Theo nghĩa rộng hơn, bất kỳ loại thao túng nào liên quan đến tâm lý hành vi của con người đều có thể được coi là kỹ thuật xã hội. Tuy nhiên, bản thân khái niệm này không phải lúc nào cũng gắn liền với hoạt động tội phạm hoặc lừa đảo. Trên thực tế, kỹ thuật xã hội được sử dụng và nghiên cứu rộng rãi trong nhiều lĩnh vực khác nhau, chẳng hạn như khoa học xã hội, tâm lý học và tiếp thị.
Khi nói đến an ninh mạng, kỹ thuật xã hội có động cơ thầm kín và đề cập đến một loạt hành động độc hại dưới hình thức thao túng hoạt động của mọi người để lấy thông tin cá nhân hoặc bí mật mà sau này có thể được sử dụng để chống lại họ hoặc công ty của họ. Gian lận danh tính là hậu quả phổ biến của các cuộc tấn công này và trong nhiều trường hợp dẫn đến tổn thất tài chính đáng kể.
Kỹ thuật lừa đảo qua mạng thường được coi là mối đe dọa trên mạng, nhưng khái niệm này đã có từ lâu và thuật ngữ này cũng có thể được sử dụng để chỉ các vụ lừa đảo trong đời thực thường liên quan đến việc mạo danh quan chức chính phủ hoặc chuyên gia CNTT. Tuy nhiên, sự ra đời của Internet đã giúp tin tặc thực hiện hành vi thao túng trên quy mô lớn hơn dễ dàng hơn nhiều và thật không may, những hoạt động độc hại này cũng đang diễn ra trong môi trường tiền điện tử.
Làm thế nào nó hoạt động?
Tất cả các loại kỹ thuật xã hội đều dựa vào điểm yếu trong tâm lý con người. Những kẻ lừa đảo sử dụng cảm xúc của con người để thao túng và đánh lừa nạn nhân. Sự sợ hãi, lòng tham, sự tò mò và thậm chí cả sự sẵn lòng giúp đỡ người khác của mọi người đang quay lưng lại với họ theo nhiều cách khác nhau. Trong số nhiều loại kỹ thuật xã hội độc hại, “lừa đảo” chắc chắn là một trong những ví dụ phổ biến và nổi tiếng nhất.
Lừa đảo
Email lừa đảo thường giả vờ đến từ một công ty thực sự, chẳng hạn như mạng ngân hàng quốc gia, cửa hàng trực tuyến uy tín hoặc nhà cung cấp email. Trong một số trường hợp, những email nhân bản này sẽ cảnh báo người dùng rằng tài khoản của họ cần cập nhật hoặc đang có hoạt động bất thường, yêu cầu họ cung cấp thông tin cá nhân như một cách để xác minh danh tính nhằm hợp lý hóa tài khoản. Vì sợ hãi, một số người nhanh chóng nhấp vào các liên kết và truy cập vào một trang web giả mạo, nơi họ cung cấp thông tin mà những kẻ tấn công cần.
Phần mềm diệt virus giả
Các phương pháp kỹ thuật xã hội cũng được sử dụng để phân phối cái gọi là Phần mềm diệt virus giả. Đúng như tên gọi, phần mềm chống vi-rút giả mạo là một loại phần mềm độc hại được thiết kế để đe dọa và gây sốc cho người dùng. Điều này thường liên quan đến thông báo về các mối đe dọa lừa đảo nhằm lừa nạn nhân cài đặt phần mềm độc hại có vẻ hợp pháp hoặc truy cập trang web lây nhiễm vào hệ thống của họ. Kỹ thuật này thường dựa vào nỗi lo sợ của người dùng về việc khiến hệ thống của họ gặp rủi ro, từ đó thuyết phục họ nhấp vào biểu ngữ web hoặc cửa sổ bật lên. Các thông báo thường có nội dung như: “Hệ thống của bạn đã bị nhiễm virus, hãy nhấp vào đây để loại bỏ mối đe dọa”.
Mồi
Baiting là một kỹ thuật lừa đảo xã hội khác gây ra vấn đề cho nhiều người dùng thiếu chú ý. Nó liên quan đến việc sử dụng nhiều loại mồi nhử khác nhau để thu hút nạn nhân dựa trên lòng tham hoặc sự tò mò của họ. Ví dụ: những kẻ lừa đảo có thể tạo một trang web cung cấp thứ gì đó miễn phí, chẳng hạn như âm nhạc, video hoặc sách. Nhưng để truy cập những file này, người dùng cần tạo tài khoản bằng cách cung cấp thông tin cá nhân của mình. Trong một số trường hợp, không cần phải có tài khoản vì các tệp bị nhiễm trực tiếp phần mềm độc hại, phần mềm độc hại này xâm nhập vào hệ thống máy tính của nạn nhân và thu thập dữ liệu nhạy cảm của họ.
Kiểu này cũng có thể xảy ra bên ngoài việc lướt Internet, thông qua việc sử dụng ổ USB và ổ cứng ngoài. Những kẻ lừa đảo có thể cố tình để các thiết bị bị nhiễm virus ở nơi công cộng, vì vậy bất kỳ người tò mò nào nhặt nó lên để kiểm tra nội dung sẽ lây nhiễm vào máy tính cá nhân của họ.
