Social engineering là gì? Cách phòng tránh hiệu quả

Social engineering là một thuật ngữ khá phổ biến trong lĩnh vực an ninh mạng. Đây là một dạng thai khác thông tin nhưng thay vì từ các lỗ hổng của bảo mật thì social engineering lại khai thác thông qua con người. Social engineering thao túng hành vi và tâm lý khiến nạn nhân tự động tiết lộ bí mật thông tin hoặc cho phép truy cập dữ liệu quan trọng.

Hãy cùng chúng tôi tìm hiểu chi tiết hơn cũng như cách phòng tránh social engineering trong bài viết dưới đây.

Social engineering là gì?

Social engineering còn được gọi là tấn công phi kỹ thuật. Đây là một trong các hình thức tấn công mạng phổ biến nhưng thay vì hack hệ thống thì các tội phạm sẽ “hack người”.

Tội phạm sử dụng những chiêu trò, mánh khoé nhắm vào tâm lý con người để đạt được sự tin tưởng của họ. Từ đó khiến các nạn nhân mất cảnh giác và tự động cung cấp những thông tin quan trọng như thông tin cá nhân, quyền truy cập máy tính, thông tin ngân hàng để tống tiền, phá hoại, đe doạ,…

Social Engineering (tấn công phi kỹ thuật) là gì?
Social Engineering (tấn công phi kỹ thuật) là gì?

Để thực hiện những vụ tấn công phi kỹ thuật này, các hacker sẽ che giấu đi danh tính và động cơ thật sự mà giả danh thành người/tổ chức đáng tin cậy. Vậy nên nếu bạn là người dễ dàng tin tưởng hay thiếu hiểu biết thì rất dễ trở thành nạn nhân của vụ tấn công social engineering.

Định nghĩa về social engineering sẽ được mở rộng hơn khi bạn biết chính xác cách hoạt động của tấn công này.

Social engineering hoạt động như thế nào?

Phần lớn các vụ tấn công social engineering đều diễn ra dựa trên hoạt động giao tiếp thực tế giữa kẻ tấn công và nạn nhân. Lúc này những tên tội phạm sẽ xây dựng một quy trình đáng tin cậy nhằm lừa dối nạn nhân, khiến họ tự động thoả hiệp thay vì dùng các biện pháp mạnh tay khác để lấy thông tin, dữ liệu.

Một quy trình đáng tin cậy của tấn công phi kỹ thuật thường rất đơn giản nhưng lại vô cùng tinh vi và sẽ bao gồm 4 bước như sau:

  1. Chuẩn bị: Đầu tiên hacker sẽ thu nhập các thông tin cơ bản liên quan đến nạn nhân như họ tên, tuổi, tổ chức đang tham gia hoặc đang làm thành viên.
  2. Xâm nhập: Tiếp theo là tiến hành xây dựng một mối quan hệ để tương tác với bạn nhằm lấy lòng tin.
  3. Khai thác từ nạn nhân: Khi tội phạm lấy được lòng tin hoặc nắm được điểm yếu của bạn trong tay, họ sẽ bắt đầu khai thác thông tin hoặc khiến bạn tự thực hiện hành động nào đấy cho họ.
  4. Ngắt kết nối: Sau khi đã có những thông tin cần thiết thì lúc này hacker sẽ chuẩn bị ngắt kết nối với bạn.

Quá trình này có thể diễn ra trong vài tháng tại các phần mềm nhắn tin mạng xã hội hay đôi khi là trực tiếp tương tác đối mặt với nhau giữa tội phạm và nạn nhân.

Những đối tượng dễ trở thành nạn nhân của social engineering

Bất kỳ một cá nhân nào cũng đều có thể trở thành nạn nhân bị tấn công của social enginerring. Đặc biệt những người như lễ tân, bảo vệ, nhân viên văn phòng, người dùng mạng xã hội,… Những người dễ dàng tin tưởng người khác, không đề phòng bất kỳ ai hoặc người thiếu hiểu biết, luôn tò mò thì rất dễ trở thành nạn nhân của social enginerring.

Bất kỳ ai cũng có thể trở thành mục tiêu của social engineering
Bất kỳ ai cũng có thể trở thành mục tiêu của social engineering

Bạn sẽ không thể biết một người mình vừa làm quen có phải tên tội phạm đang giả mạo muốn lấy cắp thông tin, điều gì đó từ mình hay không.

Các hình thức tấn công phổ biến của social engineering

Social engineering có rất nhiều hình thức tấn công khác nhau, dưới đây là một số dạng phổ biến nhất:

Phising

Đây là dạng tấn công phi kỹ thuật phổ biến nhất và thường dưới dạng là một email/trang web đến từ một tổ chức hợp pháp nào đấy. Tội phạm sẽ gửi thông báo đến cho nạn nhân và khiến họ chia sẻ thông tin cá nhân hoặc nhấp vào liên kết cài đặt phần mềm có hại cho máy tính.

