Hiểu theo nghĩa rộng của từ, bất kỳ sự thao túng nào được liên kết với tâm lý hành vi cũng có thể được xem là kỹ thuật tấn công phi kỹ thuật (social engineering). Tuy nhiên, khái niệm này không phải lúc nào cũng liên quan đến các hoạt động tội phạm hoặc lừa đảo. Trên thực tế, tấn công phi kỹ thuật đang được sử dụng và nghiên cứu rộng rãi trong nhiều ngữ cảnh, trong các lĩnh vực như khoa học xã hội, tâm lý học và tiếp thị.
Trong lĩnh vực an ninh mạng, tấn công phi kỹ thuật (hay còn gọi là lừa đảo phi kỹ thuật) được thực hiện với các động cơ kín đáo và được sử dụng để nói đến các hoạt động gây hại, thao túng con người thực hiện những hành động sai lầm, chẳng hạn tiết lộ các thông tin cá nhân hoặc thông tin bí mật. Những thông tin này sau đó được sử dụng để tấn công chính những người này hoặc công ty của họ. Gian lận danh tính là một hậu quả thường thấy từ những cuộc tấn công này, và trong nhiều trường hợp dẫn đến những tổn thất tài chính nghiêm trọng.
Cách thức hoạt động?
Tấn công phishing
Các email phishing thường giả mạo là thư được gửi từ một công ty hợp pháp, chẳng hạn từ chuỗi ngân hàng quốc gia, từ một cửa hàng trực tuyến uy tín, hoặc từ nhà cung cấp dịch vụ email. Trong một số trường hợp, những email giả mạo này sẽ cảnh báo người dùng rằng tài khoản của họ cần được cập nhật hoặc có hoạt động bất thường, và yêu cầu họ cung cấp thông tin cá nhân như một cách để xác nhận danh tính và khôi phục tài khoản của họ. Vì sợ hãi, một số người nhanh chóng nhấp vào liên kết và điều hướng đến một trang web giả mạo để cung cấp những thông tin được yêu cầu. Lúc này, thông tin sẽ nằm trong tay tin tặc.
Phần mềm Scareware
Các tấn công phi kỹ thuật cũng được áp dụng để lan truyền phần mềm độc hại có tên gọi Scareware. Như cái tên của nó đã chỉ ra, scareware là một loại phần mềm độc hại được thiết kế để làm cho người dùng sợ hãi và bị bất ngờ. Chúng thường bao gồm việc tạo ra những cảnh báo giả để cố gắng lừa các nạn nhân cài đặt một phần mềm trông có vẻ hợp pháp nhưng thực ra là phần mềm lừa đảo, hoặc lừa họ để truy cập một trang web sẽ làm hệ thống của họ bị nhiễm độc. Kỹ thuật này thường dựa trên sự sợ hãi của người dùng về việc hệ thống của họ bị gây hại. Kẻ tấn công sẽ thuyết phục nạn nhân nhấp vào một banner hoặc thông báo bật lên trên trang web. Thông báo đó thường có nội dung tương tự như: “Hệ thống của bạn bị nhiễm độc, hãy nhấp vào đây để làm sạch nó.”
Baiting (mồi câu)
Baiting là một phương pháp tấn công social engineering khác gây ra vấn đề cho nhiều người dùng không để ý. Phương pháp này sử dụng các mồi câu để dụ dỗ nạn nhân, dựa vào lòng tham hoặc sự tò mò của họ. Ví dụ, kẻ lừa đảo có thể lập một trang web cung cấp thứ gì đó miễn phí chẳng hạn các tệp nhạc, video hoặc sách. Nhưng để truy cập các tệp này, người dùng phải tạo tài khoản và cung cấp thông tin cá nhân của họ. Trong một số trường hợp, không cần có tài khoản vì các tệp bị nhiễm phần mềm độc hại trực tiếp sẽ xâm nhập vào hệ thống máy tính của nạn nhân và thu thập dữ liệu nhạy cảm của họ.
Các âm mưu baiting cũng có thể xảy ra trong thế giới thực qua việc sử dụng thiết bị USB và các ổ cứng ngoài. Kẻ lừa đảo có thể cố tình để lại các thiết bị nhiễm độc ở một nơi công cộng, vì vậy bất kỳ người nào tò mò xem nội dung trong thiết bị đó sẽ khiến máy tính cá nhân của họ bị nhiễm độc.
Tấn công phi kỹ thuật và tiền mã hóa
Cách ngăn chặn các cuộc tấn công social engineering
Như đã đề cập, việc lừa đảo sử dụng kỹ thuật social engineering có hiệu quả vì chúng dựa vào bản chất của con người. Chúng thường sử dụng nỗi sợ hãi như một động cơ, thúc đẩy con người phải hành động ngay lập tức để bảo vệ bản thân (hoặc hệ thống của mình) tránh khỏi một mối đe dọa không có thực. Những cuộc tấn công cũng dựa vào lòng tham của con người, dụ dỗ nạn nhân vào nhiều loại lừa đảo đầu tư. Bởi vậy một điều quan trọng mà bạn cần nhớ, đó là nếu một đề nghị nào đó quá tốt đến mức không thể tin được, có thể đó là một cái bẫy.
Có một số kẻ lừa đảo rất tinh vi, nhưng cũng có những kẻ tấn công mắc những lỗi đáng chú ý. Một số email phishing, và thậm chí các biểu ngữ scareware, thường chứa các lỗi cú pháp hoặc từ sai chính tả, và chúng chỉ có hiệu quả đối với những người không chú ý đến ngữ pháp và chính tả - vì vậy hãy chú ý kiểm tra thật kỹ.
Để tránh trở thành nạn nhân của các cuộc tấn công social engineering, bạn nên xem xét các biện pháp bảo mật sau:
- Tự đào tạo cho bản thân, cho gia đình và bạn bè. Đào tạo họ về các trường hợp tấn công social engineering độc hại thường gặp và thông báo cho họ về các nguyên tắc bảo mật chính.
- Hãy thận trọng với các tệp đính kèm và liên kết email. Tránh nhấp vào quảng cáo và trang web không rõ nguồn gốc;
- Cài đặt một phần mềm chống vi-rút đáng tin cậy và cập nhật các ứng dụng phần mềm và hệ điều hành của bạn;
- Sử dụng các giải pháp xác thực đa yếu tố bất cứ khi nào bạn có thể để bảo vệ thông tin đăng nhập email và dữ liệu cá nhân khác của bạn. Thiết lập xác thực hai yếu tố (2FA) cho tài khoản Binance của bạn.
- Đối với các doanh nghiệp: xem xét việc trang bị cho nhân viên của bạn các kiến thức để xác định và ngăn chặn các cuộc tấn công lừa đảo và các âm mưu tấn công social engineering.
Kết luận
Các tội phạm mạng luôn tìm kiếm các phương pháp mới để đánh lừa người dùng, nhằm đánh cắp tiền và thông tin nhạy cảm của họ, vì vậy một điều rất quan trọng là bạn cần đào tạo cho chính bản thân và những người xung quanh bạn. Mạng Internet là một nơi trú ẩn an toàn cho những loại lừa đảo này và chúng đặc biệt phổ biến trong không gian tiền mã hóa. Hãy thận trọng và cảnh giác để tránh rơi vào bẫy tấn công social engineering.
Hãy đón chờ thêm các nội dung mới và đừng quên xem các bài viết và video khác của chúng tôi tại Học viện Binance!