Social Engineering là gì? Các hình thức tấn công Social Engineering

Social engineering là một trong những phương thức tấn công mạng nguy hiểm, gây ra rất nhiều hậu quả nghiêm trọng cho công tác bảo mật thông tin. Tuy phương thức này đã xuất hiện từ lâu, nhưng vẫn có nhiều công ty, doanh nghiệp và người dùng Internet cá nhân mắc phải do thiếu kiến thức, kinh nghiệm và không phòng bị cẩn thận. Vậy social engineering là gì? Các hình thức tấn công social engineering phổ biến là gì? Bạn hãy cùng Học Viện Công Nghệ Thông Tin tìm hiểu ngay trong bài viết dưới đây nhé.

Social engineering là phương thức tấn công mạng nguy hiểm,

gây ra nhiều thiệt hại cho người dùng Internet (Ảnh: Internet)

Social engineering (hay còn gọi là tấn công phi kỹ thuật) là kiểu tấn công mà các hacker sẽ tác động trực tiếp đến tâm lý của người dùng Internet thông qua những chiêu trò, mánh khóe… từ đó lợi dụng, thuyết phục họ cung cấp thông tin cá nhân, dữ liệu quan trọng hoặc tiến hành cài đặt các phần mềm có chứa mã độc.

Cụ thể, hacker sẽ mạo danh các nhân viên dịch vụ, kỹ thuật viên, công an, nhân viên ngân hàng… thậm chí cả người thân, bạn bè, đồng nghiệp để tạo uy tín rồi đề nghị đối phương làm một hành động nào đó như nhấn vào link website giả mạo, điền số tài khoản ngân hàng, mật khẩu… Khi đã có được những thông tin này, tin tặc có thể sử dụng để tấn công các tổ chức, doanh nghiệp hoặc thực hiện những mưu đồ xấu khác.

Các cuộc tấn công social engineering gây tác động trực tiếp đến tâm lý,

khiến người dùng cung cấp thông tin, dữ liệu… cho hacker (Ảnh: Internet)

Social engineering có thể coi là một trò lừa đảo tinh vi được thực hiện qua Internet. Tỷ lệ thành công của phương thức này rất cao vì nó tấn công trực tiếp vào tâm lý của người dùng, khiến họ mất cảnh giác và làm theo những gì hacker muốn. Các cuộc tấn công phi kỹ thuật cũng có thể dễ dàng thay đổi cách thức thực hiện nên rất khó để ngăn chặn và phát hiện kịp thời.

Hậu quả của những cuộc tấn công này rất nghiêm trọng, có thể kể đến như:

Dữ liệu cá nhân bị đánh cắp

Khi đã xâm nhập vào máy tính hoặc các thiết bị điện tử bằng phương thức social engineering, hacker có thể đánh cắp toàn bộ thông tin cá nhân, bao gồm ngày tháng năm sinh, bảng lương, tài khoản mạng xã hội, mã giao dịch… hoặc xóa đi những dữ liệu quan trọng. Điều này sẽ gây ảnh hưởng không nhỏ đến cuộc sống và công việc của bạn.

Ảnh hưởng đến uy tín, hình ảnh của cá nhân và tổ chức

Tấn công phi kỹ thuật sẽ gây ảnh hưởng lớn đến uy tín và hình ảnh của cá nhân, tổ chức. Đối với các công ty, doanh nghiệp, việc bị lộ thông tin có thể gây hoang mang dư luận, khiến khách hàng mất cảm tình, niềm tin. Còn với những người dùng cá nhân, họ có thể bị lộ những thông tin quan trọng, hình ảnh riêng tư… gây tổn hại đến hình tượng và uy tín.

