Tìm hiểu về Social Engineering: Hình thức tấn công và biện pháp phòng tránh

Minh Ngọc
01:27 - 23/08/2022
Công dân & Khuyến học trên

Social Engineering (tấn công phi kỹ thuật) là thuật ngữ quen thuộc trong lĩnh vực an ninh mạng, mô tả kiểu tấn công phổ biến sử dụng các hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị.

Social Engineering là gì?

Social Engineering là kết hợp giữa 2 từ Social (xã hội) và Engineering (kỹ thuật), thể hiện bản chất của kiểu tấn công này: các mánh khóe, kỹ thuật tấn công nhắm vào bản tính xã hội của con người, thứ không hề tồn tại trong máy móc.

Bằng cách tác động trực tiếp đến tâm lý con người, xây dựng các mối quan hệ có chủ đích, Social Engineering khai thác các thông tin và dùng những thông tin đó vào mục đích riêng (tống tiền, trộm cắp tài sản, đe dọa, phá hủy cá nhân/ tổ chức,…). Social Engineering không trực tiếp sử dụng các phương thức kỹ thuật (phá hủy hệ thống, tin tặc) nhưng có thể sẽ dùng các cách thức tinh vi để dẫn đến tấn công bằng kỹ thuật.

Tìm hiểu về Social Engineering: hình thức tấn công và biện pháp phòng tránh - Ảnh 1.

Social Engineering tác động trực tiếp đến tâm lý con người. Ảnh: NCSC

Các chuyên gia bảo mật đều cho rằng con người chính là điểm yếu nhất của hệ thống bảo mật. Bởi vì con người có nhiều cảm xúc và những cảm xúc đó không thể kiểm soát được như những hệ thống máy móc. Bạn có thể xây dựng một hệ thống phòng thủ kiên cố với rất nhiều hàng rào, khóa cửa, camera an ninh,.. nhưng lại mất đề phòng với một người bạn mới quen hoặc một thợ kỹ thuật sửa chữa đồ gia dụng. Sẽ ra sao nếu như họ chính là tên tội phạm giả mạo? Bạn hoàn toàn không kiểm soát được những rủi ro mà tên tội phạm đó đem tới.

Các tâm lý hành vi được tội phạm Social Engineering khai thác thường là khía cạnh về nghĩa vụ đạo đức, lòng tin, đe dọa, tính tham lam, thiếu hiểu biết, tò mò, tự mãn,…

Các hình thức tấn công Social engineering

Phishing

Phishing là hình thức tấn công Social Engineering phổ biến nhất hiện nay. Theo ghi nhận của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), từ đầu năm 2022 đến nay, có hơn 2.624 các cuộc tấn công Phishing được người dùng cảnh báo qua website của NCSC.

Có nhiều kỹ thuật lừa đảo được sử dụng để thực hiện tấn công phishing. Cụ thể:

Thư rác (spam email): kỹ thuật sử dụng email là công cụ lừa đảo người dùng như nhúng vào email một liên kết chuyển hướng tới một trang web không an toàn; giả mạo địa chỉ người gửi; đính kèm mã độc trong một tập tin của email hoặc quảng cáo để khai thác lỗ hổng trên thiết bị người dùng.

Những email này yêu cầu người dùng cập nhật thông tin về các tài khoản cá nhân của họ, bằng việc chuyển hướng truy cập vào các trang web dường như thuộc về tổ chức hợp pháp và được ủy quyền. Tuy nhiên, thực tế đây là các trang web giả mạo, được tạo ra bởi tin tặc để lấy thông tin nhạy cảm của người dùng.

Đối tượng tấn công thưởng sử dụng địa chỉ email gần giống với email của cơ quan, tổ chức hợp pháp bằng cách bỏ qua hoặc thay đổi một vài ký tự trong địa chỉ email:

- Lời chào: nhóm tấn công mạng thường sử dụng những lời chào chung như “Kính gửi Quý khách hàng” hoặc “Thưa Ông/Bà”, việc thiếu thông tin liên hệ là những dấu hiệu rõ nhất để nhận biết một email lừa đảo. Một cơ quan, tổ chức đáng tin cậy sẽ gọi cá nhân cụ thể bằng tên và cung cấp thông tin liên hệ của họ. 

