Scribd Logo
Upload

Welcome to Scribd!

  • Social Engineering Là Gì

    Uploaded by

    Trung Văn Máy tính
    51 views3 pages

    Original Title

    Social Engineering là gì

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    51 views3 pages

    Social Engineering Là Gì

    Uploaded by

    Trung Văn Máy tính

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    Social Engineering là gì?

    Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người để
    đánh cắp thông tin hoặc nhằm đạt được một mục đích mong muốn. Kỹ thuật này
    dựa trên điểm yếu tâm lý và nhận thức sai lầm của người dùng về việc bảo mật
    thông tin. Theo đó, tin tặc chú trọng vào việc khai thác các thói quen tự nhiên
    của người dùng hơn là việc khai thác các lỗ hổng bảo mật của hệ thống.

    Cho đến nay, kỹ thuật tấn công Social Engineering luôn được tin tặc ưu tiên sử
    dụng. Bởi hình thức này dễ dàng tùy biến cách thực hiện và khả năng thành
    công rất cao.
    2. Các hình thức tấn công Social Engineering
    2.1. Phishing

    Phishing là hình thức tấn công Social Engineering được sử dụng nhiều nhất hiện
    nay. Trong đó, tin tặc tạo ra các email hoặc website giả mạo các tổ chức, doanh
    nghiệp uy tín để dụ người dùng cung cấp thông tin hoặc chuyển tiền… Một hình
    thức tấn công tương tự Phishing là Spear Phishing. Điểm khác là Spear Phishing
    được thiết kế riêng cho một cá nhân hoặc một tổ chức cụ thể.

    2.2. Baiting

    Baiting là hình thức tấn công sử dụng mồi câu để dụ dỗ nạn nhân sập bẫy. Ví
    dụ, tin tặc lập một website cung cấp một dịch vụ miễn phí nào đó. Tuy nhiên, để
    sử dụng dịch vụ này, người dùng phải cung cấp thông tin cá nhân của họ. Trong
    trường hợp này, dịch vụ miễn phí là mồi câu để tin tặc lấy được thông tin của
    người dùng.

    Ngoài cách thức trên, baiting cũng có thể ẩn nấp trong các thiết bị USB hoặc
    các ổ cứng ngoài. Tin tặc có thể đưa mã độc vào các thiết bị đó và lây lan sang
    các thiết bị khác trong quá trình người dùng sử dụng.

    2.3. Vishing

    Vishing là sự kết hợp giữa hai từ “voice” và “phishing”. Hình thức tấn công này
    còn được gọi là hình thức lừa đảo bằng giọng nói. Thay vì sử dụng email hoặc
    các trang web giả mạo như phishing thì vishing sử dụng dịch vụ điện thoại
    internet (VoIP) để thu thập thông tin cá nhân và thông tin tài chính từ nạn nhân.

    2.4. Pretexting

    Pretexting là hình thức tấn công trong đó tin tặc tạo ra một kịch bản hoặc một lý
    do hợp lý để lấy cắp thông tin của nạn nhân. Để đánh lừa nạn nhân, tin tặc
    thường mạo danh cảnh sát hoặc phóng viên và tiếp cận qua dịch vụ viễn thông.
    Trong cuộc nói chuyện, tin tặc sẽ yêu cầu nạn nhân cung cấp một số thông tin
    nhất định để xác nhận danh tính.

    2.5. Scareware

    Scareware là một chương trình độc hại được tin tặc “ngụy trang” dưới một ứng
    dụng hợp pháp. Để thực hiện tấn công scareware, tin tặc sẽ đánh lừa người dùng
    rằng máy tính của họ đã bị nhiễm phần mềm độc hại. Sau đó, tin tặc đề xuất nạn
    nhân cài đặt phần mềm scareware để khắc phục vấn đề. Thông thường,
    scareware thường “ngụy trang” dưới cái mác là phần mềm antivirus.

    2.6. Water holing

    Water Holing là hình thức tấn công có chủ đích vào các tổ chức/doanh nghiệp
    thông qua việc lừa các thành viên truy cập vào các trang web chứa mã độc. Tin
    tặc thường nhắm đến các trang web có nhiều người truy cập, web đen hoặc tạo
    ra các trang web riêng để lừa người dùng. Sau đó, tin tặc chèn vào website đó
    các mã khai thác liên quan đến các lỗ hổng trình duyệt. Nếu truy cập vào
    website này, mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người
    dùng.

    2.7. Quid pro quo

    Quid Pro Quo là hình thức tin tặc giả vờ cung cấp một lợi ích nào đó để đổi lấy
    thông tin của người dùng. Tấn công Quid Pro Quo thường xảy ra dưới hình thức
    tin tặc mạo danh nhân viên IT của một tổ chức lớn. Chúng sẽ liên lạc qua điện
    thoại với nhân viên của tổ chức định tấn công, sau đó hướng dẫn họ cách nâng
    cấp hoặc cài đặt phần mềm. Để thực hiện các hành vi độc hại dễ dàng hơn,
    chúng sẽ yêu cầu nạn nhân vô hiệu hóa tạm thời phần mềm antivirus. Nhờ đó,
    mã độc được thực thi mà không gặp phải bất cứ trở ngại nào từ phía nạn nhân.

    2.8. Diversion theft

    Trong hình thức tấn công này, tin tặc sẽ lừa một công ty giao hàng hoặc chuyển
    phát nhanh nhận hoặc giao sai vị trí. Do đó, chúng có thể ngăn chặn các giao
    dịch được thực hiện.

    2.9. Honey trap

    Đây là hình thức tấn công trong đó tin tặc giả vờ mình là một người “hấp dẫn”.
    Qua đó, chúng tiếp cận và tương tác với một người trực tuyến nhằm thu thập
    thông tin của người đó.
    2.10. Tailgating

    Tấn công tailgating còn được gọi là piggybacking. Hình thức tấn công này được
    thực hiện khi tin tặc giả danh làm một nhân viên và lừa người có thẩm quyền để
    đột nhập vào công ty. Qua đó, chúng có đủ thời gian để khai thác các thông tin
    quan trọng cần thiết hoặc thiết lập thiết bị vào hệ thống để tiếp tục theo dõi và
    thực hiện âm mưu tấn công của mình.

    2.11. Rogue

    Phần mềm rogue là một loại phần mềm độc hại. Chúng lừa các mục tiêu thanh
    toán để loại bỏ những phần mềm độc hại giả mạo

    You might also like