Cybersecurity News

Kỹ thuật tấn công xã hội (Social Engineering) là một trong những hình thức tấn công mạng phổ biến nhất hiện nay. Với phần lớn cuộc sống của chúng ta diễn ra trực tuyến, nguy cơ bị tấn công bằng kỹ thuật xã hội ngày càng tăng: chỉ tính riêng năm 2024, hơn 80% các cuộc tấn công mạng ở Vương quốc Anh là tấn công lừa đảo, tiếp theo là mạo danh (tạo cớ). So sánh với đó, chỉ khoảng 14% các cuộc tấn công và xâm phạm mạng là do phần mềm độc hại gây ra.

Các cuộc tấn công Social Engineering có thể gây ra hậu quả nghiêm trọng, từ mất tiền đến đánh cắp danh tính hoặc vi phạm bảo mật nghiêm trọng với hàng triệu điểm dữ liệu bị rò rỉ và hệ thống bị xâm phạm. Việc có khả năng nhận biết khi nào bạn đang bị tấn công bằng kỹ thuật xã hội và cách phản ứng hiệu quả để ngăn chặn thiệt hại nghiêm trọng là vô cùng quan trọng.

Trong bài viết này, bạn sẽ tìm thấy những giải thích chi tiết về kỹ thuật xã hội là gì và nó hoạt động như thế nào, cùng với những đề xuất về cách phòng tránh các cuộc tấn công kỹ thuật xã hội cả ở cấp độ cá nhân và tổ chức.

Hiểu về Social Engineering

Nói một cách tổng quát, Social Engineering là một cách để tác động đến thái độ và hành vi. Nó bao gồm các kỹ năng và kỹ thuật xã hội khác nhau được sử dụng để thuyết phục ai đó tiết lộ thông tin hoặc thực hiện một số hành động nhất định. Tuy nhiên, trong các bối cảnh khác nhau, kỹ thuật xã hội có thể mang những ý nghĩa khác nhau. Ở đây, tôi đang nói về kỹ thuật xã hội trong bối cảnh an ninh thông tin.

Kỹ thuật xã hội là gì?

Trong bối cảnh an ninh thông tin, kỹ thuật xã hội trước hết là một chiến thuật thao túng tâm lý. Thông thường, một người có thể sử dụng các cuộc tấn công kỹ thuật xã hội để:

lấy thông tin và/hoặc quyền truy cập vào hệ thống CNTT với mục tiêu tấn công sâu hơn. Ví dụ, ai đó có thể giả vờ là nhân viên hỗ trợ khách hàng qua điện thoại hoặc cuộc gọi video để khiến mục tiêu giao quyền kiểm soát thiết bị của họ nhằm lây nhiễm phần mềm độc hại. Những cuộc tấn công này có thể xảy ra cả trực tiếp và trực tuyến.

sử dụng công nghệ kết hợp với các kỹ thuật thao túng để đạt được các mục tiêu khác, chẳng hạn như lừa đảo qua email hoặc tin nhắn SMS để lấy thông tin ngân hàng, số an sinh xã hội và các thông tin khác nhằm đánh cắp tiền và danh tính. Những cuộc tấn công này thường được thực hiện trực tuyến, không phải trực tiếp.

Các loại tấn công kỹ thuật xã hội

Có nhiều loại tấn công kỹ thuật xã hội, một số phổ biến hơn những loại khác.

Lừa đảo (Phishing)

Lừa đảo bao gồm cả kỹ thuật xã hội và sự lừa dối để dụ dỗ nạn nhân không nghi ngờ tiết lộ thông tin nhạy cảm như chi tiết ngân hàng, thông tin đăng nhập và những thông tin khác. Các cuộc tấn công lừa đảo phổ biến nhất có hình thức là email rác, tin nhắn hoặc trang web xuất hiện như các nguồn hợp pháp. Ví dụ, chúng có thể trông giống như từ ngân hàng, trang mạng xã hội, dịch vụ giao hàng và các nguồn khác. Các tin nhắn thường có vẻ khẩn cấp nhưng đồng thời cũng khá chung chung.

