Mình đã giới thiệu cơ bản về khái niệm của Social Engineering (SE) trong Rathuuich.com/hack-social-engineering-p1/” class=”local-link”>Phần 1. Nhưng đó chỉ là cái nhìn tổng quan về nó. Chúng ta vẫn chưa đi sâu để tìm hiểu xem nó là gì, tồn tại ra sao. Mình sẽ nói rõ hơn ở Phần 2 này từ cái cơ bản nhất của nghệ thuật lừa đảo.
Rathuuich.com/hack-social-engineering-p1/” class=”local-link”>Xem lại phần 1
Đã là lừa đảo nhưng mình lại gọi là nghệ thuật vì nó có cái hay riêng của nó. Nhưng trước khi biết nó hay chỗ nào, thì bạn nên biết về sự tồn tại của nó trước đã. Nhiều bạn trẻ hỏi mình Social Engineering là tốt hay xấu nên mình xin dành một phần của bài viết này để trả lời cho câu hỏi trên.
Social Engineering là tốt hay xấu ?
Phần lớn chúng ta đều hiểu lầm hình thức Social Engineering. Điều đó dẫn đến các định kiến sai về cách mà Social Engineering hoạt động thế nào? Thật ra, nó luôn tồn tại xung quanh chúng ta với nhiều hình thức và nhiều mức độ khác nhau.
Social Engineering có thể đơn giản là việc bạn lừa dối để đánh lạc hướng ai đó nhằm bảo vệ họ. Hoặc cũng có thể được tận dụng để biến bạn trở thành một tội phạm hay một tên lừa đảo. Việc nó tốt hay xấu phụ thuộc vào mục đích sử dụng của người ta mà thôi !!
Mình từng đọc nhiều nghiêng cứu về lĩnh vực lừa đảo này. Nó liên quan rất nhiều đến tâm lý học của con người. Nếu thực sự nắm bắt và hiểu rõ được mạch tâm lý và kết hợp với Social Engineering thì bạn chẳng khác gì ma thần. Có khả năng tẩy não và thao túng bất cứ ai bạn muốn.
Mình tạo ra Rathuuich với mục đích lúc đầu là lưu giữ kiến thức của bản thân. Nhưng sau một thời gian, mình lại muốn chia sẽ nguồn kiến thức này đến cộng đồng và mong muốn nhận được sự ủng hộ nào đó. Series bài viết này là tập hợp tất cả kiến thức và thành quả nghiêng cứu của mình về Social Engineering.
Mình dạy bạn trở thành tên lừa đảo chuyên nghiệp ?
Một số người thắc mắc là tại sao mình lại đi dạy lừa đảo cho mọi người? Câu trả lời đơn giản là tài liệu nghiêng cứu về lĩnh vực này rất nhiều. Mình không chia sẽ thì người ta cũng đi tìm và học được mà thôi !
Xã hội tốt đẹp không có nghĩa những kẻ xấu sẽ không được sinh ra. Hệ thống bảo mật ngày càng hiện đại không có nghĩa Hacker mũ đen không tồn tại. Hơn thế, công nghệ gian lận, lừa gạt trên internet ngày càng nhiều chiêu trò tinh vi. Trong đó, đa số nạn nhân đều bị đầu độc bằng Social Engineering. Những kẻ chuyên dùng nghệ thuật lừa đảo Social Engineering để làm việc xấu được gọi là Malicious Social Engineers.
Rathuuich.com/wp-content/uploads/2018/07/05-07-2018-04-18-15.png” alt=”Social Engineering” width=”565″ height=”345″ title=”Hack mọi hệ thống bằng cách sử dụng Social Engineering – Phần 2 8″ srcset=”https://Rathuuich.com/wp-content/uploads/2018/07/05-07-2018-04-18-15.png 565w, https://anonyviet.com/wp-content/uploads/2018/07/05-07-2018-04-18-15-300×183.png 300w” sizes=”(max-width: 565px) 100vw, 565px”>
Thử hỏi, nếu mình không cung cấp thêm kiến thức về Social Engineering? Làm sao bạn biết mà tránh được việc bị người ta dắt mũi và lừa gạt. Sau khi đọc các series các bài viết này của mình, bạn trở thành kẻ thông minh hay một tên Malicious Social Engineers là tùy thuộc vào nhận thức của bạn.
Mình viết loạt bài này với mục đích giáo dục an ninh là chính. Kiến thức là vô giá nhưng tại rathuuich thì nó là miễn phí. Bạn hãy đọc, hãy học để biết bản thân còn thiếu sót điểm nào mà cải thiện. Mình mong kiến thức của mình không làm bạn tệ đi, mà sẽ làm bạn tốt hơn và nhạy bén hơn trong cái xã hội đầy rắc rối này.
Tình trạng bảo mật ngày nay
Các công ty phần mềm đang học cách tăng cường bảo mật cho phần mềm. Các Hacker thì chuyển mục tiêu sang hướng con người. Thay vì tấn công vào điểm yếu bảo mật của hệ thống, họ lại thích chọn con đường dễ dàng hơn là tấn công người quản lý hệ thống đó.
