Tấn công Social Engineering đã không còn là khái niệm mới. Tuy nhiên, nhiều người và tổ chức vẫn chưa có đủ kiến thức để phòng ngừa những kỹ thuật tấn công tinh vi này. Vì vậy, các tổ chức vẫn liên tục chịu đựng các cuộc tấn công lừa đảo đơn giản. Để bạn hiểu rõ hơn về Social Engineering, chúng tôi sẽ điểm lại những điều quan trọng trong bài viết này.
1. Social Engineering là gì?
Social Engineering là một phương pháp tấn công, xâm nhập vào các hệ thống của tổ chức, công ty hoặc doanh nghiệp. Kỹ thuật tấn công này nhắm vào người dùng hệ thống, nhằm phá vỡ an ninh và đánh cắp dữ liệu hoặc tống tiền. Nói một cách khác, Social Engineering là một hình thức lừa đảo tinh vi được thực hiện qua internet, và tỉ lệ thành công của nó rất cao.
Các kẻ tấn công sử dụng kỹ thuật Social Engineering chủ yếu nhắm vào cá nhân và tổ chức công ty trong phạm vi hẹp.
2. Ví dụ về Social Engineering
Vụ dụ 1: Nghe trộm
Nam nghi ngờ A và B có chuyện gì đó giấu diếm, và anh ta đã tiến hành nghe trộm cuộc trò chuyện giữa hai người. Phương pháp tấn công nghe trộm dựa trên yếu tố con người có thể thực hiện qua điện thoại và email.
Ví dụ 2: Cửa sổ Pop-up
Bạn đã bao giờ gặp các cửa sổ pop-up trên máy tính hay thiết bị của mình chưa? Hãy cẩn thận và đừng click vội vào những cửa sổ pop-up này, vì có thể bạn sẽ trở thành nạn nhân của hackers. Sau khi bạn click vào đường dẫn, bạn sẽ bị chuyển hướng đến một trang web khác do hacker tạo ra, sau đó hacker yêu cầu bạn đăng nhập hoặc tải phần mềm độc hại về máy.
Ví dụ 3: Email Phishing
Nhiều người đã gặp phải tấn công Social Engineering qua email. Kẻ tấn công thường gửi email rác, email giả mạo người thân hoặc quảng cáo trúng thưởng. Sau đó, kẻ tấn công yêu cầu người nhận click vào đường dẫn hoặc tệp đính kèm để cung cấp thông tin cá nhân, số tài khoản ngân hàng hoặc địa chỉ.
3. Các loại hình tấn công Social Engineering
Có 2 phương pháp tấn công:
a. Tấn công dựa trên yếu tố con người
Hình thức này nhằm tấn công trực tiếp vào con người, bao gồm:
-
Mạo danh: Tin tặc giả mạo là nhân viên chính thức của một tổ chức để truy cập vào hệ thống mạng và đánh cắp thông tin quan trọng. Những kẻ này thường mặc đồng phục và giả danh nhân viên công ty để thu thập hoặc ăn cắp thông tin.
-
Xem thùng rác: Kẻ xấu có thể xem thùng rác của giám đốc để tìm bản nháp, giấy tờ hoặc bản in quan trọng. Vì vậy, nếu bạn là giám đốc, hãy cẩn thận về bảo mật dữ liệu và thông tin.
-
Giả vờ là người dùng cuối: Tin tặc tự nhận mình là người dùng hợp pháp, sau đó gọi điện cho mục tiêu với nội dung “Xin chào, tôi là X ở phòng ban Y. Tôi không nhớ mật khẩu, bạn có thể đọc hộ tôi không?”
b. Dựa vào yếu tố kỹ thuật
Một số hình thức tấn công bằng phương pháp này bao gồm:
-
Cửa sổ pop-up: Thường là cửa sổ xuất hiện trên màn hình, khi người dùng click vào cửa sổ pop-up, họ sẽ được chuyển hướng đến trang web của tin tặc. Sau đó, tin tặc sẽ yêu cầu đăng nhập hoặc tải phần mềm độc hại về máy.
-
Mạo danh trang web: Tin tặc tạo ra một trang web giả mạo để lừa đảo người dùng.
4. Ảnh hưởng của Social Engineering đối với Doanh Nghiệp và Tổ Chức
Tấn công Social Engineering có thể xảy ra tại mọi doanh nghiệp và tổ chức, với mức độ thiệt hại khác nhau. Một số nguy cơ và tác động của Social Engineering bao gồm:
-
Mất dữ liệu: Một cuộc tấn công Social Engineering có thể làm mất thông tin dữ liệu và khiến doanh nghiệp bị mất tiền.
-
Mất niềm tin công chúng: Khi một doanh nghiệp bị tấn công Social Engineering, niềm tin của khách hàng, người tiêu dùng và đối tác đối với doanh nghiệp sẽ bị ảnh hưởng.
-
Mất quyền riêng tư: Tin tặc có thể thực hiện cuộc tấn công và đánh cắp thông tin cá nhân hoặc tài liệu riêng tư.
-
Tạm ngừng hoạt động: Nếu hacker tấn công vào máy chủ hoặc hệ thống mạng, hệ thống có thể bị sập và dịch vụ của công ty hoặc tổ chức có thể tạm ngừng hoạt động.
Xem thêm: Giải pháp Phòng chống Social Engineering cho cá nhân và Tổ chức
5. Cách phòng chống tấn công Social Engineering
a. Đối với cá nhân
Cá nhân cần cẩn thận với các hình thức lừa đảo qua email, không click vào những đường dẫn không rõ, không trò chuyện với người lạ và cảnh giác với các tin nhắn giả mạo người thân.
Xem thêm: Lời khuyên bảo mật dữ liệu cá nhân từ chuyên gia
b. Đối với doanh nghiệp và tổ chức
Các chuyên gia bảo mật khuyến nghị các doanh nghiệp và tổ chức thực hiện các giải pháp sau để phòng chống tấn công Social Engineering:
-
Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài khoản mạng xã hội, website và hệ thống.
-
Tránh sử dụng mật khẩu chung cho nhiều tài khoản khác nhau để tránh rủi ro lộ thông tin.
-
Hạn chế việc đăng thông tin cá nhân, công ty và doanh nghiệp lên mạng xã hội để tránh kẻ xấu giả danh.
-Giáo dục nhân viên về kiến thức về Social Engineering và bảo mật.
Để biết thêm thông tin chi tiết về từng chủ đề trong Social Engineering, hãy đăng ký nhận bài viết chia sẻ từ SecurityBox tại đây.
Bài viết được chỉnh sửa bởi: Dnulib
