Để thực hiện kỹ thuật social engineering, kẻ tấn công sử dụng tương tác của con người để đạt được hoặc thỏa hiệp thông tin về một tổ chức hoặc các hệ thống máy tính của nó.. Bằng việc ti
Trang 1Ngăn chặn các cuộc tấn công nhằm đánh cắp
thông tin của bạn
Trang 2Đừng bao giờ để lộ thông tin bí mật cho mọi người trừ khi bạn bảo đảm rằng
họ được quyền yêu cầu và có quyền truy cập đến thông tin đó
Thế nào là kỹ thuật lừa đảo (social engineering)?
Để thực hiện kỹ thuật social engineering, kẻ tấn công sử dụng tương tác của con người để đạt được hoặc thỏa hiệp thông tin về một tổ chức hoặc các hệ thống máy tính của nó Kẻ tấn công có thể giả vờ như một người mới đến, người sửa chữa hoặc người một người nghiên cứu và đưa ra các nhiệm vụ cần
hỗ trợ Bằng việc tiến hành hỏi các câu hỏi, người này có thể có được những mẩu thông tin đủ cần thiết để nhận ra mạng của tổ chức Nếu kẻ tấn công không thu thập được
đủ thông tin từ một ai đó thì hắn có thể liên hệ đến người khác bên trong cùng tổ chức và dựa vào thông tin của người đầu tiên để có được sự tín nhiệm của người này
Thế nào là tấn công phishing?
Phishing là một dạng của kỹ thuật lừa đảo Các tấn công phishing thường sử
Trang 3dụng email hoặc website nguy hiểm để thu hút thông tin cá nhân cũng như thông tin tài chính của người dùng hay tổ chức Những kẻ tấn công kiểu này
sẽ gửi một email giả mạo như một công ty thẻ tín dụng có uy tín hoặc trụ sở tài chính nào đó yêu cầu nhập thông tin tài khoản, chúng thường đưa ra một vấn đề Khi người dùng đáp trả những thông tin yêu cầu này thì kẻ tấn công
sử dụng nó để truy cập đến các tài khoản
Làm cách nào để tránh là nạn nhân?
Bạn phải nghi ngờ những cuộc điện thoại và email không yêu cầu, có hỏi những điều riêng tư hoặc thông tin bên trong khác Nếu một cá nhân mà bạn không biết yêu cầu đến tổ chức, bạn nên cố gắng kiểm tra nhận dạng họ ngay lập tức
Không nên cung cấp thông tin cá nhân hoặc thông tin của tổ chức cụ thể như kiến trúc hay mạng của nó trừ khi bạn có xác nhận của người
có thẩm quyền liên quan
Trang 4
Không để lộ thông tin cá nhân hoặc tài chính trong email, và cũng không nên đáp trả những email yêu cầu thông tin Những yêu cầu này
có thể nằm trong liên kết đã được gửi trong email
Không nên gửi thông tin nhạy cảm trên Internet trước khi kiểm tra sự bảo mật của một website
Cần cẩn thận với URL của một website Các website nguy hiểm có thể
có giao diện giống một trang hợp lệ nhưng URL sử dụng tên miền khác hoàn toàn
Nếu không bảo đảm yêu cầu của email có hợp lệ hay không thì bạn nên
cố gắng kiểm tra lại nó bằng cách liên hệ trực tiếp đến công ty Bạn không nên sử dụng thông tin liên hệ được cung cấp trên kết nối tới website trong mail yêu cầu, để thay thế bạn nên kiểm tra trước các tuyên bố về thông tin liên hệ Ngoài ra thông tin về tấn công giả mạo thường được cung cấp trực tuyến từ các nhóm như nhóm Anti-Phishing Working Group (http://www.antiphishing.org/phishing_archive.html)
Trang 5 Cài đặt và duy trì phần mềm chống virus, tường lửa hoặc các bộ lọc email để tránh các nguy hiểm này (xem thêm về Một số biện pháp giúp giảm thư rác (Spam), Bạn hiểu thế nào về phần mềm chống virus, Tìm hiểu về tường lửa (Firewall))
Bạn nên làm gì khi nghĩ mình là một nạn nhân?
Nếu bạn tin rằng có thể đã lộ những thông tin nhạy cảm về tổ chức thì bạn nên báo cáo nó đến những người có chức trách (hợp lý) bên trong
tổ chức (có thể là các quản trị mạng) Từ đó họ có thể cảnh báo bất kỳ một hành động nghi ngờ hoặc không bình thường nào
Nếu bạn cho rằng các tài khoản tài chính của mình có thể đã bị lạm dụng, bạn hãy lập tức liên hệ đến trụ sở tài chính và đóng tài khoản đó lại
Bạn nên xem xét đến việc báo tới cảnh sát hoặc các cơ quan chức năng
có thẩm quyền