Những điều bạn cần biết về Social Engineering - Tấn công phi kỹ thuật

Bảo mật không chỉ đơn thuần là cài đặt phần mềm chống virus hay sử dụng mật khẩu mạnh. Nó còn liên quan đến việc bạn biết ai và điều gì có thể tin tưởng được. Trong thời đại ngày nay, khi mọi người giao tiếp và chia sẻ thông tin trực tuyến nhiều hơn bao giờ hết, việc phân biệt khi nào nên tin tưởng và khi nào nên cảnh giác trở nên vô cùng quan trọng.

Theo Verizon, 68% các vụ vi phạm dữ liệu liên quan đến yếu tố con người không ác ý, chẳng hạn như nhân viên bị lừa đảo bằng kỹ thuật social engineering (tấn công phi kỹ thuật) hoặc mắc lỗi. Verizon cũng đưa ra rằng trong số 2.249 sự cố được báo cáo và phân tích liên quan đến kỹ thuật social engineering (tấn công phi kỹ thuật), thì có tới 1.063 sự cố, gần 50% các vụ việc, dẫn đến việc dữ liệu cá nhân bị tiết lộ. Điều này cho thấy con người dễ bị lừa gạt và thao túng hơn so với các hệ thống an ninh kỹ thuật.

Vậy Social Engineering là gì? Hãy cùng BShield tìm hiểu các hình thức và cách phòng tránh để không trở thành nạn nhân của của những cuộc tấn công này.

Social Engineering là gì?

Về bản chất, social engineering không phải là một cuộc tấn công mạng; nói đúng hơn, nó xoay quanh việc thao túng tâm lý để thuyết phục người khác, giống như lừa đảo truyền thống. Mục tiêu là để xây dựng niềm tin với các mục tiêu, khiến họ mất cảnh giác và thực hiện các hành vi không an toàn, chẳng hạn như tiết lộ thông tin cá nhân hoặc tương tác với các liên kết website hoặc file đính kèm nhiễm độc.

Tội phạm sử dụng các chiến thuật lừa đảo qua mạng vì việc khai thác khuynh hướng tin tưởng tự nhiên thường đơn giản hơn là khám phá các phương pháp xâm nhập vào phần mềm. Ví dụ: lừa ai đó tiết lộ mật khẩu của họ dễ dàng hơn nhiều so với việc cố gắng hack chính mật khẩu đó.

Social engineering là một phương pháp phổ biến để kẻ trộm truy cập vào tài khoản ngân hàng doanh nghiệp và cá nhân, biểu hiện dưới nhiều hình thức khác nhau với mục tiêu chính là thuyết phục chủ tài khoản chia sẻ thông tin hoặc thực hiện các hành động cụ thể.

Các hình thức tấn công Social Engineering

Có nhiều phương pháp khác nhau mà kẻ tấn công có thể sử dụng để đánh lừa và xâm nhập vào hệ thống thông tin của người dùng. Một số loại tấn công social engineering phổ biến bao gồm Phishing, Baiting, Diversion theft, Honey trap, Quid Pro Quo, Scareware, Smishing, v.v.

Phishing

Phishing là loại tấn công social engineering phổ biến nhất. Các cuộc tấn công này tận dụng sai sót của con người để lấy thông tin xác thực hoặc phát tán malware, thường thông qua các tệp đính kèm email bị nhiễm virus hoặc liên kết dẫn đến các trang web độc hại.

