CÁC HÌNH THỨC TẤN CÔNG SOCIAL ENGINEERING
Social Engineering là tập hợp các kỹ thuật đánh lừa con người bằng kỹ năng giao tiếp xã hội thông qua các phương tiện Email, Phone, SMS, OTT Chat Application, Social Media (Facebook, Forum, Twitter, …) hoặc là trực tiếp gặp mặt để đánh lừa các nạn nhân nhằm thu thập thông tin mong muốn. Phising bắt nguồn từ Fishing for Information và Phreaking, là hành động đánh lừa nạn nhân cung cấp các thông tin cá nhân và thông tin nhạy cảm.
I. PHISING EMAIL ATTACK
Phising Email Attack là hành động gửi hàng loạt các Email lừa đảo nhằm dẫn dụ người dùng truy cập các Web Link độc hại hoặc tải về và khởi chạy các chương trình độc hại đính kèm trong Email.
- Nội dung Email thường trông có vẻ hợp pháp, đánh lừa nạn nhân nghĩ rằng Email xuất phát từ tổ chức, chính phủ hoặc doanh nghiệp uy tín.
- Đính kèm Web Link độc hại với tên miền rất giống và giao diện Web cũng được làm giả rất giống với trang Web chính thống, nội dung là một ngữ cảnh khẩn cấp dẫn dụ nạn nhân buộc phải truy cập Web Link đính kèm để nhập dữ liệu nhạy cảm cá nhân hoặc tải thực thi chương trình.
- Đính kèm File tài liệu và chương trình có chứa Virus, mã độc cùng với nội dung kích thích sự tò mò để nạn nhân tải về và mở các File này.
- Để qua mặt bộ lọc của các Mail Server các File độc hại có thể được nguy trang bằng Web Link tự động tải về, các Web Link cũng được che dấu tinh vi bằng tính năng “Hyperlink”
- Phương thức này thường nhắm đến nhiều người dùng vì nó dễ dàng và không tốn kém.
1. Giả mạo thông báo Email Doanh Nghiệp Overload Data
Hình thức này nhắm vào các hệ thống Email doanh nghiệp vì hệ thống Email đối với doanh nghiệp rất quan trọng nên họ rất dễ bị mắc lừa. Sau khi Click vào liên kết Upgrade Email Quota (nâng cấp dung lượng Email) là những mã độc được cài đặt sẵn đang chờ đợi xâm nhập vào hệ thống Email doanh nghiệp.
Liên kết cũng có thể sẽ chuyển hướng tới một Website Login Web Mail giả mạo giống y hệt để lừa người dùng nhập thông tin xác thực.
2. Giả mạo đơn đặt hàng tới doanh nghiệp
Hình thức này nhắm vào các doanh nghiệp cung cấp sản phẩm đặt hàng Online, phương thức này dễ dàng lọt qua các hệ thống bảo mật Filter Email và nhân viên cũng dễ mất cảnh giác khi nghĩ rằng đó chỉ là một đơn đặt hàng bình thường. Đính kèm theo Email thường là các File có chứa Virus, mã độc như File Office (Word, Excell, ….) chứa Virus Macro.
3. Giả mạo thông báo đơn đặt hàng, lộ trình vận chuyển Shipping
Hình thức này nhắm vào các cá nhân đặt hàng Online, nếu nạn nhân không đặt hàng thì có thể cảnh giác nhưng nếu hiện đang đặt hàng thì sẽ rất dễ bị mắc bẫy bởi những tình huống dàn dựng tinh vi:
- Tải về File Office hóa đơn, lộ trình Delivery/Shipping.
- Thông báo quá trình vận chuyển gián đoạn và yêu cầu truy cập trang Web giả mạo để nhập thông tin nhạy cảm, thông tin tài khoản thanh toán hoặc khéo léo hơn là đóng phí phát sinh để tiếp tục.
4. Giả mạo cơ quan nhà nước, tổ chức chính phủ
Các Email được trình bày hình thức sao cho giống như được gửi từ các cơ quan, tổ chức chính phủ với nội dung mang tính chất cảnh báo hoặc dẫn dụ nạn nhân:
- Cảnh báo nạn nhân đã vi phạm điều lệ nào đó, yêu cầu truy cập Fake Web để nhập thông tin nhạy cảm, thanh toán phí nếu có.
- Thông báo về các rủi ro bảo mật, khuyến nghị và yêu cầu nạn nhân tải về phần mềm và công cụ giả mạo (đính kèm Virus, mã độc) để kiểm tra, quét máy tính.
