QUY TRÌNH NGĂN NGỪA SOCIAL ENGINEERING

Email yêu cầu cung cấp thông tin đăng nhập, mật khẩu, hoặc thông tin nhạy cảm - Phương thức tấn công:  Kẻ tấn công thường gửi email với nội dung yêu cầu nạn nhân cung cấp thông tin đăng

CÔNG TY TNHH GREEN VISION SOLUTION

QUY TRÌNH NGĂN NGỪA SOCIAL ENGINEERING

SOCIAL ENGINEERING AVOID PROCEDURE

Mã số: QT-AN-04-002 Lần ban hành: 01

Ngày ban hành: 01.05.2022

Trang: 1/14

SOẠN THẢO DRAFTED BY

KIỂM TRA CHECKED BY

PHÊ DUYỆT APPROVED BY

QUẢN LÝ THAY ĐỔI Ngày/ tháng/

01.05.202

I MỤC ĐÍCH

- Quy trình này được thiết kế để ngăn ngừa các cuộc tấn công mạng qua Social Engineering (kỹ nghệ xã hội), nhằm đảm bảo rằng nhân viên và hệ thống của công ty được bảo vệ trước các mối đe dọa mạng dựa trên lừa đảo tâm lý, bao gồm phishing, vishing, và spear phishing

- Quy trình cũng cung cấp các bước cụ thể để phát hiện, xử lý và báo cáo các mối đe dọa

- Quy trình này áp dụng cho toàn bộ nhân viên và các phòng ban của công ty, bao gồm nh ưng không giới hạn ở bộ phận IT, tài chính, nhân sự, và tất cả nhân viên có quyền truy cập vào các hệ thống mạng và dữ liệu nhạy cảm

- Quy trình này cũng bao gồm việc giám sát các hoạt động có dấu hiệu tấn công kỹ nghệ xã hội và áp dụng các biện pháp bảo mật liên quan đến truyền thông điện tử và tương tác trực tiếp

- Social Engineering (Kỹ nghệ xã hội): Là phương thức lừa đảo nhằm khai thác tâm lý của

con người để lừa họ cung cấp thông tin cá nhân, thông tin nhạy cảm, hoặc thực hiện các hành động có thể gây hại đến hệ thống công nghệ thông tin của tổ chức

- Phishing: Cuộc tấn công lừa đảo qua email, thường giả mạo một cá nhân hoặc tổ chức uy tín

để đánh lừa người nhận cung cấp thông tin hoặc nhấp vào các liên kết độc hại

- Spear Phishing: Một dạng phishing được thiết kế để tấn công cá nhân cụ thể với thông tin

cá nhân của họ, nhằm làm tăng độ tin cậy của email lừa đảo

- Vishing: Cuộc tấn công lừa đảo qua điện thoại hoặc tin nhắn thoại nhằm lừa nạn nhân cung

cấp thông tin nhạy cảm

- Baiting: Chiến thuật lừa nạn nhân bằng cách gợi ý mồi nhử, chẳng hạn như USB chứa virus

hoặc đường link giả mạo để dụ người dùng nhấp vào hoặc tải xuống phần mềm độc hại

1 PHISHING:

1.1 Email yêu cầu cung cấp thông tin đăng nhập, mật khẩu, hoặc thông tin nhạy cảm

- Phương thức tấn công:

 Kẻ tấn công thường gửi email với nội dung yêu cầu nạn nhân cung cấp thông tin đăng nhập vào các tài khoản quan trọng như email, tài khoản ngân hàng, hoặc thông tin mật

khẩu Email này thường giả mạo là từ một tổ chức đáng tin cậy như ngân hàng, công ty bảo mật, hoặc bộ phận IT của công ty

 Ví dụ, email có thể yêu cầu người nhận cập nhật thông tin tài khoản hoặc đặt lại mật khẩu thông qua một đường link đính kèm trong email

- Rủi ro:

 Khi nạn nhân nhấp vào đường link và nhập thông tin, dữ liệu này sẽ bị kẻ tấn công thu thập và sử dụng để truy cập vào tài khoản của họ

 Kẻ tấn công có thể sử dụng thông tin để thực hiện các cuộc tấn công tiếp theo, như đánh cắp danh tính hoặc truy cập vào hệ thống của tổ chức

 Ví dụ:

