close
cách
cách cách cách cách cách

Social engineering là gì? Các hình thức social engineering thường gặp

image

CHIA SẺ BÀI VIẾT

Social Engineering trong lĩnh vực bảo mật thông tin là một thuật ngữ phổ biến. Mô tả hình thức tấn công sử dụng hành vi thao túng con người trong việc thiết bị máy móc có lỗ hổng để khai thác từ đó có thể xâm nhập vào hệ thống lấy đi các thông tin quan trọng mà không mất nhiều kỹ thuật phức tạp. Hãy cùng vieclam123.vn tìm hiểu social engineering là gì cùng những thông tin liên quan tới hình thức tấn công này bạn nhé.

1. Social Engineering là gì bạn có biết?

Social Engineering còn được hiểu là tấn công phi kỹ thuật được tạo nên giữa 2 từ là xã hội - social và kỹ thuật - Engineering kiểu tấn công này thể hiện các bản chất như kỹ thuật, mánh khoẻ tấn công mục đích vào trong bản tính xã hội đối với con người mà trong máy móc không hề có sự xuất hiện và tồn tại. 

Tâm lý con người được tác động một cách trực tiếp có chủ đích trong việc xây dựng các mối quan hệ. Social Engineering tiến hành khai thác thông tin và sử dụng vào mục đích riêng với các công ty đó như trộm cắp tài sản, tống tiền, đe doạ, phá huỷ tổ chức hay cá nhân. Khi social Engineering được áp dụng thì thường danh tính tội phạm được che giấu với một vẻ ngoài đáng tin cậy trong động cơ thực sự đó để không làm mất cảnh giác trong đối phương tạo nên sự tin cậy tin tưởng. 

Social Engineering là gì
Social Engineering là gì

Social Engineering mọi người có thể hình dung rõ hơn qua các trường hợp quen thuộc ví dụ như hàng xóm của bạn bị chiếm đoạt tài sản khi bị giả danh làm người thân từ một đối tượng xấu, nhận được tin nhắn có yêu cầu gửi kèm về một khoản tiền vận chuyển, bảo đảm, thuế,... Máy tính bị nhiễm độc toàn bộ hệ thống khi vô tình nhân viên tải xuống một phần mềm có virus làm các thông tin quan trọng bị lộ như đơn hàng, mật khẩu, số tài khoản,... Không có giới hạn hình thức với tấn công phi kỹ thuật hay phương thức, thủ phạm, nạn nhân do đó cần phải để ý các chi tiết nhỏ nhất hay nâng cao cảnh giác.

2. Đối tượng bị tấn công và các hình thức Social Engineering phổ biến

2.1. Social Engineering hay tấn công đối tượng nào?

Một chuyên gia bất kỳ cũng đều có ý kiến cho rằng hệ thống bảo mật có điểm yếu nhất chính là con người. Vì trong con người chứa đựng nhiều cảm xúc không thể kiểm soát được các cảm xúc đó giống với thiết bị hay hệ thống máy móc. Hệ thống phòng thủ bạn có thể xây dựng được kiên cố với nhiều khoá cửa, hàng rào, camera an ninh,.. Tuy nhiên với một thợ kỹ thuật sửa chữa hay một người bạn mới quen biết lại không có sự đề phòng cảnh giác. Nếu họ chính là những tên tội phạm giả dạng, các rủi ro được tội phạm đó gây ra chúng ta không thể nào kiểm soát được.

Đối tượng tấn công
Đối tượng tấn công

Tội phạm Social Engineering khai thác về hành vi tâm lý trong khía cạnh nghĩa vụ lòng tin, đạo đức, tính tham lam, đe doạ, tò mò, thiếu hiểu biết, tự mãn,...từ đó sẽ thường bị khai thác đối với các đối tượng là:

Bảo vệ, lễ tân: Các đối tượng này sẽ tiếp xúc thường xuyên với toàn mọi người trong công ty kiến thức về an ninh không được trang bị nhiều nhưng về thông tin nhiều đối tượng hay lịch trình của họ thì lại có thể nắm rõ.

Nhân viên tạp vụ: Có thể tiếp cận thiết bị và thông tin quan trọng một cách dễ dàng.

Nhân viên văn phòng: Quản lý trong bộ phận về các thông tin và có quyền tiến hành truy cập đối với hệ thống công ty. 

