5 hình thức Tấn công phi kỹ thuật và Tấn công mạng thường gặp và cách để phòng tránh chúng

2020-06-17

Trong bài viết #StaySAFU trước, chúng ta đã phân tích 5 mánh khóe lừa đảo tiền mã hóa thường gặp và cách để phòng tránh chúng. Nhưng phishing không phải là thứ duy nhất bạn phải đề phòng.

Tấn công phishing chỉ là một trong nhiều phương thức được những phần tử xấu sử dụng để chiếm đoạt thông tin nhạy cảm và tài sản tiền mã hóa của bạn.

Điểm khác biệt giữa Tấn công phi kỹ thuật và Tấn công mạng

Tấn công phi kỹ thuật (social engineering) là hình thức thao túng tâm lý của mục tiêu bị tấn công, với mục đích dụ dỗ nạn nhân tự tiết lộ những thông tin mật hoặc từ bỏ tài sản kỹ thuật số của mình.

Tấn công phi kỹ thuật không được thực hiện trực tiếp trên các hệ thống bảo mật, phần cứng hay khía cạnh công nghệ. Nó nhắm đến mắt xích yếu nhất trong chuỗi - con người. Thông qua thủ đoạn lừa gạt và thao túng, nạn nhân sẽ bị lừa tự giao nộp thông tin nhạy cảm cho kẻ tấn công.

Trong khi đó, tấn công mạng (hack) thì lại là một phạm trù bảo mật hoàn toàn khác. Hack là hành động tấn công trực tiếp vào phần cứng, cơ sở hạ tầng hay các yếu tố bảo mật để tìm các lỗ hổng có thể khai thác được. Mục tiêu của kẻ xâm nhập cũng khác nhau. Cách thức hack được sử dụng chủ yếu ngày nay là cố chiếm đoạt quyền kiểm soát thiết bị hay hệ thống của nạn nhân hoặc đánh cắp thông tin để thu lợi tài chính. Tuy nhiên, cũng có những trường hợp mà kẻ tấn công thực hiện hành vi của mình chỉ với mục đích gây thiệt hại cho nạn nhân.

Giờ thì hãy cùng nhìn vào 5 phương thức tấn công phi kỹ thuật và tấn công mạng thường gặp nhất - cũng như một sai sót mà tất cả chúng ta ai cũng phạm phải.

Ransomware (Mã độc tống tiền)

Đây là một phần mềm độc hại có thể được lây nhiễm vào máy tính của bạn và thường đe dọa xóa dữ liệu của bạn, trừ khi bạn trả một khoảng tiền chuộc. Tình hình sẽ thay đổi khác nhau tùy thuộc vào loại ransomware mà bạn đang đối mặt.

Scareware là cách tấn công cơ bản nhất. Máy tính hoặc trình duyệt của bạn tương tác với các dòng mã hay phần mềm độc hại và tự động hiện lên một tin nhắn cảnh báo để khiến bạn trở nên sợ hãi, yêu cầu bạn phải tải một tệp tin về hay trả tiền cho một sản phẩm hoặc liên hệ đến một đội ngũ hỗ trợ mạo danh. Bạn có thể dễ dàng gỡ bỏ scareware bằng cách sử dụng sản phẩm và dịch vụ an ninh mạng chất lượng cao mà không lo gây hại đến thiết bị và dữ liệu cá nhân.

Screen locker (khóa màn hình) là một kiểu tấn công ransomware khác, nhưng lại nguy hiểm hơn nhiều so với scareware. Screen locker sẽ hoàn toàn ngăn không cho bạn truy cập vào thiết bị, đồng thời hiển thị một thông báo mạo danh cơ quan chính quyền hoặc một tổ chức phòng chống tội phạm. Trùng hợp thay, những tổ chức này lại chấp nhận mở khóa thiết bị của bạn nếu bạn gửi cho họ tiền mã hóa. Tuy nhiên, việc trả tiền chuộc chưa chắc là sẽ giúp bạn lấy lại dữ liệu của mình, và đa phần các trường hợp thì dữ liệu của bạn coi như đã mất vĩnh viễn.

