Social Engineering

-
Đỗ Ngọc Minh

Nguồn theo FPT

Social Engineering là gì? 

Social Engineering là gì

Social Engineering là phương pháp thực hiện các cuộc tấn công mạng bằng cách xâm nhập vào hệ thống thông tin thông qua việc tương tác với con người. Kẻ tấn công có thể lừa dối hoặc lợi dụng niềm tin của cá nhân để xâm nhập vào hệ thống thông tin mà không cần sử dụng các phương pháp công nghệ chuyên sâu. Ngày nay, Social Engineering đã và đang trở thành mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân.

Phân loại Social Engineering

Human-Based Social Engineering

Social Engineering là phương pháp dựa vào yếu tố con người mà các kẻ tấn công sử dụng để lừa đảo thông tin quan trọng từ các nạn nhân. Kỹ thuật này thường bao gồm việc tương tác trực tiếp với con người thông qua cuộc gọi điện thoại, email hoặc thậm chí là trò chuyện trực tiếp. Những kẻ tấn công có thể giả mạo là thành viên của một tổ chức hoặc tự xưng là đối tác tin cậy để lừa dối người khác cung cấp thông tin nhạy cảm hay tiết lộ mật khẩu. Human Based có thể được chia thành các loại sau.

Human Based Social Engineering

Impersonation

Impersonation là loại kỹ thuật xã hội trong đó kẻ tấn công giả mạo một cá nhân quan trọng hoặc tổ chức để lừa đảo thông tin hoặc quyền truy cập từ họ. Với loại kỹ thuật này, điều quan trọng là luôn phải kiểm tra danh tính của người gửi trước khi chia sẻ thông tin hoặc thực hiện bất kỳ yêu cầu nào.

Posing as Important User

Đây là kỹ thuật mà kẻ tấn công giả mạo một người dùng quan trọng hoặc quản trị viên để lấy thông tin hay quyền truy cập bí mật. Để phòng ngừa, bạn cần thực hiện việc xác thực danh tính cẩn thận trước khi chia sẻ thông tin hoặc thực hiện yêu cầu.

Third-person Authorization

Loại tấn công này xảy ra khi kẻ tấn công thu thập thông tin từ người thứ ba để có thể xâm nhập vào hệ thống hoặc lấy quyền truy cập không hợp lệ. Để ngăn chặn điều này, bạn nên kiểm tra chặt chẽ các quy trình xác thực và phân quyền.

Calling Technical Support

Calling Technical Support là một trong những phương pháp vô cùng tinh vi. Kẻ tấn công có thể gọi đến dịch vụ hỗ trợ kỹ thuật và yêu cầu truy cập vào hệ thống hoặc xâm nhập vào mạng. Trong trường hợp này, bạn cần nhận diện và xác thực đúng người gọi trước khi cung cấp thông tin hay hỗ trợ.

Shoulder Surfing

Shoulder Surfing là kỹ thuật xâm nhập thông tin thông qua việc theo dõi hoặc quan sát người khác khi họ đang nhập thông tin nhạy cảm như mật khẩu, số thẻ tín dụng hoặc các thông tin cá nhân khác. Kẻ xâm nhập thường đứng gần để có thể theo dõi và ghi lại thông tin mà họ cần. Điều này nghĩa là bạn cần cẩn thận hơn khi thực hiện giao dịch ở những nơi công cộng như quầy thanh toán, ATM hoặc thậm chí là trong văn phòng làm việc.

Dumpster Diving

Dumpster Diving là hình thức xâm nhập dữ liệu bằng thu thập thông tin từ các tài liệu vứt đi. Kẻ xâm nhập có thể tìm thấy thông tin nhạy cảm từ hóa đơn, bản sao tài liệu hoặc thậm chí là máy tính cũ mà công ty đã vứt đi.

Computer-Based Social Engineering

Social Engineering là phương pháp xâm nhập dựa vào yếu tố máy tính, liên quan đến việc sử dụng các phần mềm độc hại hoặc dùng kỹ thuật xâm nhập để truy cập vào hệ thống mạng của người dùng. Dưới đây là một số loại phổ biến của Computer-Based mà mọi người cần phải cảnh giác.