 Nhân viên của một công ty nhận được email giả mạo từ bộ phận IT yêu cầu cung cấp thông tin đăng nhập để nâng cấp hệ thống bảo mật Khi nhân viên này cung cấp thông tin, kẻ tấn công có thể sử dụng nó để xâm nhập vào hệ thống mạng của công ty

1.2 Các email có lỗi chính tả, đường link đáng ngờ, hoặc đính kèm tệp lạ

- Phương thức tấn công:

 Một dấu hiệu nhận biết của email phishing là các lỗi chính tả hoặc ngữ pháp sai do kẻ tấn công không cẩn thận khi tạo email giả mạo

 Ngoài ra, các đường link trong email có thể chứa URL lạ hoặc được rút ngắn, che giấu đích thực của liên kết, dụ người dùng nhấp vào mà không biết mình sẽ chuyển đến một trang web lừa đảo hoặc trang web chứa mã độc

 Các email phishing cũng có thể đính kèm tệp lạ chứa phần mềm độc hại hoặc ransomware Khi người dùng mở tệp, mã độc sẽ tự động cài đặt trên máy tính và bắt đầu tấn công hệ thống

- Rủi ro:

 Các tệp độc hại có thể làm nhiễm hệ thống máy tính của nạn nhân, dẫn đến mất dữ liệu, đánh cắp thông tin, hoặc mã hóa dữ liệu để đòi tiền chuộc (ransomware)

 Đường link trong email có thể dẫn đến trang web giả mạo, nơi nạn nhân vô tình cung cấp thông tin nhạy cảm trực tiếp cho kẻ tấn công

- Ví dụ:

 Một nhân viên nhận được email từ một địa chỉ email lạ, yêu cầu nhấp vào một đường link

để xem "Hợp đồng quan trọng" Đường link dẫn đến một trang web giả mạo yêu cầu đăng

nhập bằng thông tin tài khoản của công ty Khi cung cấp thông tin, kẻ tấn công có thể sử dụng nó để xâm nhập vào hệ thống

1.3 Email Giả Mạo Từ Tổ Chức Quen Thuộc Nhưng Yêu Cầu Hành Động Khẩn Cấp

- Phương thức tấn công:

 Kẻ tấn công giả mạo email của tổ chức hoặc cá nhân quen thuộc như ngân hàng, công ty, hoặc cơ quan chính phủ, yêu cầu nạn nhân thực hiện hành động khẩn cấp, chẳng hạn như:

 Xác minh thông tin tài khoản

 Đặt lại mật khẩu ngay lập tức để tránh bị khóa tài khoản

 Thực hiện thanh toán hoặc chuyển khoản gấp

 Hành động khẩn cấp này được dùng để tạo áp lực thời gian, khiến nạn nhân hành động mà không có đủ thời gian kiểm tra tính xác thực của email

- Rủi ro:

 Do tin tưởng vào tính khẩn cấp và danh tính giả mạo của email, nạn nhân có thể vô tình cung cấp thông tin hoặc thực hiện hành động có hại cho hệ thống của họ

 Kẻ tấn công có thể chiếm quyền truy cập vào tài khoản của nạn nhân hoặc đánh cắp các thông tin quan trọng để sử dụng cho các cuộc tấn công khác

- Ví dụ:

 Một nhân viên nhận được email giả mạo từ bộ phận tài chính của công ty yêu cầu chuyển khoản khẩn cấp cho một nhà cung cấp để tránh ngừng cung cấp dịch vụ Nhân viên này thực hiện theo yêu cầu mà không kiểm tra lại với bộ phận tài chính thật sự

2 VISHING

2.1 Các Cuộc Gọi Từ Người Lạ Yêu Cầu Cung Cấp Thông Tin Bảo Mật Hoặc Truy Cập Vào Tài Khoản

- Phương thức tấn công:

 Kẻ tấn công thực hiện cuộc gọi giả mạo từ ngân hàng, công ty thẻ tín dụng, hoặc tổ chức tài chính, yêu cầu nạn nhân cung cấp các thông tin bảo mật, chẳng hạn như mã PIN, mã OTP, hoặc số tài khoản ngân hàng

 Họ có thể giả vờ rằng tài khoản của nạn nhân đang gặp sự cố, bị tấn công, hoặc có các giao dịch bất thường, yêu cầu người nhận cung cấp thông tin để bảo vệ tài khoản hoặc xác minh danh tính

 Kẻ tấn công có thể sử dụng phần mềm giả mạo số điện thoại để hiện lên số điện thoại của

tổ chức thật (ví dụ như số điện thoại của ngân hàng) trên màn hình điện thoại của nạn nhân, tạo thêm tính thuyết phục

