Tấn công phi kỹ thuật là gì, Ví dụ và cách phòng tránh

Tấn công phi kỹ thuật là gì? Ví dụ và cách phòng tránh

July 23, 2019 | vietsunshine

Tấn công phi kỹ thuật (Social engineering) là nghệ thuật thao túng con người để họ làm lộ ra các thông tin bí mật. Các loại thông tin mà bọn tội phạm đang tìm kiếm có thể khác nhau, nhưng khi các cá nhân bị nhắm mục tiêu, bọn tội phạm thường cố lừa bạn cung cấp cho chúng mật khẩu hoặc thông tin ngân hàng của bạn, hoặc truy cập vào máy tính của bạn để cài đặt bí mật phần mềm độc hại – điều đó sẽ cung cấp cho họ quyền truy cập vào mật khẩu và thông tin ngân hàng cũng như cho họ quyền kiểm soát máy tính của bạn.

Tội phạm sử dụng social engineering vì thường dễ khai thác thiên hướng tự tin của bạn hơn là tìm ra cách để hack phần mềm của bạn. Ví dụ, việc lừa ai đó cung cấp cho bạn mật khẩu của họ sẽ dễ dàng hơn nhiều so với việc bạn thử hack mật khẩu của họ (trừ khi mật khẩu thực sự yếu).

An ninh là tất cả về việc biết ai và những gì để tin tưởng. Điều quan trọng là bạn phải biết khi nào nên và không nên nghe theo lời của người bạn đang giao tiếp dù họ nói họ là ai. Điều tương tự cũng đúng với các tương tác trực tuyến và sử dụng trang web: khi nào bạn tin rằng trang web bạn đang sử dụng là hợp pháp hoặc an toàn để cung cấp thông tin của bạn?

Hỏi bất kỳ chuyên gia bảo mật nào và họ sẽ cho bạn biết rằng liên kết yếu nhất trong chuỗi bảo mật là con người. Không quan trọng có bao nhiêu ổ khóa và chốt trên cửa ra vào và cửa sổ của bạn, hoặc nếu có chó bảo vệ, hệ thống báo động, đèn pha, hàng rào bằng dây thép gai và nhân viên an ninh vũ trang; nếu bạn tin tưởng người ở cổng nói rằng anh ta là người giao bánh pizza và bạn cho anh ta vào mà không kiểm tra trước xem anh ta có hợp pháp không, bạn hoàn toàn phải đối mặt với bất kỳ rủi ro nào mà anh ta mang tới.

Một cuộc tấn công phi kỹ thuật sẽ trông như thế nào?

Email từ một người bạn

Nếu một tên tội phạm mạng dựa vào hack hoặc social engineering để có được tài khoản email của một người, hắn có quyền truy cập vào danh sách liên hệ của người đó và vì hầu hết mọi người đều sử dụng một mật khẩu ở mọi nơi, họ cũng có thể có quyền truy cập vào danh bạ mạng xã hội đó.

Khi tên tội phạm có tài khoản email đó, họ gửi email đến tất cả những người liên hệ với người khác hoặc để lại tin nhắn trên tất cả các trang xã hội của bạn bè của họ, và có thể trên các trang của người bạn bè của bạn bè của người đó.

Tận dụng sự tin tưởng và tò mò của bạn, những tin nhắn này sẽ:

  • Chứa một liên kết vì liên kết đó đến từ một người bạn và bạn tò mò, bạn sẽ tin tưởng vào liên kết đó, nhấp vào và bị nhiễm phần mềm độc hại để tên tội phạm có thể chiếm lấy máy của bạn và thu thập thông tin liên lạc và lừa dối bạn bè của bạn giống như bạn bị lừa dối.
  • Chứa tải xuống hình ảnh, nhạc, phim, tài liệu, v.v., có phần mềm độc hại được nhúng. Nếu bạn tải xuống mà bạn có khả năng sẽ làm vì bạn nghĩ đó là từ bạn bè của bạn thì bạn đã bị nhiễm. Giờ đây, tên tội phạm đã truy cập vào máy, tài khoản email, tài khoản mạng xã hội và danh bạ của bạn và cuộc tấn công lan rộng đến mọi người mà bạn biết.

