Trang chủ » Tin tức bảo mật thông tin » SOCIAL ENGINEERING LÀ GÌ ? 5 DẠNG TẤN CÔNG SOCIAL ENGINEERING
Social Engineering hay còn gọi là tấn công phi kỹ thuật là một hình thức tấn công khá phổ biến trong lĩnh vực an ninh mạng. Tuy nhiên, một số cá nhân và doanh nghiệp chưa có kiến thức và thông tin về hình thức tấn công này. Do đó, cá nhân và doanh nghiệp có nguy cơ bị đánh cắp dữ liệu từ hacker bởi hình thức tấn công này. Để giúp các bạn hiểu rõ hơn về hình thức tấn công Social Engineering thì các bạn hãy cùng Athena tìm hiểu chi tiết về hình thức tấn công này nhé.
Để các bạn hiểu rõ hơn tôi sẽ chia ra các phần:
Table of Contents
1. SOCIAL ENGINEERING LÀ GÌ ?
Social Enginering là một trong những hình thức tấn công mạng phổ biến khác biệt là nó nhắm mục tiêu đánh vào tâm lý của mục tiêu. Mục đích là để đạt được sự tin tưởng của các mục tiêu, vì vậy các nạn nhân mất cảnh giác và sau đó khuyến khích nạn nhân thực hiện các hành động không an toàn như tiết lộ thông tin cá nhân hoặc nhấp vào liên kết web hoặc mở tệp đính kèm độc hại.
Trong một cuộc tấn công Social Engineering, hacker sẽ đánh lừa nạn nhân bằng cách nói rằng họ đến từ một tổ chức đáng tin cậy. Trong một số trường hợp, hacker thậm chí sẽ đóng giả một người mà nạn nhân biết.
Hacker giả dạng người quen để lừa đảo chuyển khoản
Nếu hành vi đánh lừa có hiệu quả (nạn nhân tin rằng kẻ tấn công là người mà họ nói), hacker sẽ khuyến khích nạn nhân thực hiện thêm hành động. Điều này có thể cung cấp thông tin nhạy cảm như mật khẩu, ngày sinh, chi tiết tài khoản ngân hàng hoặc yêu cầu chuyển tiền.
Hoặc họ có thể khuyến khích nạn nhân truy vấn website có thiết lập ứng dụng ô nhiễm có thể gây gián đoạn máy tính của nạn nhân. Trong trường hợp xấu hơn, bạn sẽ bị chiếm quyền điều khiển và tinh chỉnh thiết bị dẫn đến rủi ro tiềm ẩn mất tài liệu và mất tiền rất là cao .
2. TẠI SAO SOCIAL ENGINEERING LẠI NGUY HIỂM ĐẾN NHƯ VẬY ?
Một trong những mối nguy hiểm lớn nhất của Social Engineering là cuộc tấn công không nhất thiết phải tấn công tất cả cá nhân trong một tổ chức: Một nạn nhân bị lừa thành công có thể cung cấp đủ thông tin để kích hoạt một cuộc tấn công có thể ảnh hưởng đến toàn bộ tổ chức mà hacker nhắm tới.
Theo thời gian, các cuộc tấn công Social Engineering ngày càng phát triển tinh vi. Không chỉ các trang web hoặc email giả mạo với giao diện “uy tín” để đánh lừa nạn nhân tiết lộ dữ liệu có thể được sử dụng để đánh cắp danh tính, Social Engineering còn trở thành một trong những cách phổ biến nhất để những hacker làm gián đoạn hệ thống phòng thủ ban đầu của một tổ chức.