Có nhiều mức độ tấn công lừa đảo: một số có thể tinh vi và phức tạp hơn. Ví dụ, trong một cuộc tấn công lừa đảo được cá nhân hóa gọi là lừa đảo nhắm mục tiêu, kẻ tấn công có thể mạo danh một người cụ thể mà bạn có thể biết hoặc sử dụng các thông tin công khai khác về nạn nhân để tạo ra một cuộc tấn công mang tính cá nhân hơn. Lừa đảo nhắm mục tiêu thường khó nhận biết hơn và có tỷ lệ thành công cao hơn nhiều so với các cuộc tấn công lừa đảo thông thường.

Tạo cớ (Pretexting)

Kỹ thuật xã hội này liên quan đến việc sử dụng một kịch bản được dựng lên – một cái cớ – để có được sự tin tưởng của nạn nhân và dụ họ tiết lộ thông tin. Tạo cớ thường đòi hỏi kẻ tấn công phải nghiên cứu. Ví dụ, họ có thể sử dụng thông tin cá nhân của bạn để mạo danh, hoặc đề nghị cung cấp thông tin xác thực chứng minh tính hợp pháp của cái cớ của họ. Một ví dụ về cuộc tấn công như vậy có thể là ai đó giả vờ là nhân viên hỗ trợ khách hàng hoặc nhân viên ngân hàng để khiến bạn tiết lộ thông tin cá nhân hoặc cấp quyền truy cập vào các thiết bị và hệ thống bảo mật.

Phần mềm đe dọa (Scareware)

Phần mềm đe dọa là một loại tấn công sử dụng các mối đe dọa, cảnh báo hoặc đề nghị giả mạo yêu cầu bạn hành động khẩn cấp. Ví dụ, bạn có thể nhận được một cửa sổ bật lên nói rằng thiết bị của bạn đã bị nhiễm phần mềm độc hại, và một nút nhấn nhắc bạn cài đặt phần mềm diệt virus, mà thường sẽ bị nhiễm phần mềm độc hại thực sự.

Mồi nhử (Baiting)

Các cuộc tấn công mồi nhử, như tên gọi của nó, liên quan đến việc sử dụng mồi nhử để kích thích sự tò mò của nạn nhân. Trong thế giới vật lý, những mồi nhử như vậy thường là ổ USB bị nhiễm phần mềm độc hại được để ở những nơi dễ thấy và các thiết bị tương tự có thể lây nhiễm phần mềm độc hại cho các thiết bị khác. Trực tuyến, mồi nhử có hình thức là những quảng cáo hấp dẫn dẫn đến các trang web độc hại hoặc khuyến khích người dùng cài đặt các ứng dụng bị nhiễm phần mềm độc hại.

Quid pro quo

Quid pro quo có nghĩa là “cái này đổi cái kia” trong tiếng Latin, và như tên gọi gợi ý, những cuộc tấn công này thường được thực hiện bởi những người đề nghị đền bù để đổi lấy thông tin. Ai đó có thể giả vờ là một nhà nghiên cứu yêu cầu bạn tham gia một cuộc khảo sát để đổi lấy tiền.

Bẫy nước (Water Holing)

Các cuộc tấn công bẫy nước dựa vào sự tin tưởng mà người dùng có đối với các trang web mà họ thường xuyên truy cập. Kẻ tấn công có thể quan sát các trang web mà một tổ chức hoặc cá nhân truy cập thường xuyên nhất, và lây nhiễm chúng bằng phần mềm độc hại hoặc các liên kết độc hại. Khi nạn nhân nhấp vào một liên kết hoặc tương tác với trang web bị nhiễm bằng cách khác, thiết bị của họ bị nhiễm và kẻ tấn công có quyền truy cập vào toàn bộ hệ thống công ty. Chiến lược kỹ thuật xã hội này đã được sử dụng để xâm nhập vào các hệ thống được coi là rất an toàn.

Tại sao kỹ thuật xã hội hiệu quả?

