Social Engineering hay còn gọi là tấn công phi kỹ thuật là một hình thức tấn công khá phổ biến trong lĩnh vực an ninh mạng. Tuy nhiên, một số cá nhân và doanh nghiệp chưa có kiến thức và thông tin về hình thức tấn công này. Do đó, cá nhân và doanh nghiệp có nguy cơ bị đánh cắp dữ liệu từ hacker bởi  hình thức tấn công này. Để giúp các bạn hiểu rõ hơn về hình thức tấn công Social Engineering thì các bạn hãy cùng Athena tìm hiểu chi tiết về hình thức tấn công này nhé.

Để các bạn hiểu rõ hơn tôi sẽ chia ra các phần:

• Social Engineering là gì ?
• Tại sao Social Enginering lại nguy hiểm ?
• Các dạng tấn công Social Engineering phổ biến ?
• Làm thế nào để bảo vệ cá nhân và tổ chức tránh khỏi Social Engineering ?

1. SOCIAL ENGINEERING LÀ GÌ ?

Nếu hành vi đánh lừa có hiệu quả (nạn nhân tin rằng kẻ tấn công là người mà họ nói), hacker sẽ khuyến khích nạn nhân thực hiện thêm hành động. Điều này có thể cung cấp thông tin nhạy cảm như mật khẩu, ngày sinh, chi tiết tài khoản ngân hàng hoặc yêu cầu chuyển tiền.

Hoặc họ có thể khuyến khích nạn nhân truy cập trang web có cài đặt phần mềm độc hại có thể gây gián đoạn máy tính của nạn nhân. Trong trường hợp xấu hơn, bạn sẽ bị chiếm quyền điều khiển thiết bị dẫn đến nguy cơ mất dữ liệu  và mất tiền rất là cao.

2. TẠI SAO SOCIAL ENGINEERING LẠI NGUY HIỂM ĐẾN NHƯ VẬY ?

Một trong những mối nguy hiểm lớn nhất của Social Engineering là cuộc tấn công không nhất thiết phải tấn công tất cả cá nhân trong một tổ chức: Một nạn nhân bị lừa thành công có thể cung cấp đủ thông tin để kích hoạt một cuộc tấn công có thể ảnh hưởng đến toàn bộ tổ chức mà hacker nhắm tới.

Theo thời gian, các cuộc tấn công Social Engineering ngày càng phát triển tinh vi. Không chỉ các trang web hoặc email giả mạo với giao diện “uy tín” để đánh lừa nạn nhân tiết lộ dữ liệu có thể được sử dụng để đánh cắp danh tính, Social Engineering còn trở thành một trong những cách phổ biến nhất để những hacker làm gián đoạn hệ thống phòng thủ ban đầu của một tổ chức.

3. CÁC DẠNG TẤN CÔNG SOCIAL ENGINEERING PHỔ BIẾN

Kỹ thuật tấn công Social Engineering  có rất nhiều dạng tấn công. Dưới đây là 5 dạng tấn công Social Engineering phổ biến:

3.1. PHISHING

Phishing là loại tấn công Social Engineering phổ biến nhất. Chúng thường có dạng một email trông như thể nó đến từ một nguồn hợp pháp. Đôi khi những kẻ tấn công sẽ cố gắng ép nạn nhân cung cấp thông tin thẻ tín dụng hoặc dữ liệu cá nhân khác. Vào những trường hợp khác, email lừa đảo được gửi để lấy thông tin đăng nhập của nhân viên hoặc các thông tin khác để sử dụng trong một cuộc tấn công nâng cao chống lại công ty của họ.

Nếu bạn chưa biết Phishing là gì thì hãy tham khảo qua bài viết này https://athena.edu.vn/tan-cong-phishing-la-gi/

Các ví dụ khác về lừa đảo mà bạn có thể gặp là lừa đảo trực tuyến, nhắm mục tiêu vào các cá nhân cụ thể thay vì một nhóm người và săn cá voi, nhắm mục tiêu vào các giám đốc điều hành cấp cao.

Trong thời gian gần đây, những kẻ tấn công đã lợi dụng sự phát triển của phần mềm như một dịch vụ (SaaS), chẳng hạn như Microsoft 365. Các chiến dịch lừa đảo này thường dưới dạng một email giả mạo là của Microsoft. Email chứa yêu cầu người dùng đăng nhập và đặt lại mật khẩu của họ vì họ không đăng nhập gần đây hoặc email có nội dung cho rằng có sự cố với tài khoản mà họ cần lưu ý. Đường dẫn URL thu hút người dùng nhấp vào và khắc phục sự cố bằng cách điền các thông tin vào form.

3.2. Watering hole attacks

Watering Hole Attacks  thường liên quan tới các cuộc tấn công có chủ đích vào các cơ quan, tổ chức, doanh nghiệp. Thông qua việc lừa người dùng truy cập vào các website chứa mã độc.

Hacker thường nhắm đến các website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng của chúng để lừa người và cố gắng chèn các mã khai thác liên quan đến các lỗ hổng trình duyệt vào website.