3. CÁC DẠNG TẤN CÔNG SOCIAL ENGINEERING PHỔ BIẾN
Kỹ thuật tấn công Social Engineering có rất nhiều dạng tấn công. Dưới đây là 5 dạng tấn công Social Engineering phổ biến:
3.1. PHISHING
Phishing là loại tấn công Social Engineering phổ biến nhất. Chúng thường có dạng một email trông như thể nó đến từ một nguồn hợp pháp. Đôi khi những kẻ tấn công sẽ cố gắng ép nạn nhân cung cấp thông tin thẻ tín dụng hoặc dữ liệu cá nhân khác. Vào những trường hợp khác, email lừa đảo được gửi để lấy thông tin đăng nhập của nhân viên hoặc các thông tin khác để sử dụng trong một cuộc tấn công nâng cao chống lại công ty của họ.
Nếu bạn chưa biết Phishing là gì thì hãy tham khảo qua bài viết này https://wikifin.net/tan-cong-phishing-la-gi/
Các ví dụ khác về lừa đảo mà bạn có thể gặp là lừa đảo trực tuyến, nhắm tiềm năng vào các cá thể đơn cử thay vì một nhóm người và săn cá voi, nhắm tiềm năng vào các giám đốc điều hành quản lý cấp cao .
Trong thời gian gần đây, những kẻ tấn công đã lợi dụng sự phát triển của phần mềm như một dịch vụ (SaaS), chẳng hạn như Microsoft 365. Các chiến dịch lừa đảo này thường dưới dạng một email giả mạo là của Microsoft. Email chứa yêu cầu người dùng đăng nhập và đặt lại mật khẩu của họ vì họ không đăng nhập gần đây hoặc email có nội dung cho rằng có sự cố với tài khoản mà họ cần lưu ý. Đường dẫn URL thu hút người dùng nhấp vào và khắc phục sự cố bằng cách điền các thông tin vào form.
Mail giả mạo Office 365 sử dụng cho Phishing Attack
3.2. Watering hole attacks
Watering Hole Attacks thường tương quan tới các cuộc tấn công có chủ đích vào các cơ quan, tổ chức triển khai, doanh nghiệp. Thông qua việc lừa người dùng truy vấn vào các website chứa mã độc .
tin tặc thường nhắm đến các website có nhiều người truy vấn, các website đen hoặc tạo ra các website riêng của chúng để lừa người và cố gắng nỗ lực chèn các mã khai thác tương quan đến các lỗ hổng trình duyệt vào website .
Quy trình Watering hole attacks
Bất cứ khi nào người dùng truy vấn vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng. Và chúng có năng lực triển khai các cuộc tấn công tiếp theo khi tài liệu hoặc thiết bị của cá thể đó đã bị xâm phạm .
3.3. Business email compromise attacks
Business Email Compromise Attacks ( BEC ) là một hình thức lừa đảo qua email trong đó hacker giả dạng giám đốc quản lý và cố gắng nỗ lực lừa người nhận triển khai tính năng kinh doanh thương mại của họ, vì một mục tiêu phạm pháp, ví dụ điển hình như chuyển tiền cho họ. Đôi khi hacker còn đi xa hơn khi gọi điện cho cá thể và mạo danh giám đốc quản lý .
3.4. Physical Social Engineering
Khi nói về bảo mật an ninh mạng, tất cả chúng ta cũng cần nói đến các góc nhìn vật lý của việc bảo vệ tài liệu và gia tài. Một số người nhất định trong tổ chức triển khai của bạn – ví dụ điển hình như nhân viên cấp dưới bộ phận tương hỗ, lễ tân và những người tiếp tục đi công tác làm việc hay du lịch – có nhiều rủi ro tiềm ẩn hơn từ các cuộc tấn công kỹ thuật xã hội vật lý, xảy ra trực tiếp .
Tổ chức của bạn phải có các giải pháp trấn áp bảo mật thông tin vật lý hiệu suất cao như nhật ký khách truy vấn, và kiểm tra lý lịch. Nhân viên ở các vị trí có rủi ro tiềm ẩn bị tấn công Social Engineering cao hơn có thể được hưởng lợi từ việc giảng dạy chuyên biệt từ các cuộc tấn công kỹ thuật xã hội vật lý .
