Điều quan trọng là phải nhận thức được kỹ thuật xã hội và được trên Lookout. Các chương trình bảo mật sẽ không bảo vệ bạn khỏi các mối đe dọa kỹ thuật xã hội nhất, vì vậy bạn phải tự bảo vệ mình.
Giải thích về Kỹ thuật Xã hội
Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm ra lỗ hổng trong mã của máy tính. Ví dụ: nếu bạn đang sử dụng phiên bản Adobe Flash lỗi thời - hoặc, hãy cấm, Java, nguyên nhân gây ra 91% các cuộc tấn công vào năm 2013 theo Cisco - bạn có thể truy cập trang web độc hại và trang web đó sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công đang thao túng các lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có lẽ với một keylogger mà họ cài đặt.
Các kỹ thuật xã hội khác nhau vì chúng liên quan đến thao tác tâm lý thay thế. Nói cách khác, họ khai thác mọi người, không phải phần mềm của họ.
Có thể bạn đã nghe nói về lừa đảo, đó là một hình thức kỹ thuật xã hội. Bạn có thể nhận được email xác nhận là từ ngân hàng, công ty phát hành thẻ tín dụng hoặc một doanh nghiệp đáng tin cậy khác. Họ có thể hướng bạn đến một trang web giả mạo được ngụy trang trông giống như một trang web thực hoặc yêu cầu bạn tải xuống và cài đặt một chương trình độc hại. Nhưng các thủ thuật kỹ thuật xã hội như vậy không phải liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ yêu cầu bạn gửi thư trả lời qua email với thông tin cá nhân. Thay vì cố gắng khai thác lỗi trong phần mềm, họ cố gắng khai thác các tương tác bình thường của con người. Spear phishing thậm chí còn nguy hiểm hơn, vì đây là một dạng lừa đảo được thiết kế để nhắm mục tiêu các cá nhân cụ thể.
Ví dụ về kỹ thuật xã hội
Một mẹo phổ biến trong dịch vụ trò chuyện và trò chơi trực tuyến là đăng ký tài khoản có tên "Quản trị viên" và gửi cho mọi người những thông điệp đáng sợ như "CẢNH BÁO: Chúng tôi đã phát hiện ai đó có thể đang xâm nhập tài khoản của bạn, trả lời bằng mật khẩu của bạn để tự xác thực". Nếu một mục tiêu đáp ứng với mật khẩu của họ, họ đã rơi cho lừa và kẻ tấn công bây giờ có mật khẩu tài khoản của họ.
Nếu ai đó có thông tin cá nhân về bạn, họ có thể sử dụng thông tin đó để có quyền truy cập vào tài khoản của bạn. Ví dụ: thông tin như ngày sinh, số an sinh xã hội và số thẻ tín dụng thường được sử dụng để nhận dạng bạn. Nếu ai đó có thông tin này, họ có thể liên hệ với một doanh nghiệp và giả vờ là bạn. Thủ thuật này đã được một kẻ tấn công sử dụng để truy cập vào Yahoo! Tài khoản thư trong năm 2008, gửi đủ chi tiết cá nhân để truy cập vào tài khoản thông qua biểu mẫu khôi phục mật khẩu của Yahoo !. Phương pháp tương tự có thể được sử dụng để qua điện thoại nếu bạn có thông tin cá nhân mà doanh nghiệp yêu cầu để xác thực bạn. Một kẻ tấn công với một số thông tin về một mục tiêu có thể giả vờ là họ và có được quyền truy cập vào nhiều thứ hơn.
Kỹ thuật xã hội cũng có thể được sử dụng trực tiếp. Một kẻ tấn công có thể bước vào một doanh nghiệp, thông báo cho thư ký rằng họ là người sửa chữa, nhân viên mới hoặc thanh tra lửa với giọng điệu có thẩm quyền và thuyết phục, sau đó đi lang thang và có khả năng ăn cắp dữ liệu bí mật hoặc lỗi thực vật để thực hiện gián điệp của công ty. Thủ thuật này phụ thuộc vào kẻ tấn công thể hiện mình là một người không phải là họ. Nếu một thư ký, doorman, hoặc bất kỳ người nào khác chịu trách nhiệm không hỏi quá nhiều câu hỏi hoặc xem xét quá kỹ, thủ thuật sẽ thành công.
Các cuộc tấn công xã hội-kỹ thuật kéo dài phạm vi của các trang web giả mạo, email lừa đảo và các tin nhắn trò chuyện bất chính tất cả các cách để mạo danh ai đó trên điện thoại hoặc trực tiếp. Các cuộc tấn công này có nhiều dạng khác nhau, nhưng tất cả chúng đều có một điểm chung - chúng phụ thuộc vào thủ đoạn tâm lý. Kỹ thuật xã hội đã được gọi là nghệ thuật thao tác tâm lý. Đó là một trong những cách chính "tin tặc" thực sự "hack" tài khoản trực tuyến.
Cách tránh kỹ thuật xã hội
Biết kỹ thuật xã hội tồn tại có thể giúp bạn chiến đấu với nó. Hãy nghi ngờ các email không được yêu cầu, tin nhắn trò chuyện và các cuộc gọi điện thoại yêu cầu thông tin cá nhân. Không bao giờ tiết lộ thông tin tài chính hoặc thông tin cá nhân quan trọng qua email. Không tải xuống các tệp đính kèm email nguy hiểm tiềm ẩn và chạy chúng, ngay cả khi email xác nhận rằng chúng quan trọng.
Bạn cũng không nên theo các liên kết trong email đến các trang web nhạy cảm. Ví dụ: không nhấp vào liên kết trong email có vẻ như từ ngân hàng của bạn và đăng nhập. Có thể đưa bạn đến trang web lừa đảo giả mạo được xem là trang web của ngân hàng của bạn, nhưng có URL khác tinh tế. Truy cập trực tiếp vào trang web.
Nếu bạn nhận được yêu cầu đáng ngờ - ví dụ: cuộc gọi điện thoại từ ngân hàng của bạn yêu cầu thông tin cá nhân - hãy liên hệ trực tiếp với nguồn của yêu cầu và yêu cầu xác nhận. Trong ví dụ này, bạn sẽ gọi cho ngân hàng của mình và hỏi họ muốn gì hơn là tiết lộ thông tin cho một người tự xưng là ngân hàng của bạn.
Các chương trình email, trình duyệt web và bộ bảo mật thường có bộ lọc lừa đảo sẽ cảnh báo bạn khi bạn truy cập trang web lừa đảo đã biết.Tất cả những gì họ có thể làm là cảnh báo bạn khi bạn truy cập trang web lừa đảo đã biết hoặc nhận email lừa đảo đã biết và họ không biết tất cả các trang web hoặc email lừa đảo ngoài kia. Đối với hầu hết các phần, đó là vào bạn để bảo vệ chính mình - các chương trình bảo mật chỉ có thể giúp một chút.
Bạn nên thực hiện một nghi ngờ lành mạnh khi xử lý các yêu cầu về dữ liệu cá nhân và bất kỳ thứ gì khác có thể là một cuộc tấn công kỹ thuật xã hội. Nghi ngờ và thận trọng sẽ giúp bảo vệ bạn, cả trực tuyến và ngoại tuyến.