Thay vì hacker phải mất 100 giờ để tìm ra lỗ hổng của hệ thống. Thì với phương thức lừa đảo Social Engineering họ không phải tốn nhiều thời gian và công sức. Cho nên người ta nói, không tồn tại hệ thống nào là an toàn 100% cả !!
Phân loại các dạng của Social Engineering (SE)
Như mình đã nói ở các nội dung trước, kĩ thuật lừa đảo SE có rất nhiều dạng khác nhau. Có dạng nguy hiểm nhưng cũng có dạng thân thiện hơn. Trước khi mình dạy bạn kĩ thuật lừa đảo, thì bạn nên dành tí thời gian để hiểu về các dạng của Social Engineering trước.
Hacker
Như đã nói ở trên, các phần mềm ngày nay đang tăng cường bảo mật. Nên Hacker cũng thường sử dụng kĩ thuật xã hội để thu thập thông tin trước khi Hack. Họ thường kết hợp kĩ năng hack phần cứng và kĩ năng lừa đảo SE.
Thông thường, trước khi xảy ra các cuộc tấn công thì hacker thường sử dụng hình thức tấn công xã hội Social Engineering để thu thập thông tin trước. Điển hình là nhóm hacker Rathuuich.
Penetration testers
Là những người kiểm tra thâm nhập, họ biết và hiểu rõ về kỹ năng của một hacker mũ đen. Nhưng lại không sử dụng thông tin cá nhân của người khác để trục lợi cho bản thân. Thay vào đó, họ thường phát hiện và giúp nạn nhân tự bảo vệ bản thân.
Spies
Tầng lớp điệp viên sử dụng kỹ thuật lừa đảo Social Engineering như một kỹ năng sống. Họ cũng là những chuyên gia trong việc tấn công tâm lý để lấy cắp thông tin. Thường thì họ được đào tạo và làm việc cho các tổ chức bí ẩn hoặc hệ thống quân đội phía chính phủ.
Hiện tại, các thông tin về điệp viên còn khá mơ hồ vì được cất giấu rất kỹ. Nên mình không có ví dụ cụ thể nào có thể nói cho bạn. Nhưng mình chắc chắn rằng, các điệp viên rất giỏi kĩ năng lừa đảo SE để hỗ trợ họ trà trộn và ẩn dấu thân phận tốt hơn.
Identity Thieves
Những tên trộm cố ý sử dụng thông tin có thật của một người nào đó. Chẳng hạn như tên tuổi, tài khoản ngân hàng, địa chỉ và chứng minh thư. Kẻ trộm này thường được gọi là kẻ trộm danh tính và tất nhiên chúng giỏi rất nhiều khía cạnh của Social Engineering. Chúng thường trộm thông tin và tiếp tục dùng thông tin đó đi lừa đảo những người khác.
Ví dụ điển hình nhất là những trường hợp hack mật khẩu Facebook rồi lừa thẻ cào điện thoại của bạn bè nạn nhân. Đã có nhiều trường hợp bị lừa rất nhiều tiền và nạn nhân trở nên rất khốn đốn và đau khổ, nhưng những tên trộm có vẻ không mấy bận tâm.
Disgruntled employees
Những kẻ xấu dạng này thường xuất phát từ các nhân viên bất mãn với cấp trên nhưng không nói ra. Sự kìm nén lâu ngày dẫn đến hành vi trộm cắp, phá hoại hoặc lừa đảo để trục lợi cho bản thân và trả thù cấp trên. Dạng biến chất này thì mình ít thấy xuất hiện ở Việt Nam.
Scam artist
Cái biệt danh Nghệ sĩ lừa đảo cũng đủ để chúng ta biết chúng nguy hiểm đển mức nào. Mục đích chính của tầng lớp này là lừa đảo để kiếm tiền và họ thường kiếm được rất nhiều tiền. Những kẻ này nắm rất vững tâm lý con người, thậm chí còn giỏi hơn cả các Spies (điệp viên) mình nói ở trên.
Những nghệ sĩ này thường đầu độc và thao túng vài người, sau đó học lại dùng những người đó đi đầu độc tâm trí những người khác. Giống như hội thánh đức chúa trời là một dạng Scam artist.
Sơ lược kiến thức
Vậy bạn đã được đọc qua các dạng điển hình của Social Engineering trong phần này. Ngoài các dạng trên, chúng còn được biến chất rất nhiều và rất đa dạng. Tại Việt Nam, tình trạng đa cấp cũng là một Skill đầu độc tâm trí của Social Engineering. Mục đích chung của các dạng Social Engineering vẫn là thao túng người khác theo ý mình.
Bạn đã được biết kỹ hơn về các dạng cơ bản của Social Engineering. Trong Phần 3 mình sẽ bắt đầu nói về cách sử dụng kĩ thuật Social Engineering như một vũ khí để thao túng người khác. Kèm theo đó là những kĩ thuật trước giờ chưa từng được tiết lộ.
Nếu bạn thấy thú vị với Social Engineering và muốn nghiêng cứu về nó, hãy theo dõi Fanpage để hoặc website rathuuich.com để đón xem các phần tiếp theo.
Cảm ơn bạn đã dành thời gian cho mình & rathuuich.