- Rủi ro:

 Khi cung cấp các thông tin bảo mật, nạn nhân vô tình mở cửa cho kẻ tấn công truy cập vào tài khoản của họ, dẫn đến mất tiền, đánh cắp danh tính, hoặc sử dụng tài khoản cho các mục đích gian lận

 Nạn nhân cũng có thể bị lừa thực hiện các giao dịch tài chính, chẳng hạn như chuyển khoản hoặc thanh toán một khoản tiền theo yêu cầu của kẻ tấn công

- Ví dụ:

 Một nhân viên nhận được cuộc gọi từ một số điện thoại giả mạo là ngân hàng, thông báo rằng có các giao dịch đáng ngờ trên thẻ tín dụng của họ Người gọi yêu cầu nhân viên cung cấp mã OTP để “khóa tài khoản”, nhưng thực chất mã OTP này được kẻ tấn công sử dụng để chiếm đoạt quyền truy cập vào tài khoản của họ

2.2 Tin Nhắn Thoại Yêu Cầu Gọi Lại Và Cung Cấp Thông Tin Nhạy Cảm

- Phương thức tấn công:

 Ngoài cuộc gọi trực tiếp, kẻ tấn công có thể sử dụng tin nhắn thoại hoặc hệ thống trả lời

tự động để yêu cầu nạn nhân gọi lại theo một số điện thoại cụ thể Khi nạn nhân gọi lại,

kẻ tấn công sẽ lừa đảo qua cuộc trò chuyện, yêu cầu cung cấp mật khẩu, mã xác nhận, hoặc thông tin tài chính

 Tin nhắn thoại thường có nội dung khẩn cấp, chẳng hạn như: “Tài khoản của bạn đang gặp nguy hiểm Vui lòng gọi lại số này để xác minh thông tin tài khoản.” Điều này tạo áp lực cho nạn nhân, khiến họ dễ rơi vào bẫy

- Rủi ro:

 Khi gọi lại, nạn nhân có thể bị yêu cầu cung cấp thông tin nhạy cảm, hoặc thực hiện các hành động có thể gây hại như chuyển tiền hoặc cài đặt phần mềm không an toàn

 Kẻ tấn công cũng có thể thu thập dữ liệu từ cuộc gọi để tiếp tục các cuộc tấn công khác, như phishing qua email hoặc tấn công trực tiếp vào tài khoản ngân hàng của nạn nhân

- Ví dụ:

 Một cá nhân nhận được tin nhắn thoại tự động từ số điện thoại giả mạo công ty thẻ tín dụng, thông báo rằng thẻ tín dụng của họ đang bị khóa do hoạt động đáng ngờ Khi nạn

nhân gọi lại, họ được yêu cầu cung cấp số thẻ, mã PIN, và mã OTP để mở khóa thẻ, nhưng thực chất những thông tin này được kẻ tấn công sử dụng để rút tiền từ tài khoản

3 BAITING

3.1 Đề Nghị Tải Xuống Các Tệp Từ Nguồn Không Đáng Tin Cậy

- Phương thức tấn công: Kẻ tấn công thường gửi email, tin nhắn, hoặc xuất hiện dưới dạng

quảng cáo trên các trang web, dụ dỗ người dùng tải xuống các tệp tin hoặc phần mềm từ các nguồn không đáng tin cậy

- Ví dụ:

 Email phishing: Kẻ tấn công gửi email giả mạo từ một tổ chức hoặc cá nhân đáng tin

cậy, cung cấp đường link dẫn đến một tệp tin hoặc phần mềm độc hại để người dùng tải về

 Quảng cáo lừa đảo: Kẻ tấn công có thể tạo ra các quảng cáo chứa phần mềm miễn phí

hoặc phiếu giảm giá hấp dẫn, dụ người dùng nhấp vào để tải xuống phần mềm chứa mã độc

- Rủi ro: Khi người dùng nhấp vào đường link hoặc tải xuống tệp từ nguồn không rõ ràng,

phần mềm độc hại có thể tự động cài đặt trên máy tính của họ, dẫn đến:

 Mất dữ liệu: Tệp hoặc phần mềm tải xuống có thể chứa virus hoặc ransomware, gây hại

cho hệ thống hoặc mã hóa dữ liệu của công ty

 Đánh cắp thông tin: Phần mềm độc hại có thể theo dõi các hoạt động của người dùng,

thu thập thông tin cá nhân, mật khẩu hoặc các dữ liệu nhạy cảm khác

 Ví dụ:

