BỘ GIÁO DỤC VÀ ĐÀO TAO
TRƯỜNG ĐẠI HỌC QUY NHƠN

ĐẶNG KỲ DUN

TIỂU LUẬN MƠN AN TỒN VÀ BẢO MẬT THƠNG TIN

ĐỀ TÀI: NGHIÊN CỨU TẤN CÔNG SOCIAL ENGINEERING

Chuyên ngành: Khoa học máy tính
Mã số: 60480101
Khóa: 23

Người hướng dẫn: TS. LẠI MINH TUẤN

Bình Định - Năm 2021


MỤC LỤC
LỜI NĨI ĐẦU................................................................................................................3
CHƯƠNG 1: KỸ THUẬT TẤN CƠNG SOCIAL ENGINEERING.............................4
1.1. Social Engeering là gì?............................................................................................4
1.2. Nghệ thuật thao túng................................................................................................5
1.3. Điểm yếu của mọi người..........................................................................................5
CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING............................7
2.1. Phân loại kỹ thuật Social Egnieering.......................................................................7
2.1.1. Human-Based Socal Engineering.....................................................................7
2.1.2. Computer-Based Social Engineering................................................................8
CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL
ENGINEERING............................................................................................................10
3.1. Các bước tấn công..................................................................................................10

3.1.1. Thu thập thông tin...........................................................................................10
3.1.2. Chọn mục tiêu.................................................................................................10
3.1.3. Tấn công..........................................................................................................10
3.2. Các kiểu tấn công phổ biến....................................................................................11
3.2.1. Insider Attacks.................................................................................................11
3.2.2. Identity Theft...................................................................................................12
3.2.3. Phishing Attacks..............................................................................................12
3.2.4. Online Scams...................................................................................................12
3.2.5. URL Obfuscation.............................................................................................13
3.3. Các mối đe dọa Socal Engineering........................................................................13
3.3.1. Online Threats.................................................................................................13
3.3.2. Telephone-Based Threats................................................................................15
3.3.3. Waste Management Threats............................................................................16
3.3.4. Personal Approaches......................................................................................17
3.3.5. Reverse Social Engineering............................................................................17
3.4. Biện pháp đối phó Social Engineering...................................................................18
CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ
SOCIAL ENGINEERING............................................................................................20
4.1. Xây dựng một framework quản lý an ninh............................................................20
4.2. Đánh giá rủi ro.......................................................................................................21
4.3. Social engineering trong chính sách an ninh.........................................................23


CHƯƠNG 5: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ
SOCIAL ENGINEERING..............................................................................................1
5.1. Sự nhận thức............................................................................................................1
5.2. Quản lý sự cố...........................................................................................................1
5.3. Xem xét sự thực thi..................................................................................................3
5.4. Social Engineering và mơ hình phân lớp phịng thủ chiều sâu................................3
KẾT LUẬN.....................................................................................................................6



LỜI NĨI ĐẦU
Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ
mạng, kèm theo đó là vấn đề bảo vệ các tài ngun thơng tin trên mạng, tránh sự mất
mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo
vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng
mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng
thời tăng tính bảo mật thơng tin cho mạng được cao hơn. Đặc biệt với sự phát triển của
Internet cùng với sự ra đời các mạng xã hội vấn đề lừa đảo trên mạng diễn ra ngày
càng phức tạp hơn với đề tài “Nghiên cứu tấn công Social Engineering” sẽ đưa cho
chúng ta thấy cái nhìn tổng quát nhất về tình hình an ninh mạng hiện nay và kỹ thuật
tấn công Social Engineering để từ đó có phương pháp phịng chống tốt nhất.


CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING
1.1. Social Engeering là gì?
Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người
dùng nhằm khai tác các thơng tin có lợi cho các cuộc tấn cơng hoặc thuyết phục nạn
nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn
công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet
để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một
chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phuong pháp này,
Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm
các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo
mật kém cõi sẽ là cơ hội cho kỹ thuật tấn cơng này hành động.
Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể
lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xảy ra khi
ông đang làm việc tại một cơng ty khác trước đó: “Một buổi sáng vài năm trước, một
nhóm người lạ bước vào cơng ty với tư cách là nhân viên của một công ty vận chuyển

mà cơng ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập
vào tồn bộ hệ thống mạng cơng ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy
một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu
tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ
giả vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm
lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười
thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phịng
tài chính vừa có cuộc cơng tác xa, và những thơng tin của ơng này có thể giúp họ tấn
cơng hệ thống. Do đó họ đã đột nhập văn phịng của giám đốc tài chính này. Họ lục
tung các thùng rác của cơng ty để tìm kiếm các tài liệu hữu ích. Thơng qua lao cơng
của cơng ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của
người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám
đốc vắng mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị
giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã
giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi


họ đã gọi điện cho phòng IT với vai trò giám đốc phịng tài chính, làm ra vẽ mình
bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và
nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm
nhất của kỹ thuật tấn công này là quy trình thẩm định thơng tin cá nhân. Thơng qua
tường lửa, mạng riêng ảo, phần mềm giám sát mạng...sẽ giúp rộng cuộc tấn cơng, bởi
vì kỹ thuật tấn cơng này khơng sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố
con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẻ
tấn công thu thập được thông tin quan trọng.
1.2. Nghệ thuật thao túng
Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái
phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer
là lừa một người nào đó cung cấp thơng tin có giá trị. Nó tác động lên phẩm chất vốn
có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi

người và sợ những rắc rối.
Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào
đó đồng ý làm theo những gì mà Social engineer muốn. Nó khơng phải là cách điều
khiển suy nghĩ người khác, và nó khơng cho phép Social engineer làm cho người nào
đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó khơng dễ
thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để
tấn cơng vào cơng ty. Có 2 loại rất thơng dụng:
 Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn
là phá hủy hệ thống.
 Psychological subversion: mục đích của hacker hay attacker khi sử dụng
PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị,
phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu
khi nói, và nó thường sử dụng trong quân đội.
1.3. Điểm yếu của mọi người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phịng
thành cơng thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện
tốt các chính sách đó. Social engineering là phương pháp khó phịng chống nhất vì nó


không thể dùng phần cứng hay phần mềm để chống lại.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị
vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được
đều có thể dùng phương pháp Social engineering để thu thập thêm thơng tin. Có nghĩa
là một người khơng nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo
mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong
trường hợp của Social engineering, hồn tồn khơng có sự bảo mật nào vì khơng thể
che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hồn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực
tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành cơng, nhưng đây là
phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.

Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân
tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy
nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình
thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được
càng nhiều. Không có nghĩa là các tình huống này khơng dựa trên thực tế. Càng giống
sự thật thì khả năng thành cơng càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là
một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội
hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.


CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING
2.1. Phân loại kỹ thuật Social Egnieering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con
người với con người để thu được thơng tin mong muốn. Ví dụ như chúng ta phải gọi
điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố
gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại
mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
2.1.1. Human-Based Socal Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật
này, kẻ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ
thống. Hacker mạo danh mình là người bảo vệ, nhân viên, đối tác, để độp nhập công
ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thơng tin từ thùng rác,
máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng
nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như
người quản lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức,

hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người
nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của
giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một
phương pháp cổ điển của kỹ thuật tấn cơng Social engineering. Help-desk và phịng hổ
trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký
hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi
nhận lại, thơng tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê


tiện” vì phải lơi thùng rác của người ta ra để tìm kiếm thơng tin, nhưng vì đại cuộc
phải chấp nhận hi sinh. Nói vui vậy, thu thập thơng tin trong thùng rác của các công ty
lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những
thơng tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa
nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thơng tin về Microsoft
trong trường hợp chống độc quyền. Danh từ “larrygate”, khơng là mới trong hoạt động
tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại cơng ty –
biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới
các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là
nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn cơng có thể
xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức;
bản ghi nhớ; sổ tay chính sách cơng ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ
thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source
code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social
Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người

cung cấp thơng tin. Điều đó khơng có gì là ngạc nhiên, khi hacker bây giờ chính là
nhân viên phịng help desk. Người dùng bị mất password, và yêu cầu nhân viên
helpdesk cung cấp lại.
2.1.2. Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có
thể chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một cơng ty kinh
doanh, ngân hàng hoặc thẻ tín dụng u cầu chứng thực thông tin và cảnh báo sẽ xảy
ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường
link đến một trang web giả mạo trong hợp pháp với logo của công ty và nội dung có
chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng
phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người
sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan


đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để
khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ
thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm
cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta
đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được
cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thơng tin đến một website ở xa.
Mail attachments: Có 2 hình thức thơng thường có thể được sử dụng. Đầu tiên là
mã độc hại. Mã này sẽ ln ln ẩn trong một file đính kèm trong email. Với mục đích
là một user khơng nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna
Kournikova(trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu
tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở
rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user
để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng

cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản
sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là
hiệu ứng quả cầu tuyết.
Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm,
chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra
một cuộc thi hư cấu, địi hỏi user điền vào địa chỉ email và password. Password điền
vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân
viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế
social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ
chức.
Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và
cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM,
hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản
quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ được cài đặt
thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.


CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ
SOCIAL ENGINEERING
3.1. Các bước tấn công
3.1.1. Thu thập thông tin
Một trong những chìa khóa thành cơng của Social Engineering là thông tin. Đáng
ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ
chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ
như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra
các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và
chỉ ra có chi nhánh hay khơng nếu có thì chúng ở đâu. Tất cả thơng tin này có thể là
hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công
Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài ngun
thơng tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ

tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ
tấn cơng trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân
viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.1.2. Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn cơng tìm kiếm điểm yếu
đáng chú ý trong nhân viên của tổ chức đó. Mục tiêu thông thường là nhân viên hổ trợ
kỹ thuật, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản,
kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn cơng là tập hợp thơng tin nhạy
cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập,
thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn cơng phá hoại
và che giấu vết. Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có
thể tiếp cận với các dữ liệu nhạy cảm thơng thường được lưu chuyển giữa các thành
viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho
quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.
3.1.3. Tấn công

Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường
gạt”.
Gồm có 3 loại chính:


 Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc
điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế
nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn
công sẽ sử dụng điều này để trích ra thơng tin từ nạn nhân của chúng. Kẻ tấn công
thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm
việc ở vị trí mà dưới tài năng của họ. Kẻ tấn cơng thường có thể phán đốn ra điều này
chỉ sau một cuộc nói chuyện ngắn.
 Sympathy attacks: Trong loại tấn cơng thứ hai này, kẻ tấn công thường giả vờ
là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc

đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề
thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra
sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện
kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài
nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,…
Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là
thơng cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn
công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng
cho đến khi tìm thấy người thơng cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi
ngờ.
 Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là một nhân vật có
quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn
nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do
hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ
thống, hoặc thông tin nhạy cảm.
3.2. Các kiểu tấn công phổ biến
3.2.1. Insider Attacks
Nếu một hacker khơng tìm được cách nào để tấn công vào tổ chức, sự lựa chọn
tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên
đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider
Attack – tấn cơng nội bộ. Insider Attack có một thế mạnh rất lớn, vì những gián điệp


này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong
công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn cơng vào Vietnamnet
(năm 2010) được cho rằng có liên quan đến sự rị rĩ các thơng tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên.
Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao
hơn. Bằng cách xâm nhập vào CSDL nhân sự cơng ty, anh ta có thể thay đổi mức

lương của mình. Hoặc một trường hợp khác, nhân viên muốn có tiền nhiều hơn, bằng
cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho các cơng ty khác
3.2.2. Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân
viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật
Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể
giúp các hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ thống mà
không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity Theft).
3.2.3. Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin
ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thơng tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thơng tin
mà hacker u cầu. Vì vậy, phía cần phịng chống là các cơng ty cung cấp dịch vụ, làm
sao cho hacker không thể giả mạo.
3.2.4. Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể
thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày
để đăng nhập vào hệ thống máy tính của cơng ty. Các hacker có thể sử dụng tên người
dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thơng tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó
có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm là
những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file. Trong


