Tấn công phi kỹ thuật

(Đổi hướng từ Lừa đảo phi kỹ thuật)

Tấn công phi kỹ thuật hay lừa đảo phi kỹ thuật (tiếng Anh: social engineering attack), trong bối cảnh an toàn thông tin, liên quan đến việc thao tác tâm lý của con người để dụ họ thực hiện các hành động hoặc tiết lộ các thông tin bí mật. Là một loại lừa đảo với mục đích thu thập thông tin, gian lận, hoặc truy cập hệ thống, nó khác với lừa đảo truyền thống ở chỗ nó thường là một trong nhiều bước trong một chương trình gian lận phức tạp hơn.[1] Nó khiến nạn nhân sẵn sàng chia sẻ các thông tin riêng tư, cài đặt các ứng dụng nguy hiểm, gửi tiền cho tội phạm.[2]

Lịch sử

sửa

Một hình thức ban đầu của lừa đảo phi kỹ thuật là vào những năm 1980 với việc thực hành Phreaking. Phreaker thường gọi đến các công ty điện thoại, giả dạng làm quản trị viên hệ thống, và yêu cầu cung cấp những mật khẩu mới để có thể dùng các modem miễn phí.

Khuôn mẫu căn bản

sửa

Khuôn mẫu căn bản của lừa đảo phi kỹ thuật có thể thể hiện bằng một cuộc gọi điện thoại giả dạng: Người lừa đảo phi kỹ thuật gọi điện thoại cho một nhân viên của một công ty và giả vờ là một kỹ thuật viên cần dữ liệu bảo mật để hoàn thành công việc quan trọng. Trước đó ông ta đã thu thập từ các nguồn công khai hoặc các cuộc gọi điện thoại trước để được một phần nào thông tin về các thủ tục, cách nói chuyện văn phòng hàng ngày và hệ thống phân cấp của công ty, hầu giúp anh ta để thao tác giữa các cá nhân, mạo danh người trong công ty. Ngoài ra, ông ta làm nạn nhân không hiểu nhiều về kỹ thuật bối rối với các biệt ngữ chuyên môn, gầy dựng các cuộc nói chuyện (smalltalk) về các đồng nghiệp để được sự thông cảm và lợi dụng sự nể trọng quyền lực bằng cách đe dọa sẽ làm phiền cấp trên nếu các nạn nhân không chịu hợp tác. Trong những trường hợp nhất định, các người lừa đảo phi kỹ thuật đã thu thập được trước đó các thông tin, là một nhân viên nào đó thậm chí đã thực sự yêu cầu hỗ trợ kỹ thuật và đã mong đợi cú điện thoại như vậy.

Mặc dù nghe có vẻ tầm thường phương pháp này thành công một cách ngoạn mục nhiều lần trong việc đánh cắp các dữ liệu. Giả dụ, việc này cho phép một học sinh Mỹ trong năm 2015, để mở tài khoản e-mail cá nhân của giám đốc CIA đương thời Brennan và truy cập nó trong ba ngày trời.[3][4]

Phương pháp

sửa

Một số phương pháp có thể được sử dụng để thực hiện việc tấn công phi kỹ thuật:[2]

Giả mạo, giả vờ

sửa

Tội phạm có thể giả dạng các tin nhắn hoặc giọng nói kỹ thuật số, làm nạn nhân chia sẻ các thông tin riêng tư, tải phần mềm độc hại, chuyển tiền,.. Kẻ lừa đảo có thể giả dạng như là một người thân của đối tượng bị tấn công hoặc một cá nhân/tổ chức nổi tiếng.