Computer Based Social Engineering

Phishing

Phishing là hình thức lừa đảo thông tin cá nhân bằng cách giả mạo các trang web hoặc email của các tổ chức uy tín nhằm thu thập thông tin nhạy cảm từ người dùng như số thẻ tín dụng, mật khẩu và thông tin ngân hàng. Kẻ phạm tội thường sử dụng các chiêu trò để khiến người dùng tin tưởng và tiếp tục cung cấp thông tin cá nhân của mình.

Vishing

Vishing là hình thức lừa đảo thông qua điện thoại, trong đó kẻ xấu giả vờ là nhân viên của một tổ chức để lừa đảo thông tin cá nhân hoặc tài khoản ngân hàng của người dùng. Điều này có thể dẫn đến việc người dùng bị đánh cắp tài khoản và thông tin cá nhân quan trọng.

Interesting Software

Interesting Software là một loại phần mềm độc hại được phát tán thông qua các trang web hoặc email giả mạo. Khi người dùng tải xuống và cài đặt phần mềm này, máy tính của họ có thể bị nhiễm virus hoặc bị lộ thông tin cá nhân.

Các bước tấn công trong Social Engineering

Các bước tấn công trong Social Engineering

Bước 1: Thu thập thông tin

Trước khi thực hiện bất kỳ cuộc tấn công nào, việc thu thập thông tin là một bước quan trọng và cần thiết. Những thông tin thường được kẻ tấn công thu thập có thể bao gồm tên, vị trí công việc, quan hệ xã hội, sở thích và các thông tin cá nhân khác của nhiều đối tượng.

Bước 2: Chọn mục tiêu xác định 

Sau khi đã thu thập đủ thông tin, việc chọn mục tiêu xác định là bước tiếp theo. Mục tiêu có thể là một cá nhân, một tổ chức hoặc một nhóm người cụ thể. Việc chọn mục tiêu thường được kẻ tấn công thực hiện một cách cẩn thận để đảm bảo hiệu quả của cuộc tấn công.

Bước 3: Tấn công

Sau khi đã xác định mục tiêu, kẻ tấn công sẽ tiến hành các phương pháp tấn công trong Social Engineering, nhằm mục đích lừa đảo, chiếm đoạt thông tin hoặc tiếp cận hệ thống của đối tượng mục tiêu. Các phương pháp tấn công có thể bao gồm. 

  • Ego attack: Kẻ tấn công sẽ dựa vào việc khai thác lòng tự trọng của mục tiêu. Chẳng hạn như tạo ra các tình huống khiến cá nhân cảm thấy tự ti và tổn thương lòng tự trọng. Từ đó, kẻ tấn công có thể dễ dàng thu thập thông tin quan trọng hoặc thực hiện các hành vi độc hại.
  • Sympathy attacks: Tấn công bằng cách kích động lòng thông cảm của đối tượng mục tiêu là một chiến lược khá hiệu quả. Bằng cách tạo ra các tình huống đáng thương hoặc cần sự giúp đỡ, kẻ tấn công có thể dễ dàng lừa mục tiêu và thu thập thông tin quan trọng.
  • Intimidation attacks: Cuộc tấn công này thường nhằm vào việc khiến mục tiêu cảm thấy sợ hãi và lo lắng. Kẻ tấn công có thể sử dụng các chiến lược đe dọa hoặc tạo ra tình huống đe dọa để đạt được mục đích của mình.

Danh nghiệp nên làm gì để phòng chống Social Engineering?

Doanh nghiệp nên làm gì để chống Social Engineering

Thiết kế chính sách bảo mật mạnh mẽ

Để đối phó với các mối đe dọa từ Social Engineering, công ty hoặc tổ chức cần áp dụng các chính sách bảo mật mạnh mẽ. Trước hết, họ cần xác minh danh tính của người dùng trước khi cung cấp các thông tin quan trọng. Bên cạnh đó, Họ cũng nên thiết lập quy trình xác thực hai yếu tố để bảo vệ dữ liệu quan trọng khỏi việc truy cập trái phép.