Bất cứ khi nào người dùng truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng. Và chúng có khả năng thực hiện các cuộc tấn công tiếp theo khi dữ liệu hoặc thiết bị của cá nhân đó đã bị xâm phạm.

3.3. Business email compromise attacks

Business Email Compromise Attacks (BEC) là một hình thức lừa đảo qua email trong đó hacker giả dạng giám đốc điều hành và cố gắng lừa người nhận thực hiện chức năng kinh doanh của họ, vì một mục đích bất hợp pháp, chẳng hạn như chuyển tiền cho họ. Đôi khi hacker còn đi xa hơn khi gọi điện cho cá nhân và mạo danh giám đốc điều hành.

3.4. Physical Social Engineering

Khi nói về an ninh mạng, chúng ta cũng cần nói đến các khía cạnh vật lý của việc bảo vệ dữ liệu và tài sản. Một số người nhất định trong tổ chức của bạn – chẳng hạn như nhân viên bộ phận hỗ trợ, lễ tân và những người thường xuyên đi công tác hay du lịch – có nhiều nguy cơ hơn từ các cuộc tấn công kỹ thuật xã hội vật lý, xảy ra trực tiếp.

Tổ chức của bạn phải có các biện pháp kiểm soát bảo mật vật lý hiệu quả như nhật ký khách truy cập,và kiểm tra lý lịch. Nhân viên ở các vị trí có nguy cơ bị tấn công Social Engineering cao hơn có thể được hưởng lợi từ việc đào tạo chuyên biệt từ các cuộc tấn công kỹ thuật xã hội vật lý.

3.5. USB BAITING

USB Baiting nghe có vẻ hơi phi thực tế, nhưng nó xảy ra thường xuyên hơn bạn nghĩ. Về cơ bản những gì sẽ xảy ra là tội phạm mạng cài đặt phần mềm độc hại vào USB và để chúng ở những nơi chiến lược, hy vọng rằng ai đó sẽ nhặt USB lên và cắm nó vào môi trường công ty, do đó vô tình phát tán mã độc vào tổ chức của mục tiêu.

4. LÀM THẾ NÀO ĐỂ BẢO VỆ CÁ NHÂN TỔ CHỨC TRÁNH KHỎI SOCIAL ENGINEERING ?

Các công ty, tổ chức đào tạo nhận thức cho nhân viên của mình về cuộc tấn công Social Engineering được thực hiện như thế nào để nâng cao kiến thức bảo mật mạng cho nhân viên.

Việc đào tạo nhất quán phù hợp với tổ chức của bạn rất được khuyến khích. Điều này nên bao gồm các minh chứng về các cách thức mà hacker có thể cố gắng để đánh cắp dữ liệu từ nhân viên của bạn.

Ví dụ: Bạn có thể mô phỏng một tình huống trong đó hacker đóng vai một nhân viên ngân hàng yêu cầu mục tiêu xác minh thông tin tài khoản của họ. Một tình huống khác có thể là một người quản lý cấp cao (có địa chỉ email đã bị giả mạo hoặc sao chép) yêu cầu mục tiêu gửi một khoản thanh toán đến một tài khoản nhất định.

Đào tạo kiến thức giúp dạy cho nhân viên cách phòng thủ trước các cuộc tấn công như vậy và hiểu tại sao vai trò của họ rất quan trọng trong việc bảo mật thông tin của các tổ chức. Nếu doanh nghiệp của bạn chưa có kiến thức hay kỹ năng về bảo mật mạng thì có thể tham gia các khóa học bảo mật tại Athena.

Các tổ chức cũng nên thiết lập một bộ chính sách bảo mật rõ ràng để giúp nhân viên đưa ra quyết định tốt nhất để tránh khỏi các cuộc tấn công đặc biệt là tấn công Social Engineering. Ví dụ về các chính sách yêu cầu bảo mật bao gồm:

• Quản lý mật khẩu: Các nguyên tắc như số lượng và loại ký tự mà mỗi mật khẩu phải có, tần suất phải thay đổi mật khẩu và thậm chí một quy tắc đơn giản là nhân viên không được tiết lộ mật khẩu cho bất kỳ ai – bất kể vị trí của họ – sẽ giúp bảo mật thông tin tài sản.
• Xác thực đa yếu tố: Xác thực cho các dịch vụ mạng rủi ro cao như nhóm modem và VPN nên sử dụng xác thực đa yếu tố thay vì mật khẩu cố định.
• Bảo mật email với hệ thống phòng thủ chống lừa đảo: Nhiều lớp bảo vệ email có thể giảm thiểu nguy cơ lừa đảo và các cuộc tấn công Social Engineering. Một số công cụ bảo mật email được tích hợp sẵn các biện pháp chống lừa đảo.

TÓM LẠI

Qua bài viết trên Athena đã giúp bạn hiểu rõ được hình thức tấn công Social Engineering và cách phòng chống để tránh khỏi các cuộc tấn công. Nếu bên phía bạn cần đào tạo hay tư vấn về bảo mật mạng, an ninh mạng hãy liên hệ với chúng tôi qua hotline 094 320 00 88 – 094 323 00 99 hoặc Zalo zalo.me/athena2004. Chúng tôi sẽ hỗ trợ bạn.