HomeBlogSocial Engineering là gì? Những điều bạn cần biết về “Tấn công phi kỹ thuật”
Operations Security

Social Engineering là gì? Những điều bạn cần biết về “Tấn công phi kỹ thuật”

CyStack blog8 phút để đọc
CyStack blog20/09/2023
Locker Avatar

CyStack Editor

Locker logo social
Reading Time: 8 minutes

Social Engineering (hay tấn công phi kỹ thuật) là thuật ngữ phổ biến trong lĩnh vực bảo mật thông tin, mô tả hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị. Qua đó, kẻ tấn công có thể đạt được các mục đích của mình như xâm nhập vào hệ thống, truy cập thông tin quan trọng,… mà không cần phải thực hiện những kỹ thuật tấn công quá phức tạp. Bài viết dưới đây đưa ra các kiến thức về Social Engineering giúp bạn đọc có cái nhìn rõ nét hơn về hình thức tấn công này.

Social Engineering là gì? Những điều bạn cần biết về  "Tấn công phi kỹ thuật"

Social Engineering là gì?

Social Engineering là kết hợp giữa 2 từ Social (xã hội) và Engineering (kỹ thuật), thể hiện bản chất của kiểu tấn công này: các mánh khóe, kỹ thuật tấn công nhắm vào bản tính xã hội của con người, thứ mà không hề tồn tại trong máy móc. Social Engineering Attack còn được biết đến với cái tên Tấn công phi kỹ thuật.

Bằng cách tác động trực tiếp đến tâm lý con người, xây dựng các mối quan hệ có chủ đích, Social Engineering khai thác các thông tin và dùng những thông tin đó vào mục đích riêng (tống tiền, trộm cắp tài sản, đe dọa, phá hủy cá nhân/ tổ chức,…). Khi áp dụng Social Engineering, tội phạm thường che giấu danh tính và động cơ thực sự bằng một vẻ ngoài đáng tin cậy khiến cho đối phương mất cảnh giác, từ đó dễ dàng xâm nhập các sơ hở.  Social Engineering không trực tiếp sử dụng các phương thức kỹ thuật (phá hủy hệ thống, tin tặc) nhưng có thể sẽ dùng các cách thức tinh vi để dẫn đến tấn công bằng kỹ thuật. 

>> Kiến thức cơ bản về Tấn Công Mạng (Cyber Attack)

Ta có thể hình dung rõ hơn về Social Engineering qua các tình huống quen thuộc như: chó sói đội lốt con cừu để ăn thịt bầy cừu. Một ngày đẹp trời bạn nhận được tin nhắn trúng thưởng kèm theo yêu cầu gửi thêm một khoản tiền thuế/ đảm bảo/ vận chuyển….. Hoặc hàng xóm của bạn bị một đối tượng giả danh người thân để chiếm đoạt tài sản. Nhân viên của bạn vô tình tải xuống một phần mềm chứa virus và gây nhiễm độc toàn bộ hệ thống máy tính, ngay sau đó cơ quan bạn bị lộ các thông tin quan trọng như số tài khoản, mật khẩu, đơn hàng,… 

Có thể thấy rõ rằng Tấn công phi kỹ thuật không giới hạn hình thức, phương thức, nạn nhân và thủ phạm. Bất kỳ ai đều có thể là tội phạm và bất kỳ ai đều có thể là nạn nhân. Chính vì vậy bạn cần phải nâng cao cảnh giác và để ý từ các chi tiết nhỏ nhất.

Đối tượng nào dễ bị tấn công bởi Social Engineering?

Bất kỳ một chuyên gia bảo mật nào cũng đều cho rằng con người chính là điểm yếu nhất của hệ thống bảo mật. Bởi vì con người có nhiều cảm xúc và những cảm xúc đó không thể kiểm soát được như những hệ thống máy móc. Bạn có thể xây dựng một hệ thống phòng thủ kiên cố với rất nhiều hàng rào, khóa cửa, camera an ninh,.. nhưng lại mất đề phòng với một người bạn mới quen hoặc một thợ kỹ thuật sửa chữa đồ gia dụng. Sẽ ra sao nếu như họ chính là tên tội phạm giả mạo? Bạn hoàn toàn không kiểm soát được những rủi ro mà tên tội phạm đó đem tới. 

Các tâm lý hành vi được tội phạm Social Engineering khai thác thường là khía cạnh về nghĩa vụ đạo đức, lòng tin, đe dọa, tính tham lam, thiếu hiểu biết, tò mò, tự mãn,…Thông qua đó, các đối tượng thường bị khai thác thường là:

  • Lễ tân, bảo vệ: thường tiếp xúc với tất cả mọi người trong công ty, không được bảo vệ cũng như trang bị kiến thức về an ninh, lại có thể nắm rõ lịch trình cũng như thông tin của nhiều đối tượng.
  • Nhân viên tạp vụ: dễ dàng tiếp cận được thông tin và thiết bị quan trọng.
  • Nhân viên văn phòng: quản lý các thông tin của bộ phận, có quyền truy cập vào hệ thống công ty.
  • Quản lý/ Giám đốc cấp cao: nắm nhiều thông tin quan trọng, có thể nắm được thông tin mật thiết tới tài chính của công ty.
  • Người dùng: giải quyết, xử lý thông tin hàng ngày.

Các đối tượng khai thác đều sẽ thuộc một phần dưới đây của chiến thuật SE: 

Các loại tấn công social engineering phổ biến

Để chống lại các tội phạm Social Engineering, bạn cần xác định được các phương thức chúng thường sử dụng là gì? Chúng có thể tấn công bằng việc giao tiếp trực tiếp với con người hoặc giao tiếp gián tiếp với con người thông qua các thiết bị kỹ thuật, điện tử. Càng ngày chúng càng sử dụng mánh khóe tinh vi hơn. Sau đây là một vài phương thức phổ biến mà bạn nên nắm được: 

1. Phishing

Phishing là hình thức Social Engineering phổ biến nhất mà kẻ tấn công tạo ra các email/ trang web mạo danh các công ty, tổ chức (ngân hàng, bộ công thương,..)/ trang mạng xã hội nổi tiếng (Facebook, Twitter,…) hoặc ứng dụng để người dùng nhập thông tin cần thiết, thực hiện các lệnh chuyển tiền….

2. Baiting

Đây là hình thức tấn công phi kỹ thuật thường xảy ra giữa những người có mối liên hệ xã hội, người quen. Khi có được sự tín nhiệm của nạn nhân, kẻ tấn công tiến hành gửi/ mượn usb hoặc các thiết bị công nghệ có chứa mã độc khiến người dùng sử dụng thiết bị đó để đăng nhập vào hệ thống công ty

Các phương thức Social Engineering phổ biến- theo DarkReading

3. Vishing

Vishing là hình thức lừa đảo mạo danh thông qua điện thoại. Trong hình thức này, kẻ tấn công gọi điện cho con mồi, đóng giả làm một thực thể uy tín để chiếm đoạt lòng tin. Bằng cách đó, người bị lừa sẽ không mảy may nghi ngờ và cung cấp cho chúng các thông tin nhạy cảm như số tài khoản ngân hàng, mật khẩu quan trọng…

4. Piggybacking

Piggybacking là hình thức Social Engineering mà kẻ tấn công lừa người có thẩm quyền để đột nhập vào công ty. Trong hình thức này, kẻ tấn công đóng giả là nhân viên chính thức/ người thân/ thợ sửa chữa/ người có thẩm quyền, yêu cầu thông tin quan trọng hoặc các thông tin cần thiết để xâm nhập hệ thống, gắn các thiết bị theo dõi hoặc trực tiếp tấn công hệ thống/ chiếm đoạt tài sản. 

5. Nghe trộm/ camera ẩn

Trong một vài trường hợp, kẻ xấu có thể nghe trộm cuộc gọi, cuộc sống sinh hoạt hàng ngày bằng cách cài trộm các thiết bị tinh vi như camera hay micro ẩn vào đối tượng bị theo dõi.

6. Theo dõi rác thải hàng ngày

Đây là hình thức mà các nhân viên mật vụ sử dụng để tìm các thông tin, dấu vết về một đối tượng. Họ thường lục thùng rác để tìm kiếm thông tin, thói quen,…

7. Pop-up window

Với hình thức này, hacker tạo ra các cửa sổ Pop-up hiện lên máy tính lừa người dùng bấm vào link, đổi hướng trang web, yêu cầu người dùng nhập thông tin cá nhân hoặc tải phần mềm chứa mã độc.

IV. Các rủi ro thường gặp khi bị tấn công phi kỹ thuật

Khi bị Social Engineering tấn công, bạn có thể gặp phải một số hậu quả khá nghiêm trọng như:

Mất dữ liệu

Các thông tin về hợp đồng kinh tế, hợp đồng vay vốn, chiến lược kinh doanh, marketing, thậm chí là bảng lương… đều là những thông tin hết sức nhạy cảm và có thể ảnh hưởng đến toàn bộ công ty. Đơn giản hơn,, các dữ liệu về công việc bạn mất bao nhiêu công sức để soạn có thể bị lấy cắp và xóa hết…

Mất niềm tin xã hội

Khi bị tấn công phi kỹ thuật, thông tin nội bộ của một tổ chức bị lộ ra ngoài có thể gây hoang mang dư luận. Doanh nghiệp (ngân hàng, bảo hiểm,…) nắm các thông tin cá nhân quan trọng của khách hàng, khi doanh nghiệp bị tấn công có thể dẫn đến thông tin cá nhân khách hàng bị lộ, khách hàng sẽ không con niềm tin đối với doanh nghiệp. Hoặc bạn là một cá nhân, bạn có thể bị lộ những hình ảnh nhạy cảm, riêng tư, gây mất hình tượng,..

