Social Engineering là gì? 5 hình thức tấn công phi kỹ thuật bạn cần cảnh giác
Nhà giao dịch thông minh không bao giờ trả phí đầy đủ. Sử dụng mã giới thiệu này để tiết kiệm trọn đời: Binance WZ9KD49N / OKX 26021839
Social Engineering là gì? 5 hình thức tấn công phi kỹ thuật bạn cần cảnh giác
Social Engineering – hay còn gọi là kỹ thuật xã hội – không dựa vào lỗ hổng phần mềm hay mã độc, mà khai thác chính điểm yếu lớn nhất trong hệ thống bảo mật: con người. Thay vì tấn công hệ thống, kẻ xấu tấn công tâm lý, niềm tin và hành vi của nạn nhân để chiếm đoạt thông tin nhạy cảm.
Hiểu rõ các hình thức phổ biến của social engineering sẽ giúp bạn và tổ chức phòng tránh hiệu quả trước những chiêu trò tinh vi ngày càng gia tăng.
Cơ chế hoạt động của Social Engineering
Kẻ tấn công thường nghiên cứu kỹ mục tiêu, tạo dựng niềm tin, sau đó dẫn dắt nạn nhân thực hiện hành động có lợi cho chúng – như tiết lộ mật khẩu, chuyển tiền, hoặc cài phần mềm độc hại.
“Con người luôn là mắt xích yếu nhất trong chuỗi bảo mật.” – Kevin Mitnick, cựu hacker nổi tiếng, nay là chuyên gia an ninh mạng.
Các cuộc tấn công này thường dựa trên các nguyên tắc tâm lý như: uy quyền, sự khan hiếm, lòng tin, sự tò mò hoặc nỗi sợ hãi.
5 hình thức Social Engineering phổ biến nhất
1. Phishing (Lừa đảo qua email/tin nhắn)
Đây là hình thức phổ biến nhất. Kẻ xấu giả mạo ngân hàng, mạng xã hội, hoặc sếp để gửi email/tin nhắn chứa liên kết độc hại hoặc yêu cầu cung cấp thông tin cá nhân.
- Email giả mạo từ “IT hỗ trợ” yêu cầu đổi mật khẩu
- Tin nhắn SMS “trúng thưởng” yêu cầu bấm link
- Thông báo “tài khoản bị khóa” khẩn cấp
2. Pretexting (Dựng kịch bản giả)
Kẻ tấn công tạo ra một câu chuyện hợp lý – gọi là “pretext” – để lấy thông tin. Ví dụ: giả làm nhân viên kiểm toán, nhân sự, hoặc kỹ thuật viên hỗ trợ từ xa.
Mục tiêu không nhận ra họ đang bị khai thác thông tin vì kịch bản nghe rất “chuyên nghiệp” và hợp lý.
3. Baiting (Dụ dỗ bằng phần thưởng)
Kẻ xấu để lại USB, ổ cứng, hoặc file “miễn phí” chứa mã độc ở nơi công cộng, kèm theo nhãn hấp dẫn như “Lương tháng 6”, “Danh sách thăng chức”.
Nạn nhân tò mò cắm USB vào máy – và hệ thống bị nhiễm mã độc ngay lập tức.
4. Tailgating (Theo đuôi vào khu vực hạn chế)
Kẻ tấn công lợi dụng sự lịch sự hoặc thiếu cảnh giác của nhân viên để đi theo vào khu vực an ninh cao – như văn phòng IT, phòng server – mà không cần thẻ ra vào.
Ví dụ: “Tôi quên thẻ, bạn cho tôi vào theo với nhé!”
5. Vishing & Smishing (Lừa đảo qua điện thoại hoặc SMS)
Vishing (Voice + Phishing): Gọi điện giả làm ngân hàng, cảnh sát, hoặc tổng đài để yêu cầu cung cấp OTP, mật khẩu.
Smishing (SMS + Phishing): Gửi tin nhắn SMS chứa link độc hoặc yêu cầu phản hồi thông tin.
Cả hai đều khai thác cảm xúc khẩn cấp hoặc sợ hãi để nạn nhân hành động vội vàng.
So sánh nhanh 5 hình thức Social Engineering
| Hình thức | Kênh chính | Mục tiêu |
|---|---|---|
| Phishing | Email, web | Lấy thông tin đăng nhập, cài malware |
| Pretexting | Điện thoại, gặp trực tiếp | Lừa khai thác thông tin nội bộ |
| Baiting | Thiết bị vật lý, file chia sẻ | Cài mã độc qua tò mò |
| Tailgating | Truy cập vật lý | Xâm nhập khu vực hạn chế |
| Vishing/Smishing | Điện thoại/SMS | Lừa cung cấp OTP, chuyển tiền |
Câu hỏi thường gặp
Social Engineering có phải là tội phạm mạng không?
Có. Social Engineering là một hình thức tấn công mạng phi kỹ thuật, nhưng vẫn bị xử lý theo luật an ninh mạng và luật hình sự nếu gây thiệt hại.
Làm sao nhận biết email phishing?
Kiểm tra kỹ địa chỉ người gửi, lỗi chính tả, đường link (hover để xem URL thật), và không bao giờ cung cấp mật khẩu/OTP qua email.
Nhân viên công ty có dễ bị tấn công bằng Pretexting không?
Rất dễ, đặc biệt nếu chưa được đào tạo nhận diện lừa đảo. Kẻ xấu thường nghiên cứu kỹ cơ cấu tổ chức trước khi gọi điện.
USB lạ nhặt được có nên cắm vào máy tính?
Tuyệt đối không. Đây là chiêu baiting kinh điển. Ngay cả khi không có dữ liệu, USB có thể tự cài mã độc khi cắm vào.
Cách phòng chống Social Engineering hiệu quả nhất?
Kết hợp đào tạo nhận thức định kỳ cho nhân viên, áp dụng xác thực đa yếu tố (MFA), và xây dựng quy trình xác minh danh tính rõ ràng cho mọi yêu cầu nhạy cảm.
🚀 Bắt đầu hành trình trading của bạn:
Đăng ký tài khoản Binance hoặc OKX với mã giới thiệu của chúng tôi để nhận hoàn phí giao dịch lên đến 50%!
