Theo nghĩa rộng hơn, bất kỳ loại thao tác nào liên quan đến tâm lý học hành vi đều có thể được coi là kỹ thuật xã hội. Tuy nhiên, khái niệm này không phải lúc nào cũng liên quan đến các hoạt động tội phạm hoặc lừa đảo. Trên thực tế, kỹ thuật xã hội đang được sử dụng và nghiên cứu rộng rãi trong nhiều bối cảnh, trong các lĩnh vực như khoa học xã hội, tâm lý học và marketing.
Khi nói đến an ninh mạng, kỹ thuật xã hội được thực hiện với những âm mưu thầm kín và đề cập đến một tập hợp các hoạt động độc hại nhằm lôi kéo mọi người thực hiện các hành động xấu, như chiếm đoạt thông tin cá nhân hoặc bí mật mà sau này có thể được sử dụng để chống lại họ hoặc công ty của họ. Gian lận danh tính là hậu quả phổ biến của các loại tấn công này và trong nhiều trường hợp dẫn đến tổn thất tài chính đáng kể.
Kỹ thuật xã hội thường được trình bày như một mối đe dọa trên mạng, nhưng khái niệm này tồn tại trong một thời gian dài và thuật ngữ này cũng có thể được sử dụng liên quan đến các kế hoạch lừa đảo trong thế giới thực, thường liên quan đến việc mạo danh các nhà chức trách hoặc các chuyên gia CNTT. Tuy nhiên, sự xuất hiện của internet giúp tin tặc thực hiện các cuộc tấn công thao túng trên quy mô rộng hơn và thật không may, các hoạt động độc hại này cũng đang diễn ra trong bối cảnh tiền điện tử.
Làm thế nào nó hoạt động?
Tất cả các loại kỹ thuật xã hội đều dựa vào những điểm yếu của tâm lý con người. Kẻ lừa đảo lợi dụng cảm xúc để thao túng và lừa nạn nhân của chúng. Sự sợ hãi, lòng tham, sự tò mò và thậm chí sẵn sàng giúp đỡ người khác của mọi người đã chống lại họ thông qua nhiều phương pháp khác nhau. Trong số nhiều loại kỹ thuật xã hội độc hại, phishing chắc chắn là một trong những ví dụ phổ biến và nổi tiếng nhất.
Phishing
Các email phishing thường bắt chước thư từ của một công ty hợp pháp, chẳng hạn như ngân hàng quốc gia, cửa hàng trực tuyến có uy tín hoặc nhà cung cấp email. Trong một số trường hợp, những email sao chép này sẽ cảnh báo người dùng rằng tài khoản của họ cần được cập nhật hoặc có hoạt động bất thường, yêu cầu họ cung cấp thông tin cá nhân như một cách để xác nhận danh tính tài khoản của họ. Vì sợ hãi, một số người nhanh chóng nhấp vào liên kết và điều hướng đến một trang web giả mạo để cung cấp dữ liệu cần thiết. Lúc này, thông tin sẽ nằm trong tay hacker.
Scareware
Các kỹ thuật xã hội cũng được áp dụng để truyền bá cái gọi là scarcare. Như tên cho thấy, scarware là một loại phần mềm độc hại được thiết kế để gây sợ hãi và gây sốc cho người dùng. Chúng thường liên quan đến việc tạo ra các báo động giả nhằm lừa các nạn nhân cài đặt một phần mềm lừa đảo có vẻ hợp pháp hoặc truy cập vào một trang web lây nhiễm vào hệ thống của họ. Một kỹ thuật như vậy thường phụ thuộc vào người dùng, vì sợ hệ thống của họ bị xâm phạm, thuyết phục họ nhấp vào biểu ngữ web hoặc cửa sổ bật lên. Các thông báo thường nói một cái gì đó như: hệ thống của bạn bị nhiễm bệnh, bấm vào đây để dọn dẹp.
Baiting ( Mồi chài )
Baiting là một phương pháp kỹ thuật xã hội khác gây rắc rối cho nhiều người dùng thiếu chú ý. Nó liên quan đến việc sử dụng mồi để dụ nạn nhân dựa trên sự tham lam hoặc tò mò của họ. Chẳng hạn, những kẻ lừa đảo có thể tạo ra một trang web cung cấp một cái gì đó miễn phí, như các tệp nhạc, video hoặc sách. Nhưng để truy cập các tệp này, người dùng được yêu cầu tạo tài khoản, cung cấp thông tin cá nhân của họ. Trong một số trường hợp, không cần có tài khoản vì các tệp bị nhiễm phần mềm độc hại trực tiếp sẽ xâm nhập hệ thống máy tính nạn nhân và thu thập dữ liệu nhạy cảm của họ.
Các kế hoạch đánh bắt cũng có thể xảy ra trong thế giới thực thông qua việc sử dụng thẻ nhớ USB và ổ cứng ngoài. Những kẻ lừa đảo có thể cố tình để các thiết bị bị nhiễm ở nơi công cộng, vì vậy bất kỳ người tò mò nào lấy nó để kiểm tra nội dung sẽ bị nhiễm máy tính cá nhân của họ.