ví dụ dưới đây mà một email bất chính, dùng để dụ nạn nhân mở một liên kết khơng
an tồn.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ

pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần mềm miễn phí. Vì
nhẹ dạ mà nạn nhân vơ tình cài vào một mã độc hại.
3.2.5. URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào
một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên
các thanh địa chỉ một cách hợp pháp. Ví dụ địa chỉ http://204.13.144.2/Citibanj có thể
xuất hiện là địa chỉ hợp pháp cho ngân hành Citibank, tuy nhiên thực tế thì khơng.
URL Obfuscation sử dụng để làm cho cuộc tấn công và lừa đảo trục tuyến trở nên hợp
pháp hơn. Một trang web xem qua thì hợp pháp với hình ảnh, tên tuổi của cơng ty,
nhưng những liên kết trong đó sẽ dẫn đến những trang web của hacker.
Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ bạn vào trang
web và thực hiện giao dịch bình thường. Tuy nhiên, bạn đã vào trang
giả mạo của hacker, vì trang web của ebay là Khác biệt là ở chổ giao
thức http và https.
3.3. Các mối đe dọa Socal Engineering
3.3.1. Online Threats

Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho
cơng việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối này là
cơ hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, popup windows, instant message sử dụng trojan, worm, virus...gây thiệt hại và phá hủy tài
nguyên máy tính. Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp
thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thơng
qua tấn cơng trực tiếp. Một cuộc tấn cơng Social engineering có thể giúp cho hacker
thu thập được những thông tin cần thiết, chuẩn bị cho một cuộc tấn công mạnh mẽ
khác sau đó. Vì thế, phải có lời khun và những khuyến cáo cho nhân viên, là làm thế
nào để nhận diện và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng


chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email

riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn
hơn, và mức độ cảnh giác đối với email mạo danh cũng giảm đi. Đó chính là cơ hội
cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những
thông tin cần thiết.
Một ví dụ của tấn cơng kiểu này là gửi email đến các nhân viên nói rằng ơng chủ
muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc họp. Chỉ đơn giản là làm cho
email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì khơng thận trọng nên
đã cung cấp thơng tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình
nghỉ của nhân viên có thể khơng là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với
hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân
viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, cơng ty thẻ tín
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin
ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thơng tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
cơng, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin
mà hacker yêu cầu. Vì vậy, phía cần phịng chống là các cơng ty cung cấp dịch vụ, làm
sao cho hacker không thể giả mạo.
Một ví dụ lừa đảo nữa của kỹ thuật này là email sau đây:

Nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link
trên chỉ ra là trang web này bảo mật, sử dụng https, mặc dù link thật sự của trang web
sử dụng http. Tên công ty trong mail là “Contoso”, nhưng link thật sự thì tên cơng ty
gọi là “Comtoso”.
Các ứng dụng pop-up và hộp hội thoại (Pop-Up Applications and Dialog


Boxes): Không thực tế các nhân viên sử dụng internet khơng chỉ cho mục đích làm
việc của cơng ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như

mua sắm hoặc nghiên cứu trực tuyến. Thơng qua trình duyệt cá nhân của nhân viên hệ
thống máy tính cơng ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc dù
điều này có thể không là mục tiêu cụ thể của hacker, họ sẽ sử dụng các nhân viên trong
một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục
đích phổ biến là nhúng một mail engine vào mơi trường máy tính cơng ty thơng qua đó
hacker có thể bắt đầu phising hoặc các tấn cơng khác vào email của cá nhân hay của
công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong
một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một
thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví
dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân viên có
kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa bịp này.
Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể đe dọa và lừa
được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức
năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc
định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua
thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ
không nên bấm vào cửa sổ pop-up, trước khi có sự ý kiến của nhân viên phịng IT.
Instant Mesaging Có một số mối đe dọa tiềm tàng của IM khi nó được hacker
nhắm đến. Đầu tiên là tính chất khơng chính thức của IM. Tính tán gẫu của IM, kèm
theo đó là lựa chọn cho mình một cái tên giả mạo (nickname), nghĩa là sẽ không hồn
tồn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đã quen biết.
Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM.
3.3.2. Telephone-Based Threats
Điện thoại là mơi trường mà người ta ít quan tâm đến việc bảo mật, cũng ít có
hacker tấn cơng phá hổng hệ thống điện thoại. Nhưng sử dụng điện thoại để phục vụ
cho mục đích tấn cơng mạng khác thì khơng phải khơng có. Gọi điện thoại đến nạn
nhân, thuyết phục họ cung cấp thơng tin bằng một kịch bản tình huống giả được các