Hình ảnh, uy tín của người dùng cá nhân và cả các công ty,

tập toàn sẽ bị ảnh hưởng nếu bị tấn công social engineering (Ảnh: Internet)

Mất quyền riêng tư

Hậu quả tiếp theo mà social engineering gây ra là mất quyền riêng tư. Người dùng khi bị mất dữ liệu có thể đối mặt với nhiều hệ lụy như bị gọi điện làm phiền, “mời chào” vay tiền, mua bảo hiểm… Nguy hiểm hơn, các hacker có thể cài đặt những phần mềm theo dõi, nghe lén vào máy tính mà bạn không hề hay biết.

Thiệt hại về tài chính và hoạt động kinh doanh

Nếu các hacker tấn công vào website hoặc máy chủ, hệ thống có thể bị gián đoạn hoặc ngừng hoạt động hoàn toàn. Điều này gây ảnh hưởng lớn đến công việc kinh doanh và doanh số của các công ty, tổ chức, đặc biệt là các sàn thương mại điện tử.

Social engineering có rất nhiều hình thức tấn công khác nhau, có thể kể đến như:

Phishing

Phishing là một trong những hình thức social engineering phổ biến, thường được các hacker sử dụng để lừa nạn nhân cung cấp thông tin, dữ liệu. Cụ thể, hacker sẽ giả danh các tổ chức, doanh nghiệp uy tín như ngân hàng, nhà cung cấp dịch vụ mạng… hoặc đối tác công việc và gửi những email với nội dung yêu cầu người dùng nhấn vào một đường link nào đó.

Khi nhấn vào link được đính kèm, người dùng sẽ được dẫn đến một website giả mạo do chính hacker tạo nên. Nếu nhập tài khoản, mật khẩu hoặc dữ liệu cá nhân vào website này, người dùng sẽ bị đánh cắp thông tin ngay lập tức.

Điều khiến phishing nguy hiểm là những email, website giả mạo được ngụy trang sao cho giống với email, website chính chủ nhất có thể, từ giao diện, câu cú, logo… Vì vậy, nếu không cẩn thận và xem xét kỹ lưỡng trước khi mở file hoặc nhấn vào link, nhiều người sẽ bị nhầm lẫn, dễ dàng tin tưởng và “mắc câu”.

Các hacker sẽ mạo danh những tổ chức, doanh nghiệp, người thân…

để lừa đảo nạn nhân cung cấp thông tin cá nhân (Ảnh: Internet)

Vishing

Vishing là hành vi tấn công bằng cách gọi điện trực tiếp. Theo đó, kẻ lừa đảo sẽ gọi cho nạn nhân và mạo danh là nhân viên của một công ty, doanh nghiệp, cơ quan có thẩm quyền… Để tăng thêm độ uy tín, những kẻ này còn sử dụng một thủ thuật có tên “Giả mạo ID người gọi” để khiến cuộc gọi trông giống như đến từ một cơ quan hợp pháp.

Khi người dùng bắt máy, chúng sẽ dùng những chiến lược khác nhau để tác động đến tâm lý, buộc người nghe làm theo những gì chúng muốn như truy cập vào một website, cung cấp địa chỉ, thông tin cá nhân, mã giao dịch… Đôi khi, các tin tặc còn sử dụng vishing kèm với những hình thức tấn công mạng khác để đánh lừa người dùng.

Vishing là hình thức lừa đảo bằng phương pháp gọi điện thoại (Ảnh: Internet)

Smishing

Smishing là thuật ngữ ám chỉ hình thức tấn công social engineering qua tin nhắn. Tin tặc sẽ gửi các tin nhắn SMS với những nội dung như thông báo trúng thưởng, tài khoản ngân hàng gặp sự cố… và yêu cầu người dùng nhấn vào một đường link đính kèm để cung cấp thông tin. Khi nhấn vào, điện thoại của bạn sẽ tự động mở cửa sổ trình duyệt dẫn đến các website giả mạo hoặc bị nhiễm malware.