Sự thành công của kỹ thuật xã hội nằm ở việc con người là sinh vật dễ mắc lỗi và do đó dễ bị mắc bẫy các chiến thuật thao túng. Theo một khảo sát về các cuộc tấn công kỹ thuật xã hội năm 2019, “Các cuộc tấn công dựa trên yếu tố xã hội được thực hiện thông qua mối quan hệ với nạn nhân để tác động vào tâm lý và cảm xúc của họ. [Chúng] là [loại tấn công] nguy hiểm và thành công nhất [vì] chúng liên quan đến tương tác con người.” Những cuộc tấn công này dựa vào yếu tố con người hơn là các lỗ hổng kỹ thuật của hệ thống. Việc khai thác những điểm yếu của con người như sự tin tưởng, cảm giác an toàn, và xu hướng giúp đỡ người khác hoặc tìm kiếm con đường thuận tiện nhất dễ dàng hơn.

Con người thường mắc nhiều lỗi hơn khi họ bị phân tâm, cảm thấy bị áp lực, vội vàng hoặc đồng cảm. Đó là lý do tại sao các cuộc tấn công kêu gọi hành động khẩn cấp (như cảnh báo nhấp nháy về thiết bị bị nhiễm virus) hoặc yêu cầu sự đồng cảm (như các chiến dịch gây quỹ giả mạo hoặc ai đó bạn có thể biết đang cần giúp đỡ) thường có tỷ lệ thành công cao.

Ngoài ra, các cuộc tấn công kỹ thuật xã hội cũng khó phát hiện và ngăn chặn hơn. Chúng không để lại dấu vết kỹ thuật, và hầu hết các phương pháp phòng ngừa đều dựa vào việc đào tạo liên tục. Thiếu kiến thức kỹ thuật hoặc kiến thức chung là một vấn đề khác: người không quen với phần mềm độc hại hoặc lừa đảo sẽ dễ bị tấn công hơn. Việc đào tạo ai đó nhận biết và chống lại các cuộc tấn công kỹ thuật xã hội khó khăn hơn việc triển khai các biện pháp bảo mật kỹ thuật.

Làm thế nào để ngăn chặn các cuộc tấn công kỹ thuật xã hội

Ngăn chặn các cuộc tấn công kỹ thuật xã hội thường khá khó khăn và các giải pháp kỹ thuật không phải lúc nào cũng là câu trả lời. Phòng ngừa thành công gần như hoàn toàn dựa vào việc đào tạo cá nhân nhận biết các dấu hiệu của một cuộc tấn công kỹ thuật xã hội và cách chống lại và báo cáo nó. Do đó, nguy cơ sai sót của con người không bao giờ thực sự biến mất.

Nhưng điều này không có nghĩa là các cuộc tấn công kỹ thuật xã hội không thể được ngăn chặn. Dạy người dùng các dấu hiệu cảnh báo và cách phản ứng là bước đầu tiên trong việc bảo vệ bản thân, công ty và thông tin của bạn khỏi các tác nhân độc hại.

Nhận biết các dấu hiệu cảnh báo

Tất cả các nỗ lực kỹ thuật xã hội đều có một vài điểm chung. Dưới đây là một số dấu hiệu phổ biến nhất có thể cho thấy ai đó đang cố gắng thực hiện một cuộc tấn công kỹ thuật xã hội:

Các cuộc gọi điện thoại bất ngờ. Nếu bạn nhận được một cuộc gọi mà bạn không mong đợi, đặc biệt nếu người gọi nói rằng họ đến từ một ngân hàng, công ty bảo hiểm, hoặc một công ty CNTT, rất có thể đó là một nỗ lực lừa đảo. Đừng cung cấp bất kỳ thông tin cá nhân nào và tránh trả lời xác nhận cho bất kỳ câu hỏi nào.

Địa chỉ email người gửi đáng ngờ. Nếu có điều gì đó cảm thấy không ổn về một email bạn nhận được, hãy luôn kiểm tra địa chỉ email của người gửi. Nếu nó trái ngược với tên người gửi email và dòng tiêu đề của email, chứa các số hoặc ký hiệu, và nhìn chung có vẻ đáng ngờ, đó có thể là một email rác.

Yêu cầu bất thường từ ai đó mà bạn có thể biết. Nếu CEO của công ty bạn liên hệ với bạn với các yêu cầu khẩn cấp về tiền bạc, thông tin đăng nhập, tài liệu và các thông tin khác mặc dù họ chưa bao giờ làm như vậy trước đây, đó có thể là một nỗ lực lừa đảo. Luôn xác nhận với người mà bạn có thể biết nếu đó thực sự là họ đã gửi email hoặc tin nhắn.