Mất quyền riêng tư

Bị lấy thông tin các nhân như địa chỉ, số điện thoại, thói quen sinh hoạt,… dẫn tới nhiều hệ lụy phiền toái. Nhiều người phàn nàn vì họ liên tục nhận được các cuộc gọi điện thoại “mời chào” cho vay tín dụng, bảo hiểm,… Thậm chí một vài người bị theo dõi và tấn công.

Thất thoát tài chính

Theo IBM, vi phạm gây ra bởi các trục trặc hệ thống và do lỗi của con người khiến các doanh nghiệp thiệt hại lần lượt là 3,5 triệu USD và 3,24 triệu USD.Bên cạnh đó, các tài khoản ngân hàng còn có thể bị rút tiền trực tiếp,…. Các đơn hàng/ tiền có thể bị cố tình gửi nhầm sang địa chỉ mà tội phạm mạng xác định từ trước.

Hoạt động kinh doanh bị ảnh hưởng

Nếu bị tấn công mạnh vào máy chủ website hoặc máy chủ hệ thống mạng, hệ thống rất có thể bị đánh sập. Vì thế mà website của công ty, tổ chức có thể bị treo (tạm ngừng hoạt động dịch vụ). Hiện nay các hệ thống y tế hiện đại cập nhập dữ liệu trên mạng internet, có thể bị tấn công khiến cho hồ sơ sức khỏe của hàng triệu bệnh nhân có thể bị mất hoặc sai sót, khiến cho quá trình điều trị có thể bị ảnh hưởng…

V. Cách thức phòng chống tấn công Social Engineering

Chính vì sự đa dạng về phương thức, đối tượng, nạn nhân nên tất cả mọi người đều cần phải cảnh giác với tội phạm Social Engineering, đặc biệt là các cá nhân, tổ chức nắm giữ khối lượng tài chính, thông tin lớn. Dưới đây là một vài lời khuyên của các chuyên gia công nghệ về các cách nâng cao bảo mật:

Các biện pháp dành cho cá nhân

  • Cập nhập trang bị các thông tin cần thiết về an ninh.
  • Luôn xác nhận liên lạc với người thân, tránh trao đổi thông tin/ tài sản với người lạ.
  • Tránh sử dụng nhiều tài khoản cùng một mật khẩu. 
  • Hạn chế đăng thông tin/ đặc điểm nhận dạng/ lịch trình/ sinh hoạt cá nhân lên mạng xã hội.
  • Nên sử dụng tách biệt các tài khoản cá nhân và công việc riêng biệt.
  • Giữ bình tĩnh và kéo dài thời gian đề phòng kẻ xấu đánh vào tâm lý làm trước khi nghĩ để lừa đảo. 
  • Không sử dụng các ứng dụng đòi quyền truy cập cá nhân và không rõ nguồn gốc.
  • Tránh sử dụng một mật khẩu cho nhiều tài khoản.
  • Nói không với mọi email yêu cầu xác minh tài chính, mật khẩu,..

Các biện pháp kỹ thuật

  • Trang bị camera an ninh.
  • Cập nhập hệ thống quản lý nghiêm ngặt.
  • Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài khoản mạng xã hội, website, hệ thống.
  • Hệ thống đăng nhập nhiều lớp.
  • Cập nhật trình duyệt web mới nhất, tránh sử dụng plug-in hoặc add-on không cần thiết.
  • Sử dụng phần mềm chặn pop-up (quảng cáo tự động).
  • Phần mềm diệt virus uy tín, nếu các doanh nghiệp hoặc tổ chức có thông tin bảo mật nên dùng các phần mềm trả phí.
  • Cảnh báo trang web nguy hiểm.
  • Câp nhập tự động để vá các lỗ hổng an ninh.
  • Duyệt web chế độ ẩn danh.
  • Thường xuyên cập nhập tin tức công nghệ, bảo mật…
  • Đặt bộ lọc Spam ở mức cao nhất (đối với email).

Trên đây, CyStack đã cung cấp cho bạn những kiến thức sơ bộ về Social Engineering. Cuộc sống càng phát triển lại càng nảy sinh nhiều hình thức và tội phạm lừa đảo, tin tặc tinh vi. Trang bị kiến thức và kỹ năng để phòng tránh và bảo vệ mình là một điều hết sức cần thiết.

CyStack blog

Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.