Kỹ thuật xã hội là gì?

Theo nghĩa rộng hơn, bất kỳ loại thao túng nào liên quan đến tâm lý học hành vi đều có thể được coi là kỹ thuật xã hội. Tuy nhiên, khái niệm này không phải lúc nào cũng liên quan đến các hoạt động tội phạm hoặc gian lận. Trên thực tế, kỹ thuật xã hội đang được sử dụng rộng rãi và được nghiên cứu trong nhiều bối cảnh khác nhau, trong các lĩnh vực như khoa học xã hội, tâm lý học và tiếp thị.

Khi nói đến an ninh mạng, kỹ thuật xã hội được thực hiện với động cơ thầm kín và đề cập đến một loạt các hoạt động độc hại nhằm thao túng mọi người thực hiện các động thái xấu, chẳng hạn như tiết lộ thông tin cá nhân hoặc thông tin bí mật có thể được sử dụng sau này để chống lại họ hoặc công ty của họ. Gian lận danh tính là hậu quả phổ biến của các loại tấn công này và trong nhiều trường hợp dẫn đến tổn thất tài chính đáng kể.

Kỹ thuật xã hội thường được trình bày như một mối đe dọa mạng, nhưng khái niệm này đã tồn tại trong một thời gian dài và thuật ngữ này cũng có thể được sử dụng liên quan đến các chương trình gian lận trong thế giới thực, thường liên quan đến việc mạo danh các cơ quan chức năng hoặc chuyên gia CNTT. Tuy nhiên, sự xuất hiện của internet đã giúp tin tặc dễ dàng thực hiện các cuộc tấn công thao túng trên quy mô rộng hơn và thật không may, các hoạt động độc hại này cũng đang diễn ra trong bối cảnh tiền điện tử.

Nó hoạt động thế nào?

Mọi loại kỹ thuật kỹ thuật xã hội đều dựa vào điểm yếu của tâm lý con người. Những kẻ lừa đảo lợi dụng cảm xúc để thao túng và lừa gạt nạn nhân. Nỗi sợ hãi, lòng tham, sự tò mò và thậm chí cả sự sẵn lòng giúp đỡ người khác của mọi người đều chống lại họ thông qua nhiều phương pháp khác nhau. Trong số nhiều loại kỹ thuật xã hội độc hại, lừa đảo chắc chắn là một trong những ví dụ phổ biến và nổi tiếng nhất.

Lừa đảo

Email lừa đảo thường bắt chước thư từ của một công ty hợp pháp, chẳng hạn như chuỗi ngân hàng quốc gia, cửa hàng trực tuyến uy tín hoặc nhà cung cấp dịch vụ email. Trong một số trường hợp, các email sao chép này sẽ cảnh báo người dùng rằng tài khoản của họ cần được cập nhật hoặc có hoạt động bất thường, yêu cầu họ cung cấp thông tin cá nhân để xác nhận danh tính và xác thực tài khoản của họ. Vì sợ hãi, một số người nhanh chóng nhấp vào liên kết và điều hướng đến một trang web giả mạo để cung cấp dữ liệu cần thiết. Lúc này, thông tin sẽ nằm trong tay tin tặc.

Phần mềm hù dọa

Các kỹ thuật kỹ thuật xã hội cũng được áp dụng để phát tán cái gọi là Scareware. Như tên gọi của nó, scareware là một loại phần mềm độc hại được thiết kế để hù dọa và gây sốc cho người dùng. Chúng thường liên quan đến việc tạo ra các cảnh báo giả nhằm lừa nạn nhân cài đặt phần mềm gian lận trông có vẻ hợp pháp hoặc truy cập vào một trang web lây nhiễm hệ thống của họ. Một kỹ thuật như vậy thường dựa trên nỗi sợ hệ thống của người dùng bị xâm phạm, thuyết phục họ nhấp vào biểu ngữ hoặc cửa sổ bật lên trên web. Các thông báo thường có nội dung như sau: "Hệ thống của bạn đã bị nhiễm, hãy nhấp vào đây để dọn dẹp".

mồi nhử

Baiting là một phương pháp kỹ thuật xã hội khác gây rắc rối cho nhiều người dùng thiếu chú ý. Nó liên quan đến việc sử dụng mồi nhử để dụ nạn nhân dựa trên lòng tham hoặc sự tò mò của họ. Ví dụ, kẻ lừa đảo có thể tạo một trang web cung cấp thứ gì đó miễn phí, như tệp nhạc, video hoặc sách. Nhưng để truy cập các tệp này, người dùng được yêu cầu tạo một tài khoản, cung cấp thông tin cá nhân của họ. Trong một số trường hợp, không cần tài khoản vì các tệp bị nhiễm trực tiếp phần mềm độc hại sẽ xâm nhập vào hệ thống máy tính của nạn nhân và thu thập dữ liệu nhạy cảm của họ.

Các kế hoạch nhử mồi cũng có thể xảy ra trong thế giới thực thông qua việc sử dụng ổ USB và ổ cứng ngoài. Kẻ lừa đảo có thể cố tình để lại các thiết bị bị nhiễm ở nơi công cộng, vì vậy bất kỳ người tò mò nào cầm nó để kiểm tra nội dung đều có thể lây nhiễm cho máy tính cá nhân của họ.