Yêu cầu hoặc đòi hỏi khẩn cấp. Các nỗ lực lừa đảo luôn có cảm giác cấp bách, chẳng hạn như “thanh toán ngay” hoặc “hành động nhanh chóng”, và tương tự, được thiết kế để khiến bạn cảm thấy bị áp lực, phân tâm và choáng ngợp. Đừng hành động ngay lập tức và cố gắng bình tĩnh đánh giá tình hình. Các tổ chức hợp pháp sẽ giao tiếp theo cách dễ hiểu, trung lập về giọng điệu và không gây ra cảm giác cấp bách hoặc sợ hãi.

Các liên kết hoặc tệp đính kèm không mong đợi. Đừng mở các tệp đính kèm hoặc nhấp vào các liên kết trong email mà bạn không mong đợi. Chúng có thể là độc hại và dẫn đến các trang web độc hại. Trước khi nhấp vào các liên kết, hãy di chuột qua văn bản, và nếu các liên kết không khớp với văn bản, chúng có thể bị giả mạo. Những kẻ lừa đảo cũng có thể rút ngắn URL để ẩn điểm đến thực sự của liên kết.

Bố cục và chính tả bất thường. Ngữ pháp và chính tả không chính xác, cấu trúc câu lạ, và định dạng không nhất quán là những dấu hiệu mạnh mẽ của một nỗ lực lừa đảo. Các tổ chức hợp pháp có nhân viên chuyên trách để tạo, kiểm tra và phê duyệt mọi thư từ, bao gồm email, tin nhắn, bản tin và các tài liệu khác.

Lời chào/chữ ký chung chung. Lời chào không bao gồm tên của bạn, chẳng hạn như “Thưa Ông/Bà”, và chữ ký không có thông tin liên hệ (hoặc thông tin liên hệ không hợp lý) là những dấu hiệu mạnh mẽ của một email lừa đảo. Các tổ chức hợp pháp như ngân hàng, công ty bảo hiểm, dịch vụ giao hàng và các tổ chức khác sẽ bao gồm lời chào cá nhân và thông tin liên hệ.

Những đề nghị có vẻ quá tốt để là sự thật. Nếu một đề nghị có vẻ quá tốt để là sự thật, chẳng hạn như số tiền lớn để đổi lấy thông tin dường như không đáng kể, đó có thể là một nỗ lực lừa đảo.

Yêu cầu trên mạng xã hội từ ai đó bạn không nhận ra. Những kẻ xấu sử dụng mạng xã hội để mạo danh các tài khoản doanh nghiệp và người có ảnh hưởng. Hãy cảnh giác với những tin nhắn như vậy, đặc biệt nếu đó là từ ai đó bạn không biết.

Các biện pháp phòng thủ chống lại các cuộc tấn công kỹ thuật xã hội

Bất kỳ ai cũng có thể trở thành nạn nhân của một cuộc tấn công kỹ thuật xã hội, vì chúng được thiết kế để lợi dụng các điểm yếu của con người. Cách tốt nhất để phòng thủ chống lại các cuộc tấn công như vậy là hoạt động dựa trên tư duy “không tin tưởng”: đừng tin tưởng bất kỳ ai và luôn kiểm tra kỹ các nguồn, tin nhắn, tệp đính kèm và các yếu tố khác. Tuy nhiên, vẫn có một số biện pháp phòng thủ kỹ thuật và liên quan đến con người mà bạn có thể thực hiện để giảm thiểu nguy cơ kỹ thuật xã hội.

Kích hoạt bộ lọc thư rác

Hầu hết các dịch vụ email ngày nay đều cung cấp bộ lọc thư rác, chúng đánh dấu các email đáng ngờ là thư rác, cảnh báo bạn trước khi mở một tệp hoặc email đáng ngờ, hoặc gửi các email đã được đánh dấu là thư rác trước đó trực tiếp vào thùng rác. Tuy nhiên, đừng chỉ dựa vào bộ lọc thư rác và vẫn phải suy nghĩ phản biện, nghi ngờ và duy trì tư duy không tin tưởng.