- Liên kết giả mạo: các email có liên kết và liên kết đính kèm không khớp với nội dung trong email buộc người dùng phải nhấn vào link để cung cấp thông tin có thể là dấu hiệu của một trang web giả mạo. Đối tượng tấn công có thể sử dụng dịch vụ rút ngắn URL hoặc thay đổi ký tự có trong liên kết đó. 

- Chính tả và bố cục: lỗi chính tả, cấu trúc ngữ pháp và định dạng không nhất quán là dấu hiệu khác cho thấy một email lừa đảo. 

- File đính kèm: email chứa file đính kèm yêu cầu người dùng tải xuống và mở file có thể chứa các phần mềm độc hại. Đối tượng tấn công có thể lợi dụng cảm giác hoang mang, lo sợ để thuyết phục người dùng tải xuống file đính kèm mà không cần kiểm tra trước.

Tìm hiểu về Social Engineering: hình thức tấn công và biện pháp phòng tránh - Ảnh 2.

Ví dụ về email lừa đảo. Ảnh: NCSC

Website lừa đảo: đây cũng là một kỹ thuật phổ biến của tấn công Phishing. Hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng cho những trang web này để nhận tiền công. Tuy nhiên, tin tặc thường lợi dụng kẽ hở trong giao dịch này, chuyển hướng người dùng đến một trang web giả mạo để đánh cắp thông tin của người dùng. Một hình thức khác là khiêu khích sự tò mò của người dùng bằng cách chèn vào trang web những quảng cáo có nội dung hấp dẫn để lây nhiễm mã độc

Mạng xã hội: Đây là hình thức lừa đảo mà tin tặc thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội khác. Các tin nhắn này có thể là thông báo trúng thưởng các hiện vật có giá trị như xe máy, ô tô, điện thoại iPhone,… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng. Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sử dụng cho các mục đích xấu như  lừa mượn tiền, mua thẻ cào điện thoại,…

Vishing

Vishing là hình thức tấn công Social Engineering sử dụng giọng nói, kỹ thuật tấn công này có thể kết hợp với các hình thức tấn công Social Engineering khác nhằm đánh lừa nạn nhân gọi đến một số điện thoại đã cung cấp sẵn để tiết lộ thông tin cá nhân. Nhóm tấn công lợi dụng sự tin tưởng của người dùng và lỗ hổng trong tính năng bảo mật của điện thoại để thực hiện các cuộc tấn công. Tấn công Vishing nâng cao có thể thực hiện thông qua các cuộc gọi Internet Protocol (VoIP) cho phép đối tượng tấn công dễ dàng mạo danh người gọi.

Smishing

Smishing là hình thức tấn công Social Engineering thông qua SMS. Tin nhắn văn bản có thể chứa các liên kết như trang web độc hại, địa chỉ, email hoặc số điện thoại. Khi người dùng nhấn vào liên kết có thể tự động mở cửa sổ trình duyệt. Việc kết hợp cuộc gọi, email, sms và website làm tăng khả năng người dùng trở thành nạn nhân của các hoạt động lừa đảo.

Tương tự như thư điện tử giả mạo các tin nhắn lừa đảo cũng gây ra cho người dùng rất nhiều phiền toái. Các đối tượng tấn công sẽ gửi tin nhắn SMS đến người dùng với nhiều nội dung như:

- Thông báo trúng thưởng (ví dụ: Bạn đã trúng thưởng một xe máy SH hãy nhắn tin, gọi tới số 6XXX và truy cập đường link…) hoặc tài khoản ngân hàng gặp sự cố và cần giải quyết trong thời gian ngắn nhất. Đối tượng tấn công có thể sử dụng tên thương hiệu, tên ngân hàng (sms brandname) và gắn kèm liên kết dẫn đến trang web giả mạo, liên kết này có tên gần giống với trang web chính thức của các thương hiệu, ngân hàng. 

- Đối tượng tấn công có thể giả mạo công an gửi tin nhắn truy nã, lệnh bắt giữ để yêu cầu người dùng cung cấp căn cước công dân, số điện thoại,…và thực hiện theo hướng dẫn của chúng. Hãy nhớ các cơ quan chức năng khi liên hệ làm việc sẽ không thông qua tin nhắn, cuộc gọi hay bất kỳ hình thức làm việc online nào.

Tìm hiểu về Social Engineering: hình thức tấn công và biện pháp phòng tránh - Ảnh 3.

