Kỹ nghệ xã hội

Trong bảo mật máy tính, social engineering (kỹ thuật xã hội) là kỹ thuật mà kẻ tấn công dùng để thao túng tâm lý người dùng thực hiện các hành động có hại, chẳng hạn như tiết lộ thông tin xác thực hoặc thông tin nhạy cảm khác.

Ví dụ, trong một cuộc tấn công phishing (lừa đảo), người dùng nghĩ rằng họ đang đăng nhập vào một trang web mà họ có tài khoản, trong khi thực tế họ đang cung cấp thông tin đăng nhập của mình cho một trang web giả mạo do kẻ tấn công kiểm soát.

Các cuộc tấn công social engineering có thể được phân biệt với các cuộc tấn công khác vì chúng không nhắm vào các lỗ hổng trong phần mềm hay phần cứng, mà nhắm vào người dùng, khiến họ đưa ra các quyết định sai lầm. Điều này có thể khiến chúng khó phòng thủ, mặc dù các lựa chọn thiết kế hệ thống có thể làm giảm khả năng thành công hoặc thậm chí làm chúng trở nên không khả thi.

Các biện pháp bảo vệ chống lại các cuộc tấn công social engineering thường tập trung vào việc dạy người dùng các thực hành an toàn, chẳng hạn như không nhấp vào các liên kết trong email. Tuy nhiên, kinh nghiệm cho thấy rằng tất cả người dùng đều có thể dễ bị tổn thương trước các cuộc tấn công social engineering, đặc biệt khi họ mệt mỏi, bận rộn hoặc căng thẳng.