- Thông báo dẫn dụ nạn nhân được hoàn trả các khoản tiền thuế, tiền an sinh xã hội, … phải truy cập Fake Web nhập thông tin nhạy cảm.
5. Giả mạo người quen cũ
Một cá nhân bị Hack mất tài khoản Email, Attacker có thể dựa theo danh sách sổ địa chỉ để gửi các Email có nội dung đang trong tình thế cấp bách cần vay một số tiền, hứa sẽ trả lại ngay sau đó.
6. Giả mạo thanh toán online
Email thông báo về việc tài khoản thanh toán trực tuyến gặp trở ngại vì thẻ tín dụng đã hết hạn hoặc địa chỉ thanh toán không đúng. Tiếp theo, yêu cầu nạn nhân truy cập vào Fake Web Link với nội dung rất giống trang đăng nhập thông tin tài khoản để đánh cắp thông tin thanh toán.
7. Giả mạo thông báo quá hạn thanh toán
Email thông báo về một dịch vụ đã quá hạn thanh toán và yêu cầu phải đăng nhập vào hệ thống nhanh nhất có thể để lưu trữ lại các dữ liệu quan trọng. Liên kết đính kèm đến trang đăng nhập nhanh nhất có thể thực ra là một Fake Web nhằm đánh cắp thông tin đăng nhập của nạn nhân.
8. Giả mạo thông báo tài khoản bị xâm nhập
Email thông báo rằng tài khoản ngân hàng của nạn nhân đang bị xâm nhập bởi một người lạ và cung cấp đường Link để xác minh lại quyền sở hữu. Đường Link có thể dẫn tới Fake Web để yêu cầu nạn nhân nhập thông tin đăng nhập kiểm tra, qua đó đánh cắp tài khoản ngân hàng.
9. Giả mạo thông báo trúng thưởng
Email thông báo rằng nạn nhân đã trúng được giải thưởng gì đó chẳng hạn như sổ xố Jackpot, đây hoàn toàn là một Email giải mạo nhằm kích thích lòng tham của nạn nhân dẫn tới gây mất cảnh giác. Email sẽ đính kèm Fake Web Link yêu cầu nạn nhân truy cập để điền thông tin nhạy cảm và thanh toán khoản phí trước nếu có.
10. Giả mạo thông báo rút tiền
Email thông báo về việc có biến động số dư lớn trong tài khoản của nạn nhân nhằm khiến hoang mang, lo lắng mà mất cảnh giác. Nạn nhân sẽ cố gắng tìm cách ngăn chặn việc rút tiền bất hợp pháp này bằng cách truy cập theo Fake Web Link đính kèm để nhập đầy đủ thông tin xác minh tài tài khoản, thông tin đăng nhập tài khoản ngân hàng.
11. Giả mạo là nạn nhân, phàn nàn dịch vụ
Hacker có thể giả dạng làm một người mua hàng, đặt hàng từ công ty nhưng không nhận được bất kì một sản phẩm nào, hoặc bất kì phản hồi nào từ phía công ty. Email cảnh báo rằng họ sẽ báo cáo lên chính quyền địa phương nếu công ty không có một lời giải thích nào với họ. Email có thể đính kèm File Office hoặc PDF để nạn nhân tải về mở đọc và nhiễm Virus, mã độc.
12. Giả mạo Email Checkup
Email thông báo hệ thống Email doanh nghiệp đang Checkup hệ thống và để xác minh quyền sở hữu với Email của người dùng được cấp phát sử dụng, hãy truy cập Fake Web Link và điền vào biểu mẫu các thông tin cá nhân theo yêu cầu để xác minh.
II. SPEAR PHISING ATTACK
Hình thức lừa đảo nhằm vào một cá nhân hoặc một nhóm nhỏ, kẻ tấn công sẽ tập trung tìm hiểu để biết nhiều thông tin hơn về mục tiêu tấn công. Qua đó, xây dựng các kịch bản tinh vi dành riêng cho mục tiêu, tấn công lừa đảo tập trung vào một mục tiêu thông qua các mối quan hệ của mục tiêu.
VD: Các công ty và dịch vụ mà mục tiêu có liên quan, những người thân và bạn bè của mục tiêu có thể giả dạng để lừa đảo.
III. WHALING ATTACK
Một dạng Spear Phishing nhắm vào các cá nhân có quyền lực cao như các giám đốc điều hành (CEO), chủ tịch, ban lãnh đạo, … Kẻ tấn công sẽ dành nhiều thời gian để tìm hiểu kỹ về mục tiêu và chuẩn bị các cuộc tấn công để kiếm lợi nhuận cao như uy hiếp tống tiền các dữ liệu mật ảnh hưởng tới uy tín và danh tiếng của cá nhân hoặc công ty.