Triển khai xác thực đa yếu tố

Xác thực đa yếu tố, đặc biệt là MFA chống lừa đảo, rất quan trọng trong việc ngăn chặn đăng nhập trái phép, vi phạm bảo mật và đánh cắp dữ liệu nhạy cảm. Thông tin xác thực như mật khẩu, email và tên người dùng vẫn có thể bị lấy được thông qua các cuộc tấn công kỹ thuật xã hội. Yêu cầu một bước bổ sung, chẳng hạn như xác thực sinh trắc học, câu hỏi bảo mật, mật khẩu một lần và/hoặc mã làm giảm đáng kể nguy cơ bị xâm phạm ngay cả khi những kẻ xấu đã có thông tin đăng nhập của bạn.

Đào tạo nhân viên về nhận thức

Vì kỹ thuật xã hội dựa vào việc khai thác lỗi và điểm yếu của con người, việc đào tạo thường xuyên ở cấp độ tổ chức là rất quan trọng để đảm bảo an toàn cho nhân viên và dữ liệu của bạn. Tất cả nhân viên của bạn nên được thông báo và được dạy cách sử dụng các biện pháp phòng thủ như xác thực đa yếu tố, tầm quan trọng của mật khẩu mạnh và việc sử dụng tường lửa. Dạy họ nhận biết và phản ứng với các dấu hiệu của kỹ thuật xã hội sẽ cải thiện đáng kể an ninh của tổ chức bạn ở những nơi các biện pháp phòng thủ kỹ thuật còn thiếu sót.

Làm thế nào để bảo vệ bản thân khỏi kỹ thuật xã hội

Có một số bước bạn có thể thực hiện để bảo vệ bản thân khỏi các cuộc tấn công kỹ thuật xã hội:

• Áp dụng tư duy “không tin tưởng”. Luôn giả định rằng các liên lạc từ bên ngoài có thể là một nỗ lực kỹ thuật xã hội, và hãy thận trọng, tìm kiếm bằng chứng rõ ràng không thể chối cãi rằng thông điệp đó là hợp pháp.
• Làm quen với các dấu hiệu của kỹ thuật xã hội. Bất kỳ ai cũng có thể trở thành nạn nhân của kỹ thuật xã hội, đặc biệt là những người nghĩ rằng họ miễn nhiễm với những thủ đoạn như vậy. Hãy bảo vệ bản thân bằng cách tự học về các dấu hiệu cảnh báo và biện pháp phòng ngừa.
• Sử dụng các biện pháp phòng thủ kỹ thuật, như mật khẩu mạnh, xác thực đa yếu tố, tường lửa, bộ lọc thư rác, và các biện pháp khác.
• Tránh chia sẻ thông tin cá nhân trực tuyến. Những thông tin cá nhân này có thể bị sử dụng để thao túng bạn bất cứ lúc nào. Giám sát các hồ sơ mạng xã hội của bạn – giữ chúng ở chế độ riêng tư và chỉ chia sẻ quyền truy cập với những người bạn biết cá nhân. Giữ tài khoản công việc và cá nhân tách biệt. Không gửi thông tin cá nhân nhạy cảm qua email, và đừng trả lời các email yêu cầu thông tin này.

Chiến lược của tổ chức

Chiến lược cấp tổ chức nhằm phòng ngừa và phòng thủ chống lại kỹ thuật tấn công xã hội có thể khác với chiến lược mà các cá nhân có thể áp dụng, nhưng vẫn dựa trên các bước cơ bản tương tự. Bất kỳ công ty nào cũng cần xây dựng chương trình nâng cao nhận thức an ninh giúp nhân viên nhận diện dấu hiệu của kỹ thuật tấn công xã hội, thực hiện các biện pháp an ninh cần thiết và cách phản ứng trong trường hợp xảy ra tấn công thành công. Các biện pháp bổ sung như kế hoạch ứng phó sự cố và kiểm tra bảo mật định kỳ sẽ giúp giữ cho tổ chức an toàn lâu dài.

Xây dựng chương trình nâng cao nhận thức về an ninh

Điều quan trọng nhất là đào tạo thường xuyên: nghiên cứu cho thấy rằng việc đào tạo và kiểm tra liên tục sẽ cải thiện khả năng nhận diện an ninh của nhân viên, giảm khả năng họ bị ảnh hưởng bởi các cuộc tấn công xã hội và khuyến khích hành vi bảo mật.

