Diễn Đàn SEO - vnseo.edu.vn - Social Engineering và Phishing là hai khái niệm hoàn toàn khác nhau. Social Engineering là việc truy cập trái phép bằng cách khai thác cảm xúc con người. Trong khi Phishing là sự lừa đảo liên quan tới việc hacker gửi email giả mạo tới người dùng nhằm thu thập thông tin và tống tiền. Hãy cùng khám phá cụ thể 2 khái niệm này kèm những minh họa cụ thể trong bài viết sau nhé! Social engineering là một kiểu tấn công dựa vào sự tương tác của con người và thường liên quan đến việc thao túng mọi việc bằng cách phá vỡ các quy trình bảo mật thông thường, truy cập vào hệ thống, mạng để đạt được lợi ích tài chính.Tội phạm sử dụng các kỹ thuật Social engineering để che giấu danh tính và động cơ thực sự của chúng bằng vẻ ngoài của một nguồn thông tin hoặc cá nhân đáng tin cậy. Mục tiêu là ảnh hưởng, thao túng hoặc lừa người dùng từ bỏ thông tin đặc quyền hoặc quyền truy cập trong một tổ chức. Ví dụ, kẻ tấn công có thể giả vờ là một đồng nghiệp có vấn đề khẩn cấp nào đó, đòi hỏi phải truy cập vào các tài nguyên mạng bổ sung. 1. Bản chất của Social Engineering - Social engineering là gì? Đây là phương pháp phi kỹ thuật nhằm đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công. - Bản chất của Social engineering Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động. Các kỹ thuật tấn công được sử dụng trong Social Engineering: Giả vờ là một quản trị viên hoặc những người có thẩm quyền khác, giả vờ một tình huống khẩn cấp, hoặc mạo nhận người quen, nhặt tài liệu trong thùng rác, theo dõi nghe lén cuộc điện thoại, quay lén máy ATM, tìm kiếm thông tin những thiết bị xung quanh mục tiêu… - Ví dụ tình huống minh họa Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách hàng. Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi. Attacker : Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice. Alice: Xin chào, tôi là Alice. Attacker: Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm. Thế này… Alice: Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu. Attacker: Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề. Alice: Của tôi à ... à vâng. Attacker: Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên. Alice: Vậy mail của tôi có bị mất không? Attacker: Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được. Alice: Password của tôi à? Uhmmm... Attacker: Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật. (nỗ lực làm tăng sự tin tưởng từ nạn nhân). Attacker: Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác. Alice: Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456 Attacker: Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa. Alice: Có chắc là mail không bị mất không? Attacker: Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet. Alice: Cảm ơn. Attacker: Chào cô. 2. Bản chất của Phishing - Phishing là gì? Tấn công Phishing là một trò lừa đảo gian lận thông qua email mà tin tặc gửi tới người dùng với mục đích tìm kiếm thông tin cá nhân hoặc thông tin về tài chính. Trong một số trường hợp, Hacker có thể gửi email Phishing để yêu cầu bạn thực hiện theo yêu cầu của tin tặc, nội dung trong email thường là thông báo trúng thưởng rất lớn. Một số khác bị điều hướng tới một trang web giả mạo giống website gốc, hoặc sử dụng một cửa sổ Pop-Up trông giống như một trang web. - Bản chất của Phishing Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang web giả mạo do các hacker lập nên. - Ví dụ tình huống minh họa Trong kỹ thuật, attacker sẽ làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập vào web này. Ví dụ như thay vì truy cập amazone.com thì lại truy cập vào website amazione.com Chỉ cần bất cẩn một chút là bạn đã bị vướng vào bẫy bảo mật của tin tặc rồi! LỜI KHUYÊN DÀNH CHO BẠN Nếu một ngày nào đó, bỗng dưng bạn nhận được Email nhìn có vẻ hợp pháp nhưng lại yêu cầu cập nhật số thẻ tín dụng, thẻ ngân hàng, số tài khoản giao dịch, mật khẩu hoặc thông tin cá nhân khác, bạn nên truy cập TRỰC TIẾP vào website gốc để xác minh xem yêu cầu đó có đúng không. KHÔNG BAO GIỜ nhấp vào liên kết trong một tin nhắn SMS hay Email giả mạo là điều bạn cần làm. Nguồn: SecurityBox