# Tấn công Social Engineering

## I. Social Engineering là gì?

Phương pháp phi kỹ thuật, tận dụng các kiến thức và kỹ năng xã hội để đạt được kết quả nhanh chóng và hiệu quả hơn.

<figure><img src="/files/0YXuUbbwVmlVDgEriWSV" alt=""><figcaption></figcaption></figure>

Social Engineering là phương pháp tấn công, đột nhập vào hệ thống của một tổ chức, công ty, doanh nghiệp. Là quá trình lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh, lấy cắp dữ liệu hoặc tống tiền. Nói cách khác thì đây là một trò lừa đảo rất tinh vi được thực hiện qua mạng internet, tỉ lệ thành công của hình thức này rất cao, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại.&#x20;

Nó thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng cách này, nó tiến hành khai thác thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Nó có nghĩa là người dùng với kiến thức bảo mật kém sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Các hacker thường tận dụng các mối quan hệ thân thiết, tin cậy mà trong môi trường thông tin được gọi là các "trust relationship" để tiến hành khai thác mục tiêu.

Để phòng chống các dạng tấn công này thì doanh nghiệp cần có những chương trình đào tạo nhằm nâng cao nhận thức an toàn thông tin cho nhân viên của mình.

## II. Thủ thuật sử dụng

Social Engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà nó muốn.&#x20;

Có 2 loại thông dụng:

* Social Engineering là việc lấy được thông tin cần thiết từ một người nào đó hơn là phá hủy hệ thống.
* Psychological subversion: mục đích của hacker hay attacker khi sử dụng một kỹ thuật thiên về tâm lý thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.

## III. Điểm yếu của con người

* Con người luôn mong muốn điều có lợi cho mình và tránh khỏi các phiền hà, rắc rối;
* Con người thường có khuynh hướng giúp đỡ người khác;
* Con người thường chấp nhận một thông tin mới hơn là nghi ngờ tính xác thực của thông tin đó;
* Con người luôn muốn làm nhanh một việc, cắt bỏ giai đoạn;
* Thái độ của một người đối với việc bảo vệ thông tin cá nhân của mình không cao.

## IV. Phân loại Social Engineering

### 1. Human-Based Social Engineering

Liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn.

Kỹ thuật Human Based có thể chia thành các loại như sau:

* Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.
* Posing as important user: Trong vai trò của một người sử dụng quan trọng như người quản lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
* Third-person Authorization: lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
* Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Sosical Engineering. Help-desk và phòng hỗ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
* Shoulder Surfing: là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
* Dumpster Diving: là kỹ thuật thu thập thông tin trong thùng rác. Thu thập thông tin trong thùng rác của các công ty lớn, thông tin  mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác.

### 2. Computer-based social engineering

Kỹ thuật liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ như bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).

Có thể chia thành các loại sau:

* Phishing: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
* Vishing: THuật ngữ là sự kết hợp của "voice" và phising. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gửi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
* Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

## V. Các bước tấn công trong Social Engineering

<figure><img src="/files/BpZsBgew80w4BntKgXmo" alt=""><figcaption><p>Các bước tấn công trong social engineering</p></figcaption></figure>

### 1. Thu thập thông tin

Một trong những chìa khóa thành công của Social Engineering là thông tin.

Đáng nhạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong một tổ chức đó.

Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách số điện thoại và email; và chỉ ra các chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng. Nhưng thứ mà các tổ chức ném đi có thể là nguồn tài nguyên quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tau,... có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,...

### 2. Chọn mục tiêu

Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó.

Mục tiêu thông thường là nhân viên kỹ thuật hỗ trợ, được tập luyện để đưa sự giúp đỡ vào có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,... Mục đích của hầu hết các kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chi là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.

Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cấp cao. Nhiều các trợ lý này thực hiện các công việc hằng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.

### 3. Tấn công

Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là  "sự lường gạt". Gồm 3 loại chính:

* Ego attack: kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói câu về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.
* Sympathy attacks: kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ để thực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,... Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản chất con người là thông cảm nên trong hầu hết các TH yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ.
* Intimidation attacks: Kẻ tấn công giả vờ là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.

## VI. Phòng chống các mỗi đe dọa

### 1. Với cá nhân

* Tuyệt đối không click vào những đường link lạ trên mạng xã hội
* Khi nhận được tin nhắn Facebook hoặc tin nhắn trong Email của người lạ có file đính kèm dàn .zip, .dll, .exe thì chớ vội click. Nếu click vào tệp đó, thiết bị bạn sẽ bị nhiễm mã độc.
* Không nên chia sẻ thông tin, tài liệu của công ty và doanh nghiệp lên mạng sã hội nếu chưa được phép.
* Không click vào những cửa sổ Pop-up trúng thưởng.
* Khi bạn đã lỡ truy cập vào trang web giả mạo với trang web gốc hoặc bị điều hướng tới trang web giả mạo thì không nên điền thông tin tài khoản ngân hàng, số chứng minh thư hay những thông tin mật cá nhân khác.
* Sử dụng một số thanh công cụ chống lừa đảo như : Netcraft, PhishTank để phát hiện trang web lừa đảo.

