BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

BÁO CÁO
SOCIAL ENGINEERING TEST
Giảng viên:

TS. Đặng Minh Tuấn

Học viên thực hiện: KS. Cao Hoàng Bảo
KS. Nguyễn Tiến Dũng
KS. Trần Đức Hạnh
KS. Nguyễn Văn Mạnh
KS. Nguyễn Long Hải
KS. Đặng Hồng Hạnh
KS. Nguyễn Trung Nghĩa
Nhóm: 01
Lớp: CHAT8

Hà Nội, tháng 9 năm 2022


MỤC LỤC

2


DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Từ viết tắt

Tiếng Anh

||

Hoặc

&

Và

Admin

Administrator

CNC

Command And Control

DDoS

Distributed Denial of Service

IP

Internet Protocol

IoT

Internet of Things

OSINT


Open Source Intelligency

LAN

Local Area Metwork

NII

National Information Infrastructure

NSF

National Science Foundation

SET

Social-Engineer Toolkit

TCP/IP

Transmission Control Protocol/Internet Protocol

URL

Uniform Resource Locator

3



DANH MỤC HÌNH VẼ

4


MỞ ĐẦU
Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ
thông tin là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng. Vấn đề an
tồn thơng tin khơng cịn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo
chung của toàn cầu. Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật về phần
mềm đã phát triển vượt bậc nhưng vẫn không đủ bảo vệ chúng ta thốt khỏi việc rị
rỉ thơng tin. Vậy đâu là ngun nhân? Đó chính là con người, bởi lẽ khơng có bất
kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu về yếu tố con
người. Và đó là lý do khiến cho kỹ thuật Social Engineering - một kỹ thuật tấn
công vào yếu tố con người - ngày càng trở nên phổ biến và tinh vi hơn.
Trên thế giới, khi nói về vấn đề bảo mật thơng tin, người ta khơng thể khơng
nói đến Social Engineering - một kỹ thuật khai thác thông tin rất nguy hiểm, khó
phát hiện, phịng chống và gây thiệt hại to lớn cho công tác bảomật thông tin. Ngày
nay, công nghệ thơng tin đóng vai trị chủ chốt trong nhiều lĩnh vực quan trọng của
xã hội như kinh tế, giáo dục, chính trị và quân sự - những lĩnh vực trong đó sự lỏng
lẻo về cơng tác bảo mật thơng tin sẽ khiến chúng ta phải trả giá đắt. Chính vì thế,
Social Engineering nhận được nhiều sự quan tâm tồn cầu, đặc biệt là trong lĩnh
vực công nghệ thông tin.
Social Engineering là một thuật ngữ liên quan đến các ngành khoa học xã
hội, tuy nhiên chúng ta thường xuyên sử dụng và bắt gặp nó trong ngành cơng
nghệ thơng tin. Social Engineering được hiểu đơngiản là một kĩ thuật tác động đến
con người nhằm mục đích lấy được một thơng tin hoặc đạt được một hành động
mong muốn. Những kĩ thuật trên dựa vào nền tảng là những điểm yếu tâm lý,
những nhận thức sai lầm của con người về việc bảo mật thơng tin. Mục đích của
các cuộc tấn cơng Social Engineering có rất nhiều, chúng ta có thể kể đến như: các

lợi ích về tài chính, tạo ra những điều có lợi cho mình, trả thù… hoặc do áp lực bên
ngoài gây ra.
Vấn đề Social Engineering đã được quan tâm rất nhiều trên thế giới, tuy
nhiên ở Việt Nam chúng ta, đặc biệt là giới sinh viên thì tầm hiểu biết và mối quan
tâm về vấn đề này thì rất kém và ít ỏi. Mục đích của chun đề này, đi sâu vào việc
phân tích kiểm thử Social Engineering là gì, nó hoạt động ra sao, trên nền tảng gì.
Qua đó cho mọi người biết được các phương thức kiểm tra Social Engineering

5


mong muốn mọi người nâng cao nhận thức hơn về vấn đề này và có thể trang bị
một số kiến thức cơ bản để phịng tránh nó một cách hiệu quả nhất.