Hãy cảnh giác với những tin nhắn lừa đảo. Ảnh: NCSC

Các rủi ro thường gặp khi bị tấn công Social Engineering

Khi trở thành nạn nhân của Social Engineering, bạn có thể gặp phải một số hậu quả khá nghiêm trọng như:

Mất dữ liệu: Nếu doanh nghiệp bị đánh cắp những thông tin quan trọng, nhạy cảm như hợp đồng kinh tế, hợp đồng vay vốn, chiến lược kinh doanh, marketing, thậm chí là bảng lương…,  đều có thể ảnh hưởng đến toàn bộ công ty. Đơn giản hơn, những tài liệu, văn bản, dữ liệu bạn lưu trữ có thể bị lấy cắp và xóa hết...

Mất niềm tin xã hội: Khi bị tấn công phi kỹ thuật, thông tin nội bộ của một tổ chức bị lộ ra ngoài có thể gây hoang mang dư luận. Doanh nghiệp (ngân hàng, bảo hiểm,…) nắm các thông tin cá nhân quan trọng của khách hàng, khi doanh nghiệp bị tấn công có thể dẫn đến thông tin cá nhân khách hàng bị lộ, khách hàng sẽ không con niềm tin đối với doanh nghiệp. Hoặc cá nhân có thể bị lộ những hình ảnh nhạy cảm, bí mật riêng tư,...

Mất quyền riêng tư: Bị lấy thông tin các nhân như địa chỉ, số điện thoại, thói quen sinh hoạt,… dẫn tới nhiều hệ lụy phiền toái. Nhiều người phàn nàn vì họ liên tục nhận được các cuộc gọi điện thoại “mời chào” cho vay tín dụng, bảo hiểm,… Thậm chí một vài người bị theo dõi và tấn công.

Thất thoát tài chính: Vi phạm gây ra bởi các trục trặc hệ thống và do lỗi của con người có thể khiến các doanh nghiệp thiệt hại đến hàng triệu USD. Bên cạnh đó, các tài khoản ngân hàng còn có thể bị rút tiền trực tiếp,…. Các đơn hàng/tiền có thể cố tình bị gửi sang địa chỉ mà tội phạm mạng xác định từ trước.

Hoạt động kinh doanh bị ảnh hưởng: Nếu bị tấn công mạnh vào máy chủ website hoặc máy chủ hệ thống mạng, hệ thống rất có thể bị đánh sập. Vì thế mà website của công ty, tổ chức có thể bị treo (tạm ngừng hoạt động dịch vụ). Hiện nay các hệ thống y tế hiện đại cập nhập dữ liệu trên mạng internet, có thể bị tấn công khiến cho hồ sơ sức khỏe của hàng triệu bệnh nhân có thể bị mất hoặc sai sót, khiến cho quá trình điều trị có thể bị ảnh hưởng…

Biện pháp ngăn chặn Social Engineering

Đối với tổ chức

Các chuyên gia bảo mật khuyến cáo các bộ phận công nghệ thông tin của tổ chức, doanh nghiệp phải thường xuyên tiến hành kiểm tra để tránh các cuộc thâm nhập có sử dụng các kỹ thuật Social Engineering. Điều này sẽ giúp quản trị viên tìm hiểu loại người dùng nào có nguy cơ cao nhất đối với các loại tấn công cụ thể, đồng thời xác định các yêu cầu đào tạo bổ sung cho nhân viên của mình.

Đào tạo nâng cao nhận thức bảo mật cũng có thể hữu ích trong việc ngăn chặn các cuộc tấn công Social Engineering. Nếu mọi người biết những gì hình thành các cuộc tấn công Social Engineering và chúng có khả năng thực hiện những điều gì, thì họ sẽ ít có khả năng trở thành nạn nhân hơn.

Trên quy mô nhỏ hơn, các tổ chức phải có các cổng truy cập email và web an toàn để quét email chứa các liên kết độc hại và lọc chúng ra, nhằm làm giảm khả năng các nhân viên sẽ nhấp vào một trong các liên kết không an toàn đó. Luôn cập nhật các bản sửa lỗi phần mềm trên các thiết bị cũng rất quan trọng, cũng như theo dõi các nhân viên chuyên xử lý các thông tin nhạy cảm và kích hoạt các biện pháp xác thực nâng cao cho họ.

