Các loại hình tấn công Social Engineering

1
1324
5 (100%) 1 vote

Ở bài trước tôi đã trình bày với các bạn về kỹ thuật tấn công Social Engineering. Trong bài viết này, tôi sẽ trình bày về các loại hình tấn công Social Engineering. Cơ bản mà nói, Social Engineering gồm 2 loại: tấn công dựa trên yếu tố con người và tấn công dựa trên kỹ thuật. Bây giờ, chúng ta cùng đi sâu nhé!

I.Tấn công dựa trên yếu tố con người

Với kiểu tấn công này, tin tặc có thể thực hiện hành vi trực tiếp vào đối tượng để lấy được thông tin dữ liệu. Chúng có thể nghe lén bạn gọi điện, đóng giả là người thân rồi trà trộn, tìm kiếm tài liệu…

Social-Engineering-attack

Hình thức tấn công dựa trên yếu tố con người phân loại như sau:

– Mạo danh:

Giả sử, tôi đóng giả là nhân viên của tập đoàn A. Để thực hiện hành vi Social Engineering của mình, tôi sẽ lên kế hoạch tiến hành trong vòng 1 tuần. Hàng ngày, tôi mặc áo của tập đoàn A, đeo thẻ của A, tôi được sử dụng thiết bị, máy tính của tập đoàn A cung cấp. Sau khi đã vào làm 2-3 ngày, tôi bắt đầu tiến hành thu thập những thông tin quan trọng của A.

– Piggybacking:

Tin tặc sẽ trục lợi bằng cách lừa nhân sự có thẩm quyền để đột nhập vào khu vực cấm của công ty như phòng Server, Phòng quản trị tài liệu.

– Nghe trộm:

Hacker có thể nghe trộm nội dung cuộc hội thoại giữa 2 người gọi điện cho nhau hoặc chat với nhau qua email, sms…

– Đóng vai là người dùng cuối:

“A ơi, mình làm ở phòng kế toán. Giám đốc cần tôi tìm lại một số tài liệu để gửi ngay, nhưng tôi không nhớ mật khẩu đăng nhập, A gửi lại mật khẩu cho tôi với nhé”

– Lục thùng rác:

Cách này rất đơn giản. Chỉ cần bạn vào trong phòng của giám đốc hoặc phòng của quản trị viên, trưởng phòng rồi tìm thùng rác, giấy tờ xunh quanh xem có tài liệu mật nào không rồi…

II.Tấn công dựa trên yếu tố kỹ thuật

Hình thức tấn công Social Engineering tấn công dựa vào máy tính này có lẽ phổ biến hơn với mọi người.Một số cách thức thường gặp như:

– Pop-Up Windows

Trường hợp này rất nhiều người gặp. Ví dụ: khi bạn đang lướt web thì tự nhiên có một cửa sổ Pop-Up hiện lên bên góc màn hình.Nội dung trong Pop-Up thường là thông báo bạn trúng thưởng, bạn vừa nhận được một món tiền..Nếu bạn Click, Pop-Up đó sẽ được điều hướng tới một website giả và yêu cầu thông tin của bạn. Nguy hiểm hơn, ngay khi bạn click vào Pop-Up máy của bạn sẽ bị nhiễm mã độc ngay lập tức.

– Lừa đảo Phishing

Tin tặc có thể tấn công bạn thông qua hình thức Email Phishing hoặc Phishing Website.

Ví dụ 1: Một ngày đẹp trời, bỗng dưng A nhận được một Email với tiêu đề “Chúc Mừng X, bạn đã có 500.000.000đ trong tài khoản”. Khi nhận được email này, bạn sẽ tò mò rồi click vào. Tuy nhiên, bạn hãy cẩn thận nếu nội dung bên trong gmail yêu cầu bạn nhập thông tin cá nhân, tài khoản ngân hàng, chứng minh thư…Vì có thể bạn sẽ trở thành nạn nhận bị tấn công bởi Social Engineering.

Ví dụ về phising Google Docs

– Hoàng tử “Nigerian 419”

Một trong những phương pháp tấn công lừa đảo kinh điển trên internet chính là  “419” bởi 4-1-9 là mã vùng của kẻ lừa đảo. Để thực hiện hành vi, tin tặc sẽ giả vờ họ đang đối mặt với một khó khăn rất lớn, họ cần một lượng tiền để vượt qua khó khăn đó.

Lợi dụng yếu tố “đồng cảm” chúng sẽ yêu cầu nạn nhân trả phí, hoặc chuyển cho chúng một lượng tiền trong tài khoản ngân hàng. Sau khi họ đã nhận được tiền rồi, bạn sẽ không bao giờ lấy lại tiền được. Trò lừa đảo này rất phổ biến trên internet, đặc biệt là Facebook.

-SMS giả

Kẻ xấu có thể đóng vai là phía ngân hàng, gửi cho bạn một khoản tiền.Nếu bạn trả lời tin nhắn hoặc tương tác với tin nhắn, rất có thể thông tin cá nhân và tài khoản ngân hàng của bạn bị mất.

Nhìn chung các loại hình tấn công Social Engineering mà tôi vừa nói trên đều chung một quy trình (các bước tấn công):

1.Tìm hiểu đối phương (khai thác thu thập thông tin)

2.Phát triển kế hoạch tấn công

3.Thả câu (tạo mối quan hệ)

4.Khai thác (thực hiện hành vi tấn công)

5.Tẩu thoát (cắt đứt, xóa hết mọi liên lạc dấu vết không để đối phương biết)

Trên đây là những phương pháp tấn công Social Engineering bạn cần nắm rõ. Ở bài viết tiếp theo, tôi sẽ chia sẻ và hướng dẫn những giải pháp phòng chống Social Engineering tấn công. Theo dõi nhé!

Bình luận

1 Bình luận

Comments are closed.