6


CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL
ENGINEERING
1.1. Khái niệm về Social Engineering
Bên cạnh các biện pháp tấn công bằng kỹ thuật như sử dụng các chương
trình tấn cơng thì hacker thường vận dụng kết hợp với các phương pháp phi kỹ
thuật, tận dụng các kiến thức và kỹ năng xã hội để đạt được kết quả nhanh chóng
và hiệu quả hơn. Và phương pháp tấn công không dựa trên các kỹ thuật hay công
cụ thuần túy này được gọi là Social Engineering, trong đời thực thì dạng tấn cơng
này có thể xem như là các kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt được
một mục tiêu nào đó.

Hình 1. Social Engineering
Social Engineering [1] là phương pháp tấn công, đột nhập vào một hệ thống

của một tổ chức, công ty, doanh nghiệp. Kỹ thuật tấn công Social Engineering là
quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thơng
tin có thể giúp chúng ta đánh bại bộ phận an ninh, lấy cắp dữ liệu hoặc tống tiền.
Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện
qua mạng internet, tỉ lệ thành cơng của hình thức này rất cao, bởi vì hacker có thể
lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện
7


tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc
tấn công.
Social Engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa
người dùng nhằm khai thác các thơng tin có lợi cho cuộc tấn công hoặc thuyết
phục nạn nhân thực hiện một hành động nào đó. Social engineer (người thực hiện
cơng việc tấn công bằng phương pháp Social Engineering) thường sử dụng điện
thoại hoặc internet để dụ dỗ người dùng tiết lộ thơng tin nhạy cảm hoặc để có được
họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.
Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên
của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là
người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này
hành động.
Các hacker khi tiến hành các cuộc tấn công Social Engineering thường tận
dụng những mối quan hệ thân thiết, tin cậy mà trong môi trường thông tin được gọi
là các “trust relationship” để tiến hành khai thác mục tiêu. Điển hình như vụ Tiến
Sĩ Lê Đăng Doanh bị hacker đắnh cắp hộp thư và gởi mail cho tất cả đồng nghiệp,
bạn bè trong danh bạ để hỏi mượn tiền do đang bị kẹt tại nước ngoài, hoặc chúng
ta cũng thường xuyên nhận tin nhắn từ các số máy lạ để yêu cầu mua giùm một thẻ
điện thoại rồi gởi mã số đến số của hacker.
Việc tấn cơng này rất hiệu quả vì đánh vào điểm yếu nhất trong quy trình an
tồn thơng tin của chúng ta, đó là sự kém hiểu biết của người dùng. Chính vì vậy

để phịng chống các dạng tấn cơng này thì doanh nghiệp cần có những chương
trình đào tạo nhăm nâng cao nhận thức an tồn thơng tin cho nhân viên của mình.
Và khơng có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và
các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các
firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Khơng có thiết bị
hay giới hạn bảo mật nào hiệu quả khi một nhân viên vơ tình để lộ thơng tin key
trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí
khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu.
8


Thơng thường, mọi người khơng nhận thấy sai sót của họ trong việc bảo
mật, mặc dù họ không cố ý. Những người tấn cơng đặc biệt rất thích phát triển kĩ
năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của
không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong cơng
ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi
người.
Những kẻ tấn cơng ln tìm những cách mới để lấy được thông tin. Họ chắc
chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ,
nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ.
Thường thì mọi người dựa vào vẻ bề ngồi để phán đốn. Ví dụ, khi nhìn thấy một
người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa
vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên
trong công ty kèm theo số điện thọai, email trên Website của cơng ty. Ngồi ra, các
cơng ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ
sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thơng tin giúp cho attacker
biết được loại hệ thống mà họ đang định xâm nhập.
Sau đây là một ví dụ về kỹ thuật tấn công Social Engineering được Kapil
Raina kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện
xẩy ra khi ông đang làm việc tại một cơng ty khác trước đó: “Một buổi sàng vài

