ĐẠI HỌC Q UỐ C GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NG HIÊN
CỨU KHOA HỌC

Đề tài: Social Engineering - Phương Pháp Tấn Công
Nguy Hiểm Trong Công Tác Bảo Mật Thơng Tin
Vẫn Cịn Bị Chúng Ta Xem Nhẹ

Giảng viên hướng dẫn

:

G S.TSKH Hoàng Văn Kiếm

Học viên thực hiện

:

Đào Trọng Nghĩa

MSHV:

12 12 025

Lớp:

TP Hồ Chí Minh, tháng 11 năm 2012

Cao học K22-2012


Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Cơng Tác
Bảo Mật Thơng Tin Vẫn Cịn Bị Chúng Ta Xem Nhẹ
Đào Trọng Nghĩa
Khoa Công Nghệ Thông T in,
Đại Học Khoa Học T ự Nhiên, Đại Học Quốc Gia Thành Phố Hồ Chí Minh


Tóm tắt—Trong thời đại hiện nay, cùng với
sự phát triển mạnh mẽ của công nghệ thông tin
là sự gia tăng nhanh chóng số lượng tội phạm
an ninh mạng. Vấn đề an tồn thơng tin khơng
cịn là nỗi lo của các nước phát triển mà đã trở
thành nỗi lo chung của toàn cầu. Vào thế kỷ 21,
khi sức mạnh về phần cứng và kỹ thuật về
phần mềm đã phát triển vượt bậc nhưng vẫn
không đủ bảo vệ chúng ta thốt khỏi việc rị rỉ
thơng tin. Vậy đâu là ngun nhân? Đó chính
là con người, bởi lẽ khơng có bất kỳ phần cứng
hay phần mềm nào có thể khắc phục được
điểm yếu về yếu tố con người. Và đó là lý do
khiến cho kỹ thuật S ocial Engineering - một kỹ
thuật tấn công vào yếu tố con người - ngày
càng trở nên phổ biến và tinh vi hơn.
Keywords:Social
Hacking;
I.


Engineering;

như kinh tế, giáo dục, chính trị và quân sự
- những lĩnh vực trong đó sự lỏng lẻo về
cơng tác bảo mật thơng tin sẽ khiến chúng
ta phải trả giá đắt. Chính vì thế, Social
Engineering nhận được nhiều sự quan tâm
tồn cầu, đặc biệt là trong lĩnh vực công
nghệ thông tin.
Social Engineering là một thuật ngữ liên
quan đến các ngành khoa học xã hội, tuy
nhiên chúng ta thường xuyên sử dụng và
bắt gặp nó trong ngành cơng nghệ thơng
tin. Social Engineering được hiểu đơngiản
là một kĩ thuật tác động đến con người
nhằm mục đích lấy được một thơng tin
hoặc đạt được một hành động mong muốn.
Những kĩ thuật trên dựa vào nền tảng là
những điểm yếu tâm lý, những nhận thức
sai lầm của con người về việc bảo mật
thơng tin.Mục đích của các cuộc tấn cơng
Social Engineering có rất nhiều, chúng ta
có thể kể đến như: các lợi ích về tài chính,
tạo ra những điều có lợi cho mình, trả thù
… hoặc do áp lực bên ngoài gây ra.
Vấn đề Social Engineering đã được
quan tâm rất nhiều trên thế giới, tuy nhiên
ở Việt Nam chúng ta, đặc biệt là giới sinh

Human


GIỚI THỆU

Trên thế giới, khi nói về vấn đề bảo mật
thơng tin, người ta khơng thể khơng nói
đến Social Engineering - một kỹ thuật khai
thác thơng tin rất nguy hiểm, khó phát
hiện, phịng chống và gây thiệt hại to lớn
cho cơng tác bảomật thơng tin. Ngày nay,
cơng nghệ thơng tin đóng vai trò chủ chốt
trong nhiều lĩnh vực quan trọng của xã hội

2


viên thì tầm hiểu biết và mối quan tâm về
vấn đề này thì rất kém và ít ỏi. Mục đích
bài ngh iên cứu này của chúng tôi sẽ không
nhấn mạnh, đi sâu vào việc phân tích
Social Engineering là gì, nó hoạt động ra
sao, trên nền tảng gì; chúng tơi chỉ đưa ra
những kiến thức sơ lược, những thông tin
gần gũi với mọi người về những điều trên.
Qua đó cho mọi người biết được tác hại
thực sự của Social Engineering là không
hề nhỏ, mong muốn mọi người nâng cao
nhận thức hơn về vấn đề này và có thể
trang bị một số kiến thức cơ bản để phịng
tránh nó một cách hiệu quả nhất.


