Social Engineering là gì? 5 hình thức tấn công phi kỹ thuật phổ biến
Social Engineering là gì?
Social engineering là hình thức lừa đảo phổ biến trong an ninh mạng, kẻ tấn công lợi dụng lòng tin và sơ hở của người dùng nhằm tác động vào tâm lý con người để đạt được mục đích xấu.
Chúng có thể lấy các thông tin cá nhân quan trọng như mật khẩu ngân hàng, nhận diện khuôn mặt, vân tay… để đánh cắp tài sản, tống tiền… Đây là hình thức lừa đảo rất tinh vi và khó nhận biết, đòi hỏi người dùng phải rất thận trọng với tất cả các hành động diễn ra trên Internet.
Bên cạnh đó, social engineering cũng có thể là bước khởi đầu cho các cuộc tấn công leo thang khác như cryptojacking, rug pull, exploit… với mục đích đánh cắp tài sản.
Đọc thêm: Scam là gì? Các hình thức scam phổ biến
Quy trình tấn công Social Engineering
Thông thường, kẻ tấn công social engineering sẽ nhắm đến nhiều thành phần tham gia trên Internet như cá nhân, tổ chức hay doanh nghiệp có hệ thống bảo mật kém. Trong đó, chủ yếu kẻ tấn công sẽ nhắm đến các cá nhân dễ dàng tin người hoặc ít hiểu biết về an ninh mạng. Do đó, người dùng cần hiểu rõ quy trình tấn công social engineering để phòng tránh và nhận biết kịp thời.
Quy trình tấn công social engineering thường diễn ra như sau:
Bước 1: Tìm hiểu về nạn nhân
Kẻ tấn công theo dõi hành vi của nạn nhân và nghiên cứu thông tin liên quan như tên, số điện thoại, hành vi, thói quen sử dụng các nền tảng trực tuyến… để phân tích và tìm ra điểm yếu của họ.
Bước 2 : Tiếp cận đối tượng
Sau khi xác định điểm yếu trong tâm lý của nạn nhân (như thích quà miễn phí, sợ mất tài sản…), kẻ tấn công sẽ tìm cách tiếp cận đối tượng bằng cách gửi những thông tin trông có vẻ “uy tín” thông qua email, tin nhắn, cuộc gọi, quảng cáo, trang web giả mạo… để thu hút sự chú ý và lấy lòng tin của nạn nhân.
Bước 3: Tấn công
Tấn công social engineering có hai 2 cách tiếp cận nạn nhân thường gặp, bao gồm:
Bước 4: Tẩu thoát
Kẻ xấu sẽ ngắt kết nối hoặc ngừng liên lạc với người dùng ngay lập tức khi đã đạt được mục tiêu.
Các loại tấn công Social Engineering
Có nhiều hình thức mà kẻ tấn công có thể sử dụng để lừa đảo và xâm nhập vào hệ thống thông tin của người dùng. Một số loại tấn công social engineering phổ biến có thể kể đến như: Phishing, Baiting, Quid Pro Quo, Scareware, Pretexting.
Phishing
Phishing attack (tấn công giả mạo) là hình thức mà kẻ tấn công giả mạo thành đơn vị uy tín như sàn giao dịch, dự án, công ty tín dụng để lừa người dùng chia sẻ thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng, private key…
Thông thường, phishing attack được chia làm hai dạng phổ biến bao gồm:
Baiting
Baiting là hình thức tấn công lợi dụng vào tính tò mò của nạn nhân bằng những phần thưởng miễn phí hoặc chương trình quảng cáo trực tuyến, mục đích “dụ dỗ” người dùng kết nối chúng với thiết bị, nhằm phát tán mã độc để lấy cắp thông tin hoặc tài sản.
Trường hợp điển hình của tấn công baiting là những phương tiện vật lý như USB, đĩa CD… được kẻ xấu đặt tuỳ tiện ở nơi công cộng. Việc của chúng là chờ đợi nạn nhân lấy các món đồ trên về và cắm vào các thiết bị điện tử của họ. Các thiết bị trên đã chứa sẵn các phần mềm độc hại, từ đó gây phơi nhiễm virus và bị mất cắp dữ liệu.
Quid Pro Quo
Quid Pro Quo là hình thức tấn công dựa trên việc tương tác trực tiếp (thường là qua cuộc gọi điện thoại hoặc tin nhắn) và trao đổi lợi ích giả giữa kẻ xấu và nạn nhân.