Thiết kế lớp phòng thủ chiều sâu

Một cách hiệu quả để đối phó với Social Engineering là thiết kế lớp phòng thủ chiều sâu. Điều này bao gồm việc thiết lập nhiều tầng bảo vệ để ngăn chặn các cuộc tấn công. Các công ty cần đầu tư vào công nghệ bảo mật hiện đại và đào tạo nhân viên về cách nhận biết cũng như phòng ngừa các mối đe dọa từ Social Engineering.

Đào tạo nhân viên về an toàn thông tin

Một phần quan trọng trong việc phòng chống Social Engineering là đào tạo nhân viên về an toàn thông tin. Công ty cần tổ chức các khóa học đào tạo định kỳ để giúp nhân viên nhận biết và phòng ngừa các kỹ thuật lừa đảo phổ biến. Việc này giúp tăng cường kỹ năng và nhận thức của nhân viên trong việc đối phó với các mối đe dọa từ Social Engineering.

Cá nhân nên làm gì để phòng chống Social Engineering?

Cá nhân nên làm gì để chống Social Engineering

Luôn duy trì cảnh giác

Cách quan trọng nhất để phòng chống Social Engineering là luôn duy trì cảnh giác. Hãy luôn kiểm tra trước khi chia sẻ bất kỳ thông tin cá nhân nào với người lạ. Đừng tin tưởng những lời của người lạ hoặc những người mà bạn gặp trên mạng xã hội như email, facebook, zalo,...

Học cách nhận biết các kỹ thuật lừa đảo

Để phòng chống Social Engineering, bạn cần hiểu rõ về các kỹ thuật lừa đảo phổ biến mà kẻ xấu thường sử dụng. Nghĩa là bạn cần học cách nhận biết email lừa đảo, cuộc gọi lừa đảo và các hình thức khác mà Social Engineers thường áp dụng.

Bảo vệ thông tin cá nhân

Bảo vệ thông tin cá nhân của bạn là bước quan trọng để phòng chống Social Engineering. Hãy sử dụng mật khẩu mạnh, chưa từng được tiết lộ với bất kỳ ai cũng như không chia sẻ các thông tin quan trọng trên mạng xã hội và luôn cập nhật phần mềm bảo mật cho thiết bị của bạn.

Sử dụng phần mềm bảo mật

Cuối cùng, bạn nên sử dụng các phần mềm bảo mật để bảo vệ thông tin cá nhân của bạn khỏi Social Engineering. Đừng quên cài đặt phần mềm chống virus, firewall và các công cụ bảo mật khác để tăng cường lớp bảo vệ cho hệ thống của bạn.

Theo dõi và kiểm soát hoạt động trực tuyến

Hãy luôn theo dõi và kiểm soát các hoạt động trực tuyến của bản thân để phát hiện sớm những hành vi đáng ngờ. Bên cạnh đó, bạn nên kết hợp với việc sử dụng các công cụ bảo mật và cập nhật mật khẩu định kỳ để bảo vệ thông tin quan trọng khỏi sự xâm nhập.

Kết luận

Nhìn chung, việc hiểu rõ về Social Engineering và cách phòng tránh chúng là rất quan trọng để bảo vệ thông tin cá nhân và hệ thống của bạn. Hãy cẩn trọng và luôn luôn đề cao vấn đề an toàn thông tin trong môi trường kỹ thuật số.

