Đây là một phần quan trọng của các hoạt động tội phạm, thường là một bước quan trọng trong các chiến dịch lừa đảo. Nhưng chính xác thì kỹ thuật Social Engineering là gì?
Kỹ thuật Social Engineering là hành động lôi kéo mọi người thực hiện một hành động cụ thể vì lợi ích của kẻ tấn công. Bạn có thể nghĩ rằng nó có vẻ giống như công việc của một nghệ sĩ lừa đảo và bạn đã đúng vì kỹ thuật tấn công Social Engineering là một phương pháp phi kỹ thuật .
Kỹ thuật Social Engineering sẽ tập trung vào những điểm yếu trong tất cả chúng ta, nó có thể khá hiệu quả. Vì vậy rất khó để có thể ngăn chặn. Nếu bạn đã từng nhận được một email lừa đảo, thì bạn đã thấy một ví dụ của kỹ thuật Social Engineering được sử dụng tại nơi làm việc.
Với một cuộc tấn công theo kỹ thuật Social Engineering thì bước đầu tiên rất quan trọng, đó là khiến nạn nhân mở một tệp đính kèm tinh vi hoặc truy cập một trang web độc hại.
Tội phạm mạng có rất nhiều “vũ khí” trong “kho vũ khí” kỹ thuật Social Engineering của họ để khiến người nhận phải hành động theo yêu cầu như:
- Tạo cảm giác cấp bách, có thể bằng cách đặt thời hạn cho các thác vụ cần hoàn thành
- Mạo danh một người quan trọng như CEO của công ty bạn
- Đề cập đến các sự kiện hiện tại để làm cho thông điệp tin cậy hơn
- Che giấu các URL độc hại để chúng nhìn đáng tin hơn
- Cung cấp các ưu đãi kèm theo như khuyến mãi.v.v.
Những kỹ thuật Social Engineering được sử dụng trong các cuộc tấn công lừa đảo đang ngày càng trở nên tinh vi hơn khi những kẻ tấn công cố gắng đi trước người dùng hoặc cũng có thể cố gắng đi sau để có thể tấn công các mục tiêu chiến lược lớn hơn.
Tất nhiên, kỹ thuật Social Engineering không chỉ giới hạn trong các chiến dịch lừa đảo qua email. Kỹ thuật này cũng có thể xảy ra trên mạng xã hội và qua điện thoại như một cuộc gọi được cho là vô hại đến bàn của bạn từ bộ phận “hỗ trợ công nghệ” để thu thập một vài thông tin dường như rất nhỏ như về loại hệ điều hành mà công ty bạn sử dụng, điều này có thể dẫn đến một kho tàng thông tin cho những kẻ muốn tấn công.
Một số điều bạn nên ghi nhớ để có thể tránh trở thành nạn nhân của kỹ thuật này:
- Hãy tin vào cảm giác của bạn, nếu một cái gì đó có vẻ đáng ngờ, hãy bình tĩnh và xác minh tình hình. Ví dụ, có thể nói chuyện trực tiếp với sếp của bạn nếu không chắc chắn nếu một email thực sự là từ họ.
- Nếu ai đó yêu cầu thông tin nhạy cảm như tên người dùng và mật khẩu qua điện thoại, hãy gác máy. Dịch vụ khách hàng hợp pháp hoặc nhân viên hỗ trợ kỹ thuật sẽ không bao giờ yêu cầu thông tin này.
- Tránh nhấp vào liên kết trong email hoặc mở tệp đính kèm email, đặc biệt là khi chúng đáng ngờ. Hãy nhớ rằng những kẻ tấn công có thể dễ dàng giả làm người mà bạn biết hoặc làm việc cùng.
- Hãy nhớ rằng bạn luôn là người kiểm soát mọi việc. Không nên làm bất cứ việc gì theo một chỉ dẫn mà bạn không chắc chắn điều gì sẽ xảy ra tiếp theo, lờ đi các chiến thuật gây áp lực của tội phạm mạng để khiến bạn phải làm theo các hành động được yêu cầu.
Cuối cùng, hãy luôn cảnh giác và giữ thận trọng.
