Tấn công phi kỹ thuật

Một hình thức ban đầu của lừa đảo phi kỹ thuật là vào những năm 1980 với việc thực hành Phreaking. Phreaker thường gọi đến các công ty điện thoại, giả dạng làm quản trị viên hệ thống, và yêu cầu cung cấp những mật khẩu mới để có thể dùng các modem miễn phí.

Khuôn mẫu căn bản của lừa đảo phi kỹ thuật có thể thể hiện bằng một cuộc gọi điện thoại giả dạng: Người lừa đảo phi kỹ thuật gọi điện thoại cho một nhân viên của một công ty và giả vờ là một kỹ thuật viên cần dữ liệu bảo mật để hoàn thành công việc quan trọng. Trước đó ông ta đã thu thập từ các nguồn công khai hoặc các cuộc gọi điện thoại trước để được một phần nào thông tin về các thủ tục, cách nói chuyện văn phòng hàng ngày và hệ thống phân cấp của công ty, hầu giúp anh ta để thao tác giữa các cá nhân, mạo danh người trong công ty. Ngoài ra, ông ta làm nạn nhân không hiểu nhiều về kỹ thuật bối rối với các biệt ngữ chuyên môn, gầy dựng các cuộc nói chuyện (smalltalk) về các đồng nghiệp để được sự thông cảm và lợi dụng sự nể trọng quyền lực bằng cách đe dọa sẽ làm phiền cấp trên nếu các nạn nhân không chịu hợp tác. Trong những trường hợp nhất định, các người lừa đảo phi kỹ thuật đã thu thập được trước đó các thông tin, là một nhân viên nào đó thậm chí đã thực sự yêu cầu hỗ trợ kỹ thuật và đã mong đợi cú điện thoại như vậy.

Mặc dù nghe có vẻ tầm thường phương pháp này thành công một cách ngoạn mục nhiều lần trong việc đánh cắp các dữ liệu. Giả dụ, việc này cho phép một học sinh Mỹ trong năm 2015, để mở tài khoản e-mail cá nhân của giám đốc CIA đương thời Brennan và truy cập nó trong ba ngày trời.^[3][4]

Một số phương pháp có thể được sử dụng để thực hiện việc tấn công phi kỹ thuật:^[2]

Giả mạo, giả vờ

Tội phạm có thể giả dạng các tin nhắn hoặc giọng nói kỹ thuật số, làm nạn nhân chia sẻ các thông tin riêng tư, tải phần mềm độc hại, chuyển tiền,.. Kẻ lừa đảo có thể giả dạng như là một người thân của đối tượng bị tấn công hoặc một cá nhân/tổ chức nổi tiếng.

Tên tội phạm cũng có thể sẽ đe doạ rằng nạn nhân đã vi phạm pháp luật và họ sẽ là người xử lý hoặc giúp bạn xử lý điều đó. Việc giả danh này hiện rất phổ biến tại Việt Nam khi tội phạm đóng giả làm công an với một số kỹ thuật bao gồm deepfake khiến nạn nhân tin tưởng từ đó yêu cầu nạn nhân phải đóng phạt, cung cấp mã bảo mật hoặc cài đặt ứng dụng.^[5]

Dụ dỗ

Kẻ lừa đảo sẽ dụ dỗ nạn nhân để họ sẵn sàng chia sẻ các thông tin, cài các phần mềm độc hại, chuyển tiền, bằng việc đưa ra những phần thưởng có giá trị. Ví dụ tại Việt Nam là việc tặng quà miễn phí khi điền thông tin cá nhân hoặc nạn nhân sẽ phải chuyển tiền trước và sau đó thì.. không có món quà nào cả. ^[6]

Theo dõi

Kẻ tấn công sẽ theo dõi nạn nhân bằng cách gián tiếp hoặc trực tiếp để tìm ra những thông tin có giá trị. Như việc nạn nhân tự chia sẻ các thông tin lên mạng xã hội hoặc dùng máy tính công cộng mà quên đăng xuất khỏi tài khoản.

Phầm mềm hù hoạ

Nếu từng lướt Internet những năm 2010, chắc hẳn bạn đã từng thấy nhưng thông báo như: Máy bạn đã bị nhiễm virus, hoặc máy bạn đã đầy bộ nhớ hãy cài ứng dụng... Đây là ví dụ điển hình cho một "Phần mềm hù doạ". Nơi chúng hù doạ bạn có thể là qua banner quảng cáo, email,..

Tấn công Watering Hole

Kẻ tấn công cài cắm những mã độc vào trang web hoặc tài nguyên (ảnh, phần mềm,..) của các trang web được nhiều người sử dụng và khó bị chặn do tính phổ biến của trang web trong nhóm người dùng. Đáng nói tại Việt Nam là vào 2017, tập tin cài đặt ứng dụng dọn dẹp CCleaner bản 5.33 trên hệ điều hành Windows đã bị kẻ tấn công chèn mã độc, mã độc này sau đó gửi cho kẻ tấn công về thông tin máy tính của các "mục tiêu tiềm năng", đồng thời tạo điều kiện cho kẻ tấn công chiếm quyền điều khiển máy tính nạn nhân. ^[7]