Ngày nay, sự phát triển của công nghệ Internet ngày càng phát triển khiến cuộc sống của con người trở nên thuận tiện và dễ dàng hơn. Nhưng kéo theo đó là những hình thức lừa đảo công nghệ tinh vi nhằm chiếm đoạt thông tin hoặc tài sản cá nhân. Bài viết dưới đây sẽ chia sẻ về các loại tấn công social engineering phổ biến có thể bao gồm các hình thức sau đây. Các bạn hãy cùng tiếp tục theo dõi để biết thêm về các khuyến nghị và các biện pháp phòng tránh
Khái niệm về Social Engineering
Social Engineering được hiểu như là kỹ thuật lấy cắp thông tin từ một người nào đó nhằm mục đích chiếm đoạt tài sản hoặc phục vụ mục đích không tốt đẹp. Kỹ thuật này dựa trên nền tảng là điểm yếu tâm lý, nhận thức sai lầm của con người về bảo mật thông tin hoặc sử dụng các phương pháp nhằm khai thác các thông tin có lợi cho cuộc tấn công.
Trong Social Engineering, tin tặc chú trọng vào việc tiến hành khai thác các thói quen tự nhiên của người dùng hơn việc khai thác các lỗ hổng bảo mật của hệ thống. Nếu như người dùng không biết bảo mật hay có kiến thức về an toàn thông tin mạng thì đây sẽ là cơ sở để tin tặc tấn công
Các loại tấn công Social engineering phổ biến có thể bao gồm các hình thức
Phishing
Đây được coi là hình thức lừa đảo chủ yếu và hầu hết đa số người đã từng gặp. Tin tặc sẽ giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến, các công ty thẻ tín dụng để lừa đảo người dùng chia sẻ các thông tin tài chính bí mật như: tên đăng nhập, mật khẩu giao dịch và những thông tin nhạy cảm khác,…
Để thực hiện hình thức lừa đảo này, tin tặc có nhiều hình thức tấn công như cài đặt các phần mềm độc hại vào thiết bị của người dùng, các thiết bị nghe lén, nhìn trộm nhỏ bé mà vô cùng tinh vi
Các ký thuật được sử dụng trong hình thức này đó là
Thư rác:
Kỹ thuật sử dụng email này có thể được triển khai dưới dạng gửi một đường link hoặc liên kết độc hại, hướng người dùng tới một trang web không an toàn; hay giả mạo địa chỉ của người gửi và đính kèm mã độc dạng Trojan trong một tập tin của email. Cũng có thể sử dụng quảng cáo để khai thác lỗ hổng trên thiết bị người dùng.
Website lừa đảo:
Ví dụ như hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng để nhận tiền công. Tuy nhiên, tin tặc thường lợi dụng kẽ hở đó để chuyển hướng người dùng tới một trang web giả mạo khác thông qua các tin quảng cáo có mã độc
Lừa đảo qua mạng:
Hình thức này sử dụng các đường dẫn qua tin nhắn, trạng thái facebook hoặc các trang mạng xã hội khác. Nội dung tin nhắn có thể là thông báo trúng thưởng các hiện vật có giá trị như xe SH, ô tô, điện thoại iphone,…lừa người nhận chuyển tiền và nộp lệ phí.
Watering Hole
Đây là phương thức tấn công có chủ đích vào các tổ chức doanh nghiệp thông qua việc lừa các thành viên truy cập vào trang web có mã độc. Những trang web thường được sử dụng để lợi dụng lừa người như các trang web “đen” hoặc tạo ra các trang web riêng để lừa người dùng.
Pretexting
Pretexting là một kỹ thuật tấn công của Social Engineering, theo đó tập trung vào việc tạo ra một lý do hợp lý , hoặc một kịch bản đã được tính toán từ trước để ăn cắp thông tin cá nhân của nạn nhân.
Với Pretexting có thể dùng để giả danh người khác thường là một người có uy tín trong xã hội để lừa gạt và lấy thông tin từ đối tượng cần khai thác. Phần lớn thông qua dịch vụ viễn thông hoặc các tổ chức công ty nào đó.
Baiting và Quid Pro Quo
Kỹ thuật tấn công này đánh vào tâm lý tò mò của con người. Đặc điểm chính là loại tấn công là lời hứa về một mặt hàng hay một sản phẩm cụ thể nào đó mà tin tặc dùng để đánh lừa nạn nhân. Ví dụ như tin tặc sẽ tạo ra một dịch vụ hoặc một lợi ích dựa trên việc thực hiện một hành động cụ thể nào đó sau đó lừa người dùng sử dụng sản phẩm hoặc dịch vụ đó. Trong sản phẩm đó có chứa các phần mềm độc hại.
Biện pháp phòng ngừa Social engineering:
- Cẩn thận và không nên trả lời bất kỳ thư rác hay xác nhận đường link nào về tài khoản cá nhân
- Không click vào các đường link không rõ nguồn gốc
- Cảnh giác với các tin nhắn khuyến mãi, trúng thưởng mà bạn nhận được trên mạng xã hội. Tuyệt đối không nhấp vào các đường dẫn của các trang web lạ và không cung cấp bất cứ thông tin tài khoản cá nhân nào.
Trên đây là một số các loại tấn công social engineering phổ biến có thể bao gồm các hình thức và các biện pháp phòng ngừa. Các bạn hãy chia sẻ bài viết nếu thấy hữu ích nhé! Chúc các bạn luôn đảm bảo an toàn với không gian mạng và các trang web.