Kỹ thuật xã hội và tiền điện tử
Tâm lý tham lam có thể gây ra một số hậu quả khá lớn trên thị trường tài chính, khiến các nhà giao dịch và nhà đầu tư đặc biệt dễ bị tấn công lừa đảo, âm mưu Ponzi, âm mưu kim tự tháp và các loại lừa đảo khác. Trong ngành công nghiệp blockchain, sự phấn khích do tiền điện tử tạo ra đã thu hút nhiều người mới tham gia vào phương tiện này trong một khoảng thời gian tương đối ngắn (đặc biệt là trong các thị trường tăng trưởng).
Mặc dù nhiều người không hiểu đầy đủ về cách thức hoạt động của tiền điện tử nhưng họ thường nghe về tiềm năng tạo ra lợi nhuận của thị trường này và cuối cùng là đầu tư mà không thực hiện nghiên cứu thích hợp. Kỹ thuật xã hội đặc biệt quan trọng đối với người mới bắt đầu, vì họ thường bị mắc kẹt bởi lòng tham hoặc nỗi sợ hãi của chính mình.
Một mặt, mong muốn của người mới nhanh chóng kiếm được lợi nhuận và kiếm tiền dễ dàng cuối cùng buộc họ phải theo đuổi những lời hứa hão huyền về quà tặng và airdrop. Mặt khác, nỗi lo sợ dữ liệu cá nhân của họ sẽ bị xâm phạm có thể thúc đẩy người dùng trả tiền chuộc. Trong một số trường hợp, không có sự lây nhiễm ransomware (hay còn gọi là ransomware) thực tế nào xảy ra và người dùng là nạn nhân của tín hiệu hoặc tin nhắn sai do tin tặc tạo ra.
Làm thế nào để ngăn chặn một cuộc tấn công kỹ sư xã hội
Như đã đề cập, các cuộc tấn công xã hội chỉ có tác dụng vì chúng thu hút được bản chất con người của chúng ta. Họ thường sử dụng nỗi sợ hãi làm động lực chính, thúc đẩy mọi người hành động ngay lập tức để bảo vệ bản thân (hoặc hệ thống của họ) khỏi một mối đe dọa nghiêm trọng. Các cuộc tấn công cũng dựa vào lòng tham của con người, dụ dỗ nạn nhân vào nhiều hình thức lừa đảo đầu tư khác nhau. Vì vậy, điều quan trọng cần ghi nhớ là nếu một lời đề nghị có vẻ quá hấp dẫn để có thể trở thành sự thật thì rất có thể bạn đang bị lừa đảo.
Trong khi một số kẻ lừa đảo khá tinh vi trong việc này, những kẻ khác lại mắc những sai lầm rõ ràng. Một số email lừa đảo và thậm chí cả các biểu ngữ giả mạo thường chứa lỗi cú pháp hoặc từ ngữ và chỉ hiệu quả đối với những người không chú ý đầy đủ đến ngữ pháp và chính tả, vì vậy hãy cẩn thận.
Để tránh trở thành nạn nhân của kẻ lừa đảo xã hội, bạn phải tuân thủ các biện pháp an toàn sau:
Tham khảo ý kiến gia đình và bạn bè. Giáo dục họ về các trường hợp phổ biến của kỹ thuật xã hội độc hại và các nguyên tắc bảo mật cơ bản;
Hãy cẩn thận với các tệp đính kèm trong email và liên kết. Không truy cập các quảng cáo và trang web từ nguồn không xác định;
Cài đặt phần mềm chống vi-rút đáng tin cậy và thường xuyên cập nhật các ứng dụng và hệ điều hành của bạn;
Luôn sử dụng xác thực đa yếu tố để bảo vệ tài khoản, email và dữ liệu khác của bạn. Thiết lập xác thực hai yếu tố (2FA) cho tài khoản Binance của bạn;
Đối với doanh nghiệp: Hãy cân nhắc việc chuẩn bị cho nhân viên của bạn cách xác định và ngăn chặn các cuộc tấn công lừa đảo cũng như các âm mưu lừa đảo qua mạng.
Phần kết luận
Tội phạm mạng không ngừng tìm kiếm những cách mới và tốt hơn để lừa người dùng lấy cắp tiền và thông tin bí mật của họ, vì vậy điều quan trọng là bạn phải nhận thức được điều này và thông báo cho người khác. Internet cung cấp không gian cho những kẻ lừa đảo kiểu này và chúng đặc biệt phổ biến trong không gian tiền điện tử. Hãy cẩn thận và cảnh giác để tránh rơi vào bẫy của kẻ lừa đảo xã hội.
Ngoài ra, bất kỳ ai quyết định giao dịch hoặc đầu tư vào tiền điện tử đều nên nghiên cứu cơ bản và đảm bảo rằng họ hiểu rõ về cả các nguyên tắc của thị trường cũng như các khía cạnh của công nghệ chuỗi khối.
Hãy theo dõi và đừng quên xem các bài viết và video khác của chúng tôi trên Binance Academy!