Phần mềm độc hại không phải là mối đe dọa trực tuyến duy nhất đáng lo ngại. Kỹ thuật xã hội là một mối đe dọa lớn và nó có thể tấn công bạn trên bất kỳ hệ điều hành nào. Trên thực tế, kỹ thuật xã hội cũng có thể xảy ra qua điện thoại và trong các tình huống trực diện.

Điều quan trọng là phải nhận thức được kỹ thuật xã hội và đề phòng. Các chương trình bảo mật sẽ không bảo vệ bạn khỏi hầu hết các mối đe dọa từ kỹ thuật xã hội, vì vậy bạn phải tự bảo vệ mình.

Kỹ thuật xã hội được giải thích

Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm ra lỗ hổng trong mã của máy tính. Ví dụ: nếu bạn đang sử dụng phiên bản Adobe Flash lỗi thời – hoặc, trời cấm, Java, nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco – bạn có thể truy cập một trang web độc hại và trang web đó sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công đang thao túng các lỗi trong phần mềm để có quyền truy cập và thu thập thông tin cá nhân, có thể bằng keylogger mà chúng cài đặt.

Các thủ thuật kỹ thuật xã hội khác nhau vì thay vào đó chúng liên quan đến thao tác tâm lý. Nói cách khác, họ khai thác con người chứ không phải phần mềm của họ.

LIÊN QUAN: Bảo mật trực tuyến: Phá vỡ giải phẫu của một email lừa đảo

Bạn có thể đã nghe nói về lừa đảo, là một dạng kỹ thuật xã hội. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty phát hành thẻ tín dụng của bạn hoặc một doanh nghiệp đáng tin cậy khác. Họ có thể hướng bạn đến một trang web giả mạo được ngụy trang để trông giống như thật hoặc yêu cầu bạn tải xuống và cài đặt một chương trình độc hại. Nhưng các thủ thuật kỹ thuật xã hội như vậy không phải liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ yêu cầu bạn gửi email trả lời kèm theo thông tin cá nhân. Thay vì cố gắng khai thác một lỗi trong phần mềm, họ cố gắng khai thác các tương tác bình thường của con người. Phishing Spear có thể còn nguy hiểm hơn vì đây là một hình thức lừa đảo được thiết kế để nhắm mục tiêu vào các cá nhân cụ thể.

Ví dụ về Kỹ thuật xã hội

Một thủ thuật phổ biến trong các dịch vụ trò chuyện và trò chơi trực tuyến là đăng ký tài khoản với tên như “Quản trị viên” và gửi cho mọi người những thông báo đáng sợ như “CẢNH BÁO: Chúng tôi đã phát hiện ai đó có thể đang hack tài khoản của bạn, hãy trả lời bằng mật khẩu của bạn để xác thực chính bạn”. Nếu mục tiêu phản hồi bằng mật khẩu của họ, họ đã mắc lừa và kẻ tấn công giờ đã có mật khẩu tài khoản của họ.

Nếu ai đó có thông tin cá nhân về bạn, họ có thể sử dụng thông tin đó để truy cập vào tài khoản của bạn. Ví dụ: thông tin như ngày sinh, số an sinh xã hội và số thẻ tín dụng thường được sử dụng để nhận dạng bạn. Nếu ai đó có thông tin này, họ có thể liên hệ với một doanh nghiệp và giả làm bạn. Thủ đoạn này đã được kẻ tấn công sử dụng nổi tiếng để giành quyền truy cập vào tài khoản Yahoo! của Sarah Palin. Tài khoản Mail vào năm 2008, nộp đủ thông tin cá nhân để có quyền truy cập vào tài khoản thông qua biểu mẫu khôi phục mật khẩu của Yahoo !. Phương pháp tương tự có thể được sử dụng qua điện thoại nếu bạn có thông tin cá nhân mà doanh nghiệp yêu cầu để xác thực bạn. Kẻ tấn công có một số thông tin về mục tiêu có thể giả làm họ và có quyền truy cập vào nhiều thứ hơn.