Email từ một nguồn đáng tin cậy khác

Các cuộc tấn công lừa đảo là một tập hợp con của social engineering, chúng bắt chước một nguồn đáng tin cậy và đưa ra một kịch bản có vẻ hợp lý để bàn giao thông tin đăng nhập hoặc dữ liệu cá nhân nhạy cảm khác. Theo dữ liệu của Webroot, các tổ chức tài chính đại diện cho phần lớn các công ty bị mạo danh và, theo Báo cáo Điều tra Vi phạm Dữ liệu hàng năm của Verizon, các cuộc tấn công social engineering bao gồm lừa đảo và dẫ chứng (xem bên dưới) chịu trách nhiệm cho 93% vi phạm dữ liệu thành công.

Sử dụng một câu chuyện hấp dẫn hoặc lý do, những thông điệp này có thể:

  • Khẩn trương yêu cầu sự giúp đỡ của bạn. Người bạn của bạn, người bị mắc kẹt ở đất nước X, bị cướp, bị đánh và đang ở trong bệnh viện. Họ cần bạn gửi tiền để họ có thể về nhà và họ cho bạn biết cách gửi tiền cho tên tội phạm.
  • Sử dụng các nỗ lực lừa đảo với một nền tảng có vẻ hợp pháp. Thông thường, một kẻ lừa đảo gửi e-mail, IM, bình luận hoặc tin nhắn văn bản dường như đến từ một công ty, ngân hàng, trường học hoặc tổ chức hợp pháp, phổ biến.
  • Yêu cầu bạn quyên góp cho quỹ từ thiện của họ, hoặc một số nguyên nhân khác. Có thể với các hướng dẫn về cách gửi tiền cho tội phạm. Ưu tiên cho lòng tốt và sự hào phóng, những kẻ lừa đảo này yêu cầu viện trợ hoặc hỗ trợ cho bất kỳ thảm họa, chiến dịch chính trị hoặc từ thiện nào là ưu tiên hàng đầu.
  • Trình bày một vấn đề yêu cầu bạn “xác minh” thông tin của mình bằng cách nhấp vào liên kết được hiển thị và cung cấp thông tin. Vị trí liên kết có thể trông rất hợp pháp với tất cả các logo và nội dung phù hợp (trên thực tế, bọn tội phạm có thể đã sao chép định dạng và nội dung chính xác của trang web hợp pháp). Bởi vì mọi thứ có vẻ hợp pháp, bạn tin tưởng email và trang web giả mạo và cung cấp bất kỳ thông tin nào mà kẻ gian đang yêu cầu. Những kiểu lừa đảo này thường bao gồm cảnh báo về những gì sẽ xảy ra nếu bạn không hành động sớm vì bọn tội phạm biết rằng nếu chúng có thể khiến bạn hành động trước khi bạn nghĩ, bạn có khả năng rơi vào nỗ lực lừa đảo của chúng.
  • Thông báo cho bạn rằng bạn là người chiến thắng. Có thể email tuyên bố là từ xổ số, hoặc người thân đã chết để bạn nhấp vào trang web của họ, v.v. Để cung cấp cho bạn ‘tiền thắng cược’, bạn phải cung cấp thông tin về định tuyến ngân hàng của mình để họ biết cách gửi cho bạn hoặc cung cấp địa chỉ và số điện thoại của bạn để họ có thể gửi giải thưởng và bạn cũng có thể được yêu cầu chứng minh bao gồm số an sinh xã hội của bạn. Tội phạm mạng lợi dụng sự tham lam để lấy cắp thông tin của bạn.
  • Đưa ra như một ông chủ hoặc đồng nghiệp. Nó có thể yêu cầu cập nhật về một dự án quan trọng, độc quyền mà công ty bạn hiện đang thực hiện, để biết thông tin thanh toán liên quan đến thẻ tín dụng của công ty hoặc một số yêu cầu khác giả mạo như công việc hàng ngày.

Kịch bản để gài bẫy

Những kẻ chủ mưu tấn công phi kỹ thuật biết rằng nếu họ đưa ra những miếng mồi nhử hấp dẫn, sẽ có nhiều người mắc bẫy. Các chương trình này thường được tìm thấy trên các trang web ngang hàng cung cấp tải xuống một cái gì đó như một bộ phim mới hoặc âm nhạc. Nhưng các âm mưu cũng được tìm thấy trên các trang mạng xã hội, các trang web độc hại mà bạn tìm thấy thông qua kết quả tìm kiếm, v.v.

Hoặc, chương trình có thể hiển thị như một thỏa thuận tuyệt vời đáng kinh ngạc trên các trang web được phân loại, trang web đấu giá, v.v. Để làm giảm sự nghi ngờ của bạn, bạn có thể thấy người bán có xếp hạng tốt (tất cả đều được lên kế hoạch và chế tạo trước).

Những nạn nhân và bạn bè của họ có thể bị khai thác, có thể mất tiền mà không nhận được vật phẩm đã mua, có thể phát hiện ra tài khoản ngân hàng của mình đã trống rỗng.

Hỗ trợ kỹ thuật khi bạn không hề yêu cầu

Bọn tội phạm có thể giả vờ đáp ứng yêu cầu của bạn về sự giúp đỡ của bạn từ một công ty trong khi cũng cung cấp thêm trợ giúp. Họ chọn các công ty mà hàng triệu người sử dụng như công ty phần mềm hoặc ngân hàng. Nếu bạn không sử dụng sản phẩm hoặc dịch vụ, bạn sẽ bỏ qua email, cuộc gọi điện thoại hoặc tin nhắn, nhưng nếu bạn tình cờ sử dụng dịch vụ, rất có thể bạn sẽ phản hồi vì có thể bạn muốn giúp đỡ với một vấn đề.

Ví dụ, tội phạm mạng biết rằng bạn đã hỏi một câu hỏi mà bạn có thể gặp vấn đề với hệ điều hành máy tính của bạn và nắm bắt cơ hội này để sửa nó. Họ sẽ liên hệ để giúp bạn, và nếu bạn trao niềm tin của mình, khai thác sẽ bắt đầu.

Tạo sự ngờ vực

Vài social engineering là tất cả về việc tạo sự ngờ vực, hoặc bắt đầu xung đột; những điều này thường được thực hiện bởi những người bạn biết và những người tức giận với bạn, nhưng nó cũng được thực hiện bởi những người khó chịu chỉ cố gắng phá hoại, những người đầu tiên muốn tạo sự ngờ vực trong tâm trí của bạn về người khác để họ có thể bước vào như một anh hùng và có được lòng tin của bạn, hoặc bởi những kẻ tống tiền muốn thao túng thông tin và sau đó đe dọa bạn tiết lộ.

Hình thức tấn công phi kỹ thuật này thường bắt đầu bằng cách truy cập vào tài khoản email hoặc tài khoản liên lạc khác trên máy khách IM, mạng xã hội, trò chuyện, diễn đàn, v.v. Họ thực hiện điều này bằng cách hack, social engineering hoặc chỉ đơn giản là đoán mật khẩu thực sự yếu.

  • Sau đó, người độc hại có thể thay đổi các liên lạc nhạy cảm hoặc riêng tư (bao gồm cả hình ảnh và âm thanh) bằng cách sử dụng các kỹ thuật chỉnh sửa cơ bản và chuyển tiếp chúng cho người khác để tạo kịch tính, mất lòng tin, bối rối, v.v. Họ có thể làm cho nó trông giống như nó được gửi một cách tình cờ, hoặc có vẻ như họ đang cho bạn biết những gì đang thực sự xảy ra.
  • Ngoài ra, họ có thể sử dụng tài liệu đã thay đổi để tống tiền từ người mà họ đã hack.

Có hàng ngàn biến thể cho các cuộc tấn công social engineering. Và bạn có thể trải nghiệm nhiều hình thức khai thác trong một cuộc tấn công. Sau đó, tên tội phạm có khả năng bán thông tin của bạn cho người khác để họ cũng có thể khai thác chúng chống lại bạn, bạn bè của bạn…

Đừng trở thành một nạn nhân

Trong khi các cuộc tấn công lừa đảo đang lan tràn, tồn tại trong thời gian ngắn và chỉ cần một vài người dùng để kiếm mồi cho một chiến dịch thành công, có những phương pháp để bảo vệ chính bạn. Hầu hết không yêu cầu nhiều hơn chỉ đơn giản là chú ý đến các chi tiết trước mặt bạn. Hãy ghi nhớ những điều sau đây để tránh bị lừa đảo.

Các mẹo cần ghi nhớ:

  • Chậm lại. Kẻ gửi thư rác muốn bạn hành động trước và suy nghĩ sau. Nếu thông điệp truyền tải một cảm giác cấp bách hoặc sử dụng các chiến thuật bán hàng áp lực cao, hãy nghi ngờ; không bao giờ để sự khẩn cấp của họ ảnh hưởng đến đánh giá cẩn thận của bạn.
  • Nghiên cứu sự thật. Hãy nghi ngờ về bất kỳ tin nhắn không được yêu cầu. Nếu email trông giống như từ một công ty bạn sử dụng, hãy tự nghiên cứu. Sử dụng công cụ tìm kiếm để truy cập trang web của công ty thực sự hoặc danh bạ điện thoại để tìm số điện thoại của họ.
  • Đừng để một liên kết được kiểm soát nơi bạn hạ cánh. Kiểm soát bằng cách tự tìm trang web bằng công cụ tìm kiếm để chắc chắn bạn đến nơi bạn định đến. Di chuột qua các liên kết trong email sẽ hiển thị URL thực tế ở phía dưới, nhưng một giả mạo tốt vẫn có thể khiến bạn sai.
  • Đánh cắp email đang diễn ra tràn lan. Tin tặc, kẻ gửi thư rác và kẻ tấn công phi kỹ thuật chiếm quyền kiểm soát email của mọi người (và các tài khoản liên lạc khác) đã trở nên tràn lan. Khi họ kiểm soát tài khoản email, họ tin tưởng vào sự liên hệ của người liên hệ. Ngay cả khi người gửi dường như là một người mà bạn biết, nếu bạn không yêu cầu một email có liên kết hoặc kiểm tra tệp đính kèm với bạn bè của bạn trước khi mở liên kết hoặc tải xuống.
  • Cẩn thận với bất kỳ tải xuống nào. Nếu bạn không biết rõ người gửi và mong đợi một tệp từ họ, tải xuống bất cứ thứ gì đều là một sai lầm.
  • Những đề nghị xa lạ là giả. Nếu bạn nhận được email xa lạ từ xổ số hoặc rút thăm trúng thưởng, tiền từ một người họ hàng không xác định hoặc yêu cầu chuyển tiền từ nước ngoài để đóng góp từ thiện, thì khả năng cao đó là lừa đảo.

Cách để tự bảo vệ mình

  • Delete yêu cầu về thông tin tài chính hoặc mật khẩu. Nếu bạn được yêu cầu trả lời một tin nhắn với thông tin cá nhân, thì đó là một trò lừa đảo.
  • Từ chối yêu cầu giúp đỡ hoặc đề nghị giúp đỡ. Các công ty và tổ chức hợp pháp không liên lạc với bạn để cung cấp trợ giúp. Nếu bạn không yêu cầu sự trợ giúp cụ thể từ người gửi, hãy xem xét kỹ bất kỳ lời đề nghị nào. Tương tự, nếu bạn nhận được yêu cầu trợ giúp từ một tổ chức từ thiện hoặc tổ chức mà bạn không có mối quan hệ nào, hãy xóa nó. Hãy tự mình tìm kiếm các tổ chức từ thiện có uy tín để tránh bị lừa đảo.
  • Đặt bộ lọc thư rác của bạn ở mức cao. Mỗi chương trình email có bộ lọc thư rác. Hãy xem các tùy chọn cài đặt của bạn và đặt các tùy chọn này ở mức cao, chỉ cần nhớ kiểm tra thư mục thư rác theo định kỳ để xem email hợp pháp có bị vô tình bị mắc kẹt ở đó không. Bạn cũng có thể tìm kiếm một hướng dẫn từng bước để thiết lập các bộ lọc thư rác bằng cách tìm kiếm tên của nhà cung cấp email của bạn cùng với cụm từ ’spam filters’.
  • Bảo mật các thiết bị máy tính của bạn. Cài đặt phần mềm chống vi-rút, tường lửa, bộ lọc email và luôn cập nhật những phần mềm này. Đặt hệ điều hành của bạn để tự động cập nhật và nếu điện thoại thông minh của bạn không tự động cập nhật, hãy cập nhật thủ công bất cứ khi nào bạn nhận được thông báo. Sử dụng một công cụ chống lừa đảo được cung cấp bởi trình duyệt web hoặc bên thứ ba của bạn để cảnh báo bạn về các rủi ro.

Nguồn: What is Social Engineering? Examples & Prevention Tips

Tags: ,