Kỹ thuật xã hội và tiền điện tử

Tâm lý tham lam có thể khá nguy hiểm khi nói đến thị trường tài chính, khiến các nhà giao dịch và nhà đầu tư đặc biệt dễ bị tấn công lừa đảo, mô hình Ponzi hoặc mô hình kim tự tháp và các loại lừa đảo khác. Trong ngành công nghiệp blockchain, sự phấn khích mà tiền điện tử tạo ra thu hút nhiều người mới tham gia vào lĩnh vực này trong một khoảng thời gian tương đối ngắn (đặc biệt là trong các thị trường tăng giá).

Mặc dù nhiều người không hiểu đầy đủ về cách thức hoạt động của tiền điện tử, họ thường nghe về tiềm năng của những thị trường này để tạo ra lợi nhuận và cuối cùng là đầu tư mà không nghiên cứu kỹ lưỡng. Kỹ thuật xã hội đặc biệt đáng lo ngại đối với những người mới vào nghề vì họ thường bị mắc kẹt bởi lòng tham hoặc nỗi sợ hãi của chính mình.

Một mặt, sự háo hức kiếm lợi nhuận nhanh chóng và kiếm tiền dễ dàng cuối cùng khiến những người mới bắt đầu chạy theo những lời hứa sai lầm về tặng phẩm và airdrop. Mặt khác, nỗi sợ bị xâm phạm các tệp riêng tư có thể khiến người dùng phải trả tiền chuộc. Trong một số trường hợp, không có nhiễm ransomware thực sự và người dùng bị lừa bởi một báo động hoặc tin nhắn giả do tin tặc tạo ra.

Làm thế nào để ngăn chặn các cuộc tấn công kỹ thuật xã hội

Như đã đề cập, các vụ lừa đảo kỹ thuật xã hội có hiệu quả vì chúng hấp dẫn bản chất con người. Chúng thường sử dụng nỗi sợ hãi làm động lực, thúc giục mọi người hành động ngay lập tức để bảo vệ bản thân (hoặc hệ thống của họ) khỏi mối đe dọa không có thật. Các cuộc tấn công cũng dựa vào lòng tham của con người, dụ dỗ nạn nhân vào nhiều loại hình lừa đảo đầu tư khác nhau. Vì vậy, điều quan trọng cần lưu ý là nếu một lời đề nghị có vẻ quá tốt để có thể là sự thật, thì có lẽ là như vậy.

Mặc dù một số kẻ lừa đảo rất tinh vi, nhưng những kẻ tấn công khác lại mắc phải những lỗi đáng chú ý. Một số email lừa đảo, thậm chí cả biểu ngữ dọa nạt, thường chứa lỗi cú pháp hoặc từ viết sai chính tả và chỉ có hiệu quả đối với những người không chú ý đủ đến ngữ pháp và chính tả - vì vậy hãy cảnh giác.

Để tránh trở thành nạn nhân của các cuộc tấn công kỹ thuật xã hội, bạn nên cân nhắc các biện pháp bảo mật sau:

• Hãy giáo dục bản thân, gia đình và bạn bè. Dạy họ về các trường hợp phổ biến của kỹ thuật xã hội độc hại và thông báo cho họ về các nguyên tắc bảo mật chung chính.

• Hãy thận trọng với các tệp đính kèm và liên kết trong email. Tránh nhấp vào quảng cáo và trang web không rõ nguồn gốc;

• Cài đặt phần mềm diệt vi-rút đáng tin cậy và cập nhật các ứng dụng phần mềm và hệ điều hành của bạn;

• Sử dụng các giải pháp xác thực đa yếu tố bất cứ khi nào bạn có thể để bảo vệ thông tin đăng nhập email và dữ liệu cá nhân khác của bạn. Thiết lập xác thực hai yếu tố (2FA) cho tài khoản Binance của bạn.

• Đối với doanh nghiệp: hãy cân nhắc việc chuẩn bị cho nhân viên của bạn khả năng xác định và ngăn chặn các cuộc tấn công lừa đảo và các chương trình tấn công kỹ thuật xã hội.

Suy nghĩ kết thúc

Tội phạm mạng liên tục tìm kiếm các phương pháp mới để lừa đảo người dùng, nhằm mục đích đánh cắp tiền và thông tin nhạy cảm của họ, vì vậy, điều rất quan trọng là phải giáo dục bản thân và những người xung quanh bạn. Internet là nơi ẩn náu cho những kiểu lừa đảo này và chúng đặc biệt phổ biến trong không gian tiền điện tử. Hãy thận trọng và luôn cảnh giác để tránh rơi vào bẫy kỹ thuật xã hội.

Hơn nữa, bất kỳ ai quyết định giao dịch hoặc đầu tư vào tiền điện tử đều phải nghiên cứu trước và đảm bảo hiểu rõ về cả thị trường và cơ chế hoạt động của công nghệ blockchain.