• Angler phishing: Angler phishing là một hình thức lừa đảo trên mạng xã hội, bằng cách tạo các tài khoản mạng xã hội giả mạo của công ty thay vì các email giả mạo truyền thống.
• BEC (business email compromise): BEC lừa đảo các cá nhân nộp tiền hoặc dữ liệu công ty thông qua các cuộc tấn công phishing rất tinh vi, khác với các email lừa đảo thông thường.
• Pharming: Pharming khai thác các lỗ hổng hệ thống để chuyển hướng lưu lượng truy cập của website đến một website độc hại khác, nó mạo danh website hợp pháp bằng cách thao túng tên miền và địa chỉ IP.
• Spear phishing: Spear phishing là một cuộc tấn công qua email, trong đó những kẻ lừa đảo tùy chỉnh tin nhắn của họ cho một cá nhân cụ thể. Nó khó phát hiện hơn lừa đảo thông thường vì nó nhắm trực tiếp vào mục tiêu cá nhân, làm người ta giảm sự nghi ngờ về tính xác thực của nó.
• Tabnabbing/reverse tabnabbing: Tabnabbing là một cuộc tấn công phishing nhằm thao túng các trang web không hoạt động. Nó xảy ra khi người dùng nhấp chuột khỏi một tab đang mở, tạo điều kiện cho hacker chuyển hướng trang web đến một bản sao web được kiểm soát.
• Whaling: Whaling là dạng phishing khai thác tầm ảnh hưởng của các quản lý cấp cao, nó nhắm vào các cá nhân như CEO, người có quyền hạn đối với các nhân viên tài chính và trợ lý.

Baiting

Baiting khai thác sự tò mò của người khác bằng cách cung cấp quà tặng miễn phí hoặc quảng cáo online để thu hút người dùng kết nối các thiết bị, phát tán malware nhằm đánh cắp dữ liệu hoặc tài sản. Một ví dụ phổ biến là để ổ USB hoặc đĩa CD bị nhiễm virus ở nơi công cộng, chờ nạn nhân kết nối chúng với thiết bị của họ, khiến thiết bị của họ vô tình bị nhiễm virus và bị đánh cắp dữ liệu.

Diversion theft

Trong các tình huống ngoại tuyến, hành vi trộm cắp chuyển hướng xảy ra khi thủ phạm chuyển hướng việc giao hàng bằng cách thuyết phục người vận chuyển đến địa điểm không chính xác. Đối với trực tuyến, những sự cố này liên quan đến việc trích xuất thông tin bí mật bằng cách đánh lừa nạn nhân gửi thông tin đó đến người nhận không chính xác.

Honey trap

Honey trap là một chiến thuật trong đó những kẻ tấn công giả vờ quan tâm đến vấn đề tình cảm với nạn nhân để thao túng họ tiết lộ thông tin nhạy cảm hoặc đưa tiền.

Smishing/SMS phishing

Điều này liên quan đến các tin nhắn lừa đảo được cho là từ các đơn vị hợp pháp. Phương pháp này thường được kết hợp với các kỹ thuật khác để phá bỏ lớp xác thực hai yếu tố (2FA). Ngoài ra, nạn nhân có thể được chuyển hướng đến các trang web độc hại thông qua các tin nhắn văn bản này.

Quid pro quo

Các cuộc tấn công Quid pro quo thúc đẩy xu hướng trao đổi qua lại của các cá nhân, vì những kẻ tấn công sẽ cung cấp thứ gì đó để đổi lấy thông tin.

Ví dụ: kẻ mạo danh đóng giả là kỹ thuật viên hỗ trợ CNTT có thể đề nghị hỗ trợ nhanh chóng cho nhân viên gặp sự cố máy tính, đồng thời yêu cầu đổi lại thông tin đăng nhập. Việc này khiến nhân viên vô tình cung cấp thông tin nhạy cảm dưới chiêu bài nhận sự giúp đỡ.

Pretexting

Đây là giai đoạn đầu của các cuộc tấn công social engineering phức tạp, trong đó kẻ lừa đảo xây dựng niềm tin với nạn nhân, thường bằng cách bịa ra một câu chuyện thuyết phục nhằm nâng cao uy tín của họ.

Pretexting và Quid pro quo, mặc dù có điểm giống nhau nhưng lại khác nhau về cách tiếp cận. Pretexting sử dụng các tình huống giả để đánh lừa, trong khi Quid pro quo mang lại lợi ích cho nạn nhân. Trong một kịch bản điển hình, kẻ tấn công mạo danh một nhân vật có thẩm quyền, khai thác nỗi sợ hãi của nạn nhân liên quan đến vấn đề pháp lý. Điều quan trọng là chúng hiểu hành vi của người dùng và khai thác những lo ngại về khả năng mất mát.