Kẻ xấu sẽ hứa hẹn về một hành động có thể làm giúp nạn nhân như khắc phục lỗi bảo mật trong tài khoản crypto, sự cố liên quan tới thiết bị điện thoại… với điều kiện phải cung cấp thông tin cá nhân nhạy cảm hoặc thực hiện một hành động mà chúng mong muốn.
Ví dụ: Trang nhận được cuộc điện thoại từ người lạ tự xưng là “nhân viên Binance”. Nhân viên này thông báo rằng tài khoản Binance của Trang có vấn đề và cần cung cấp một số thông tin như số điện thoại, họ tên, mật khẩu đăng nhập… để được hỗ trợ khắc phục sự cố.
Nhưng thực tế là người này chỉ muốn lấy thông tin đăng nhập để có quyền truy cập trái phép tài khoản và chiếm đoạt tài sản trên sàn của Trang.
Scareware
Scareware là hình thức mà kẻ xấu thông báo cho nạn nhân biết họ đang ở trong một trường hợp bị đe dọa và cần làm theo chỉ dẫn để được giải cứu.
Ví dụ: Alice nhận được tin nhắn cho biết điện thoại của mình bị nhiễm một virus nguy hiểm. Tin nhắn khuyên Alice nên nhấn vào đường link để loại bỏ virus hoặc tải về phần mềm chống virus. Tuy nhiên, nếu Alice làm theo, điện thoại của Alice sẽ bị tấn công ngay lập tức và bị ảnh hưởng bởi những phần mềm độc hại “thật sự”.
Pretexting (Tạo tình huống giả)
Pretexting là hình thức tương đối phổ biến trong social engineering, kẻ xấu tạo một tình huống giả và khiến nạn nhân tin rằng điều đó là sự thật, sau đó lợi dụng lòng tin để thực hiện tấn công.
Hình thức tấn công pretexting và quid pro quo tương đối giống nhau. Tuy nhiên, điểm khác biệt nằm ở chỗ pretexting là lừa đảo người khác thông qua tình huống giả mạo, trong khi quid pro quo sẽ đưa ra lời đề xuất hoặc hứa hẹn với nạn nhân về một lợi ích nào đó.
Ví dụ điển hình của hình thức pretexting là kẻ tấn công sẽ đóng giả làm người có chức quyền và dựng lên tình huống rằng người dùng đang gặp phải vấn đề liên quan đến pháp luật, nhằm đánh vào sự sợ hãi của nạn nhân.
Điểm mấu chốt của Pretexting là hiểu được hành vi của người dùng như lo lắng về việc có thể bị mất tài sản đã khiến nạn nhân “sập bẫy” kẻ xấu.
Pretexting không dễ dàng để nhận ra như việc giả mạo email, tin nhắn, mà đòi hỏi kẻ xấu có kỹ năng thuyết phục và tạo tình huống tốt. Có thể thấy, hình thức này tương đối khó nhận biết và cần người dùng thật tỉnh táo để tránh việc bị lừa.
Cách phòng tránh tấn công social engineering
Trong bất cứ thị trường nào, việc bảo mật thông tin và tài sản cá nhân luôn là ưu tiên hàng đầu.
Hơn nữa, tính chất của crypto là không được kiểm soát bởi cơ quan nhà nước, dẫn đến việc chưa có các khung pháp lý và quy định cụ thể để bảo vệ người tham gia thị trường. Ngày càng nhiều tin tặc lợi dụng điều này để thực hiện hành vi lừa đảo thông qua social engineering nhằm đánh cắp, chiếm đoạt tài sản của người dùng.
Vì vâỵ, cá nhân và doanh nghiệp trong thị trường crypto cần hiểu cách phòng tránh để có thể tự bảo vệ mình.
Đối với cá nhân
Một số cách phòng tránh tấn công social engineering có thể kể đến như:
Đối với doanh nghiệp
Tấn công social engineering nhắm đến các đối tượng doanh nghiệp trên nền tảng trực tuyến từ Web2 đến Web3. Một số cách tiếp cận để phòng tránh tấn công cho doanh nghiệp có thể kể đến như sau:
Các biện pháp kĩ thuật
Bên cạnh các cách trên, cá nhân hoặc doanh nghiệp có thể trang bị thêm một số biện pháp về mặt kỹ thuật để hạn chế tối đa rủi ro về tấn công social engineering như: