Hiểu theo nghĩa rộng của từ, bất kỳ sự thao túng nào được liên kết với tâm lý hành vi cũng có thể được xem là kỹ thuật tấn công phi kỹ thuật (social engineering). Tuy nhiên, khái niệm này không phải lúc nào cũng liên quan đến các hoạt động tội phạm hoặc lừa đảo. Trên thực tế, tấn công phi kỹ thuật đang được sử dụng và nghiên cứu rộng rãi trong nhiều ngữ cảnh, trong các lĩnh vực như khoa học xã hội, tâm lý học và tiếp thị.

Trong lĩnh vực an ninh mạng, tấn công phi kỹ thuật (hay còn gọi là lừa đảo phi kỹ thuật) được thực hiện với các động cơ kín đáo và được sử dụng để nói đến các hoạt động gây hại, thao túng con người thực hiện những hành động sai lầm, chẳng hạn tiết lộ các thông tin cá nhân hoặc thông tin bí mật. Những thông tin này sau đó được sử dụng để tấn công chính những người này hoặc công ty của họ. Gian lận danh tính là một hậu quả thường thấy từ những cuộc tấn công này, và trong nhiều trường hợp dẫn đến những tổn thất tài chính nghiêm trọng.Người ta thường mô tả tấn công phi kỹ thuật như một đe dọa an ninh mạng, nhưng khái niệm này đã tồn tại trong một thời gian dài, và thuật ngữ này có thể được sử dụng liên quan đến những âm mưu gian lận trong thế giới thực, thường bao gồm hành vi giả mạo làm nhà chức trách hoặc các chuyên gia CNTT. Tuy nhiên, sự xuất hiện của mạng internet đã khiến các tin tặc có thể dễ dàng thực hiện các cuộc tấn công thao túng trên phạm vi rộng lớn hơn, và thật không may, những hành vi gây hại này cũng đang xảy ra trong thế giới tiền mã hóa.

Cách thức hoạt động?

Tất cả các tấn công phi kỹ thuật đều dựa vào điểm yếu của tâm lý con người. Những kẻ lừa đảo lợi dụng yếu tố cảm xúc của người dùng để thao túng và lừa các nạn nhân. Sự sợ hãi, lòng tham, sự tò mò và thậm chí sự sẵn sàng giúp đỡ người khác của mọi người đã được sử dụng để chống lại họ thông qua nhiều phương pháp khác nhau. Trong số nhiều loại kỹ thuật tấn công gây hại social engineering, phishing (giả mạo để đánh cắp thông tin người dùng) chắc hẳn là một trong số những ví dụ thường gặp và được nhiều người biết đến nhất.

Tấn công phishing

Các email phishing thường giả mạo là thư được gửi từ một công ty hợp pháp, chẳng hạn từ chuỗi ngân hàng quốc gia, từ một cửa hàng trực tuyến uy tín, hoặc từ nhà cung cấp dịch vụ email. Trong một số trường hợp, những email giả mạo này sẽ cảnh báo người dùng rằng tài khoản của họ cần được cập nhật hoặc có hoạt động bất thường, và yêu cầu họ cung cấp thông tin cá nhân như một cách để xác nhận danh tính và khôi phục tài khoản của họ. Vì sợ hãi, một số người nhanh chóng nhấp vào liên kết và điều hướng đến một trang web giả mạo để cung cấp những thông tin được yêu cầu. Lúc này, thông tin sẽ nằm trong tay tin tặc.

Phần mềm Scareware

Các tấn công phi kỹ thuật cũng được áp dụng để lan truyền phần mềm độc hại có tên gọi Scareware. Như cái tên của nó đã chỉ ra, scareware là một loại phần mềm độc hại được thiết kế để làm cho người dùng sợ hãi và bị bất ngờ. Chúng thường bao gồm việc tạo ra những cảnh báo giả để cố gắng lừa các nạn nhân cài đặt một phần mềm trông có vẻ hợp pháp nhưng thực ra là phần mềm lừa đảo, hoặc lừa họ để truy cập một trang web sẽ làm hệ thống của họ bị nhiễm độc. Kỹ thuật này thường dựa trên sự sợ hãi của người dùng về việc hệ thống của họ bị gây hại. Kẻ tấn công sẽ thuyết phục nạn nhân nhấp vào một banner hoặc thông báo bật lên trên trang web. Thông báo đó thường có nội dung tương tự như: “Hệ thống của bạn bị nhiễm độc, hãy nhấp vào đây để làm sạch nó.”

Baiting (mồi câu)

Baiting là một phương pháp tấn công social engineering khác gây ra vấn đề cho nhiều người dùng không để ý. Phương pháp này sử dụng các mồi câu để dụ dỗ nạn nhân, dựa vào lòng tham hoặc sự tò mò của họ. Ví dụ, kẻ lừa đảo có thể lập một trang web cung cấp thứ gì đó miễn phí chẳng hạn các tệp nhạc, video hoặc sách. Nhưng để truy cập các tệp này, người dùng phải tạo tài khoản và cung cấp thông tin cá nhân của họ. Trong một số trường hợp, không cần có tài khoản vì các tệp bị nhiễm phần mềm độc hại trực tiếp sẽ xâm nhập vào hệ thống máy tính của nạn nhân và thu thập dữ liệu nhạy cảm của họ.