Scareware

Scareware là một loại phần mềm độc hại thường xuất hiện dưới dạng thông báo pop-up cảnh báo sai cho người dùng rằng phần mềm bảo mật của họ đã lỗi thời hoặc thiết bị của họ chứa nội dung độc hại. Mục đích là lừa nạn nhân truy cập các trang web độc hại hoặc mua các sản phẩm không có hiệu quả.

Tailgating

Tailgating là phishing vật lý trong đó kẻ xâm nhập có được quyền truy cập trái phép vào một khu vực an toàn hoặc bị hạn chế bằng cách theo dõi ai đó có quyền truy cập hợp pháp, thường bằng cách tuyên bố rằng đã làm thất lạc thẻ hoặc giấy tờ tùy thân của họ.

Vishing/voice phishing

Vishing hay voice phishing là một hình thức social engineering được thực hiện qua điện thoại. Các chiến thuật truy cập khác nhau bao gồm các tin nhắn được ghi âm thông báo cho người nhận về tài khoản ngân hàng bị rò rỉ, thúc giục nạn nhân nhập thông tin chi tiết bằng bàn phím điện thoại, từ đó lấy quyền truy cập trái phép vào tài khoản của họ.

Water-holing/watering hole

Watering hole hoạt động bằng cách xâm nhập các website mà một nhóm mục tiêu cụ thể thường xuyên truy cập. Bằng cách gây nhiễm độc website, hacker khai thác các lỗ hổng, lây nhiễm malware cho các thiết bị của những người truy cập. Điều này cho phép chúng truy cập trái phép và thu thập dữ liệu.

Chu trình tấn công của Social Engineering

Chu trình tấn công social engineering bao gồm 4 bước chính: Thu thập thông tin, Thiết lập mối quan hệ, Khai thác và Thực hiện tấn công.

1. Thu thập thông tin

Cuộc tấn công có thành công hay không sẽ phụ thuộc vào việc thu thập thông tin liên quan, xác định các hướng tấn công, mật khẩu tiềm năng, các phản hồi có thể xảy ra và tạo ra các pretext. Kẻ tấn công sẽ cố gắng làm quen với mục tiêu tấn công trong giai đoạn này.

2. Thiết lập mối quan hệ

Thiết lập mối quan hệ làm việc với đối tượng mục tiêu là rất quan trọng. Chất lượng của mối quan hệ này sẽ ảnh hưởng tới mức độ hợp tác. Nó có thể bao gồm từ những cử chỉ nhỏ như giữ cửa cho đến những tương tác cá nhân hơn, bao gồm cả việc xây dựng mối quan hệ online thông qua hồ sơ giả.

3. Khai thác

Kẻ tấn công tận dụng thông tin và các mối quan hệ để khai thác mục tiêu một cách tích cực. Trọng tâm là duy trì sự tuân thủ luật pháp mà không gây nghi ngờ. Các phương pháp khai thác bao gồm giành quyền truy cập vật lý, lấy thông tin đăng nhập, giới thiệu kẻ tấn công với nhân viên khác hoặc triển khai các payload độc hại.

4. Execution

Giai đoạn này là khi kẻ tấn công đạt được mục tiêu hoặc kết thúc cuộc tấn công mà không gây nghi ngờ. Cuộc tấn công thường kết thúc với việc mục tiêu cảm thấy họ đã làm được điều gì đó tích cực, đảm bảo cho những tương tác trong tương lai. Kẻ tấn công xóa dấu vết trên nền tảng số, không để lại dấu vết và duy trì tính ẩn danh, lên kế hoạch tẩu thoát một cách suôn sẻ.

Hiểu và nhận biết từng giai đoạn là rất quan trọng để các cá nhân tự bảo vệ mình khỏi các cuộc tấn công social engineering.

Cách phòng tránh tấn công Social Engineering

Ở bất kỳ lĩnh vực nào, việc đảm bảo an toàn thông tin và tài sản cá nhân luôn được ưu tiên hàng đầu. Trong BFSI (Tài chính - Dịch vụ Ngân hàng - Bảo hiểm), nơi có nhiều các giao dịch số và hệ thống kết nối với nhau, social engineering là một mối đe dọa lớn. Trong khi các tổ chức tài chính đang phải tìm cách giải quyết các thách thức an ninh mạng ngày càng gia tăng, việc phòng tránh social engineering trở thành một yếu tố quan trọng của chiến lược phòng vệ.