năm trước, một nhóm người lạ bước vào cơng ty với tư cách là nhân viên của một
công ty vận chuyển mà cơng ty này đang có hợp động làm việc chung. Và họ bước
ra với quyền truy cập vào toàn bộ hệ thống mạng cơng ty. Họ đã làm điều đó bằng
cách nào? Bằng cách lấy một lượng nhỏ thông tin truy cập từ một số nhân viên
khác nhau trong công ty. Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công
ty từ hai ngày trước. Tiếp theo họ giã vờ làm mất chìa khóa để vào cửa trước, và
một nhân viên cơng ty đã giúp họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để
vào cổng công ty, và chỉ bằng một nụ cười thân thiện, nhân viên bảo vệ đã mở cửa
cho họ vào. Trước đó họ đã biết trường phịng tài chính vừa có cuộc cơng ta xa, và
những thơng tin của ông này có thể giúp họ tấn công hệ thống. Do đó họ đã đột
9


nhập văn phịng của giám đốc tài chính này. Họ lục tung các thùng rác của cơng ty
để tìm kiếm các tài liệu hữu ích. Thơng qua lao cơng của cơng ty, họ có thêm một
số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm quan trọng
cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này. Có
thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và
những thơng tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho
họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ
đã gọi điện cho phòng IT với vai trị giám đốc phịng tài chính, làm ra vẽ mình bị
mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và
nhiều kỹ thuật tấn cơng đã giúp họ chiếm lĩnh tồn bộ hệ thống mạng”. Nguy hiểm
nhất của kỹ thuật tấn công này là quy trình thẩm định thơng tin cá nhân. Thơng qua
tường lửa, mạng riêng ảo, phần mềm giám sát mạng...sẽ giúp rộng cuộc tấn cơng,
bởi vì kỹ thuật tấn cơng này không sử dụng các biện pháp trực tiếp. Thay vào đó
yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để
cho kẽ tấn công thu thập được thông tin quan trọng.
1.2. Thủ thuật sử dụng
Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập

trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social
engineer là lừa một người nào đó cung cấp thơng tin có giá trị. Nó tác động lên
phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có
ích, tin tưởng mọi người và sợ những rắc rối.
Social Engineering vận dụng những thủ thuật và kỹ thuật làm cho một người
nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó khơng phải là cách
điều khiển suy nghĩ người khác, và nó khơng cho phép Social engineer làm cho
người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết,
nó khơng dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết
Attackers dùng để tấn cơng vào cơng ty. Có 2 loại rất thông dụng :
Social Engineering là việc lấy được thông tin cần thiểt từ một người nào đó
hơn là phá hủy hệ thống [2].
10


Psychological subversion: mục đích của hacker hay attacker khi sử dụng
PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị,
phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng
điệu khi nói, và nó thường sử dụng trong quân đội [2].
1.3. Điểm yếu của con người
Phần mềm và phần cứng của máy tính là những thứ vô cùng phức tạp. Tuy
nhiên, con người, kẻ đã tạo ra chúng lại phức tạp hơn gấp nhiều lần. Bởi vì con
người có nhân cách, có tâm lý, tình cảm là những thứ mà các vật nhân tạo chưa thể
có được. Đây chính là điểm vơ cùng mạnh đã giúp con người thành công như ngày
hôm nay, nhưng cũng là một điểm yếu của con người. Và Social Engineering chính
là phương pháp tấn công vô cùng nguy hiểm dựa trên những điểm yếu này.
Thứ nhất, con người luôn mong muốn điều có lợi cho mình và tránh khỏi
các phiền hà, rắc rối: Ví dụ khi một nhân viên chăm sóc khác hàng của một công ty
dịch vụ sẽ luôn được yêu cầu rằng phải làm cho khách hàng hài lòng nhất có thể.
Từ đó, họ sẽ được những phản hồi tốt về chất lượng dịch vụ, được tính điểm cao

