Social Engineering và Phishing có giống nhau hay không?

1126
20-03-2018
Social Engineering và Phishing có giống nhau hay không?

Social Engineering và Phishing là hai khái niệm hoàn toàn khác nhau. Social Engineering là việc truy cập trái phép bằng cách khai thác cảm xúc con người. Trong khi Phishing là sự lừa đảo liên quan tới việc hacker gửi email giả mạo tới người dùng nhằm thu thập thông tin và tống tiền. Hãy cùng Bizfly Cloud  khám phá cụ thể 2 khái niệm này kèm những minh họa cụ thể trong bài viết sau nhé!

1. Bản chất của Social Engineering

- Social engineering là gì?

Đây là phương pháp phi kỹ thuật nhằm đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công.

- Bản chất của Social engineering

Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Các kỹ thuật tấn công được sử dụng trong Social Engineering:

Giả vờ là một quản trị viên hoặc những người có thẩm quyền khác, giả vờ một tình huống khẩn cấp, hoặc mạo nhận người quen, nhặt tài liệu trong thùng rác, theo dõi nghe lén cuộc điện thoại, quay lén máy ATM, tìm kiếm thông tin những thiết bị xung quanh mục tiêu…

- Ví dụ tình huống minh họa

Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách hàng.

Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi.

Attacker : Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice.

Alice: Xin chào, tôi là Alice.

Attacker: Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm. Thế này…

Alice: Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.

Attacker: Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.

Alice: Của tôi à ... à vâng.

Attacker: Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.

Alice: Vậy mail của tôi có bị mất không?

Attacker: Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được.

Alice: Password của tôi à? Uhmmm...

Attacker: Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật. (nỗ lực làm tăng sự tin tưởng từ nạn nhân).

Attacker: Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.

Alice: Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456

Attacker: Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.

Alice: Có chắc là mail không bị mất không?

Attacker: Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.

Alice: Cảm ơn.

Attacker: Chào cô.

Social Engineering và Phishing có giống nhau hay không? - Ảnh 1.

2. Bản chất của Phishing

- Phishing là gì?

Tấn công Phishing là một trò lừa đảo gian lận thông qua email mà tin tặc gửi tới người dùng với mục đích tìm kiếm thông tin cá nhân hoặc thông tin về tài chính.

Trong một số trường hợp, Hacker có thể gửi email Phishing để yêu cầu bạn thực hiện theo yêu cầu của tin tặc, nội dung trong email thường là thông báo trúng thưởng rất lớn. Một số khác bị điều hướng tới một trang web giả mạo giống website gốc, hoặc sử dụng một cửa sổ Pop-Up trông giống như một trang web.

- Bản chất của Phishing

Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang web giả mạo do các hacker lập nên.

- Ví dụ tình huống minh họa

Trong kỹ thuật, attacker sẽ làm giả URL của một trang web được nhiều người truy cập. Bằng cách nào đó, URL này được gửi đến cho người dùng, vì thiếu tính cẩn thận nên người dùng đã truy cập vào web này. Ví dụ như thay vì truy cập http://www.amazone.com thì lại truy cập vào website http://www.amazione.com

Chỉ cần bất cẩn một chút là bạn đã bị vướng vào bẫy bảo mật của tin tặc rồi!

Social Engineering và Phishing có giống nhau hay không? - Ảnh 2.

3. Lời khuyên dành cho bạn

Nếu một ngày nào đó, bỗng dưng bạn nhận được Email hoặc một cuộc điện thoại nào đó, thoạt đầu có vẻ hợp pháp nhưng lại yêu cầu thông tin về số thẻ tín dụng, thẻ ngân hàng, số tài khoản giao dịch, mật khẩu hoặc thông tin cá nhân khác, bạn cần tuyệt đối cẩn thận. Hãy tập trung nâng cao nhận thức và trang bị các kiến thức cơ bản nhất cho mình, đặc biệt là các kiến thức về bảo mật thông tin cá nhân toàn diện.

Chúc các bạn thành công!

Theo Bizfly Cloud chia sẻ

>> Có thể bạn quan tâm: Keylogger là gì? Tóm tắt về Keylogger - một công cụ nguy hiểm và độc hại

SHARE