Khi nhấn vào những đường link do hacker gửi qua tin nhắn, bạn sẽ bị đánh cắp thông tin ngay lập tức (Ảnh: Internet)

Baiting

Baiting là phương pháp tấn công bằng cách lợi dụng sự tò mò của người dùng. Ví dụ: Hacker có thể lập một trang web cung cấp quà tặng miễn phí như tài liệu, nhạc, sách, video… Tuy nhiên, những file, phần mềm này thường chứa mã độc hoặc virus. Khi tải và cài đặt chúng vào máy, hacker có thể chiếm quyền kiểm soát hệ thống và phá hoại, đánh cắp dữ liệu hoặc phát tán malware.

Scareware

Scareware là một phần mềm độc hại nhắm vào nỗi lo bảo mật thông tin của người sử dụng các thiết bị điện tử. Phần mềm này thường được ngụy trang dưới dạng một chương trình diệt virus hợp pháp và hiển thị những cảnh báo giả về tình hình bảo mật của máy tính, điện thoại với tính chất khẩn cấp, nghiêm trọng. Lúc này, người dùng sẽ cảm thấy hoang mang, hoảng hốt và có thể làm theo những gì hacker muốn như cài đặt phần mềm chứa mã độc, mua gói đăng ký dịch vụ…

Scareware nhắm vào tâm lý bất an về bảo mật thông tin của người dùng khiến họ

cài đặt những phần mềm giả mạo (Ảnh: Internet)

Quid pro quo

Đây là kiểu tấn công mà các hacker sẽ giả vờ cung cấp một dịch vụ, lợi ích nào đó nhằm mục đích đánh cắp thông tin hay nhận được sự trợ giúp từ nạn nhân. Ví dụ: Tin tặc sẽ giả danh thành nhân viên bảo trì, nhân viên công nghệ thông tin và đưa ra đề nghị nâng cấp phần mềm, sửa lỗi bảo mật hoặc cảnh báo hệ thống đang gặp sự cố… Chúng yêu cầu người dùng cung cấp những thông tin như mã số nhân viên, mật khẩu máy tính… để có thể làm việc. Nếu không cảnh giác, bạn sẽ dễ dàng bị qua mặt và bị chiếm quyền điều khiển máy tính ngay lập tức.

Để không mắc phải những trò lừa đảo trên Internet và trở thành nạn nhân của social engineering, bạn hãy thực hiện một số biện pháp an toàn như sau:

Sử dụng những phần mềm diệt virus uy tín, chất lượng.
Không sử dụng những phần mềm bẻ khóa (crack).
Không sử dụng một mật khẩu cho nhiều tài khoản.
Bật chế độ bảo mật 2 lớp trên các tài khoản mạng xã hội, tài khoản ngân hàng (nếu có).
Không nhấp vào những đường link, email lạ.
Thường xuyên cập nhật, nâng cấp phần mềm lên những phiên bản mới nhất.

Thông thường, các hacker sẽ kết hợp hai hay nhiều kiểu tấn công social engineering để khiến người dùng khó phát hiện và tăng khả năng thành công. Do vậy, bạn cần hết sức cẩn thận với những cuộc gọi từ người không quen biết, cũng như kiểm tra thật kỹ thông tin của email, tin nhắn, đường link và thông báo mỗi khi nhận được.

Bạn hãy sử dụng những biện pháp bảo mật và cần cẩn thận khi nhận những email, tin nhắn lạ (Ảnh: Internet)

Social engineering là phương thức tấn công mạng gây ra nhiều hậu quả nghiêm trọng đối với các cá nhân, công ty và doanh nghiệp. Nắm vững các hình thức tấn công phi kỹ thuật sẽ giúp bạn có thể phòng tránh được nhiều rủi ro mất dữ liệu hoặc lộ thông tin. Đừng quên theo dõi các bài viết của Học Viện Công Nghệ Thông Tin Á Âu - BiBi.edu.vn để cập nhật nhiều kiến thức mới. Hoặc bạn yêu thích lĩnh vực công nghệ thông tin, mong muốn chuyển ngành tìm kiếm cơ hội việc làm bạn có thể tham khảo khóa học an ninh mạng tại Học Viện ngay đây nhé!