 Một nhân viên nhận được email giả mạo từ bộ phận IT của công ty, yêu cầu tải xuống một bản cập nhật phần mềm bảo mật qua một đường link trong email Khi nhấp vào và cài đặt, hệ thống bị nhiễm phần mềm độc hại và hacker có thể truy cập vào toàn bộ mạng lưới của công ty

3.2 USB Hoặc Thiết Bị Lưu Trữ Không Rõ Nguồn Gốc Được Sử Dụng Trong Hệ Thống Công Ty

- Phương thức tấn công: Kẻ tấn công có thể để lại USB hoặc thiết bị lưu trữ tại nơi công

cộng hoặc trong khu vực làm việc của công ty với nội dung hấp dẫn như "Thông tin bảo mật", "Báo cáo lương thưởng" hoặc "Tài liệu quan trọng" Nhân viên hoặc người dùng tò mò

có thể cắm USB vào máy tính để xem nội dung, dẫn đến việc hệ thống bị xâm nhập

- USB cài mã độc: Thiết bị USB được gài mã độc hoặc phần mềm gián điệp Khi cắm vào

máy tính, mã độc có thể tự động chạy và lây nhiễm hệ thống mà người dùng không cần thực hiện thêm hành động gì

- Phát tán mã độc: USB có thể phát tán phần mềm gián điệp hoặc ransomware, gây hại cho

dữ liệu và tài sản công ty

- Rủi ro: Việc sử dụng USB không rõ nguồn gốc có thể dẫn đến:

 Mất kiểm soát hệ thống: Kẻ tấn công có thể xâm nhập vào mạng công ty và thực hiện các hành động xấu, như trộm cắp dữ liệu hoặc điều khiển từ xa các máy tính trong mạng

 Lây lan mã độc: Mã độc có thể lây lan nhanh trong toàn bộ hệ thống mạng nội bộ, ảnh hưởng đến nhiều máy tính và thiết bị khác nhau

- Ví dụ:

 Một nhân viên tìm thấy một USB không rõ nguồn gốc trong phòng làm việc và tò mò cắm vào máy tính công ty để xem nội dung Khi cắm vào, mã độc từ USB này đã lây nhiễm toàn bộ hệ thống máy tính và kẻ tấn công đã truy cập được vào các tệp tin nhạy cảm của công ty

V ĐÀO TẠO NHÂN VIÊN

Đào tạo là một phần quan trọng trong việc ngăn ngừa các cuộc tấn công Social Engineering, giúp nâng cao nhận thức của nhân viên về các mối đe dọa an ninh mạng và cách đối phó với chúng Việc đào tạo cần được triển khai định kỳ để đảm bảo nhân viên có thể nhận diện và phản ứng kịp thời trước các cuộc tấn công mạng

1 ĐÀO TẠO CƠ BẢN

1.1 Mục tiêu: Giúp tất cả nhân viên hiểu rõ về các dạng tấn công Social Engineering phổ

biến như phishing, vishing, và baiting, và trang bị kiến thức cần thiết để nhận diện các dấu hiệu của các cuộc tấn công này

1.2 Nội dung đào tạo:

- Phishing: Cách nhận diện các email lừa đảo yêu cầu cung cấp thông tin nhạy cảm, các dấu hiệu của phishing như lỗi chính tả, đường link đáng ngờ, hoặc yêu cầu hành động khẩn cấp

- Vishing: Cách phát hiện các cuộc gọi hoặc tin nhắn thoại giả mạo, yêu cầu cung cấp thông tin bảo mật, và cách xử lý khi nhận được các cuộc gọi đáng ngờ

- Baiting: Nhận biết các mồi nhử qua email, tệp tin đính kèm lạ, hoặc thiết bị lưu trữ (như USB) không rõ nguồn gốc, và cách từ chối những đề nghị không đáng tin cậy

1.3 Tần suất đào tạo:

- Các khóa đào tạo này nên được tổ chức hàng năm cho toàn bộ nhân viên, đảm bảo rằng mọi người đều được cập nhật về các mối đe dọa và cách thức bảo vệ bản thân và tổ chức trước các cuộc tấn công

1.4 Phương pháp đào tạo:

- Hội thảo trực tiếp hoặc trực tuyến: Cung cấp thông tin về các dạng tấn công Social Engineering và cách xử lý