Vì vậy, doanh nghiệp và cá nhân cần phải hiểu rõ các biện pháp phòng tránh để tự bảo vệ mình.

Đối với doanh nghiệp

Social engineering nhắm vào các doanh nghiệp trên các nền tảng trực tuyến từ Web2 đến Web3. Một số cách để ngăn chặn các cuộc tấn công cho doanh nghiệp bao gồm:

• Thực hiện các chính sách bảo mật trong doanh nghiệp, chẳng hạn như bảo mật thông tin và thiết bị làm việc.
• Giáo dục nhân viên về rủi ro và các phương pháp tấn công tiềm ẩn, cùng với các quy trình ứng phó đã được xây dựng.
• Hợp tác với các công ty và dịch vụ bảo mật để trang bị cho tổ chức kiến thức toàn diện và chiến lược ứng phó trước các cuộc tấn công social engineering.

Đối với cá nhân

Một số cách để ngăn chặn social engineering bao gồm:

• Hãy trang bị cho mình thông tin và kiến thức về các loại tấn công social engineering khác nhau để sớm nhận biết.
• Trong trường hợp có cuộc gọi đáng ngờ hoặc mạo danh, hãy xác minh danh tính bằng cách gọi cho người thân đáng tin cậy hoặc cơ quan được ủy quyền.
• Đặt mật khẩu phức tạp và độc nhất cho tài khoản cá nhân (ngân hàng, y tế…), tránh trùng lặp.
• Hạn chế chia sẻ thông tin cá nhân, lịch trình và hoạt động trên mạng xã hội để ngăn chặn những kẻ xấu học thói quen của người dùng.
• Khi nhận được yêu cầu cấp quyền truy cập, hãy xác minh kỹ lưỡng nguồn thông tin và giảm thiểu việc cấp quyền cho các ứng dụng xa lạ.
• Tránh sử dụng các thiết bị lạ và triển khai xác thực hai yếu tố (2FA) để tăng cường bảo mật.

Biện pháp kỹ thuật

Ngoài các phương pháp nêu trên, cá nhân hoặc doanh nghiệp có thể thực hiện một số biện pháp kỹ thuật nhằm giảm thiểu rủi ro từ các cuộc tấn công social engineering:

• Triển khai hệ thống đăng nhập đa lớp để giảm nguy cơ bị tấn công.
• Luôn cập nhật trình duyệt web và tránh sử dụng các plug-in hoặc add-on không cần thiết.
• Sử dụng phần mềm diệt virus uy tín và trả phí để xử lý malware kịp thời.
• Cài đặt hệ thống cảnh báo các trang web nguy hiểm.
• Đặt bộ lọc thư rác ở mức cao nhất (đối với email).
• Sử dụng trình duyệt web ẩn danh.

Lời kết

Tóm lại, social engineering đang ngày càng trở nên tinh vi và gia tăng nhắm mục tiêu vào người dùng. Mỗi cá nhân và doanh nghiệp đều đóng vai trò quan trọng trong việc bảo vệ bản thân và cộng đồng khỏi những mối đe dọa này.

Đối với mỗi cá nhân, việc trang bị kiến thức về Social Engineering là vô cùng quan trọng. Hãy học cách nhận diện những "bẫy" lừa đảo tinh vi, cẩn trọng chia sẻ thông tin và luôn đặt dấu hỏi nghi ngờ trước những điều bất thường. Hãy nhớ rằng, bạn chính là "chiến binh" đầu tiên trên mặt trận an ninh mạng.

Đối với doanh nghiệp, việc bảo vệ dữ liệu và hệ thống là trách nhiệm không thể xem nhẹ. Hãy đầu tư vào giáo dục nhân viên, xây dựng hệ thống an ninh mạng vững chắc, theo dõi hoạt động mạng thường xuyên và có kế hoạch ứng phó hiệu quả khi sự cố xảy ra. Đặc biệt, các doanh nghiệp cần triển khai biện pháp bảo mật toàn diện cho ứng dụng di động, ví dụ như BShield, trước khi phát hành ứng dụng tới tay người dùng.