Các âm mưu baiting cũng có thể xảy ra trong thế giới thực qua việc sử dụng thiết bị USB và các ổ cứng ngoài. Kẻ lừa đảo có thể cố tình để lại các thiết bị nhiễm độc ở một nơi công cộng, vì vậy bất kỳ người nào tò mò xem nội dung trong thiết bị đó sẽ khiến máy tính cá nhân của họ bị nhiễm độc.   

Tấn công phi kỹ thuật và tiền mã hóa

Tâm trí tham lam có thể khá nguy hiểm trong bối cảnh thị trường tài chính, khiến các nhà giao dịch và nhà đầu tư đặc biệt dễ trở thành nạn nhân của tấn công phishing, Ponzi hoặc bán hàng đa cấp, và các loại lừa đảo khác. Trong ngành công nghiệp blockchain, sự phấn khích mà tiền mã hóa tạo ra đã thu hút rất nhiều người tham gia lần đầu tiên vào không gian này trong một khoảng thời gian khá ngắn (đặc biệt trong những khoảng thời gian thị trường theo chiều giá lên ).Mặc dù nhiều người không hoàn toàn hiểu rõ về cách thức vận hành của tiền mã hóa, nhưng họ thường nghe về tiềm năng sinh lời của những thị trường này và do vậy họ thường đầu tư mà không nghiên cứu phù hợp. tấn công phi kỹ thuật là điều đặc biệt đáng lo ngại đối với những người mới tham gia này do họ thường bị mắc bẫy bởi chính lòng tham hoặc sự sợ hãi của họ.Một mặt, sự háo hức muốn sinh lời nhanh và kiếm tiền dễ dàng cuối cùng khiến những người mới đến này theo đuổi những lời hứa về những cơ hội cho tặng và phát token miễn phí (airdrop). Mặt khác, nỗi sợ hãi bị mất các tệp cá nhân khiến những người dùng phải trả khoản tiền chuộc. Trong một số trường hợp, các tệp của họ không thực sự bị nhiễm phần mềm đòi tiền chuộc (ransomware), và người dùng bị lừa bởi một thông báo hoặc cảnh báo giả mạo do tin tặc tạo ra.

Cách ngăn chặn các cuộc tấn công social engineering

Như đã đề cập, việc lừa đảo sử dụng kỹ thuật social engineering có hiệu quả vì chúng dựa vào bản chất của con người. Chúng thường sử dụng nỗi sợ hãi như một động cơ, thúc đẩy con người phải hành động ngay lập tức để bảo vệ bản thân (hoặc hệ thống của mình) tránh khỏi một mối đe dọa không có thực. Những cuộc tấn công cũng dựa vào lòng tham của con người, dụ dỗ nạn nhân vào nhiều loại lừa đảo đầu tư. Bởi vậy một điều quan trọng mà bạn cần nhớ, đó là nếu một đề nghị nào đó quá tốt đến mức không thể tin được, có thể đó là một cái bẫy.

Có một số kẻ lừa đảo rất tinh vi, nhưng cũng có những kẻ tấn công mắc những lỗi đáng chú ý. Một số email phishing, và thậm chí các biểu ngữ scareware, thường chứa các lỗi cú pháp hoặc từ sai chính tả, và chúng chỉ có hiệu quả đối với những người không chú ý đến ngữ pháp và chính tả – vì vậy hãy chú ý kiểm tra thật kỹ.

Để tránh trở thành nạn nhân của các cuộc tấn công social engineering, bạn nên xem xét các biện pháp bảo mật sau:

• Tự đào tạo cho bản thân, cho gia đình và bạn bè. Đào tạo họ về các trường hợp tấn công social engineering độc hại thường gặp và thông báo cho họ về các nguyên tắc bảo mật chính.
• Hãy thận trọng với các tệp đính kèm và liên kết email. Tránh nhấp vào quảng cáo và trang web không rõ nguồn gốc;
• Cài đặt một phần mềm chống vi-rút đáng tin cậy và cập nhật các ứng dụng phần mềm và hệ điều hành của bạn;
• Sử dụng các giải pháp xác thực đa yếu tố bất cứ khi nào bạn có thể để bảo vệ thông tin đăng nhập email và dữ liệu cá nhân khác của bạn. Thiết lập xác thực hai yếu tố (2FA) cho tài khoản Binance của bạn.
• Đối với các doanh nghiệp: xem xét việc trang bị cho nhân viên của bạn các kiến thức để xác định và ngăn chặn các cuộc tấn công lừa đảo và các âm mưu tấn công social engineering.

Kết luận

Các tội phạm mạng luôn tìm kiếm các phương pháp mới để đánh lừa người dùng, nhằm đánh cắp tiền và thông tin nhạy cảm của họ, vì vậy một điều rất quan trọng là bạn cần đào tạo cho chính bản thân và những người xung quanh bạn. Mạng Internet là một nơi trú ẩn an toàn cho những loại lừa đảo này và chúng đặc biệt phổ biến trong không gian tiền mã hóa. Hãy thận trọng và cảnh giác để tránh rơi vào bẫy tấn công social engineering.Ngoài ra, bất kỳ ai quyết định giao dịch hoặc đầu tư vào tiền mã hóa nên nghiên cứu trước và đảm bảo hiểu rõ về cả thị trường và cơ chế hoạt động của công nghệ blockchain.