toán thuế, khiếu kiện,… thông qua cuộc gọi điện thoại, SMS, email, chat,… đánh vào tâm lý của nạn nhân. Khi nạn nhân đã mắc bẫy, tin tặc khai thác thông tin tài khoản mật khẩu hoặc đánh lừa nạn nhân cài đặt mã độc, ứng dụng độc hại, qua đó đánh cắp tiền của nạn nhân trong tài khoản ngân hàng, chứng khoán,…
3. Các hình thức tấn công social engineering
Để đạt được mục đích, tin tặc có thể sử dụng rất nhiều kỹ thuật khác nhau. Theo cách thức thực hiện và công cụ hỗ trợ, ta có thể chia thành 3 nhóm lớn:
- Social engineering qua tương tác con người: Mạo danh, giả mạo giọng nói, nghe trộm, nhìn trộm, lục lọi tài liệu, sử dụng máy tính sai mục đích,…
- Social engineering qua máy tính: Email phishing, spam mail, cửa sổ popup, ứng dụng chat,…
- Social engineering qua thiết bị di động: Gọi điện, ứng dụng giả mạo, SMS phishing,…
4. Phòng chống tấn công social engineering
VPS khuyến cáo Quý Khách hàng thực hiện một số biện pháp bảo vệ sau:
- Trang bị kiến thức về các hình thức tấn công social engineering phổ biến, thường xuyên cập nhật kiến thức về an ninh mạng thông qua báo đài, thời sự.
- Nâng cao cảnh giác trước các thủ đoạn giả mạo, lừa đảo. Đặc biệt là các cuộc gọi, tin nhắn, email tự xưng từ người có thẩm quyền, các nội dung gây tò mò, hoảng sợ,…
- Kiểm soát thông tin cá nhân được đăng tải trên các nền tảng mạng xã hội, đặc biệt không cung cấp thông tin cá nhân một cách mù quáng cho các đối tượng lạ mặt.
- Sử dụng mật khẩu mạnh và kích hoạt xác thực 2 yếu tố (2FA) cho các tài khoản trực tuyến. Xây dựng thói quen đổi mật khẩu ít nhất 6 tháng/lần.
- Kiểm soát giao dịch tài chính, thường xuyên theo dõi lịch sử đăng nhập và giao dịch. Trong trường hợp phát hiện bất thường, Quý khách liên hệ hotline của nhà cung cấp để kịp thời khoá tài khoản.
Bất kì ai cũng có thể trở thành nạn nhân của social engineering, gây ra thiệt hại to lớn cho cả cá nhân và tổ chức. Chính vì vậy, việc trang bị kiến thức về social engineering là công thức hiệu quả nhất bảo vệ Quý Khách hàng trên không gian mạng.
