Kỹ thuật Xã hội hay còn được gọi là tấn công phi kỹ thuật là một hình thức tấn công phổ biến trong lĩnh vực an ninh mạng. Tuy nhiên, nhiều người và doanh nghiệp vẫn chưa có đủ kiến thức và thông tin về hình thức tấn công này. Điều này khiến cá nhân và doanh nghiệp dễ bị hacker đánh cắp dữ liệu thông qua kỹ thuật tấn công này. Để giúp quý vị hiểu rõ hơn về Kỹ thuật Xã hội, hãy cùng Athena tìm hiểu chi tiết về loại tấn công này nhé.

Để hiểu rõ hơn, chúng ta sẽ chia nó thành các phần sau:

Bạn đang xem:

• Kỹ thuật Xã hội là gì?
• Tại sao Kỹ thuật Xã hội nguy hiểm?
• Các loại tấn công Kỹ thuật Xã hội phổ biến?
• Làm thế nào để bảo vệ cá nhân và tổ chức khỏi Kỹ thuật Xã hội?

1. KỸ THUẬT XÃ HỘI LÀ GÌ?

Khi hành vi lừa đảo hiệu quả (nạn nhân tin rằng kẻ tấn công là người mà họ cho là), hacker sẽ thúc đẩy nạn nhân thực hiện thêm hành động. Điều này có thể cung cấp thông tin nhạy cảm như mật khẩu, ngày sinh, chi tiết tài khoản ngân hàng hoặc yêu cầu chuyển tiền.

Hoặc hacker có thể thúc đẩy nạn nhân truy cập vào trang web có phần mềm độc hại có thể làm gián đoạn máy tính của nạn nhân. Trong trường hợp tồi tệ hơn, hacker sẽ tống khứ nạn nhân khỏi quyền kiểm soát thiết bị, gây nguy cơ mất dữ liệu và tiền bạc.

2. TẠI SAO KỸ THUẬT XÃ HỘI NGUY HIỂM ĐẾN NHƯ VẬY?

Một trong những nguy cơ lớn nhất của Kỹ thuật Xã hội là tấn công không cần tấn công tất cả mọi người trong một tổ chức: Nếu một nạn nhân bị lừa thành công, hacker có thể có đủ thông tin để thực hiện cuộc tấn công ảnh hưởng đến toàn bộ tổ chức mà hacker hướng tới.

Theo thời gian, những cuộc tấn công Kỹ thuật Xã hội ngày càng tinh vi hơn. Không chỉ có các trang web hoặc email giả mạo với giao diện “đáng tin cậy” để lừa nạn nhân tiết lộ thông tin, Kỹ thuật Xã hội còn trở thành một trong những cách phổ biến nhất mà hacker sử dụng để làm gián đoạn các biện pháp phòng vệ ban đầu của một tổ chức.

3. CÁC LOẠI TẤN CÔNG KỸ THUẬT XÃ HỘI PHỔ BIẾN

Kỹ thuật Xã hội có nhiều dạng tấn công khác nhau. Dưới đây là 5 loại tấn công Kỹ thuật Xã hội phổ biến:

3.1. PHISHING

Xem thêm : Thuộc tính text-decoration và text-indent CSS

Phishing là hình thức tấn công Kỹ thuật Xã hội phổ biến nhất. Chúng thường có dạng email giả vờ như từ một nguồn đáng tin cậy. Đôi khi, hacker sẽ cố gắng ép nạn nhân cung cấp thông tin thẻ tín dụng hoặc thông tin cá nhân khác. Trong những trường hợp khác, email giả mạo được gửi để thu thập thông tin đăng nhập của nhân viên hoặc thông tin khác để sử dụng trong cuộc tấn công chống lại công ty của họ.

Nếu quý vị chưa biết về Phishing là gì, hãy tham khảo bài viết sau đây https://athena.edu.vn/tan-cong-phishing-la-gi/

Một số ví dụ khác về lừa đảo mà quý vị có thể gặp là lừa đảo trực tuyến, nhắm vào các cá nhân cụ thể thay vì nhóm người và lừa đảo cá voi, nhắm vào các giám đốc cấp cao.

Trong thời gian gần đây, hacker đã lợi dụng sự phát triển của phần mềm dưới dạng dịch vụ (SaaS), chẳng hạn như Microsoft 365. Các chiến dịch lừa đảo này thường giả danh email từ Microsoft. Email chứa yêu cầu người dùng đăng nhập và đặt lại mật khẩu vì họ cho rằng tài khoản đã bị đăng nhập từ xa hoặc email thông báo về sự cố với tài khoản cần người dùng lưu ý. Đường liên kết hấp dẫn người dùng nhấp vào và giải quyết sự cố bằng cách điền thông tin vào mẫu đăng nhập.

3.2. Watering hole attacks

Watering Hole Attacks thường liên quan đến các cuộc tấn công nhắm vào các cơ quan, tổ chức, doanh nghiệp. Hacker thường nhắm vào các trang web có nhiều lượt truy cập, các trang web bất hợp pháp hoặc tạo ra các trang web riêng để lừa người và cố gắng chèn mã khai thác liên quan đến các lỗ hổng trình duyệt vào trang web.