trong hệ thống... Với mục tiêu này, nhân viên của chúng ta sẽ luôn cố gắng đáp ứng
yêu cầu cho khách hàng một cách tốt nhất. Chính vì lí do này, nhiều khi họ, những
người nắm giữ thông tin, dữ liệu về hệ thống sẽ cung cấp rất nhiều thông tin không
nên cung cấp cho khách hàng.
Thứ hai, con người thường có khuynh hướng giúp đỡ người khác: Con
người chúng ta là một sinh vật sống có tình cảm, ln sẵn sàng giúp đỡ một người
khi họ gặp vấn đề gì đó. Vì vậy sẽ rất dễ dàng để bị kẻ xấu lợi dụng.
Thứ ba, con người thường chấp nhận một thơng tin mới hơn là nghi ngờ tính
xác thực của thơng tin đó: Hầu hết trong chúng ta ai cũng vậy, mọi người khi nghe
một thông báo, một khẳng định, một lời khuyên mới nào đó… chúng ta đều tin nó
là có thật. Việc này sẽ kéo dài cho đến khi chúng ta phát hiện nó là khơng thật.
Qng thời gian này có thể khơng dài, tuy nhiên sẽ khơng ngắn để thực hiện một số
mục đích.
11


Thứ tư, con người luôn muốn làm nhanh một việc, cắt bỏ giai đoạn: Chúng
ta thường xuyên thực hiện công việc với tâm lý như thế, tuy nhiên lại không nhận
thức được hậu quả của việc đó. Chẳng hạn như việc quên mật khẩu có thể khắc
phục được bằng việc viết mật khẩu ra giấy và bảo quản cẩn thận.
Thứ năm, thái độ của một người đối với việc bảo vệ thơng tin cá nhân của
mình khơng cao: Đây là một tâm lý vô cùng quan trọng và nguy hiểm để kẻ xấu
dựa vào đó có thể thực hiện mọi mưu đồ của mình. Người ta ln nghĩ rằng thơng
tin cá nhân của mình khơng quan trọng, tuy nhiên họ lại không biết rằng, một người
không nằm trong hệ thống bảo mật vẫn có thể làm ảnh hưởng đến tồn bộ hệ thống
bảo mật.
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề
phòng thành cơng thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân
viên thực hiện tốt các chính sách đó. Social Engineering là phương pháp khó
phịng chống nhất vì nó khơng thể dùng phần cứng hay phần mềm để chống lại.

Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết
bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu
thập được đều có thể dùng phương pháp Social Engineering để thu thập thêm
thơng tin. Có nghĩa là một người khơng nằm trong chính sách bảo mật cũng có thể
phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi
thông tin là rẩt yếu. Trong trường hợp của Social Engineering, hồn tồn khơng có
sự bảo mật nào vì khơng thể che giấu việc ai đang sử dụng hệ thống và khả năng
ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hồn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu
trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành cơng, nhưng
đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố
khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy
nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình
thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được
12


càng nhiều. Khơng có nghĩa là các tình huống này khơng dựa trên thực tế. Càng
giống sự thật thì khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social Engineering
là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin
nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
1.4. Tầm ảnh hưởng của Social Engineering
Social Engineering thực sự là nguy hiểm, và mức độ nguy hiểm của nó được
thể hiện qua kết quả thực tế trong báo cáo “The risk of Social Engineering on
information security: A survey of IT Professionals”. Đây là là một cuộc khảo sát
được thực hiện bởi Dimensional Research và được bảo đảm bởi tổ chức Check
Point1, thực hiện với 853 chuyên gia IT ở nhiều nước có ngành cơng nghệ thơng
tin phát triển hàng đầu thế giới: Mỹ, Anh, Canada, Úc, New Zealand và Đức trong

khoảng tháng 7 và tháng 8 năm 2011. Mục tiêu của cuộc khảo sát là thu thập dữ
liệu về nhận thức đối với các cuộc tấn công Social Engineering và tác động của nó
đối với các doanh nghiệp. Báo cáo đã cho chúng ta thấy các kết quả như sau:[2]
Có 97% các chuyên gia bảo mật và 86% các chuyên gia ngành Công Nghệ
Thông Tin đã nhận thức được mối đe dọa an ninh tiềm ẩn từ Social Engineering.
Sự nhận thức về mối đe dọa này cũng được chia thành nhiều cấp độ khác nhau:

13


Hình 2. Nhận thức của các chuyên gia đối với Social Engineering
Có 43% số người được phỏng vấn cho biết rằng họ đã là đối tượng bị khai
thác bởi Social Engineering. Chỉ có 16% có thể khẳng định rằng họ không phải là
đối tượng của Social Engineering, trong khi 41% không nhận thức được rằng họ đã
bị tấn công hay chưa.

