Sự phát triển của công nghệ, đặc biệt là Internet đã giúp cuộc sống của con người trở nên thuận tiện và dễ dàng hơn. Tuy nhiên kéo theo đó là sự gia tăng nhiều hình thức lừa đảo công nghệ cao nhằm chiếm đoạt thông tin, tài sản cá nhân. Các hình thức lừa đảo này được biết đến như là các biểu hiện khác nhau của phương thức tấn công Social Engineering. Mặc dù, đây không phải là kỹ thuật tấn công mới, nhưng nhiều cá nhân và tổ chức vẫn trở thành mục tiêu của tin tặc. Bài báo này giới thiệu về các hình thức tấng công Social Engineering phổ biến và đưa ra một số khuyến nghị về các biện pháp phòng tránh.
Social Engineering là gì?
Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn. Những kỹ thuật này dựa trên nền tảng là điểm yếu tâm lý, nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công, hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Với phương thức này, tin tặc chú trọng vào việc tiến hành khai thác các thói quen tự nhiên của người dùng, hơn việc khai thác các lỗ hổng bảo mật của hệ thống. Người dùng được trang bị kém về kiến thức bảo mật sẽ là cơ sở để tin tặc thực hiện tấn công.
Đang xem: Tấn công phi kỹ thuật ( social engineering là gì, làm sao Để phòng tránh social engineering
Kể từ khi ra đời đến nay, phương thức tấn công này đem lại hiệu quả cao. Bởi, tấn công Social Engineering rất đa dạng, dễ dàng tùy biến hình thức thực hiện và hầu như chưa có biện pháp phòng thủ hiệu quả cụ thể.
Các hình thức tấn công lừa đảo Social Engineering phổ biến
Phishing
Phishing là một hình thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến, các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính bí mật như: tên đăng nhập, mật khẩu giao dịch và những thông tin nhạy cảm khác. Hình thức tấn công này còn có thể cài đặt các phần mềm độc hại vào thiết bị của người dùng. Đây thực sự là mối nguy hại lớn nếu người dùng chưa có kiến thức hoặc thiếu cảnh giác về hình thức tấn công này.
Có nhiều kỹ thuật lừa đảo được sử dụng để thực hiện tấn công phishing. Cụ thể:
Thư rác: (spam email) là kỹ thuật sử dụng email là công cụ lừa đảo người dùng, như: Nhúng vào email một liên kết chuyển hướng tới một trang web không an toàn; Giả mạo địa chỉ người gửi; Đính kèm mã độc dạng Trojan trong một tập tin của email hoặc quảng cáo để khai thác lỗ hổng trên thiết bị người dùng
Những email này yêu cầu người dùng cập nhật thông tin về các tài khoản cá nhân của họ, bằng việc chuyển hướng truy cập vào các trang web dường như thuộc về tổ chức hợp pháp và được ủy quyền. Tuy nhiên, thực tế đây là các trang web giả mạo, được tạo ra bởi tin tặc để lấy thông tin nhạy cảm của người dùng.
Một ví dụ thực tế về kỹ thuật tấn công này là chiến dịch Operation Lotus Blossom được công ty bảo mật Palo Alto (Mỹ) phát hiện và công bố năm 2015. Đây là một chiến dịch gián điệp không gian mạng có chủ đích nhằm chống lại các Chính phủ và các tổ chức quân sự ở Đông Nam Á kéo dài trong nhiều năm. Các quốc gia là mục tiêu trong chiến dịch này bao gồm: Hồng Kông, Đài Loan, Việt Nam, Philippines và Indonesia. Mã độc được phát tán bằng việc khai thác lỗ hổng của Microsoft Office thông qua một tập tin văn bản đính kèm email có nội dung liên quan đến cơ quan, tổ chức mục tiêu. Khi người dùng đọc nội dung văn bản, mã độc sẽ được kích hoạt và âm thầm đánh cắp các dữ liệu lưu trên máy tính và chuyển tới các máy chủ tại nước ngoài. Mã độc này còn được biết đến với một tên gọi khác là Elise.
Website lừa đảo: là một kỹ thuật tấn công khác của tấn công Phishing. Ví dụ, hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng cho những trang web này để nhận tiền công. Tuy nhiên, tin tặc thường lợi dụng kẽ hở trong giao dịch này, chuyển hướng người dùng đến một trang web giả mạo để đánh cắp thông tin của người dùng. Một hình thức khác là khiêu khích sự tò mò của người dùng bằng cách chèn vào trang web những quảng cáo có nội dung hấp dẫn để lây nhiễm mã độc
Lừa đảo qua mạng xã hội: Đây là hình thức lừa đảo mà tin tặc thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội khác. Các tin nhắn này có thể là thông báo trúng thưởng các hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone,… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng. Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sử dụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại,…
Watering Hole
Watering Hole là phương thức tấn công có chủ đích vào các tổ chức/doanh nghiệp (TC/DN) thông qua việc lừa các thành viên truy cập vào các trang web chứa mã độc. Tin tặc thường nhắm đến các trang web có nhiều người truy cập, web “đen” hoặc tạo ra các trang web riêng để lừa người dùng, trong đó cố ý chèn vào website các mã khai thác liên quan đến các lỗ hổng trình duyệt. Nếu truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng.
Khi sử dụng trong các cuộc tấn công có chủ đích, kỹ thuật tấn công Watering Hole thường hoạt động theo kịch bản như sau:
Bước 1: Thu thập thông tin về TC/DN mục tiêu. Các thông tin thu thập có thể bao gồm danh sách các website mà các nhân viên hay lãnh đạo của tổ chức thường xuyên truy cập. Sau đó, tin tặc bắt đầu tìm kiếm các trang web mà chúng để có thể xâm nhập, kết hợp với kỹ thuật tấn công local attack để nâng cao khả năng tấn công.
Bước 2: Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy cập, tin tặc sẽ thực hiện chèn các mã khai thác các lỗ hổng thông qua trình duyệt, ứng dụng flash hay java (flash và java thường được cài đặt mặc định trên máy tính của người dùng).
Xem thêm: Chỉ Số Rdw Là Gì – Rdw Có Ý Nghĩa Gì Trong Xét Nghiệm Máu
Bước 3: Sau khi người dùng truy cập vào các trang web độc hại, ngay lập tức mã độc sẽ được thực thi. Khi đó, tin tặc sẽ chiếm quyền điều khiển và cài đặt các chương trình độc hại cho phép điều khiển từ xa lên máy tính nạn nhân. Từ đó, khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó để tấn công các máy tính khác.