Tấn công kỹ thuật xã hội và tiền điện tử
Một tâm lý tham lam có thể khá nguy hiểm khi nói đến thị trường tài chính, khiến các nhà giao dịch và nhà đầu tư đặc biệt dễ bị tấn công lừa đảo, kế hoạch Ponzi hoặc kim tự tháp và các loại lừa đảo khác. Trong ngành công nghiệp blockchain, sự phấn khích mà tiền điện tử tạo ra thu hút nhiều người mới đến không gian trong một khoảng thời gian tương đối ngắn (đặc biệt là trong các thị trường tăng trưởng).
Mặc dù nhiều người không hiểu đầy đủ về cách thức hoạt động của tiền điện tử, họ thường nghe về tiềm năng của các thị trường này để tạo ra lợi nhuận và kết thúc đầu tư mà không thực hiện nghiên cứu thích hợp. Kỹ thuật xã hội đặc biệt liên quan đến các tân binh vì họ thường bị mắc kẹt bởi lòng tham hoặc nỗi sợ hãi của chính họ.
Một mặt, mong muốn kiếm lợi nhuận nhanh chóng và kiếm tiền dễ dàng cuối cùng dẫn đến những người mới đến để theo đuổi những lời hứa sai lầm về quà tặng và airdrop. Mặt khác, nỗi sợ bị các tập tin riêng tư của họ bị xâm phạm có thể khiến người dùng phải trả tiền chuộc. Trong một số trường hợp, bạn bị nhiễm ransomware bị lừa bởi một báo động hoặc tin nhắn giả tạo do hacker tạo ra.
Làm thế nào để ngăn chặn các cuộc tấn công kỹ thuật xã hội ?
Như đã đề cập, lừa đảo kỹ thuật xã hội hoạt động vì chúng hấp dẫn với bản chất con người. Họ thường sử dụng nỗi sợ hãi như một động lực, thúc giục mọi người hành động ngay lập tức để bảo vệ bản thân (hoặc hệ thống của họ) khỏi một mối đe dọa không có thực. Các cuộc tấn công cũng dựa vào lòng tham của con người, dụ dỗ các nạn nhân vào các loại lừa đảo đầu tư khác nhau. Vì vậy, điều quan trọng là phải nhớ rằng nếu một đề nghị có vẻ quá tốt là đúng, thì có lẽ là như vậy.
Mặc dù một số kẻ lừa đảo là tinh vi, những kẻ tấn công khác mắc lỗi đáng chú ý. Một số email lừa đảo, và thậm chí các biểu ngữ sẹo, thường chứa lỗi cú pháp hoặc từ sai chính tả và chỉ có hiệu quả đối với những người không chú ý đến ngữ pháp và chính tả – vì vậy hãy chú ý khi mở.
Để tránh trở thành nạn nhân của các cuộc tấn công kỹ thuật xã hội, bạn nên xem xét các biện pháp bảo mật sau:
- Giáo dục bản thân, gia đình và bạn bè. Dạy họ về các trường hợp phổ biến của kỹ thuật xã hội độc hại và thông báo cho họ về các nguyên tắc bảo mật chung chính.
- Hãy thận trọng với các tập tin đính kèm và liên kết email.
- Tránh nhấp vào quảng cáo và trang web không rõ nguồn gốc.
- Cài đặt một phần mềm chống vi-rút đáng tin cậy và luôn cập nhật các ứng dụng phần mềm và hệ điều hành của bạn;
- Sử dụng các giải pháp xác thực đa yếu tố bất cứ khi nào bạn có thể để bảo vệ thông tin email và dữ liệu cá nhân khác của bạn. Thiết lập xác thực hai yếu tố (2FA) cho tài khoản các sàn giao dịch của bạn.
- Đối với các doanh nghiệp: xem xét việc chuẩn bị nhân viên của bạn để xác định và ngăn chặn các cuộc tấn công lừa đảo và các chương trình kỹ thuật xã hội.
Kết luận
Tội phạm mạng liên tục tìm kiếm các phương pháp mới để đánh lừa người dùng, nhằm đánh cắp tiền và thông tin nhạy cảm của họ, vì vậy điều rất quan trọng là giáo dục chính bạn và những người xung quanh bạn. Internet cung cấp một thiên đường cho các loại lừa đảo này và chúng đặc biệt thường xuyên trong không gian tiền điện tử. Hãy thận trọng và cảnh giác để tránh rơi vào bẫy kỹ thuật xã hội.
Hơn nữa, bất kỳ ai quyết định giao dịch hoặc đầu tư vào tiền điện tử nên thực hiện nghiên cứu trước đó và đảm bảo hiểu rõ về cả thị trường và cơ chế hoạt động của công nghệ blockchain.
SN_Nour
Theo Tapchibitcoin.vn