### 2. Với doanh nghiệp, tổ chức nói chung

* Khuyến nghị phân chia tài khoản mạng xã hội rạch ròi giữa cuốc sống và công việc. Mặc dù điều này không thể loại trừ được hết nguy cơ thông tin, nhưng nó cũng hiệu quả một phần.
* Luôn luôn phải xác nhận liên lạc, và không liên lạc với người lạ. Đây là vấn nạn phổ biến trên mạng xã hội khi hầu hết người dùng thường chấp nhận lời mời sự kiện hoặc lời mời kết bạn từ những người lạ không quen biết.
* Tránh sử dụng một mật khẩu cho nhiều tài khoản mạng xã hội khác nhau nhằm tránh nguy cơ lộ thông tin hàng loạt.
* Hạn chế đăng mọi thứ lên mạng xã hội vì thông tin được đăng có thể được kẻ tấn công tìm thấy, kể cả sau một thời gian dài.
* Hạn chế đăng những thông tin hoặc đặc điểm cá nhân để tránh khả năng người dùng bị kẻ tấn công mạo danh.

Đối với các công ty, tổ chức lớn cũng cần có những chính sách cụ thể để ngăn ngừa khả năng bị khai tác tấn công Social Engineering:

* Giáo dục nhân viên hạn chế đăng ký và để lộ thông tin cá nhân, nhận dạng trên mạng, những thông tin quan trọng như số điện thoại, hình ảnh nhà cửa, gia đình, địa chỉ nhà, bất kì thông tin nào có thể được tận dụng để mạo danh.
* Khuyến khích nhân viên sử dụng hai tài khoản cá nhân và công việc trên các trang mạng xã hội.
* Đào tạo nhân viên sử dụng mật khẩu phức tạp, độ bảo mật cao.
* Đào tạo nhân viên cho thấy tầm quan trọng của thông tin cá nhân trên những trang mạng xã hội như Facebook.
* Đào tạo, chỉ dẫn nhân viên về các mối quan hệ nguy hiểm của tấn công **Phishing** trên mạng xã hội và cách phòng tránh nó.

## VII. Thiết kế lớp phòng thủ chiều sâu

<figure><img src="/files/Edq5L0ExHGw82r1Ym3cn" alt=""><figcaption><p>mô hình phòng vệ chiều sâu</p></figcaption></figure>

Mô hình phân lớp phòng thủ chiều sâu phân loại các giải pháp bảo mật chống các yếu tố tấn công - những vùng điểm yếu - mà hacker có thể sử dụng để đe dọa môi trường máy tính. Các yếu tố tấn công bao gồm:

* Chính sách, thủ tục, nhận thức: các văn bản quy định rằng bạn phát triển để quản lý tất cả các lĩnh vực bảo mật, và chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, và thực thi các quy định này.
* Bảo mật vật lý: các rào cản mà quản lý truy cập đến tài sản và tài nguyên. Điều quan trọng để nhớ các yếu tố sau cùng; ví dụ: nếu bạn đặt giỏ rác bên ngoài công ty, sau đó chúng ở bên ngoài sự bảo mật vật lý của công ty.
* Dữ liệu: thông tin kinh doanh - tài khoản, email,... khi xem xét các mối đe dọa, thì phải bao gồm cả bản cứng và bản mềm copy tài liệu trong kế hoạch bảo mật dữ liệu.
* Ứng dụng: các chương trình chạy bởi user. Phải đánh giá các hacker Social Engineering có thể phá vỡ chương trình như thế nào, chẳng hạn email hoặc IM.
* Host: các máy tính server và client được sử dụng trong tổ chức. Sự trợ giúp đảm bảo rằng bạn bảo vệ các user chống lại các cuộc tấn công trực tiếp vào các máy tính này bằng cách xác định chặt chẽ các nguyên tắc chỉ đạo phần mềm để sử dụng máy tính và làm thế nào quản lý các thiết bị bảo mật, chẳng hạn như user ID và password.
* Mạng nội bộ: hệ thống mạng mà hệ thống máy tính công ty truyền thông. Nó có thể là local, wireless, hoặc WAN. Các mạng nội bộ đã trở nên ít “nội bộ” trong vài năm qua, với sự hoạt động tại nhà và di động đã phổ biến. Vì thế phải làm cho chắc chắn là user hiểu rằng họ phải làm việc bảo mật trong tất cả các môi trường nối mạng.
* Chu vi: điểm tiếp xúc giữa mạng nội bộ và mạng bên ngoài, chẳng hạn như Internet hay hệ thống mạng là phụ thuộc vào các đối tác kinh doanh, có thể một phần của extranet. Các tấn công Social Engineering thường cố gắng xuyên thủng chu vi để khởi đầu tấn công vào dữ liệu, ứng dụng, và các host xuyên qua hệ thống mạng nội bộ.

***

Nguồn và tham khảo:

1. <https://nhattruong.blog/2022/12/25/tan-cong-social-engineering-toan-tap-part-1/>
2. <https://nhattruong.blog/2022/12/25/tan-cong-social-engineering-toan-tap-part-2/>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/interview-questions/tan-cong-social-engineering.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.