Kịch bản tệ nhất là ransomware mã hóa. Ở đây thì kẻ tấn công sẽ mã hóa dữ liệu của bạn và đe dọa xóa hoặc công khai chúng nếu bạn không chịu trả tiền chuộc. Những kẻ đứng đằng sau ransomware WannaCry đã làm hình ảnh của tiền mã hóa trong mắt dư luận bị xấu đi rất nhiều - nhất là Bitcoin - bởi chúng yêu cầu nạn nhân phải trả tiền chuộc bằng đồng tiền này. Bọn tin tặc WannaCry rốt cuộc đã nhận được 327 giao dịch chuộc dữ liệu với tổng số tiền là 51.62 BTC, trị giá hơn nửa triệu USD ở thời điểm thực hiện bài viết.

Cả tấn công screen locker và ransomware đều gần như không thể gỡ bỏ một khi chúng đã chiếm quyền kiểm soát thiết bị của bạn. Giải pháp duy nhất là phải phòng tránh chúng từ đầu.

Baiting (Đặt bẫy)

Đúng như tên gọi của nó, baiting là chiêu thức tấn công giăng bẫy hoặc dụ dỗ nạn nhân với lời hứa là sẽ có phần thưởng. Baiting được thực hiện cả trên mạng lẫn ngoài đời thực. Mồi nhử ngoài đời thật có thể là một chiếc USB hoặc ví cứng bị để lại ở một nơi dễ thấy. Một khi bạn kết nối nó với thiết bị của mình, mã độc sẽ được lây nhiễm. Mồi nhử online thì thường là các quảng cáo và cuộc thi hứa hẹn giải thưởng hấp dẫn.

Nếu bạn có bao giờ nhặt được một chiếc ví cứng Trezor có đề “Tiền tiết kiệm BTC cả đời của CZ”, thì khả năng cao nó là một cái bẫy mà thôi. Đừng sử dụng những thiết bị không thuộc quyền sở hữu của bản thân, và luôn đề cao cảnh giác trước những quảng cáo hay lời mời chào hứa hẹn lợi nhuận cao.

Vishing

Là một sự kết hợp giữa tấn công phishing với âm thanh giọng nói, vishing là một mánh khóe tấn công đang được sử dụng ngày càng rộng rãi, với những thêm thắt mới xuất hiện theo từng ngày. Kẻ tấn công sẽ không sử dụng email gọi điện thoại hay nhắn tin cho bạn, mà thay vào đó sẽ tiếp cận đến bạn thông qua dịch vụ gọi điện qua internet (VoIP). Cách thức tấn công sẽ là một cuộc gọi thông báo rằng tài khoản hay thẻ ngân hàng của bạn đã bị khóa, hoặc khoản vay thế chấp của bạn đã được chấp thuận, hoặc một tổ chức từ thiện đang kêu gọi sự đóng góp của bạn. Những phần tử xấu thường mạo danh những người được tin tưởng như nhân viên ngân hàng, người thu nợ, bộ phận hỗ trợ khách hàng, hoặc thậm chí là người của sở thuế.

Bạn có thể dễ dàng lật tẩy mánh khóe Vishing bằng cách gọi điện đến số điện thoại chính thức của tổ chức mà kẻ tấn công tự nhận mình là nhân viên và yêu cầu xác minh thông tin. Một quy tắc cơ bản là nếu nghi ngờ, bạn nên cúp máy và gọi ngay đến số điện thoại được tổ chức cung cấp trên website của họ.

Nhân viên hỗ trợ của Binance sẽ không bao giờ liên hệ với bạn thông qua điện thoại. Đừng bao giờ chia sẻ những thông tin nhạy cảm qua điện thoại vì dù nhà cung cấp dịch vụ hay nhà sản xuất điện thoại của bạn có là ai đi chăng nữa thì chẳng có cuộc gọi điện thoại nào là hoàn toàn riêng tư hay bảo mật cả.

Pretexting

Kẻ tấn công sẽ cố lấy được những thông tin riêng tư của bạn thông qua một chuỗi những lời nói dối. Dưới hình thức pretexting, kẻ tấn công thường mạo danh một người chúng ta đều biết hoặc một cơ quan công quyền được tin tưởng, như là cảnh sát hay quan chức nhà băng. Chúng sau đó sẽ giả tạo nên tính cấp bách của sự việc, hối thúc bạn phải cung cấp thông tin cá nhân hoặc thực hiện một số công việc cụ thể.

Những mục tiêu phổ biến nhất của tấn công pretexting là để lấy được số chứng minh thư, thông tin thẻ ngân hàng, địa chỉ cá nhân, số điện thoại, seed phrase của ví cứng hoặc thậm chí là cả Bitcoin. Để tránh trở thành nạn nhân, bạn chỉ cần áp dụng các phương pháp tương tự như đối phó với tấn công vishing: luôn luôn xác nhận rằng mình đang nói chuyện với một người thật bằng cách xác minh thông tin với tổ chức mà họ nhận là thành viên.

