Sự phát triển của công nghệ, đặc biệt là Internet đã giúp cuộc sống của con người trở nên thuận tiện và dễ dàng hơn. Tuy nhiên kéo theo đó là sự gia tăng nhiều hình thức lừa đảo công nghệ cao nhằm chiếm đoạt thông tin, tài sản cá nhân, Vina Aspire xin chia sẻ Video cách thức tấn công lừa đảo bằng Social Engineering do Ngô Minh Hiếu (Hacker Hiếu PC) chia sẻ để các bạn hiểu rõ hơn cách thức mà Hacker hay dùng để tấn công này.
Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn. Những kỹ thuật này dựa trên nền tảng là điểm yếu tâm lý, nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công, hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Với phương thức này, tin tặc chú trọng vào việc tiến hành khai thác các thói quen tự nhiên của người dùng, hơn việc khai thác các lỗ hổng bảo mật của hệ thống. Người dùng được trang bị kém về kiến thức bảo mật sẽ là cơ sở để tin tặc thực hiện tấn công.
Kể từ khi ra đời đến nay, phương thức tấn công này đem lại hiệu quả cao. Bởi, tấn công Social Engineering rất đa dạng, dễ dàng tùy biến hình thức thực hiện và hầu như chưa có biện pháp phòng thủ hiệu quả cụ thể.
Phishing
Phishing là một hình thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến, các công ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính bí mật như: tên đăng nhập, mật khẩu giao dịch và những thông tin nhạy cảm khác. Hình thức tấn công này còn có thể cài đặt các phần mềm độc hại vào thiết bị của người dùng. Đây thực sự là mối nguy hại lớn nếu người dùng chưa có kiến thức hoặc thiếu cảnh giác về hình thức tấn công này.
Có nhiều kỹ thuật lừa đảo được sử dụng để thực hiện tấn công phishing. Cụ thể:
Thư rác: (spam email) là kỹ thuật sử dụng email là công cụ lừa đảo người dùng, như: Nhúng vào email một liên kết chuyển hướng tới một trang web không an toàn; Giả mạo địa chỉ người gửi; Đính kèm mã độc dạng Trojan trong một tập tin của email hoặc quảng cáo để khai thác lỗ hổng trên thiết bị người dùng
Những email này yêu cầu người dùng cập nhật thông tin về các tài khoản cá nhân của họ, bằng việc chuyển hướng truy cập vào các trang web dường như thuộc về tổ chức hợp pháp và được ủy quyền. Tuy nhiên, thực tế đây là các trang web giả mạo, được tạo ra bởi tin tặc để lấy thông tin nhạy cảm của người dùng.
Một ví dụ thực tế về kỹ thuật tấn công này là chiến dịch Operation Lotus Blossom được công ty bảo mật Palo Alto (Mỹ) phát hiện và công bố năm 2015. Đây là một chiến dịch gián điệp không gian mạng có chủ đích nhằm chống lại các Chính phủ và các tổ chức quân sự ở Đông Nam Á kéo dài trong nhiều năm. Các quốc gia là mục tiêu trong chiến dịch này bao gồm: Hồng Kông, Đài Loan, Việt Nam, Philippines và Indonesia. Mã độc được phát tán bằng việc khai thác lỗ hổng của Microsoft Office thông qua một tập tin văn bản đính kèm email có nội dung liên quan đến cơ quan, tổ chức mục tiêu. Khi người dùng đọc nội dung văn bản, mã độc sẽ được kích hoạt và âm thầm đánh cắp các dữ liệu lưu trên máy tính và chuyển tới các máy chủ tại nước ngoài. Mã độc này còn được biết đến với một tên gọi khác là Elise.
Website lừa đảo: là một kỹ thuật tấn công khác của tấn công Phishing. Ví dụ, hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng cho những trang web này để nhận tiền công. Tuy nhiên, tin tặc thường lợi dụng kẽ hở trong giao dịch này, chuyển hướng người dùng đến một trang web giả mạo để đánh cắp thông tin của người dùng. Một hình thức khác là khiêu khích sự tò mò của người dùng bằng cách chèn vào trang web những quảng cáo có nội dung hấp dẫn để lây nhiễm mã độc
Lừa đảo qua mạng xã hội: Đây là hình thức lừa đảo mà tin tặc thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội khác. Các tin nhắn này có thể là thông báo trúng thưởng các hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone,… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng. Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sử dụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại,…
www.vina-aspire.com
VINA ASPIRE CYBER SECURITY
Tel: +84 944004666 Fax: +84 28 3535 0668
Website: www.vina-aspire.com Email: info@vina-aspire.com
Vina Aspire is a leading Cyber Security & IT (information technology) solution and service provider.