Tìm hiểu về Social Engineering

Social Engineering là gì?

Social Enginering là một trong những hình thức tấn công mạng phổ biến khác biệt là nó nhắm mục tiêu đánh vào tâm lý của mục tiêu . Mục đích là để đạt được sự tin tưởng của các mục tiêu, vì vậy các nạn nhân mất cảnh giác và sau đó khuyến khích nạn nhân thực hiện các hành động không an toàn như tiết lộ thông tin cá nhân hoặc nhấp vào liên kết web hoặc mở tệp đính kèm độc hại.

Trong một cuộc tấn công Social Engineering , hacker sẽ đánh lừa nạn nhân bằng cách nói rằng họ đến từ một tổ chức đáng tin cậy. Trong một số trường hợp, hacker thậm chí sẽ đóng giả một người mà nạn nhân biết.

Nếu hành vi đánh lừa có hiệu quả (nạn nhân tin rằng kẻ tấn công là người mà họ nói), hacker sẽ khuyến khích nạn nhân thực hiện thêm hành động. Điều này có thể cung cấp thông tin nhạy cảm như mật khẩu, ngày sinh, chi tiết tài khoản ngân hàng hoặc yêu cầu chuyển tiền.

Hoặc họ có thể khuyến khích nạn nhân truy cập trang web có cài đặt phần mềm độc hại có thể gây gián đoạn máy tính của nạn nhân. Trong trường hợp xấu hơn, bạn sẽ bị chiếm quyền điều khiển thiết bị dẫn đến nguy cơ mất dữ liệu và mất tiền rất là cao.

Tại sao Social Engineering thường rất nguy hiểm?

Một trong những mối nguy hiểm lớn nhất của Social Engineering là cuộc tấn công không nhất thiết phải tấn công tất cả cá nhân trong một tổ chức: Một nạn nhân bị lừa thành công có thể cung cấp đủ thông tin để kích hoạt một cuộc tấn công có thể ảnh hưởng đến toàn bộ tổ chức mà hacker nhắm tới.

Theo thời gian, các cuộc tấn công Social Engineering ngày càng phát triển tinh vi. Không chỉ các trang web hoặc email giả mạo với giao diện “uy tín” để đánh lừa nạn nhân tiết lộ dữ liệu có thể được sử dụng để đánh cắp danh tính, Social Engineering còn trở thành một trong những cách phổ biến nhất để những hacker làm gián đoạn hệ thống phòng thủ ban đầu của một tổ chức.

Các dạng tấn công Social Engineering

Phising

Phishing là loại tấn công Social Engineering phổ biến nhất. Chúng thường có dạng một email trông như thể nó đến từ một nguồn hợp pháp. Đôi khi những kẻ tấn công sẽ cố gắng ép nạn nhân cung cấp thông tin thẻ tín dụng hoặc dữ liệu cá nhân khác. Vào những trường hợp khác, email lừa đảo được gửi để lấy thông tin đăng nhập của nhân viên hoặc các thông tin khác để sử dụng trong một cuộc tấn công nâng cao chống lại công ty của họ.

Trong thời gian gần đây, những kẻ tấn công đã lợi dụng sự phát triển của phần mềm như một dịch vụ (SaaS), chẳng hạn như Microsoft 365. Các chiến dịch lừa đảo này thường dưới dạng một email giả mạo là của Microsoft. Email chứa yêu cầu người dùng đăng nhập và đặt lại mật khẩu của họ vì họ không đăng nhập gần đây hoặc email có nội dung cho rằng có sự cố với tài khoản mà họ cần lưu ý. Đường dẫn URL thu hút người dùng nhấp vào và khắc phục sự cố bằng cách điền các thông tin vào form.

Physical Social Engineering

Khi nói về an ninh mạng, chúng ta cũng cần nói đến các khía cạnh vật lý của việc bảo vệ dữ liệu và tài sản. Một số người nhất định trong tổ chức của bạn – chẳng hạn như nhân viên bộ phận hỗ trợ, lễ tân và những người thường xuyên đi công tác hay du lịch – có nhiều nguy cơ hơn từ các cuộc tấn công kỹ thuật xã hội vật lý, xảy ra trực tiếp.

Tổ chức của bạn phải có các biện pháp kiểm soát bảo mật vật lý hiệu quả như nhật ký khách truy cập,và kiểm tra lý lịch. Nhân viên ở các vị trí có nguy cơ bị tấn công Social Engineering cao hơn có thể được hưởng lợi từ việc đào tạo chuyên biệt từ các cuộc tấn công kỹ thuật xã hội vật lý.

USB Baiting

USB Baiting nghe có vẻ hơi phi thực tế, nhưng nó xảy ra thường xuyên hơn bạn nghĩ. Về cơ bản những gì sẽ xảy ra là tội phạm mạng cài đặt phần mềm độc hại vào USB và để chúng ở những nơi chiến lược, hy vọng rằng ai đó sẽ nhặt USB lên và cắm nó vào môi trường công ty, do đó vô tình phát tán mã độc vào tổ chức của mục tiêu.