Bait and Switch

“Bãi đi săn” của những kẻ tấn công theo phương thức bait and switch là những môi trường được tin tưởng như website hay trình duyệt web. Các tên miền độc hại thường được hiển thị là kết quả của yêu cầu tìm kiếm của bạn. Khi áp dụng SEO và quảng cáo có trả phí, trang web đó sẽ mạo danh website chính thức và leo hạng trên kết quả tìm kiếm. Một khi bạn nhấn vào kết quả vì nghĩ rằng nó là trang web thật, bạn sẽ bị điều hướng đến website của kẻ tấn công.

Để tránh bị mắc bẫy, người dùng cần phải chủ động. Phải hạn chế truy cập vào những trang web có tên kỳ lạ hoặc có lỗi chính tả. Đừng tin vào quảng cáo mà có hứa hẹn xa vời. Hãy sử dụng óc phán đoán của bạn, và đừng nên ngay lập tức click vào thứ mà bạn cho là thú vị.

Sử dụng lại thông tin đăng nhập

Dù đây không phải là một hình thức tấn công, song nó vẫn là một lỗ hổng đáng đề cập bởi thường xuyên kẻ xấu lợi dụng. Việc sử dụng lại thông tin đăng nhập trên nhiều nền tảng là sai sót mà chắc chắn ai trong số chúng ta cũng đã hoặc đang phạm phải. Hậu quả của nó là một khi tin tặc có được tên đăng nhập và mật khẩu của bạn trên một nền tảng, các tài khoản trên nền tảng khác đều bị đe dọa.

Hãy ngưng việc sử dụng lại thông tin đăng nhập. Hiện đã có rất nhiều ứng dụng quản lý mật khẩu miễn phí và an toàn để bạn lựa chọn, thứ mà sẽ tự tạo những mật khẩu an toàn và độc nhất cho từng trang web bạn truy cập.

Kết luận

Điều quan trọng nên nhớ là không phải hình thức hack nào cũng là xấu. Cypherpunk, những người chuyên hack để thử nghiệm, tin tặc ‘mũ trắng’ và nhiều đơn vị khác đang giúp bảo vệ cả các cá nhân và doanh nghiệp trong thời đại kỹ thuật số. Lĩnh vực tiền mã hóa có hơn hàng nghìn doanh nghiệp, và các chuyên gia về bảo mật sẽ giúp mang đến một tương lai an toàn cho chúng ta.

Chúng tôi tin rằng con người vẫn là mắt xích yếu nhất. Do đó, mỗi người chúng ta cần học cách tăng cường bảo mật và tự quản lý tài sản cùng dữ liệu cá nhân. Với tất cả các hình thức tấn công, phương án đề phòng tốt nhất vẫn là kiến thức và sự nhận biết.

Hãy cùng nhau cải thiện an ninh kỹ thuật số. Hãy chia sẻ chiến dịch #StaySAFU của chúng tôi với bạn bè của bạn! 

Đừng bỏ lỡ những bài viết #StaySAFU tiếp theo:

Đã đăng tải - #StaySAFU cùng Chiến dịch Bảo mật của Binance

Đã đăng tải - 8 thống kê đáng ngạc nhiên về Tấn công Phishing tiền mã hoá

Đã đăng tải - 5 mánh khóe lừa đảo tiền mã hoá thường gặp và cách để phòng tránh chúng

Đã đăng tải - 5 hình thức tấn công phi kỹ thuật và tấn công mạng thường gặp và cách để phòng tránh chúng

Ngày 12/06 - Bảo vệ tài khoản Binance của bạn chỉ bằng 7 bước đơn giản

Ngày 15/06 - #StaySAFU với các mẹo bảo mật từ chuyên gia

Ngày 17/06 - Cách để bảo vệ tiền mã hoá của bạn

Ngày 17/06 - Tham gia cuộc thi #StaySAFU và giành cơ hội trúng $500 tiền BNB

Hãy theo dõi Binance Binance Academy trên Twitter để cập nhật những thông tin mới nhất về chiến dịch nhé.

241,365,218 người dùng đã chọn chúng tôi. Tìm hiểu lý do ngay hôm nay.
Đăng ký ngay