Quản lý hoặc là giám đốc bộ phận cấm cao: Có thể nắm được các thông tin quan trọng và mật thiết liên quan đến tài chính đối với doanh nghiệp.

Người sử dụng hàng có thể xử lý và giải quyết thông tin mỗi ngày.

2.2. Một số hình thức Social Engineering thường gặp

2.2.1. Phishing

Phishing được biết đến là một hình thức Social Engineering thông dụng và phổ biến nhất được tạo ra bởi kẻ tấn công ví dụ như các trang web, email mạo danh tổ chức, công ty bộ công thương, ngân hàng,... Hay một số trang mạng xã hội như Twitter, Facebook hay những ứng dụng để người sử dụng bắt buộc phải tiến hành nhập những thông tin quan trọng bảo mật để lệnh chuyển tiền được tiến hành.

 Hình thức Phishing
 Hình thức Phishing

2.2.2. Baiting

Giữa những người có mối liên hệ người quen xã hội thường xảy ra hình thức tấn công phi kỹ thuật Baiting. Kẻ tấn công khi được nạn nhân dành sự tín nhiệm tin tưởng cho mình sẽ mượn, gửi usb hoặc mã chưa độc trong các thiết bị công nghệ để người sử dụng tiến hành đăng nhập đối với công ty vào hệ thống trong đó.

2.2.3. Vishing

Hình thức lừa đảo thông qua điện thoại với hình thức mạo danh gọi là vishing. Kẻ tấn công khi sử dụng hình thức này gọi điện cho con mồi để tấn công, chiếm đoạt lòng tin bằng cách giả danh một thể thức uy tín nào đó. Dưới một hình thức nào đó thì đối tượng bị lừa sẽ không hề có sự đa nghi mà đưa luôn các thông tin nhạy cảm đưa cho chúng như mật khâu các tài khoản, số tài khoản ngân hàng,..

Hình thức Vishing
Hình thức Vishing

2.2.4. Piggybacking

Hình thức tấn công phi kỹ thuật hướng đến đối tượng có thẩm quyền để xâm nhập vào trong doanh nghiệp gọi là Piggybacking. Kẻ tấn công đối với hình thức Piggybacking sẽ giả dạng làm người thân, người có thẩm quyền, nhân viên chính thức, thợ sửa chữa,....để xâm nhập vào trong hệ thống yêu cầu các thông tin quan trọng vào trong hệ thống gắn theo các thiết bị kiểm soát theo dõi để tấn công hệ thống trực tiếp với mục đích chiếm đoạt tài sản.

2.2.5. Nghe trộm hoặc camera ẩn

Kẻ xấu trong một số tình huống có thể nghe trộm cuộc sống sinh hoạt hay cuộc gọi hàng ngày qua việc gắn trộm một số thiết bị tinh vi ví dụ như micro ẩn, camera ẩn vào những đối tượng mà họ muốn theo dõi và biết thông tin liên quan về họ.

Nghe trộm
Nghe trộm

2.2.6. Hàng ngày theo dõi rác thải

Để tìm các dấu vết, thông tin về đối tượng trong một hình thức mà nhân viên mật vụ sử dụng. Để tìm kiếm thói quen, thông tin họ sẽ thường lục tung thùng rác. Hình thức Pop-up window là hình thức mà trên máy tính các cửa số Popup được tạo ra bởi hacker để người sử dụng truy cập link, trang web đổi hướng yêu cầu người dùng phải tải xuống phần mềm có víu hay nhập thông tin cá nhân.

3. Khi bị tấn công phi kỹ thuật sẽ gặp rủi ro nào?

3.1. Mất thông tin dữ liệu

Những thông tin ví dụ về hợp đồng vay vốn, hợp đồng kinh tế, chiến lược marketing, chiến lược kinh doanh hay bảng lương,..toàn bộ đều là những tài liệu nhạy cảm quan trọng và toàn bộ doanh nghiệp có thể sẽ bị nguy cơ ảnh hưởng từ các tài liệu đó. Có thể sẽ bị xoá hết hay đánh cắp với các dữ liệu mất bao công sức để tạo nên.