hacker viết trước, đó là chính mối đe dọa lớn nhất của kỹ thuật tấn công Social
engineering sử dụng điện thoại.
Khơng dừng lại ở đó, VoIP đang dần dần phát triển, ngày càng có nhiều doanh
nghiệp sử dụng VoIP. Việc tấn công vào mạng VoIP để nghe lén cuộc gọi là điều mà
các hacker đang tiến tới. Việc nghe lén cuộc gói trước đây chỉ phục vụ cho tổ chức an
ninh, phịng chống tội phạm. Nhưng nó đã bị các hacker lợi dụng để nghe lén những
thông tin bàn thảo của các vị giám đốc.
3.3.3. Waste Management Threats
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể
chứa thơng tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài
khoản bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại.
Các loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho
hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí cịn hữu ích hơn cho hacker. Nếu một cơng
ty, khơng có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thơng tin
dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD khơng
cịn sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc
phương tiện lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngồi cơng ty,
thì tính sở hữu nó có thể trở thành khơng rõ ràng về pháp luật. Dumpster diving có thể
khơng được coi là bất hợp pháp trong mọi hồn cảnh, vì thế phải đưa ra lời khuyên về
xử lý rác thải.
 Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương
tiện có từ tính. Nếu có loại chất thải q lớn hoặc khó để đặt vào máy hủy, chẳng hạn
như niên giám điện thoại, hoặc nó có kỹ thuật vượt q khả năng của user để hủy nó,
thì phải phát triển một giao thức cho việc vứt bỏ.
 Nên đặt các thùng rác ở trong vùng an tồn mà khơng tiếp cận với công cộng.
Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải bên trong.
Chính sách bảo mật thường khơng chú ý vấn đề này, bởi vì nó thường được giả định

rằng bất cứ ai được phép vào công ty phải là đáng tin cậy. Rõ ràng, điều này không
phải lúc nào cũng đúng. Một trong những biện pháp có hiệu quả nhất để quản lý giấy


thải là đặc tả của việc phân loại dữ liệu. Bạn xác định loại giấy khác nhau dựa trên các
thông tin và chỉ định cách thức nhân viên quản lý sự vứt bỏ của họ. Ví dụ có thể phân
thành các loại: Bí mật cơng ty, riêng tư, văn phịng, công cộng...
3.3.4. Personal Approaches
Cách rẻ nhất và đơn giản nhất cho hacker lấy thông tin là hỏi trực tiếp. Cách tiếp
cận này có vẻ thơ lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật.
Có 4 cách tiếp cận minh chứng thành cơng của social engineer:
o Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm
quyền để ép buộc mục tiêu làm theo yêu cầu.
o Sự thuyết phục: hình thức thơng thường của sự thuyết phục gồm có nịnh hót
hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng.
o Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp
dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lịng tin, thậm chí, thơng
tin từ mục tiêu.
o Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sự trợ
giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker đánh cắp
nhận dạng của mục tiêu.
Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Nó phụ
thuộc khá nhiều vào nhận thức của nhân viên. Việc phát triển một môi trường làm việc
cộng đồng tin cậy sẽ làm giảm mức độ thành công của hacker. Thường xuyên tổ chức
những chương trình tập huấn về mức độ rủi ro của an ninh cho nhân viên là cách tốt
nhất giúp họ nâng cao nhận thức, chống lại kiểu tấn công này.
3.3.5. Reverse Social Engineering
Là một hình thức cao hơn social engineering, giải quyết các khó khăn phổ biến
của social engineering bình thường. Hình thức này có thể mơ tả là một user hợp pháp
của hệ thống hỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker được cho là có

