“Social Engineering” là thuật ngữ không mấy mới mẻ. Tuy nhiên, nhiều cá nhân và tổ chức vẫn chưa có nền tảng kiến thức về kỹ thuật tấn công Social Engineering. Do đó, các tổ chức vẫn thường xuyên bị tin tặc tấn công bởi những trò lừa đảo hết sức đơn giản. Để có cái nhìn tổng quan về Social Engineering, SecurityBox sẽ điểm lại những nội dung chính trong bài viết này.

1.Social Engineering là gì?

Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống của một tổ chức, công ty, Doanh nghiệp. Kỹ thuật tấn công Social Engineering là quá trình đánh lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống tiền. Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện qua mạng internet, tỉ lệ thành công của hình thức này rất cao.

Những kẻ tấn công sử dụng kỹ thuật Social Engineering chủ yếu nhằm vào cá nhân, các tổ chức công ty trong phạm vi hẹp.  

2.Ví dụ về Social Engineering

Vụ dụ 1: Nghe trộm

Nam là người đứng giữa giữa A và B. Nam nghi ngờ A và B có chuyện gì đó giấu mình, do đó Nam đã tiến hành tấn công nghe trộm cuộc hội thoại giữa hai người. Phương pháp tấn công nghe trộm dựa trên yếu tố con người có thể thực hiện hành động qua điện thoại và email.

Ví dụ 2:  Pop-up Windows

Pop-up Windows mạo danh

Đã bao giờ bạn thấy các cửa sổ Pop-up trong máy tính, thiết bị của mình chưa? Hãy cẩn thận và đừng click vội vào Pop-up đó, vì rất có thể bạn bạn sẽ trở thành nạn nhân bị Hacker tấn công. Bởi lẽ, sau khi bạn Click vào đường dẫn, link đó sẽ dẫn tới 1 website khác của hacker, sau đó hacker yêu cầu người dùng đăng nhập đầy đủ thông tin hoặc tải phần phần mềm chứa mã độc về máy.

Ví dụ 3: Tấn công Email Phishing

Đã có khá nhiều người bị tấn công Social Engineering bởi hình thức này. Những kẻ tấn công thường gửi email rác, email mạo danh người thân, quảng cáo trúng thưởng. Sau đó, kẻ tấn công sẽ yêu cầu nạn nhân nhấp vào liên kết hoặc tệp đính kèm để điền thông tin về cá nhân, số tài khoản ngân hàng, địa chỉ…

3.Các loại hình tấn công Social Engineering

Có 2 phương pháp tấn công:

a, Tấn công dựa trên yếu tố con người

Hình thức này, tin tặc có thể tấn công nạn nhân trực tiếp bằng những loại như:

– Mạo danh: Tin tặc có thể đóng giả là nhân viên chính thức của một tổ chức và có quyền truy cập tới hệ thống mạng, đánh cắp dữ liệu thông tin quan trọng. Những người này thường mặc đồng phục và làm thẻ giả của công ty, sau đó trà trộn vào nội bộ để thu thập hoặc ăn cắp thông tin.

– Lục thùng rác: Kẻ xấu có thể vào phòng giám đốc kiểm tra thùng rác để tìm những bản nháp, giấy tờ, hoặc bản in quan trọng. Vì vậy, nếu bạn là giám đốc cần hết sức cẩn thận về việc bảo mật dữ liệu, thông tin.

– Đóng vai là người dùng cuối:

Với kiểu tấn công Social Engineering này, tin tặc sẽ tự nhận mình là người dùng hợp pháp, sau đó gọi điện cho đối tượng với nội dung “Xin chào, tôi là X ở phòng ban Y. Tôi không nhớ mật khẩu, anh

có thể đọc mật khẩu giúp tôi không”

Các loại hình thức phi tấn công

b.Dựa vào yếu tố kỹ thuật

Một số kiểu tấn công bằng phương pháp này mà bạn thường nhìn thấy như:

• Popup – Windows
• Tấn công Phishing
• Mạo danh website

Popup Windows thường có cửa số xuất hiện trên màn hình,người dùng click vào Popup đó sẽ bị chuyển đến trang web của tin tặc. Sau đó, tin tặc sẽ yêu cầu bạn đăng nhập thông tin hoặc tải phền mềm chứa mã độc về máy.

Xem thêm: 20 công cụ test bảo mật website, kiểm tra mã độc website

4.Ảnh hưởng của Social Engineering tới các Doanh Nghiệp, Tổ Chức

Tấn công Social Engineering có thể xảy ra trên mọi doanh nghiệp và tổ chức với mức độ thiệt hại khác nhau.

Những nguy cơ rủi ro và tác động của Social Engineering như:

– Mất dữ liệu

Một cuộc tấn công Social Engineering có thể làm mất thông tin dữ liệu, đồng thời cũng có thể khiến tổ chức bị thất thoát tài chính bởi dữ liệu chính là tiền.

– Mất niềm tin công chúng

Khi doanh nghiệp bị Social Engineering tấn công, rất có thể niềm tin khách hàng, người tiêu dùng và đối tác của DN sẽ bị ảnh hưởng.

– Mất quyền riêng tư

Tin tặc có thể thực hiện cuộc tấn công, sau đó lấy cắp thông tin cá nhân, đánh cắp tài liệu mật riêng tư.

– Tạm ngừng hoạt động

Nếu Hacker tấn công mạnh vào máy chủ website hoặc máy chủ hệ thống mạng, rất có thể chúng sẽ đánh sập hệ thống. Vì thế mà website của công ty, tổ chức có thể bị treo (tạm ngừng hoạt động dịch vụ).

Xem thêm Giải pháp pháp Phòng chống Social Engineering cho cá nhân và Tổ chức

5.Cách phòng chống tấn công Social Engineering

a.Với cá nhân

Cá nhân cần hết sức cảnh giác với hình thức lừa đảo qua email, không click vào các đường dẫn lạ, không chat với người lạ, cảnh giác các tin nhắn giả đóng vai là người thân…

=> Bạn đọc có thể xem chi tiết tại bài viết “Lời khuyên bảo mật dữ liệu cá nhân từ chuyên gia”

b.Với doanh nghiệp, tổ chức

Các chuyên gia bảo mật khuyến cáo các tổ chức, doanh nghiệp nên thực hiện theo các giải pháp phòng chống Social Engineering tấn công:

– Phân chia tài khoản, quyền và trách nhiệm rõ ràng đối với các tài khoản mạng xã hội, website, hệ thống.

– Tránh sử dụng một mật khẩu cho nhiều tài khoản khác nhau nhằm tránh nguy cơ lộ lọt thông tin.

– Hạn chế đăng những thông tin cá nhân, công ty, doanh nghiệp lên mạng xã hội để tránh kẻ xấu mạo danh.

– Giáo dục nhân viên kiến thức về Social Engineering, bảo mật.

Để tìm hiểu rõ hơn về từng kiến thức cụ thể trong chủ đề Social Engineering, bạn có thể đăng ký nhận bài viết chia sẻ của SecurityBox Tại Đây.