Hình 3. Mức độ nhận biết đã bị tấn cơng bởi Social Engineering hay chưa
Khảo sát về mục đích của các cuộc tấn cơng cho thấy: 51% mục đích của
các cuộc tấn cơng là nhằm vào các lợi ích về kinh tế và 14% nhằm vào mục đích là
để trả thủ, mâu thuẫn cá nhân. Qua đây chúng ta có thể thấy được, mục đích của
các cuộc tấn cơng này là những mục đích xấu, gây ảnh hưởng tổn hại đến một tổ
chức, một cá nhân chứ không hề đơn giản.
14


Về mật độ xảy ra các vụ tấn công trên: 32% tổng số người tham gia cuộc
khảo sát nói rằng họ thường xuyên là đối tượng của Social Engineering, trong vòng
hai năm, họ đã bị khai thác khoảng 25 lần hoặc hơn thế.Và 48% các tổ chức được
khảo sát cho biết họ thường xuyên là đối tượng bị tấn công và cho biết trong vòng
hai năm số lần họ bị khai thác là 25 hoặc hơn thế.


Hình 4. Tấn suất tấn công Social Engineering của các công ty và nhân viên
Qua báo cáo cho thấy thiệt hại từ các cuộc tấn cơng này tương đối lớn:

Hình 5. Mức thiệt hại khi bị tấn công bởi Social Engineering
Các tổ chức được khảo sát cho biết, các thiệt hại bao gồm chi phí về sự gián
đoạn kinh doanh, chi phí đối với khách hàng, mất doanh thu, lao động và các chi
15


phí khác…Gần một nửa trong số họ (48%) cho biết rằng thiệt hại là hơn 25,000$
và 30% các tổ chức lớn cho biết thiệt hại của họ lên tới hơn 100,000$.
Những con số đã cho mọi người thấy về độ nguy hiểm và tầm ảnh hưởng
của Social Engineering. Cho mọi người thấy được rằng: trên thế giới, Social
Engineering là một vấn đề rất được quan tâm, nó xảy ra rất thường xun và thiệt
hai của nó gây ra là khơng hề nhỏ.

16


CHƯƠNG 2: TẤN CÔNG SOCIAL ENGINEERING
1

Phân loại Social Engineering

Social Engineering có thể được chia thành hai loại phổ biến:
1.4.1. Human-Based Social Engineering
Human-based là kỹ thuật Social Engineering liên quan đến sự tương tác giữa
con người với con người để thu được thơng tin mong muốn. Ví dụ như chúng ta
phải gọi điện thoại đến phịng Help Desk để truy tìm mật khẩu. Kỹ thuật Human

Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ
thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ
của hệ thống. Hacker mạo danh mình là người gác cổng, nhân viên, đối tác, đột
nhập vào công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các
thơng tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi
thăm những người đồng nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng
như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập
tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ
thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một
người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy
quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một
phương pháp cổ điển của kỹ thuật tấn cơng Social Engineering. Help-desk và
phịng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi
ngon cho hacker.
Shoulder Surfing: là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật
ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được
17


ghi nhận lại, thơng tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving: là kỹ thuật thu thập thơng tin trong thùng rác. Nghe có vẻ
“đê tiện” vì phải lơi thùng rác của người ta ra để tìm kiếm thơng tin, nhưng vì đại
cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thơng tin trong thùng rác của
các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username,
filename hoặc những thơng tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison,
chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm

ra thơng tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”,
không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: Thứ nhất là sách niên giám điện
thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt
quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính
xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ
dàng khi kẻ tấn cơng có thể xác định tổng đài điện thoại của công ty từ sách niên
giám. Hai là các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội
họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên
đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social Engineering là Reverse
Social Engineering (Social Engineering ngược). Trong kỹ thuật này, hacker trở
thành người cung cấp thơng tin. Điều đó khơng có gì là ngạc nhiên, khi hacker bây
giờ chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu
nhân viên helpdesk cung cấp lại.
1.4.2. Computer-Based Social Engineering
Computer Based là kỹ thuật liên quan đến việc sử dụng các phần mềm để cố
gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập
lại mật khẩu đăng nhập vào website. Kỹ thuật này cịn được gọi là Phishing (lừa
đảo). Có thể chia thành các loại như sau:
Phishing: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công
18


ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh
báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường
chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công
ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc
số pin.
Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một

dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gửi
email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo
vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến
một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối
người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng.
Và Voip tiếp tay đắc lực thêm cho dạng tấn cơng mới này vì giá rẻ và khó giám sát
một cuộc gọi bằng Voip.
Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của
CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần
mềm có bản quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ
được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình
hợp pháp.
1.5. Các bước tấn công trong Social Engineering
1.5.1. Thu thập thông tin
Một trong những chìa khóa thành cơng của Social Engineering là thông tin.
Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân
viên trong tổ chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên
website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường
mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách
điện thoai và email; và chỉ ra có chi nhánh hay khơng nếu có thì chúng ở đâu. Tất
cả thơng tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có
thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ chức ném
19


đi có thể là nguồn tài ngun thơng tin quan trọng. Tìm kiếm trong thùng rác có
thể khám phá hóa đơn, thư từ, sổ tay,… có thể giúp cho kẻ tấn cơng kiếm được các
thơng tin quan trọng. Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều
thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp

lệ,…

Hình 6. Các bước tấn công trong Social Engineering
1.5.2. Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn cơng tìm kiếm
điểm yếu đáng chú ý trong nhân viên của tổ chức đó.
Mục tiêu thơng thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa
sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,…
Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí
trong hệ thống. Kẻ tấn cơng nhận ra là khi chúng có thể truy cập, thậm chí là cấp
20


độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu
vết.
Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp
cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên
quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản
lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.
1.5.3. Tấn công
Sự tấn công thực tế thơng thường dựa trên cái mà chúng ta gọi đó là “sự
lường gạt”. Gồm có 3 loại chính:
Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài
đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thơng minh
như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra
sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thơng tin từ nạn nhân của chúng.
Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức
và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn cơng thường có thể phán
đốn ra điều này chỉ sau một cuộc nói chuyện ngắn.
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả

vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp
hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp
đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo
ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể
hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành
một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và
password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính
con người là thơng cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp
nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn
sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn
21


nhận ra là tổ chức nghi ngờ.
Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào
nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một
lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy
xuất đến hệ thống, hoặc thông tin nhạy cảm.
1.6. Các kiểu tấn công phổ biến
1.6.1. Insider Attacks
Nếu một hacker khơng tìm được cách nào để tấn công vào tổ chức, sự lựa
chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một
nhân viên đang bất mãn, để làm nội gián, cung cấp các thơng tin cần thiết. Đó chính
là Insider Attack – tấn cơng nội bộ. Insider Attack có một thế mạnh rất lớn, vì những
gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự
do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn cơng vào
Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rị rĩ các thơng tin nội bộ.
Một kiểu khác của tấn cơng nội bộ, là chính sự phá đám của các nhân viên.

Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương
cao hơn. Bằng cách xâm nhập vào CSDL nhân sự cơng ty, anh ta có thể thay đổi
mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có tiền nhiều
hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho các công ty
khác.[4]
Bảo vệ, chống lại sự tấn cơng nội bộ :
Phịng chống kiểu tấn cơng này thật sự rất khó. Vì nó khơng có liên quan
đến hệ thống máy móc, phần mềm, mà liên quan đến vấn đề tâm lý con người.
Chúng ta khơng thể đốn biết được khi nào nhân viên phản bội, hay là anh ấy bị
mua chuộc, ép buộc phải tham gia vào cuộc tấn cơng. Để phịng chống kiểu này,
địi hỏi cả tập thể cơng ty có tinh thần đoàn kết cao, vị giám đốc, nhà lãnh đạo phải
thấu hiểu tâm lý của nhân viên. Làm thế nào để nhân viên khơng phản bội lại mình,
22