3.5. USB BAITING
USB Baiting nghe có vẻ như hơi phi thực tiễn, nhưng nó xảy ra liên tục hơn bạn nghĩ. Về cơ bản những gì sẽ xảy ra là tội phạm mạng setup ứng dụng ô nhiễm vào USB và để chúng ở những nơi kế hoạch, kỳ vọng rằng ai đó sẽ nhặt USB lên và cắm nó vào môi trường tự nhiên công ty, do đó vô tình phát tán mã độc vào tổ chức triển khai của tiềm năng .
Mối nguy hiểm từ việc sử dụng USB cá nhân cũng ảnh hưởng rất lớn đến bảo mật
4. LÀM THẾ NÀO ĐỂ BẢO VỆ CÁ NHÂN TỔ CHỨC TRÁNH KHỎI SOCIAL ENGINEERING ?
Các công ty, tổ chức triển khai giảng dạy nhận thức cho nhân viên cấp dưới của mình về cuộc tấn công Social Engineering được thực thi như thế nào để nâng cao kỹ năng và kiến thức bảo mật thông tin mạng cho nhân viên cấp dưới .
Việc đào tạo và giảng dạy đồng điệu tương thích với tổ chức triển khai của bạn rất được khuyến khích. Điều này nên bao gồm các dẫn chứng về các phương pháp mà hacker có thể cố gắng nỗ lực để đánh cắp tài liệu từ nhân viên cấp dưới của bạn .
Ví dụ: Bạn có thể mô phỏng một tình huống trong đó hacker đóng vai một nhân viên ngân hàng yêu cầu mục tiêu xác minh thông tin tài khoản của họ. Một tình huống khác có thể là một người quản lý cấp cao (có địa chỉ email đã bị giả mạo hoặc sao chép) yêu cầu mục tiêu gửi một khoản thanh toán đến một tài khoản nhất định.
Đào tạo kiến thức giúp dạy cho nhân viên cách phòng thủ trước các cuộc tấn công như vậy và hiểu tại sao vai trò của họ rất quan trọng trong việc bảo mật thông tin của các tổ chức. Nếu doanh nghiệp của bạn chưa có kiến thức hay kỹ năng về bảo mật mạng thì có thể tham gia các khóa học bảo mật tại Athena.
Các tổ chức cũng nên thiết lập một bộ chính sách bảo mật rõ ràng để giúp nhân viên đưa ra quyết định tốt nhất để tránh khỏi các cuộc tấn công đặc biệt là tấn công Social Engineering. Ví dụ về các chính sách yêu cầu bảo mật bao gồm:
- Quản lý mật khẩu: Các nguyên tắc như số lượng và loại ký tự mà mỗi mật khẩu phải có, tần suất phải thay đổi mật khẩu và thậm chí một quy tắc đơn giản là nhân viên không được tiết lộ mật khẩu cho bất kỳ ai – bất kể vị trí của họ – sẽ giúp bảo mật thông tin tài sản.
- Xác thực đa yếu tố: Xác thực cho các dịch vụ mạng rủi ro cao như nhóm modem và VPN nên sử dụng xác thực đa yếu tố thay vì mật khẩu cố định.
- Bảo mật email với hệ thống phòng thủ chống lừa đảo: Nhiều lớp bảo vệ email có thể giảm thiểu nguy cơ lừa đảo và các cuộc tấn công Social Engineering. Một số công cụ bảo mật email được tích hợp sẵn các biện pháp chống lừa đảo.
TÓM LẠI
Qua bài viết trên Athena đã giúp bạn hiểu rõ được hình thức tấn công Social Engineering và cách phòng chống để tránh khỏi các cuộc tấn công. Nếu bên phía bạn cần đào tạo hay tư vấn về bảo mật mạng, an ninh mạng hãy liên hệ với chúng tôi qua hotline 094 320 00 88 – 094 323 00 99 hoặc Zalo zalo.me/athena2004. Chúng tôi sẽ hỗ trợ bạn.
Source: https://wikifin.net
Category: Blog