vị trí cao hơn user hợp pháp, người thực sự là mục tiêu. Để thực hiện một tấn công
RSE, kẻ tấn cơng phải có sự hiểu biết về hệ thống và ln ln phải có quyền truy xuất
trước đó đã được cấp cho anh ta, thường là do social engineering bình thường tiến
hành.
Tấn cơng RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự


giúp đỡ. Sau khi đạt quyền truy xuất bằng các phương tiện khác, hacker phá hoại
workstation bằng cách làm hư station, hoặc làm cho nó có vẻ là hư hỏng. Với sự
phong phú các thông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo
có thể thực hiện việc phá hoại. Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự
giúp đỡ. Để là người được user gọi tới, kẻ tấn công phải quảng bá là hắn ta có khả
năng sửa được lỗi. Sự quảng bá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung
quanh các văn phịng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo
lỗi. Một thơng báo lỗi ví dụ có thể:
** ERROR 03 - Restricted Access Denied ** - File access not allowed by user.
Consult with Mr. Downs
at (301) 555-1414 for file permission information.
Trong trường hợp này, user sẽ gọi “Mr. Downs” đề được giúp đỡ, và tiết lộ thông
tin tài khoản mà khơng nghi ngờ tính hợp pháp của “Mr. Downs” . Phương pháp khác
của sự quảng bá có thể bao gồm social engineering. Một ví dụ của điều này là hacker
gọi đến mục tiêu và thông báo với họ là số điện thoại hỗ trợ kỹ thuật mới đã thay đổi,
và sau đó hacker sẽ đưa cho họ số của riêng mình. Phần thứ ba ( và dễ nhất) của một
cuộc tấn công RSE là cho hacker giúp đỡ giải quyết vấn đề. Bởi vì hacker là kẻ chủ
mưu của sự phá hoại, vấn đề dễ dàng để sửa, và mục tiêu khơng nghi ngờ người giúp
đỡ bởi vì hắn ta thể hiện là một user am hiểu hệ thống. Trách nhiệm của hacker chỉ là
lấy thông tin tài khoản từ mục tiêu trong khi giúp đỡ họ. Sau khi thông tin đạt được,
hacker giải quyết vấn đề và sau đó kết thúc cuộc trò chuyện với mục tiêu.
3.4. Biện pháp đối phó Social Engineering
Để xác định được phương pháp đối phó với Social Engineering là điều rất quan

trọng trong các kỹ thuật phịng thủ và tấn cơng. Nó có liên quan đến vấn đề về xã hội
nên việc phòng chống nó có chút rắc rối về các tư cách của con người. Có một số cách
để làm điều này.
Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống.
Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công ty.
Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết. Khi nhân viên của
bạn hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của


phịng an ninh.
Vấn đề về con người cũng khơng kém quan trọng. Vì kỹ thuật tấn cơng này chủ
yếu liên quan đến tư tưởng con người. Sự lơ là của nhân viên, sự mất lòng tin của nhân
viên cũng là nguy cơ mất an toàn cho hệ thống.
Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích
của an ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho
việc phân phối những mục đích này.
Đánh giá rủi ro: Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các
công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa social engineering và hợp
lý hóa mối nguy hiểm trong tổ chức.
Social engineering trong chính sách an ninh: Phát triển một văn bản thiết lập các
chính sách và thủ tục quy định nhân viên xử trí tình huống mà có thể là tấn cơng social
engineering. Bước này giả định là chính sách bảo mật đã có, bên ngoài những mối đe
dọa của social engineering. Nếu hiện tại khơng có chính sách bảo mật, thì cần phải
phát triển chúng.


CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE
DỌA TỪ SOCIAL ENGINEERING
4.1. Xây dựng một framework quản lý an ninh
Một khung quản lý an ninh xác định một cái nhìn tổng quan các mối đe dọa có

thể xảy ra đối với tổ chức từ social engineering và cấp phát tên cơng việc có vai trị
chịu trách nhiệm cho việc xây dựng chính sách và thủ tục để làm giảm bớt các mối đe
dọa này. Cách tiếp cận này khơng có nghĩa là bạn phải sử dụng nhân viên chỉ có chức
năng đảm bảo an ninh của tài sản cơng ty.
Security sponsor. Quản lý cấp cao, người có thể cung cấp chứng thực cần thiết để
đảm bảo tất cả nhân viên tham gia nghiêm chỉnh về bảo mật cho công ty.
Security manager. Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí sự
phát triển và bảo dưỡng của chính sách bảo mật.
IT security officer. Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho sự phát triển
cơ sở hạ tầng và thực thi chính sách và thủ tục bảo mật.
Facilities security officer . Một thành viên của đội thiết bị chịu trách nhiệm cho
phát triển vùng và thực thi chính sách và thủ tục bảo mật
Security awareness officer. Một thành viên của đội ngũ quản lý nhân viên –
thường từ bộ phận phát triển nhân sự hay nguồn nhân lực – người chịu trách nhiệm
cho sự phát triển và thực thi chiến dịch nâng cao nhận thức về an ninh.
Security Steering Committee – đại diện cho ban cố vấn trong công ty. Như là
những ứng viên được lựa chọn cho hệ thống an ninh, Security Steering Committee cần
phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh. Nếu khơng có tập các định
nghĩa các mục tiêu, thì khó để khuyến khích sự tham gia của nhân viên hoặc đo mức
độ thành công của dự án. Nhiệm vụ ban đầu của Security Steering Committee là xác
định các rủi ro do social engineering tồn tại trong công ty. Security Steering
Committee cần phải xác định những vùng có thể tồn tại nguy cơ với cơng ty. Q trình
này có thể bao gồm các yếu tố tấn công được xác định trên giấy tờ và các yếu tố riêng
biệt của công ty, chẳng hạn như sử dụng terminal cơng cộng hay các thủ tục quản lý
văn phịng.


Ví dụ: Company Social Engineering Attack Vector Vulnerabilities

4.2. Đánh giá rủi ro

Tất cả các yêu cầu về an ninh để đánh giá mức độ rủi ro mà một cuộc tấn công
tiến hành trong công ty. Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, nhưng nó
khơng phải cần tiêu tốn nhiều thời gian. Dựa trên công việc đã làm trong khi xác định
các yếu tố cốt lõi của khung quản lý an ninh bởi Security Steering Committee, bạn có
thể phân loại và ưu tiên các rủi ro. Phân loại rủi ro bao gồm:
Bí mật thơng tin
Sự tín nhiệm kinh doanh
Sự sẵn sàng kinh doanh
Tài nguyên
Chi phí


Có thể thiết lập các ưu tiên bằng cách xác định rủi ro và tính tốn chi phí để làm
giảm bớt rủi ro – nếu sự giảm bớt rủi ro tốn nhiều chi phí hơn là xảy ra rủi ro, nó có
thể là khơng hợp lý. Giai đoạn đánh giá rủi ro có thể rất hữu ích trong sự phát triển sau
cùng của chính sách an ninh.
Ví dụ: Steering Committee Security Requirement and Risk Matrix


4.3. Social engineering trong chính sách an ninh
Một cá nhân IT và quản lý công ty phải phát triển và giúp đỡ thực thi một chính
sách an ninh có hiệu quả trong tổ chức. Đơi khi, trọng tâm của chính sách an ninh là sự
điều khiển công nghệ sẽ giúp bảo vệ chống lại các mối đe dọa về công nghệ, chẳng
hạn virus và worm. Điều khiển công nghệ giúp bảo vệ các công nghệ, chẳng hạn các
tập tin dữ liệu, tập tin chương trình, và hệ điều hành. Security Steering Committee có
vùng an ninh cốt lõi và đánh giá rủi ro mà nó phải ủy quyền sự phát triển của tài liệu
kinh doanh, tiến trình, thủ tục.
Ví dụ: Steering Committee Procedure and Document Requirements