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Một số so sánh các sản phẩm AI hiện nay: Chatgpt vs Grox vs Gemini vs Deepseek

-
Hình ảnh
Đỗ Ngọc Minh Phân tích điểm mạnh và điểm yếu 1. ChatGPT (OpenAI) Điểm mạnh : Khả năng xử lý ngôn ngữ tự nhiên (NLP) vượt trội, tạo ra phản hồi mạch lạc, tự nhiên và có chiều sâu. Hỗ trợ đa dạng lĩnh vực: sáng tạo nội dung, lập trình, giáo dục, hỗ trợ khách hàng. Tích hợp đa phương thức (văn bản, hình ảnh với GPT-4V) và các tính năng như Deep Research giúp nghiên cứu chuyên sâu. Hạ tầng mạnh mẽ nhờ sự đầu tư lớn từ OpenAI và Microsoft, đảm bảo tốc độ phản hồi nhanh (1-2 giây cho truy vấn đơn giản). Bảo mật dữ liệu tuân thủ tiêu chuẩn quốc tế. Điểm yếu : Chi phí cao, đặc biệt với các gói Pro hoặc doanh nghiệp. Không phải mã nguồn mở, hạn chế khả năng tùy chỉnh. Dữ liệu không cập nhật thời gian thực (kiến thức tĩnh đến thời điểm huấn luyện gần nhất). Có thể tạo ra thông tin không chính xác (hiện tượng "hallucination") trong các truy vấn phứ...
Read more »

ERP - SO SÁNH MỘT SỐ SẢN PHẨM - TÍCH HỢP AI - DỰ BÁO TƯƠNG LAI

-
Hình ảnh
Đỗ Ngọc Minh ERP – ENTERSPRISE RESOURCE PLANING Dưới đây là tổng quan về các hệ thống ERP của 4 hãng lớn: SAP, Oracle, Microsoft và Odoo. Mỗi sản phẩm có những đặc điểm riêng để phục vụ các phân khúc doanh nghiệp từ nhỏ, vừa đến lớn, cùng những yếu tố về hạ tầng, giá cả, và tính tương thích mà doanh nghiệp nên cân nhắc khi triển khai. 1 . Giới thiệu sản phẩm ERP của từng hãng SAP ERP : SAP cung cấp SAP S/4HANA (cho doanh nghiệp lớn) và SAP Business One (cho doanh nghiệp nhỏ và vừa). Hệ thống SAP ERP nổi bật với khả năng xử lý phức tạp, phù hợp cho các doanh nghiệp có quy trình chuyên sâu và nhu cầu quản trị lớn. SAP S/4HANA chạy trên nền tảng SAP HANA – công nghệ in-memory mạnh mẽ. Oracle ERP Cloud : Oracle cung cấp Oracle ERP Cloud cho các doanh nghiệp vừa và lớn. Oracle ERP nổi tiếng về quản lý tài chính, tự động hóa quy trình và khả năng tích hợp cao với các sản phẩm khác trong hệ sinh thái của Oracle. Hệ thống này chủ yếu vận ...
Read more »

CHIẾN LƯỢC vs KẾ HOẠCH

-
Hình ảnh
Đỗ Ngọc Minh Trong kinh doanh và quản lý dự thì hai thuật ngữ thường xuất hiện: chiến lược và kế hoạch. Mặc dù thường được sử dụng cùng nhau, nhưng việc hiểu được sự khác biệt giữa chiến lược và kế hoạch là rất quan trọng đối với người lãnh đạo hiệu quả và thành công của tổ chức. Bài này sẽ giải thích về chiến lược so với kế hoạch, làm rõ sự khác biệt của chúng và giúp bạn xác định cách tiếp cận nào phù hợp nhất với nhu cầu của mình, của doanh nghiệp. Xác định Chiến lược và Kế hoạch Chiến lược là gì? Chiến lược là câu chuyện bao quát hướng dẫn hành trình của một tổ chức từ trạng thái hiện tại đến trạng thái mong muốn trong tương lai. Đây là cách tiếp cận phác thảo cách bạn định vượt qua các thách thức, tận dụng thế mạnh và điều hướng bối cảnh cạnh tranh để đạt được các mục tiêu dài hạn. Chiến lược cung cấp định hướng và mục đích, đóng vai trò là la bàn cho việc ra quyết định ở mọi cấp độ của một tổ chức.   Kế hoạch là gì? Kế hoạch là một lộ trình chi tiết các hành...
Read more »