Đối với cá nhân

Trong bối cảnh các cuộc tấn công lừa đảo diễn ra tràn lan, bạn cần có những phương pháp để bảo vệ bản thân mình không trở thành nạn nhân. Hãy ghi nhớ những điều sau để tránh bị lừa đảo:

- Chậm lại: Người gửi spam muốn bạn hành động trước và suy nghĩ sau. Nếu thông điệp truyền tải tạo một cảm giác cấp bách hoặc sử dụng chiến thuật gây áp lực cao thì hãy cảnh giác.

- Nghiên cứu kỹ càng: Nghi ngờ bất kỳ tin nhắn nào bạn nhận được. Nếu email có vẻ là từ một công ty bạn đang sử dụng dịch vụ, hãy tìm hiểu theo cách của riêng bạn. Sử dụng công cụ tìm kiếm để truy cập trang web của công ty hoặc thư mục điện thoại để tìm số điện thoại của họ rồi xác thực thông tin.

- Đừng để một liên kết kiểm soát nơi bạn đến: Giữ quyền kiểm soát bằng cách tự tìm kiếm trang web thông qua việc sử dụng công cụ tìm kiếm để đảm bảo bạn đến đúng trang web mình cần. Di chuột qua các liên kết trong email sẽ hiển thị URL thực tế ở phía dưới, nhưng lưu ý là những giả mạo tinh vi vẫn có thể đánh lừa bạn.

- Việc hack email đang diễn ra tràn lan: Tin tặc, kẻ gửi spam và những kẻ sử dụng Social Engineering chiếm quyền kiểm soát tài khoản email của mọi người (và các tài khoản liên lạc khác) đã trở nên ngày càng nguy hiểm hơn. Khi chúng kiểm soát tài khoản email, chúng sẽ đánh cắp danh bạ của người đó. Ngay cả khi người gửi dường như là người bạn biết, nếu bạn không mong đợi một email có liên kết hoặc file đính kèm, hãy kiểm tra với bạn bè trước khi mở liên kết hoặc tải xuống.

- Các file đính kèm có thể không an toàn: Cẩn thận với việc tải xuống bất kỳ file đính kèm nào trong các email gửi đến.

- Địa chỉ email nước ngoài: Hãy cảnh giác nếu bạn bỗng dưng nhận được email từ công ty xổ số hoặc rút thăm trúng thưởng ở nước ngoài, tiền từ một người họ hàng không xác định hoặc yêu cầu chuyển tiền từ nước ngoài.

Tìm hiểu về Social Engineering: hình thức tấn công và biện pháp phòng tránh - Ảnh 5.

Hãy tỉnh táo để không trở thành nạn nhân của Social Engineering. Ảnh: Cystack

Những lưu ý để phòng tránh các cuộc tấn công Social Engineering:

- Cập nhập trang bị các thông tin cần thiết về an ninh. 

- Luôn xác nhận liên lạc với người thân, tránh trao đổi thông tin/tài sản với người lạ.

- Tránh sử dụng nhiều tài khoản cùng một mật khẩu.

- Hạn chế đăng thông tin/đặc điểm nhận dạng/lịch trình/sinh hoạt cá nhân lên mạng xã hội.

- Nên sử dụng tách biệt các tài khoản cá nhân và công việc riêng biệt.

- Giữ bình tĩnh và kéo dài thời gian đề phòng kẻ xấu đánh vào tâm lý làm trước khi nghĩ để lừa đảo.

- Không sử dụng các ứng dụng đòi quyền truy cập cá nhân và không rõ nguồn gốc.

- Tránh sử dụng một mật khẩu cho nhiều tài khoản. Nói không với mọi email yêu cầu xác minh tài chính, mật khẩu,..

- Bảo mật các thiết bị máy tính: cài đặt phần mềm diệt virus, tường lửa, bộ lọc email và cập nhật các phần mềm này. Đặt hệ điều hành của bạn tự động cập nhật và nếu điện thoại thông minh của bạn không tự động cập nhật, hãy cập nhật thủ công bất cứ khi nào bạn nhận được thông báo yêu cầu cập nhật. Sử dụng một công cụ chống lừa đảo được cung cấp bởi trình duyệt web của bạn hoặc bên thứ ba để cảnh báo bạn về các rủi ro. 

Nguồn: tổng hợp