Tấn công phi kỹ thuật

Bách khoa toàn thư mở Wikipedia
Bước tới: menu, tìm kiếm

Tấn công phi kỹ thuật hay lừa đảo phi kỹ thuật (tiếng Anh: Social engineering), trong bối cảnh an toàn thông tin, liên quan đến việc thao tác tâm lý của con người để dụ họ tiết lộ các thông tin bí mật. Là một loại lừa đảo với mục đích thu thập thông tin, gian lận, hoặc truy cập hệ thống, nó khác với lừa đảo truyền thống ở chỗ nó thường là một trong nhiều bước trong một chương trình gian lận phức tạp hơn.[1]

Lịch sử[sửa | sửa mã nguồn]

Một hình thức ban đầu của lừa đảo phi kỹ thuật là vào những năm 1980 với việc thực hành Phreaking. Phreaker thường gọi đến các công ty điện thoại, giả dạng làm quản trị viên hệ thống, và yêu cầu cung cấp những mật khẩu mới để có thể dùng các modem miễn phí.

Khuôn mẫu căn bản[sửa | sửa mã nguồn]

Khuôn mẫu căn bản của lừa đảo phi kỹ thuật có thể thể hiện bằng một cuộc gọi điện thoại giả dạng: Người lừa đảo phi kỹ thuật gọi điện thoại cho một nhân viên của một công ty và giả vờ là một kỹ thuật viên cần dữ liệu bảo mật để hoàn thành công việc quan trọng. Trước đó ông ta đã thu thập từ các nguồn công khai hoặc các cuộc gọi điện thoại trước để được một phần nào thông tin về các thủ tục, cách nói chuyện văn phòng hàng ngày và hệ thống phân cấp của công ty, hầu giúp anh ta để thao tác giữa các cá nhân, mạo danh người trong công ty. Ngoài ra, ông ta làm nạn nhân không hiểu nhiều về kỹ thuật bối rối với các biệt ngữ chuyên môn, gầy dựng các cuộc nói chuyện (smalltalk) về các đồng nghiệp để được sự thông cảm và lợi dụng sự nể trọng quyền lực bằng cách đe dọa sẽ làm phiền cấp trên nếu các nạn nhân không chịu hợp tác. Trong những trường hợp nhất định, các người lừa đảo phi kỹ thuật đã thu thập được trước đó các thông tin, là một nhân viên nào đó thậm chí đã thực sự yêu cầu hỗ trợ kỹ thuật và đã mong đợi cú điện thoại như vậy.

Mặc dù nghe có vẻ tầm thường phương pháp này thành công một cách ngoạn mục nhiều lần trong việc đánh cắp các dữ liệu. Giả dụ, việc này cho phép một học sinh Mỹ trong năm 2015, để mở tài khoản e-mail cá nhân của giám đốc CIA đương thời Brennan và truy cập nó trong ba ngày trời.[2][3]

Chú thích[sửa | sửa mã nguồn]

  1. ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (ấn bản 2). Indianapolis, IN: Wiley. tr. 1040. ISBN 978-0-470-06852-6.  Chapter 2, page 17
  2. ^ Neue Zürcher Zeitung: Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben vom 20. Oktober 2015, abgerufen am 20. Oktober 2015
  3. ^ Wired: Teen Who Hacked CIA Director’s Email Tells How He Did It vom 19. Oktober 2015, abgerufen am 20. Oktober 2015.
    („Wie der Datendieb verlauten ließ, will er die Zugangsdaten zu Brennans E-Mail-Konto mittels Social Engineering erhalten haben: Er hat offenbar Mitarbeiter von Verizon dazu gebracht, Daten von Brennan herauszugeben.“)