Các cuộc tấn công “săn bắt cá voi” thường được thực hiện bằng cách gửi Email giả mạo dưới danh nghĩa là nhân viên trong công ty, báo cáo công việc cho nạn nhân hoặc ngược lại. Một số thậm chí còn sử dụng các thủ thuật ngầm như gửi hóa đơn giả từ nhà cung cấp dịch vụ đang hợp tác với doanh nghiệp.
IV. VISHING ATTACK
Hình thức lừa đảo qua điện thoại để lấy thông tin cá nhân, thông tin nhạy cảm từ người trả lời điện thoại, kẻ tấn công thường sẽ mạo danh làm một thực thể uy tín để chiếm đoạt lòng tin hoặc dàn cảnh tình huống cấp bách để có lý do yêu cầu cung cấp thông tin để giải quyết nhanh chóng.
V. SMISHING ATTACK
Hình thức lừa đảo qua tin nhắn văn bản SMS trên điện thoại để cung cấp các thông tin cá nhân, tải các ứng dụng độc hại, lừa gạt chuyển khoản.
VI. PIGGYBACKING ATTACK
Hình thức kẻ tấn công đột nhập vào công ty bằng cách đóng giả làm nhân viên chính thức, người thân, thợ sửa chữa hoặc người có thẩm quyền để yêu cầu nạn nhân cung cấp các thông tin quan trọng hoặc các thông tin cần thiết để xâm nhập hệ thống, gắn các thiết bị theo dõi hoặc trực tiếp tấn công hệ thống để chiếm đoạt tài sản.
VII. TAILGATING ATTACK
Hình thức bám đuôi theo người bảo hộ, người có thẩm quyền để được quyền vào khu vực hạn chế mà không cần phải cung cấp thông tin xác thực như quẹt thẻ khóa hay vân tay.
VD: Nhân viên mới thường được người bảo hộ xác thực và cho phép đi theo, kẻ tấn công cũng có thể lợi dụng bằng cách ăn mặc chỉnh tề và bám đuôi ai đó vừa xác thực để đi theo.
VIII. IMPERSONATION ATTACK
Hình thức tấn công mạo danh một người dùng hoặc tổ chức hợp pháp, các cuộc tấn công có thể thông qua Email hoặc Wesite có giao diện rất giống các trang chính thống. Kẻ tấn công cũng có thể trực tiếp cải trang thành bảo vệ, lao công để đột nhập hoặc sử dụng các kỹ thuật để chiếm quyền truy cập hợp pháp.
IX. TYPOSQUATTING ATTACK
Hình thức đăng ký các tên miền gần giống hoặc rất giống các tên miền hợp pháp (pappal.com; pãypal.com) với hy vọng người dùng Internet không để ý, không nghi ngờ truy cập để nhập các thông tin nhạy cảm như thông tin xác thực, tài khoản ngân hàng, …. hoặc tải các phần mềm độc hại.
X. PHARMING ATTACK
Hình thức tấn công mạng liên quan đến việc chuyển hướng lưu lượng truy cập Web từ trang hợp pháp sang một trang giả mạo bằng các Hyperlink đính kèm trong Email hoặc Chat Application.
Trang giả mạo này được thiết kế giao diện và nội dung trông giống như trang Web hợp pháp nhất có thể, do đó người dùng sẽ bị lừa khi đăng nhập và nhập thông tin chi tiết của mình vào đó. Những thông tin này sau đó được thu thập bởi các "Pharmer" và sử dụng cho các hoạt động bất hợp pháp.
XI. DUMPSTER DIVING
Hình thức sàng lọc, tìm kiếm các văn bản giấy tờ, rác thải điện tử (USB, Hardisk, CD/DVD) trong thùng rác để tra cứu thông tin cá nhân, thông tin nhạy cảm nhằm hỗ trợ cho các cuộc tấn công khác chuyên về lừa đảo, mạo danh.
XII. SHOULDER SURFING
Hình thức lén lúc lại gần xem màn hình máy tính, xem cách gõ bàn phím của nạn nhân để lấy thông tin mật khẩu, phương thức đăng nhập và các thông tin nhạy cảm khác.
XIII. ELICITING INFORMATION
Hình thức khơi gợi câu chuyện, gài bẫy để đối tượng không nhận ra rằng mình đang vô tình cung cấp thông tin. Các kỹ thuật như tâng bốc, giả khờ, đóng vai nhà cố vấn, mời rượu, …