Tên tội phạm cũng có thể sẽ đe doạ rằng nạn nhân đã vi phạm pháp luật và họ sẽ là người xử lý hoặc giúp bạn xử lý điều đó. Việc giả danh này hiện rất phổ biến tại Việt Nam khi tội phạm đóng giả làm công an với một số kỹ thuật bao gồm deepfake khiến nạn nhân tin tưởng từ đó yêu cầu nạn nhân phải đóng phạt, cung cấp mã bảo mật hoặc cài đặt ứng dụng.[5]

Dụ dỗ

sửa

Kẻ lừa đảo sẽ dụ dỗ nạn nhân để họ sẵn sàng chia sẻ các thông tin, cài các phần mềm độc hại, chuyển tiền, bằng việc đưa ra những phần thưởng có giá trị. Ví dụ tại Việt Nam là việc tặng quà miễn phí khi điền thông tin cá nhân hoặc nạn nhân sẽ phải chuyển tiền trước và sau đó thì.. không có món quà nào cả. [6]

Theo dõi

sửa

Kẻ tấn công sẽ theo dõi nạn nhân bằng cách gián tiếp hoặc trực tiếp để tìm ra những thông tin có giá trị. Như việc nạn nhân tự chia sẻ các thông tin lên mạng xã hội hoặc dùng máy tính công cộng mà quên đăng xuất khỏi tài khoản.

Phầm mềm hù hoạ

sửa

Nếu từng lướt Internet những năm 2010, chắc hẳn bạn đã từng thấy nhưng thông báo như: Máy bạn đã bị nhiễm virus, hoặc máy bạn đã đầy bộ nhớ hãy cài ứng dụng... Đây là ví dụ điển hình cho một "Phần mềm hù doạ". Nơi chúng hù doạ bạn có thể là qua banner quảng cáo, email,..

Tấn công Watering Hole

sửa

Kẻ tấn công cài cắm những mã độc vào trang web hoặc tài nguyên (ảnh, phần mềm,..) của các trang web được nhiều người sử dụng và khó bị chặn do tính phổ biến của trang web trong nhóm người dùng. Đáng nói tại Việt Nam là vào 2017, tập tin cài đặt ứng dụng dọn dẹp CCleaner bản 5.33 trên hệ điều hành Windows đã bị kẻ tấn công chèn mã độc, mã độc này sau đó gửi cho kẻ tấn công về thông tin máy tính của các "mục tiêu tiềm năng", đồng thời tạo điều kiện cho kẻ tấn công chiếm quyền điều khiển máy tính nạn nhân. [7]

Chú thích

sửa
  1. ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (ấn bản thứ 2). Indianapolis, IN: Wiley. tr. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
  2. ^ a b “What is Social Engineering? | IBM”. www.ibm.com (bằng tiếng Anh). Truy cập ngày 4 tháng 4 năm 2024.
  3. ^ Neue Zürcher Zeitung: Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben vom 20. Oktober 2015, abgerufen am 20. Oktober 2015
  4. ^ Wired: Teen Who Hacked CIA Director’s Email Tells How He Did It vom 19. Oktober 2015, abgerufen am 20. Oktober 2015.
    („Wie der Datendieb verlauten ließ, will er die Zugangsdaten zu Brennans E-Mail-Konto mittels Social Engineering erhalten haben: Er hat offenbar Mitarbeiter von Verizon dazu gebracht, Daten von Brennan herauszugeben.")
  5. ^ “Cảnh giác với thủ đoạn giả danh Công an nhằm lừa đảo, chiếm đoạt tài sản”. Báo Nhân Dân điện tử. 16 tháng 1 năm 2024. Truy cập ngày 4 tháng 4 năm 2024.
  6. ^ Trí, Dân (13 tháng 3 năm 2024). “Cảnh giác mất tiền khi bất ngờ nhận được quà miễn phí”. Báo điện tử Dân Trí. Truy cập ngày 4 tháng 4 năm 2024.
  7. ^ Weise, Elizabeth. “CCleaner attack on millions of computers sought out telecom firms, app's owner says”. USA TODAY (bằng tiếng Anh). Truy cập ngày 4 tháng 4 năm 2024.