- Thực hành tình huống: Tạo các tình huống giả lập về phishing, vishing, hoặc baiting để nhân viên có thể thực hành xử lý tình huống

- Đánh giá cuối khóa: Yêu cầu nhân viên làm bài kiểm tra hoặc tham gia đánh giá để đảm bảo họ nắm rõ kiến thức đã học

2 ĐÀO TẠO NÂNG CAO

2.1 Mục tiêu: Nhân viên trong các bộ phận nhạy cảm, như tài chính, IT, và nhân sự, cần

được đào tạo chuyên sâu hơn về các mối đe dọa Social Engineering và cách bảo vệ dữ liệu nhạy cảm trong công việc hàng ngày

2.2 Nội dung đào tạo:

- Bảo mật dữ liệu nhạy cảm: Hướng dẫn cách lưu trữ và truyền tải thông tin nhạy cảm một cách an toàn, áp dụng các biện pháp như mã hóa và xác thực hai yếu tố (2FA)

- Phát hiện tấn công Social Engineering tinh vi: Nhận diện các cuộc tấn công spear phishing nhắm vào cá nhân hoặc bộ phận cụ thể, và cách phòng ngừa các cuộc tấn công tinh vi hơn

- Xử lý sự cố an ninh: Đào tạo cách phản ứng khi phát hiện cuộc tấn công, như khóa tài khoản, cách ly hệ thống, và báo cáo sự cố cho bộ phận IT hoặc quản lý bảo mật

2.3 Tần suất đào tạo:

- Các bộ phận nhạy cảm cần tham gia đào tạo nâng cao ít nhất 2 lần mỗi năm, hoặc bất cứ khi nào có các cập nhật mới về an ninh mạng

2.4 Phương pháp đào tạo:

- Đào tạo chuyên sâu trực tiếp: Các chuyên gia an ninh mạng sẽ cung cấp thông tin chi tiết

về các rủi ro và biện pháp bảo vệ cho nhân viên

- Tình huống thực tế: Thực hành với các tình huống thực tế về tấn công Social Engineering

mà tổ chức có thể đối mặt

- Đào tạo cá nhân hóa: Tập trung vào việc đào tạo các kỹ năng bảo mật cụ thể cho từng vị trí công việc và yêu cầu bảo mật dữ liệu liên quan

VI ÁP DỤNG BIỆN PHÁP BẢO MẬT

Biện pháp bảo mật là yếu tố quan trọng giúp bảo vệ tổ chức khỏi các cuộc tấn công mạng và

lỗ hổng bảo mật Dưới đây là các biện pháp bảo mật cần áp dụng để đảm bảo an ninh cho hệ thống mạng và dữ liệu

1 CHÍNH SÁCH MẬT KHẨU

a Sử dụng mật khẩu phức tạp:

Nhân viên phải tạo mật khẩu mạnh, có ít nhất 8 ký tự, bao gồm:

- Chữ hoa và chữ thường

- Chữ số

- Ký tự đặc biệt (như @, #, $, %)

- Mật khẩu không được chứa thông tin cá nhân như tên, ngày sinh hoặc các chuỗi ký tự dễ đoán

b Thay đổi mật khẩu định kỳ:

- Nhân viên phải thay đổi mật khẩu ít nhất mỗi 3 tháng một lần để giảm thiểu nguy cơ bị tấn công thông qua việc lộ thông tin mật khẩu

c Xác thực hai yếu tố (2FA):

- 2FA phải được áp dụng cho các tài khoản nhạy cảm như email, tài khoản truy cập hệ thống nội bộ, và các ứng dụng có chứa thông tin quan trọng

- 2FA sử dụng hai phương thức xác thực, chẳng hạn như mật khẩu và mã OTP (One-Time Password) hoặc sử dụng ứng dụng xác thực như Google Authenticator

2 KIỂM TRA VÀ GIÁM SÁT EMAIL

a Công cụ lọc email:

- Bộ phận IT cần triển khai công cụ lọc email nhằm phát hiện và chặn các email lừa đảo (phishing) trước khi chúng đến tay người dùng

- Công cụ này phải có khả năng:

 Phát hiện các email lừa đảo, spam, và email giả mạo

 Chặn đường link và tệp đính kèm có mã độc trước khi chúng có thể gây hại cho hệ thống

b Kiểm tra các cuộc tấn công tiềm ẩn: