Social Engineering là gì? Đây là cách bạn có thể bị hack

Kỹ thuật xã hội là một thuật ngữ quan trọng trong thế giới bảo mật, nhưng bạn có thể không quen thuộc với ý nghĩa chính xác của nó. Mặc dù đây là một chủ đề rộng, nhưng có một số loại kỹ thuật xã hội cụ thể mà chúng ta có thể kiểm tra để tìm hiểu thêm.

Social Engineering là gì?

Trong lĩnh vực bảo mật, kỹ thuật xã hội là hành động thao túng mọi người để đánh cắp thông tin cá nhân từ họ hoặc khiến họ tiết lộ các chi tiết bí mật đó. Kỹ thuật xã hội dựa vào việc tận dụng bản chất con người, vốn thường là mắt xích yếu nhất trong một hệ thống mạnh mẽ.

Kỹ thuật xã hội, không giống như nhiều cuộc tấn công kỹ thuật khác, không cố gắng xâm nhập trực tiếp vào hệ thống máy tính. Mặc dù tin tặc có thể viết chương trình cố gắng ăn cắp mật khẩu của ai đó hoặc khai thác lỗi trong phần mềm, kỹ thuật xã hội chỉ dựa vào việc lừa hoặc thao túng nạn nhân để làm điều gì đó mà kẻ tấn công muốn.

Mặc dù kỹ thuật xã hội có trước thời đại internet, nhưng thực tế đã trở nên phổ biến hơn nhiều trên mạng.

Ngay cả khi có mật khẩu mạnh, phần mềm bảo mật hàng đầu và máy móc được bảo mật về mặt vật lý, một người bị lừa dối có thể là một lỗ hổng và vẫn mời lổ hổng bảo mật vào công ty hoặc cơ sở của chính họ.

Các yếu tố chính của kỹ thuật xã hội

Hầu hết mọi người đều nhận ra những trò lừa đảo trắng trợn. Vì nhận thức về những mánh khóe này đã tăng lên theo thời gian nên những kẻ lừa đảo điều hành chúng phải thường xuyên thay đổi chiến thuật để giữ cho chúng tồn tại.

Kết quả là, các kế hoạch kỹ thuật xã hội cụ thể thích nghi theo thời gian. Tuy nhiên, rất nhiều thủ thuật trong số này sử dụng kết hợp một số yếu tố sau:

- Chiến thuật hù dọa: Nếu một kẻ lừa đảo có thể khiến bạn lo sợ rằng điều gì đó tồi tệ sắp xảy ra, thì nhiều khả năng bạn sẽ làm theo mà không suy nghĩ chín chắn. Ví dụ, họ có thể giả làm chính phủ và yêu cầu nộp thuế với nguy cơ bị bắt.

- Cảm giác cấp bách: Để gây áp lực buộc bạn phải hành động trước khi bạn nghĩ, rất nhiều trò lừa đảo kỹ thuật xã hội yêu cầu bạn phải hành động ngay lập tức, kẻo bạn bị “mất tài khoản” hoặc tương tự.

- Giả làm một công ty hợp pháp: Để thuyết phục bạn rằng họ không phải là công ty giả mạo, những kẻ tấn công sẽ sử dụng các yếu tố trông có vẻ xác thực trong email hoặc thông tin liên lạc khác của họ.

- Từ ngữ mơ hồ: Bởi vì các cuộc tấn công kỹ thuật xã hội thường tấn công nhiều người cùng một lúc, hầu hết không dành riêng cho bạn. Từ ngữ chung và thiếu lý do cụ thể cho việc giao tiếp là những dấu hiệu cho thấy bạn đang đối phó với hàng giả.

Các loại kỹ thuật xã hội phổ biến

Tiếp theo, chúng ta hãy xem xét một số hình thức phổ biến của kỹ thuật xã hội để xem nó diễn ra như thế nào.

Lừa đảo – Phishing

Bạn có thể quen thuộc với Phishing. Đó là một trong những loại kỹ thuật xã hội phổ biến nhất. Đây là một cuộc tấn công trong đó ai đó giả vờ là một thực thể hợp pháp, thường là qua email và yêu cầu thông tin nhạy cảm.

Nó thường tuyên bố là từ PayPal, Apple, ngân hàng của bạn hoặc một công ty tổ chức đáng tin cậy, yêu cầu bạn “xác nhận” thông tin chi tiết của mình hoặc xem xét một giao dịch đáng ngờ.

Để bảo vệ khỏi lừa đảo, bạn không bao giờ được nhấp vào liên kết trong email và nhớ rằng các công ty hợp pháp không yêu cầu thông tin nhạy cảm theo cách này. Hãy chắc chắn rằng bạn cũng quen thuộc với các hình thức lừa đảo khác nhau.

Phone Scams – Lừa đảo qua điện thoại

Lừa đảo qua điện thoại đã cũ hơn so với lừa đảo qua email, nhưng chúng vẫn rất phổ biến. Trong các kế hoạch này, một người nào đó gọi cho bạn, chẳng hạn như tự xưng là từ công ty phát hành thẻ tín dụng của bạn và yêu cầu bạn xác nhận thông tin chi tiết của mình vì có hoạt động đáng ngờ.

Họ cũng có thể giả vờ đại diện cho một công ty máy tính cần “sửa lỗi nhiễm virus” trên máy của bạn.

Baiting – Mồi nhử

Mặc dù nó không phổ biến như các hình thức trên, nhưng baiting là một hình thức kỹ thuật xã hội nhằm đánh vào sự tò mò của con người. Trong các cuộc tấn công này kẻ lừa đảo để lại ổ đĩa CD hoặc USB bị nhiễm virus ở nơi mà chúng hy vọng ai đó sẽ nhặt được. Sau đó, nếu bạn lắp phương tiện vào PC, thì cuối cùng bạn có thể bị phần mềm độc hại tấn công nếu nội dung của ổ chạy tự động.

Cuộc tấn công này phức tạp hơn vì nó sử dụng phương tiện hợp lý. Tuy nhiên, nó minh họa rằng bạn không bao giờ nên cắm ổ đĩa flash hoặc thiết bị khác vào máy tính của mình nếu bạn không tin tưởng nó.

Tailgating – Nối đuôi nhau

Cuộc tấn công này, không giống như những cuộc tấn công khác, dựa vào sự hiện hiện của kẻ lừa đảo. Bám đuôi đề cập đến hành động giành quyền tiếp cận khu vực an toàn bằng cách cõng một người (hợp pháp) khác.

Một ví dụ phổ biến về điều này là một cánh cửa tại nơi làm việc yêu cầu bạn quét thẻ khóa để vào. Mặc dù việc giữ cửa mở cho người phía sau bạn là phép lịch sự, nhưng hầu hết các công ty không muốn bạn làm điều này. Người phía sau bạn có thể đang cố lẻn vào khu vực mà họ không nên đến để lợi dụng lòng tốt của bạn.

Điều này chủ yếu áp dụng cho mục đích kinh doanh, nhưng bạn nên nhớ rằng bạn cũng nên bảo vệ quyền truy cập vật lý vào máy tính của mình.

Scareware

Social Engineering là gì? Đây là cách bạn có thể bị hack

Đôi khi được gọi là “phần mềm đáng sợ”, đây là một dạng kết hợp giữa lừa đảo và phần mềm độc hại. Trong các cuộc tấn công này, bạn bị đe dọa bằng các tin nhắn giả, với hi vọng rằng bạn sẽ trả tiền cho kẻ lừa đảo hoặc cung cấp thông tin nhạy cảm.

Một hình thức phổ biến của Scarware là cảnh báo virus giả mạo. Bản thân những thứ này không nguy hiểm nhưng khiến bạn nghĩ rằng chúng là những dấu hiệu lây nhiễm thực sự trên thiết bị của bạn. Những kẻ lừa đảo hy vọng rằng bạn sẽ mắc phải hàng giả và gửi tiền cho chúng để “khắc phục” sự lây nhiễm hoặc tải xuống phần mềm của chúng, điều này thực sự rất nguy hiểm.

Một kỹ thuật đe dọa phổ biến khác là email tống tiền. Trong những trường hợp này, bạn nhận được email từ một người tuyên bố có nội dung làm tổn hại đến bạn hoặc tương tự. Họ yêu cầu thanh toán để ngăn họ phát hành video hoặc hình ảnh cho tất cả bạn bè của bạn.

Làm thế nào để giữ an toàn khỏi kỹ thuật xã hội

Như chúng ta đã thấy, kỹ thuật xã hội có nhiều hình thức và thường khó phát hiện. Để bảo vệ bạn khỏi những cuộc tấn công này và các cuộc tấn công tương tự, hãy ghi nhớ những điều sau:

- Đừng tin tưởng email: Email là một trong những hình thức liên lạch dễ làm giả nhất. Không bao giờ nhấp vào một liên kết trong email trừ khi bạn đang mong đợi điều đó. Truy cập các trang web trực tiếp luôn an toàn hơn.

- Đừng hành động mà không suy nghĩ: Nếu bạn nhận được một tin nhắn đánh vào cảm xúc của bạn, thì rất có thể nó được thiết kế để đánh lừa bạn. Dừng lại và suy nghĩ khi bạn cảm thấy đặc biệt lo lắng hoặc tò mò, vì bạn có nhiều khả năng đưa ra quyết định vội vàng trong những trường hợp này.

- Luôn xác nhận thông tin đáng ngờ: Nếu ai đó tuyên bố đến từ một công ty nào đó, hãy hỏi họ thông tin để chứng minh điều đó. Nếu họ trả lời những lời mơ hồ, thì bạn cần cảnh giác.