3.2. Mất đi sự riêng tư

Các thông tin bị đánh cắp như thói quen sinh hoạt, số điện thoại, địa chỉ cá nhân,... Làm cho nhiều hệ luỵ hết sức là phiền phức gây nên. Vì các cuộc gọi điện thoại mời chào bảo hiểm, vay tín dụng nhận được liên tục nhiều người phàn nàn,... Còn có cả trường hợp bị tấn công và theo dõi từ xa.

3.3. Tài chính bị thất thoát

Các trục trặc trong lỗi hệ thống được gây ra bởi vi phạm làm doanh nghiệp được gây thiệt hại từ lỗi của con người thiệt hại tới hàng triệu USD. Ngoài ra thì có thể bị rút tiền trực tiếp đối với các tài khoản ngân hàng. Với các địa chỉ được xác định từ trước từ tội phạm mạng các khoản tiền hay đơn hàng cũng có khả năng bị cố tình gửi nhầm.

Tài chính thất thoát
Tài chính thất thoát

3.4. Ảnh hưởng nghiêm trọng đến hoạt động kinh doanh

Nếu máy chủ hệ thống và máy chủ website bị tấn công mạnh thì dễ bị đánh sập hệ thống do đó mà có thể bị tạm ngừng hoạt động dịch vụ của website tổ chức hay công ty. Các hệ thống y tế hiện đại hiện nay cập nhật dữ liệu thuộc về mạng internet với hồ sơ sức khoẻ có thể bị tấn công của hàng triệu bệnh nhân bị ảnh hưởng trong quá trình điều trị khi bị sai sót hay bị mất hồ sơ.

3.5. Mất niềm tin đối với xã hội

Một tổ chức bị lộ thông tin nội bộ khi bị tấn công phi kỹ thuật làm dư luận hoang mang. Một số doanh nghiệp về bảo hiểm, ngân hàng nắm các thông tin của khách hàng là các thông tin quan trọng nhưng sẽ bị lộ khi bị tấn công làm doanh nghiệp không còn tạo được niềm tin. Hoặc một số cá nhân bị mất hình tượng khi để lộ các hình ảnh riêng tư, nhạy cảm,...

Hy vọng qua bài viết bạn đọc đã hiểu được social engineering là gì và những hình thức phổ biến thường gặp của tấn công phi kỹ thuật. Hẹn gặp lại trong bài viết khác với nhiều thông tin mới mẻ được vieclam123.vn chia sẻ thường xuyên nhé.

Thiết kế kỹ thuật là gì?

Bạn đang muốn tìm hiểu thông tin thiết kế kỹ thuật là gì và những điều cần chú ý đến công việc này? Hãy cùng tham khảo rõ hơn trong bài viết được chúng tôi chia sẻ bên dưới đây nhé!

Thiết kế kỹ thuật là gì?

BÀI VIẾT LIÊN QUAN
cửa hàng nhượng quyền là gì
Cửa hàng nhượng quyền là gì và cách xây dựng cửa hàng nhượng quyền?
Bạn muốn mở rộng mô hình kinh doanh của mình bằng cửa hàng nhượng quyền? Bạn không biết cửa hàng nhượng quyền là gì? Bạn không biết xây dựng cửa hàng nhượng quyền như thế nào? Cùng vieclam123.vn tìm hiểu sau đây nhé!

Brand health là gì
Brand health là gì? Cách thức đo lường và cải thiện Brand health.
Brand health (sức khỏe thương hiệu) là một trong những yếu tố quan trọng nhất đánh giá sự phát triển của thương hiệu doanh nghiệp. Vậy Brand health là gì? Đo lường như thế nào?, chúng ta cùng vieclam123.vn tìm hiểu sau đây nhé!

quản lý là làm gì
Quản lý là làm gì? Vai trò quan trọng của quản lý trong tổ chức
Quản lý là làm gì? Quản lý là một bộ phận phận quan trọng trong bất kỳ tổ chức nào, với vai trò kiểm soát hoạt động và định hướng kế hoạch phát triển.

Ngành điện điện tử làm gì
Ngành điện điện tử làm gì? Lý do bạn nên học ngành điện điện tử?
Ngành điện điện tử làm gì? Ngành điện điện tử là ngành học vô cùng hữu ích và áp dụng thực tế rất nhiều. Chương trình học vô cùng bài bản và chuyên sâu.