Tấn công phi kỹ thuật

Tấn công phi kỹ thuật hay lừa đảo phi kỹ thuật (tiếng Anh: social engineering attack), trong bối cảnh an toàn thông tin, liên quan đến việc thao tác tâm lý của con người để dụ họ tiết lộ các thông tin bí mật. Là một loại lừa đảo với mục đích thu thập thông tin, gian lận, hoặc truy cập hệ thống, nó khác với lừa đảo truyền thống ở chỗ nó thường là một trong nhiều bước trong một chương trình gian lận phức tạp hơn.^[1]

Lịch sử

Một hình thức ban đầu của lừa đảo phi kỹ thuật là vào những năm 1980 với việc thực hành Phreaking. Phreaker thường gọi đến các công ty điện thoại, giả dạng làm quản trị viên hệ thống, và yêu cầu cung cấp những mật khẩu mới để có thể dùng các modem miễn phí.

Khuôn mẫu căn bản

Khuôn mẫu căn bản của lừa đảo phi kỹ thuật có thể thể hiện bằng một cuộc gọi điện thoại giả dạng: Người lừa đảo phi kỹ thuật gọi điện thoại cho một nhân viên của một công ty và giả vờ là một kỹ thuật viên cần dữ liệu bảo mật để hoàn thành công việc quan trọng. Trước đó ông ta đã thu thập từ các nguồn công khai hoặc các cuộc gọi điện thoại trước để được một phần nào thông tin về các thủ tục, cách nói chuyện văn phòng hàng ngày và hệ thống phân cấp của công ty, hầu giúp anh ta để thao tác giữa các cá nhân, mạo danh người trong công ty. Ngoài ra, ông ta làm nạn nhân không hiểu nhiều về kỹ thuật bối rối với các biệt ngữ chuyên môn, gầy dựng các cuộc nói chuyện (smalltalk) về các đồng nghiệp để được sự thông cảm và lợi dụng sự nể trọng quyền lực bằng cách đe dọa sẽ làm phiền cấp trên nếu các nạn nhân không chịu hợp tác. Trong những trường hợp nhất định, các người lừa đảo phi kỹ thuật đã thu thập được trước đó các thông tin, là một nhân viên nào đó thậm chí đã thực sự yêu cầu hỗ trợ kỹ thuật và đã mong đợi cú điện thoại như vậy.

Mặc dù nghe có vẻ tầm thường phương pháp này thành công một cách ngoạn mục nhiều lần trong việc đánh cắp các dữ liệu. Giả dụ, việc này cho phép một học sinh Mỹ trong năm 2015, để mở tài khoản e-mail cá nhân của giám đốc CIA đương thời Brennan và truy cập nó trong ba ngày trời.^[2]^[3]

Chú thích

^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (ấn bản 2). Indianapolis, IN: Wiley. tr. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
^ Neue Zürcher Zeitung: Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben vom 20. Oktober 2015, abgerufen am 20. Oktober 2015
^ Wired: Teen Who Hacked CIA Director’s Email Tells How He Did It vom 19. Oktober 2015, abgerufen am 20. Oktober 2015.
(„Wie der Datendieb verlauten ließ, will er die Zugangsdaten zu Brennans E-Mail-Konto mittels Social Engineering erhalten haben: Er hat offenbar Mitarbeiter von Verizon dazu gebracht, Daten von Brennan herauszugeben.")

[1] Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (ấn bản 2). Indianapolis, IN: Wiley. tr. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17

[2] Neue Zürcher Zeitung: Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben vom 20. Oktober 2015, abgerufen am 20. Oktober 2015

[3] Wired: Teen Who Hacked CIA Director’s Email Tells How He Did It vom 19. Oktober 2015, abgerufen am 20. Oktober 2015.
(„Wie der Datendieb verlauten ließ, will er die Zugangsdaten zu Brennans E-Mail-Konto mittels Social Engineering erhalten haben: Er hat offenbar Mitarbeiter von Verizon dazu gebracht, Daten von Brennan herauszugeben.")

[1]

[2]

[3]

x t s Thao túng tâm lý
Làm cho dễ chịu (Củng cố tích cực:Thưởng)	Sự chú ý Hối lộ Kết thân với trẻ em để lạm dụng tình dục Tâng bốc Quà tặng Chúc mừng Ném bom tình yêu Lý thuyết cú hích Khen ngợi Quyến rũ Cười Quyến rũ hời hợt Nước mắt cá sấu
Làm cho khó chịu (Phạt)	Tức giận Bôi nhọ danh dự Khóc Thư khủng bố Sợ hãi Cáu Nhìn lườm Đay nghiến Vô tâm Đe dọa Nói xấu Phê phán Hành vi hung hăng Gây hấn Rối loạn nhân cách tàn bạo Chế nhạo Im lặng Xa lánh Lời nói thô tục Ép buộc Đổ lỗi nạn nhân Lạm dụng Đối phó La hét
Củng cố tiêu cực	Bầu không khí sợ hãi Liên kết chấn thương
Các thủ đoạn khác	Nhử mồi và chuyển đổi Lừa dối Chối bỏ Gây gián đoạn Lập trình lại Thêu dệt Bóp méo Đánh lạc hướng Chia để trị Ràng buộc đôi Gài bẫy Lảng tránh Phóng đại Gaslighting Vừa đấm vừa xoa (Cảnh sát tốt, cảnh sát xấu) Truyền bá Hạ thấp bóng Nói dối Hạn chế tối đa Di chuyển các cột gôn Hạ niềm tự hào và cái tôi xuống Lý giải Kỹ thuật Reid Thiết lập để thất bại Con ngựa thành Troia Bạn ở bên chúng tôi hoặc chống lại chúng tôi
Các bối cảnh	Lạm dụng Quảng cáo Áp bức Tội lỗi công giáo Lừa gạt Văn hóa tội lỗi Thẩm vấn Tội lỗi của người Do Thái Khuôn mẫu mẹ Do Thái Hoang mang luân lý Tác động truyền thông Tẩy não Trò chơi tâm trí Bắt nạt hội đồng Tuyên truyền Nghệ thuật bán hàng Bạo hành Văn hóa xấu hổ Chiến dịch bôi nhọ Tấn công phi kỹ thuật Giải thích vòng vo Gợi ý Chiến dịch đồn thổi
Các chủ đề liên quan	Rối loạn nhân cách chống đối xã hội Quyết đoán Đổ lỗi Rối loạn nhân cách ranh giới Cây gậy và củ cà rốt Giảm bớt Cho phép Ngụy biện Femme fatale Gaming the system Dễ tin Rối loạn nhân cách kịch tính Thích thể hiện Machiavellianism Kiêu ngạo Nhân cách yêu mình thái quá Personal boundaries Thuyết phục Phổ biến Đoán tính cách Psychopathy