Phising có nhiều loại nhỏ bên trong như sau:

  • Vishing: lừa đảo thông qua cuộc gọi điện thoại nhằm yêu cầu nạn nhân cung cấp mã OTP, thông tin cá nhân hay số tài khoản ngân hàng,…
  • Smishing: lừa đảo bằng những tin nhắn gửi đến điện thoại nạn nhân.
  • Angler phising: tội phạm sẽ giả mạo thành một nhân viên của tổ chức nào đó.
  • URL phishing: các link, liên kết đính kèm trong email, tin nhắn mà khi nhấp vào bạn đã cho phép tội phạm có quyền truy cập vào thiết bị mình.
  • In-session phishing: tội phạm tấn công bằng cách yêu cầu bạn đăng nhập vào tài khoản trên Goggle, Facebook, Zalo,… hay website của chúng.

Bạn có thể tìm hiểu thêm chi tiết về phishing cũng như cách phòng tránh phishing tại đây.

Baiting

Baiting là một hình thức diễn ra khi tội phạm và nạn nhân đã thân quen với nhau. Khi đó, hacker sẽ gửi hoặc đưa usb nhiễm mã độc khiến bạn sử dụng chúng và từ đó thiết bị bạn cũng bị nhiễm mã độc theo.

Piggybacking

Piggybacking thường xảy ra với những người có thẩm quyền trong tổ chức như giám đốc mà tội phạm sẽ lừa họ để xâm nhập vào hệ thống công ty. Tội phạm có thể giả thành nhân viên sửa máy tính, người thân hay nhân viên văn phòng để gắn các thiết bị theo dõi hay trực tiếp tấn công vào hệ thống dữ liệu để đánh cắp thông tin.

Watering Hole

Các hacker sẽ trực tiếp tấn công vào những trang web có lượng truy cấp lớn và đính kèm lên đó là những tệp tin có hại. Sau đó kẻ tấn công sẽ thoả hiệp với người sử dụng, khiến người dùng tải về để thiết bị nhiễm virus.

Quid pro quo

Đây là một kiểu tấn công giả vờ cung cấp một điều gì đó để đổi lấy thông tin hoặc sự giúp đỡ mà tội phạm muốn từ nạn nhân. Ví dụ bạn đang gặp vấn đề về công nghệ và nhận được một cuộc gọi từ hacker giả thành nhân viên sửa chữa máy tính. Thì lúc này kẻ tấn công sẽ yêu cầu bạn tải về các phần mềm độc hại theo ý họ để thu nhập thông tin, dữ liệu hay mật khẩu bạn.

Cách phòng tránh social engineering hiệu quả

Trước sự tinh vi không dễ dàng nhận biết của những vụ tấn công phi kỹ thuật trên thì bạn cần phải làm gì để có thể phòng tránh social engineeng hiệu quả?

Cách phòng tránh social engineering hiệu quả
Cách phòng tránh social engineering hiệu quả
  • Không chia sẻ thông tin riêng tư
  • Ghi nhớ những đặc điểm và dấu hiệu của một vụ social engineering đã được giới thiệu ở trên để phòng tránh
  • Thận trọng những nối quan hệ internet
  • Luôn xác nhận rõ danh tính người liên lạc trước khi thực hiện trao đổi điều gì đó với họ
  • Hãy cẩn thận khi cho bất kỳ người khác mượn thiết bị của mình
  • Cài đặt các phần mềm diệt virus chất lượng
  • Tránh sử dụng một mật khẩu cho nhiều tài khoản
  • Không nhấp vào bất kỳ đường link lạ nào
  • Không xác minh tài khoản, mật khẩu trước mọi email bất thường
  • Hạn chế đăng những thông tin cá nhân lên mạng xã hội
  • Thận trọng khi tải bất kỳ file nào xuống thiết bị
  • Bật chế độ 2FA cho tài khoản (tìm hiểu về 2FA)
  • Sử dụng trình quản lý mật khẩu như Locker, Dashlane, NordPass,… (tìm hiểu thêm tại đây) để tránh những trang web giả mạo
  • Phân chia quyền truy cập dữ liệu, hệ thống rõ ràng

Hy vọng với những kiến thức cơ bản về social engineering ở trên đã có thể giúp bạn biết thêm kiến thức về một hình thức lừa đảo tinh vi này. Việc trang bị cho mình những kiến thức và kỹ năng sẽ giúp bạn bảo vệ bản thân và phòng tránh mọi rủi ro không đáng có.