điều này thiên về nghệ thuật ứng xử.
Thường thì một tổ chức thuê nhân viên an ninh, và đặt ra những chính sách
để chống cuộc tấn cơng từ bên ngồi, mà ít khi đề phịng đến nội bộ bên trong. Với
các hệ thống phát hiện xâm nhập (intrusion detection systems - IDS), hầu hết
chúng được thiết kế và triển khai để phát hiện các mối đe dọa từ bên ngoài. Tuy
nhiên, điều đó khơng phải là tất cả, IDS cũng có giá trị trong việc phát hiện các
cuộc tấn cơng nội bộ, nếu như nhân viên an ninh biết cách khai thác.
1.6.2. Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một
nhân viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật
Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể
giúp các hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ thống
mà không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity
Theft).
1.6.3. Phishing Attacks

Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, cơng ty thẻ
tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận
thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một
đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt
thơng tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác.
Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết
cung cấp những thơng tin mà hacker u cầu. Vì vậy, phía cần phịng chống là các
công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
1.6.4. Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có
thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng
hằng ngày để đăng nhập vào hệ thống máy tính của cơng ty. Các hacker có thể
sử dụng tên người dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông
23


tin trên website. Đính kèm vào email những đoạn mã độc hại để gửi cho nạn
nhân, những thứ đó có thể là một chương trình keylogger để chụp lại mật
khẩu.Virus, trojan, worm là những thứ khác có thể được đính kèm vào email để
dụ dỗ người dùng mở file. Trong ví dụ dưới đây mà một email bất chính, dùng
để dụ nạn nhân mở một liên kết khơng an tồn.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một
cửa sổ pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn
phí. Vì nhẹ dạ mà nạn nhân vơ tình cài vào một mã độc hại.
1.6.5. URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập
vào một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện
trên

các


thanh

địa

chỉ

một

cách

hợp

pháp.

Ví

dụ

địa

chỉ

http://204.13.144.2/Citibank có thể xuất hiện là địa chỉ hợp pháp cho ngân hành
Citibank, tuy nhiên thực tế thì khơng. URL Obfuscation sử dụng để làm cho cuộc
tấn công và lừa đảo trục tuyến trở nên hợp pháp hơn. Một trang web xem qua thì
hợp pháp với hình ảnh, tên tuổi của cơng ty, nhưng những liên kết trong đó sẽ dẫn
đến những trang web của hacker.
Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ chúng ta
vào trang web và thực hiện giao dịch bình thường. Tuy nhiên,

chúng ta đã vào trang giả mạo của hacker, vì trang web của ebay là
Khác biệt là ở chổ giao thức http và https.
1.7. Các mối đe dọa từ Social Engineering
1.7.1. Online Threats
Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho
cơng việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối
này là cơ hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như
email, pop-up windows, instant message sử dụng trojan, worm, virus...gây thiệt
hại và phá hủy tài nguyên máy tính. Social engineer tiếp cận với nhân viên và
24


thuyết phục họ cung cấp thông tin, thông qua những mưu mẹo, hơn là làm nhiễm
malware cho máy tính thơng qua tấn công trực tiếp. Một cuộc tấn công Social
Engineering có thể giúp cho hacker thu thập được những thơng tin cần thiết,
chuẩn bị cho một cuộc tấn công mạnh mẽ khác sau đó. Vì thế, phải có lời khun
và những khuyến cáo cho nhân viên, là làm thế nào để nhận diện và tránh các cuộc
tấn công Social Engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được
hàng chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ
thống email riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở
nên khó khăn hơn, và mức độ cảnh giác đối với email mạo danh cũng giãm đi. Đó
chính là cơ hội cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn
nhân cung cấp những thơng tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ơng
chủ muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc hợp. Chỉ đơn giản là
làm cho email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không
thận trọng nên đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu
biết về lịch trình nghỉ của nhân viên có thể khơng là mối đe dọa gì đến bảo mật,
nhưng nó có ý nghĩ với hacker, biết được khi nào nhân viên vắng mắt. Hacker sau

đó có thể giả dạng nhân viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, cơng ty thẻ
tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận
thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một
đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt
thơng tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác.
Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết
cung cấp những thơng tin mà hacker u cầu. Vì vậy, phía cần phịng chống là các
công ty cung cấp dịch vụ, làm sao cho hacker khơng thể giả mạo.
Một ví dụ lừa đảo nữa của kỹ thuật này là email sau đây:

25