Kỹ thuật xã hội cũng có thể được sử dụng trực tiếp. Kẻ tấn công có thể bước vào một doanh nghiệp, thông báo cho thư ký rằng họ là người sửa chữa, nhân viên mới hoặc thanh tra cứu hỏa bằng giọng điệu có thẩm quyền và thuyết phục, sau đó đi lang thang trong hội trường và có khả năng đánh cắp dữ liệu bí mật hoặc cài đặt lỗi để thực hiện hoạt động gián điệp của công ty. Thủ thuật này phụ thuộc vào việc kẻ tấn công thể hiện mình như một người không phải của họ. Nếu thư ký, người gác cửa, hoặc bất kỳ ai khác phụ trách không đặt quá nhiều câu hỏi hoặc xem xét quá kỹ, thủ thuật sẽ thành công.

LIÊN QUAN: Làm thế nào những kẻ tấn công thực sự “Hack tài khoản” trực tuyến và làm thế nào để bảo vệ bản thân

Các cuộc tấn công kỹ thuật xã hội mở rộng phạm vi của các trang web giả mạo, email lừa đảo và tin nhắn trò chuyện bất chính cho đến mạo danh ai đó trên điện thoại hoặc trực tiếp. Các cuộc tấn công này có nhiều hình thức khác nhau, nhưng chúng đều có một điểm chung – chúng phụ thuộc vào thủ đoạn tâm lý. Kỹ thuật xã hội đã được gọi là nghệ thuật của thao tác tâm lý. Đó là một trong những cách chính mà “tin tặc” thực sự “hack” tài khoản trực tuyến.

Cách tránh Kỹ thuật xã hội

Biết được kỹ thuật xã hội tồn tại có thể giúp bạn chiến đấu với nó. Hãy nghi ngờ những email, tin nhắn trò chuyện và cuộc gọi điện thoại không mong muốn yêu cầu cung cấp thông tin cá nhân. Không bao giờ tiết lộ thông tin tài chính hoặc thông tin cá nhân quan trọng qua email. Không tải xuống các tệp đính kèm email nguy hiểm tiềm ẩn và chạy chúng, ngay cả khi email cho rằng chúng quan trọng.

Bạn cũng không nên theo các liên kết trong email đến các trang web nhạy cảm. Ví dụ: không nhấp vào liên kết trong email có vẻ là từ ngân hàng của bạn và đăng nhập. Điều này có thể đưa bạn đến một trang web lừa đảo giả mạo được ngụy trang để trông giống như trang web của ngân hàng của bạn, nhưng với một URL khác một cách tinh vi. Thay vào đó, hãy truy cập trực tiếp vào trang web.

Nếu bạn nhận được một yêu cầu đáng ngờ – ví dụ: một cuộc điện thoại từ ngân hàng của bạn yêu cầu cung cấp thông tin cá nhân – hãy liên hệ trực tiếp với nguồn của yêu cầu và yêu cầu xác nhận. Trong ví dụ này, bạn sẽ gọi cho ngân hàng của mình và hỏi xem họ muốn gì hơn là tiết lộ thông tin cho ai đó tự xưng là ngân hàng của bạn.

Các chương trình email, trình duyệt web và bộ bảo mật thường có bộ lọc lừa đảo sẽ cảnh báo bạn khi bạn truy cập một trang web lừa đảo đã biết. Tất cả những gì họ có thể làm là cảnh báo bạn khi bạn truy cập một trang web lừa đảo đã biết hoặc nhận được email lừa đảo đã biết và họ không biết về tất cả các trang web hoặc email lừa đảo ngoài đó. Phần lớn, bạn phải tự bảo vệ mình – các chương trình bảo mật chỉ có thể giúp ích một chút.


Bạn nên nghi ngờ lành mạnh khi xử lý các yêu cầu về dữ liệu cá nhân và bất kỳ thứ gì khác có thể là một cuộc tấn công kỹ thuật xã hội. Nghi ngờ và thận trọng sẽ giúp bảo vệ bạn, cả trực tuyến và ngoại tuyến.

Tín dụng hình ảnh: Jeff Turnet trên Flickr

Tham khảo (HowToGeek)