Bất cứ khi nào người dùng truy cập vào trang web, mã độc sẽ được thực thi và lây nhiễm vào máy tính của người dùng. Sau đó, chúng có khả năng thực hiện các cuộc tấn công tiếp theo khi dữ liệu hoặc thiết bị của người dùng đã bị xâm phạm.

3.3. Business email compromise attacks

Business Email Compromise Attacks (BEC) là hình thức lừa đảo qua email trong đó hacker giả danh giám đốc điều hành và cố gắng lừa người nhận thực hiện các hoạt động kinh doanh, với mục đích bất hợp pháp như chuyển tiền. Đôi khi, hacker còn gọi điện cho cá nhân và giả mạo giám đốc điều hành.

3.4. Kỹ thuật Xã hội vật lý

Khi nói về an ninh mạng, chúng ta cũng cần đề cập đến khía cạnh vật lý của bảo vệ dữ liệu và tài sản. Một số người trong tổ chức của quý vị – chẳng hạn như nhân viên hỗ trợ, lễ tân và nhân viên thường xuyên đi công tác hoặc du lịch – có nguy cơ bị tấn công bằng kỹ thuật Xã hội vật lý, diễn ra trực tiếp.

Xem thêm : Tungsten là gì?

Tổ chức của quý vị cần áp dụng các biện pháp kiểm soát bảo mật vật lý hiệu quả như ghi lại lịch truy cập của khách và kiểm tra lý lịch. Nhân viên ở các vị trí có nguy cơ bị tấn công Kỹ thuật Xã hội cao hơn có thể được hưởng lợi từ việc đào tạo chuyên sâu về kỹ thuật Xã hội vật lý.

3.5. USB BAITING

USB Baiting có vẻ không thực tế nhưng nó xảy ra thường xuyên hơn bạn tưởng. Đơn giản, tội phạm mạng cài đặt phần mềm độc hại vào USB và thả nó ở những vị trí chiến lược, hy vọng rằng ai đó sẽ nhặt USB lên và cắm nó vào môi trường công ty, từ đó không cố ý phát tán mã độc vào tổ chức mục tiêu.

4. LÀM THẾ NÀO ĐỂ BẢO VỆ CÁ NHÂN VÀ TỔ CHỨC TRÁNH KHỎI KỸ THUẬT XÃ HỘI?

Các công ty và tổ chức nên cung cấp đào tạo nhận thức cho nhân viên về cuộc tấn công Kỹ thuật Xã hội và cách thức để nâng cao kiến thức bảo mật mạng cho nhân viên.

Các chương trình đào tạo phù hợp với tổ chức của quý vị được khuyến nghị. Điều này bao gồm cung cấp minh chứng về cách mà hacker có thể cố gắng đánh cắp dữ liệu từ nhân viên.

Ví dụ: Quý vị có thể mô phỏng một tình huống trong đó hacker giả danh một nhân viên ngân hàng yêu cầu mục tiêu xác minh thông tin tài khoản của họ. Một tình huống khác có thể là một quản lý cấp cao (có địa chỉ email giả mạo hoặc sao chép) yêu cầu mục tiêu thực hiện một khoản thanh toán đến một tài khoản cụ thể.

Đào tạo kiến thức giúp nhân viên hiểu cách phòng vệ trước các cuộc tấn công như vậy và nhận ra vai trò quan trọng của họ trong việc bảo vệ thông tin của tổ chức. Nếu doanh nghiệp của quý vị chưa có kiến thức hoặc kỹ năng về bảo mật mạng, quý vị có thể tham gia khóa học bảo mật tại Athena.

Các tổ chức cũng nên thiết lập một chính sách bảo mật rõ ràng để hỗ trợ nhân viên đưa ra quyết định tốt nhất để tránh các cuộc tấn công, đặc biệt là tấn công Kỹ thuật Xã hội. Ví dụ về chính sách bảo mật bao gồm:

• Quản lý mật khẩu: Các nguyên tắc như số lượng và loại ký tự mà mỗi mật khẩu phải có, tần suất thay đổi mật khẩu và thậm chí một quy tắc đơn giản là nhân viên không được tiết lộ mật khẩu cho bất kỳ ai – bất kể vị trí của họ – sẽ giúp bảo mật thông tin tài sản.
• Xác thực đa yếu tố: Xác thực cho các dịch vụ mạng có rủi ro cao như modem nhóm và VPN nên sử dụng xác thực đa yếu tố thay vì mật khẩu cố định.
• Bảo mật email với hệ thống phòng thủ chống lừa đảo: Có nhiều lớp bảo vệ email có thể giảm thiểu nguy cơ lừa đảo và các cuộc tấn công Kỹ thuật Xã hội. Một số công cụ bảo mật email tích hợp sẵn biện pháp chống lừa đảo.

TỔNG KẾT

Bài viết trên Athena đã giúp quý vị hiểu rõ về cuộc tấn công Kỹ thuật Xã hội và cách phòng chống để tránh các cuộc tấn công này. Nếu quý vị cần đào tạo hoặc tư vấn về bảo mật mạng, an ninh mạng, xin vui lòng liên hệ với chúng tôi qua hotline 094 320 00 88 – 094 323 00 99 hoặc Zalo zalo.me/athena2004. Chúng tôi sẽ hỗ trợ quý vị.

Nguồn: https://stamboom-boden.com
Danh mục: Là Gì