Có nhiều cách để phát triển chương trình nâng cao nhận thức an ninh, từ các buổi thuyết trình PowerPoint cổ điển đến các cuộc thi có tính trò chơi hóa. Dưới đây là một số ví dụ về các chương trình đào tạo an ninh có thể triển khai trong tổ chức của bạn:

• Bản tin và video đào tạo định kỳ nhắc nhở nhân viên.
• Tài liệu giảng dạy trực tuyến trò chơi hóa và các cuộc thi “Phát hiện Phishing”, với giải thưởng khuyến khích tham gia.
• Bài tập mô phỏng phishing hàng tháng, chẳng hạn như cố ý gửi email phishing, sau đó đào tạo cá nhân cho các nhân viên thường xuyên thất bại trong các bài kiểm tra.
• Các loại hình đào tạo khác nhau tương ứng với thời gian trong năm – từ các trò lừa đảo Giáng sinh đến lừa đảo liên quan đến thuế trong mùa khai thuế, v.v.
• Đào tạo chuyên biệt cho các đội và vai trò khác nhau về chiến thuật tấn công xã hội mà họ có thể dễ bị ảnh hưởng.

Một số lời khuyên chung khi xây dựng chương trình nâng cao nhận thức an ninh cho người dùng:

• Giữ cho quá trình và thông tin liên lạc đơn giản, soạn thảo các chính sách an ninh bằng ngôn ngữ dễ hiểu cho tất cả mọi người. Nhân viên của bạn có thể có kiến thức và kinh nghiệm an ninh khác nhau, cũng như các năng lực và sự nhiệt tình khác nhau.
• Đơn giản hóa các chính sách an ninh để chúng không ảnh hưởng đến quy trình làm việc hiện tại mà thay vào đó là bổ trợ.
• Phân bổ đào tạo đều đặn. Đào tạo vài giờ một lần trong năm có thể mệt mỏi, nhưng 30 phút mỗi tháng sẽ giúp đào tạo luôn mới mẻ, thú vị và dễ tiếp cận.
• Thử nghiệm với định dạng đào tạo – bạn có thể xem một số ví dụ ở trên.
• Sử dụng các biện pháp phòng thủ kỹ thuật, chẳng hạn như trình quản lý mật khẩu với các cấp độ truy cập khác nhau, tường lửa, xác thực đa yếu tố, kiểm tra bảo mật định kỳ và các biện pháp khác.

Kế hoạch ứng phó sự cố

Ngay cả khi bạn đã thực hiện tất cả các biện pháp cần thiết và đào tạo nhân viên về rủi ro của các cuộc tấn công xã hội, khả năng xảy ra sự cố vẫn không bao giờ là bằng không. Do đó, việc phát triển một số kế hoạch ứng phó sự cố toàn diện là điều rất quan trọng, bao gồm các bước để xử lý thiệt hại đã gây ra.

Các kế hoạch này có thể phụ thuộc vào từng tình huống cụ thể và do đó cần có các điểm khác biệt riêng, nhưng một số yếu tố chính cần được xem xét cho mọi tình huống:

• Nhóm phản ứng sự cố được đào tạo, bao gồm những cá nhân có vai trò rõ ràng và chuyên môn cần thiết, chẳng hạn như hệ thống an ninh, công nghệ, truyền thông, pháp lý và các lĩnh vực khác. Nhóm này sẽ chịu trách nhiệm đánh giá tác động, kiểm soát sự cố, liên lạc hiệu quả với các bên bị ảnh hưởng và ngăn chặn lặp lại sự cố.
• Quy trình ghi chép và báo cáo sự cố rõ ràng. Với các quy trình này, bạn có thể xử lý sự cố một cách hiệu quả trong khi giảm thiểu thiệt hại. Báo cáo và ghi chép cũng thường là yêu cầu pháp lý.
• Liên lạc hiệu quả. Có một kế hoạch truyền thông để giảm thiểu thiệt hại và khôi phục hoạt động.
• Báo cáo và phân tích sau sự cố. Bước này sẽ giúp xác định các điểm yếu và có các biện pháp phù hợp để ngăn chặn sự cố lặp lại.