II.

số tâm lý của con người thường xuyên bị
Social Engineering lợi dụng:
 Ln mong muốn điều có lợi cho
mình và tránh khỏi các phiền hà, rắc
rối: Chúng ta có thể thấy điều này qua
ví dụ sau. Trong trường hợp một nhân
viên chăm sóc khác hàng của một
cơng ty dịch vụ. Chúng ta biết rằng,
họ luôn được yêu cầu rằng phải làm
cho khách hàng hài lịng nhất có thể.
Từ đó, họ sẽ được những phản hồi tốt
về chất lượng dịch vụ, được tính điểm
cao trong hệ thống... Với mục tiêu đó,
nhân viên của chúng ta sẽ ln cố
gắng đáp ứng u cầu cho khách hàng
một cách tốt nhất. Chính vì lí do này,
nhiều khi họ, những người nắm giữ
thơng tin, dữ liệu về hệ thống sẽ cung
cấp rất nhiều thông tin khơng nên
cung cấp cho khách hàng.
 Có khuynh hướng giúp đỡ người
khác: Con người chúng ta là một sinh
vật sống có tình cảm. Chúng ta ln
sẵn sàng giúp đỡ một người khi họ
gặp vấn đề gì đó.Chính đặc điểm này
của chúng ta sẽ rất dễ dàng để bị kẻ
xấu lợi dụng. Bạn đang ngồi lướt web
trong quán cà phê, có một người đến

nhờ sử dụng máy tính? Lúc đó bạn sẽ
làm thế nào? Bạn từ chối, nếu đó là
một cố gái xinh xắn thì sao? Bạn có
nghĩ về những trường hợp xấu xảy ra
khi cho người lạ mượn máy tính mình
khơng?

NHỮNG ĐIỂM YẾU CỦA CON
NGƯỜI

Chúng ta biết rằng phần mềm và phần
cứng của máy tính là những thứ vơ cùng
phức tạp. Tuy nhiên, con người, kẻ đã tạo
ra chúng lại phức tạp hơn gấp nhiều lần.
Bởi vì con người có nhân cách, có tâm lý,
tình cảm là những thứ mà các vật nhân tạo
chưa thể có được. Đây chính là điểm vô
cùng mạnh đã giúp con người thành công
như ngày hôm nay, nhưng cũng là một
điểm yếu của con người. Và Social
Engineering chính là phương pháp tấn
cơng vơ cùng nguy hiểm dựa trên những
điểm yếu này.
Chúng ta sẽ đặt câu hỏi, tại sao phương
pháp Social Engineering dựa vào tâm lý
con người lại nguy hiểm? Để trả lời câu
hỏi này, chúng ta hãy đi vào phân tích một

3



họ lại không biết rằng, một người
không nằm trong hệ thống bảo mật
vẫn có thể làm ảnh hưởng đến tồn bộ
hệ thống bảo mật.
Người ta đã nói rằng: “Social
Engineering is the hardest form of attack to
defend againts because it can’t be defense
with hardware or software alone” (Theo
Social Engineering:
Concepts
and
Solutions). Với những cuộc tấn cơng cơng
nghệ, chúng ta có thể phịng chống bằng
phần cứng và phần mềm, chúng sẽ tuân thủ
hoàn toàn những u cầu của người tạo ra,
khơng hỏi vì sao, không cần biết đúng
sai… Tuy nhiên, con người là một sinh
vậtvới tâm lý phức tạp, chúng ta khơng thể
phịng thủ đơn thuần bằng những thiết bị,
bằng những chương trình cứng nhắc.
Chúng ta cần phải có một phương pháp
hiệu quả hơn, tốt hơn. Thế nhưng, tốt đến
đâu hiệu quả đến đâu thì con người vẫn
ln có sai lầm. Đây chính là câu trả lời
của chúng ta cần biết.

 Xu hướng chấp nhận một thơng tin
mới hơn là nghi ngờ tính xác thực của
thơng tin đó:Hầu hết trong chúng ta ai

cũng vậy, mọi người khi nghe một
thông báo, một khẳng định, một lời
khuyên mới nào đó… chúng ta đều tin
nó là có thật. Việc này sẽ kéo dài cho
đến khi chúng ta phát hiện nó là
khơng thật. Qng thời gian này có
thể không dài, tuy nhiên sẽ không
ngắn để thực hiện một số mục đích.
 Lười…muốn làm nhanh một việc, cắt
bỏ giai đoạn:Vấn đề này vô cùng
nguy hiểm tuy nhiên lại xảy ra vô
cùng phổ biến trong chúng ta. Chúng
ta thường xuyên thực hiện công việc
với tâm lý như thế, tuy nhiên lại
khơng nhận thức được hậu quả của
việc đó. Có khi nào bạn ghi mật khẩu
của mình lên một tờ giấy, lên một
note trên máy tính chưa? Có khi nào
bạn đọc password của mình qua điện
thoại chưa?
 Thái độ của một người đối với việc
bảo vệ thông tin cá nhân của mình
khơng cao: Đây là một tâm lý vơ cùng
quan trọng và nguy hiểm để kẻ xấu
dựa vào đó có thể thực hiện mọi mưu
đồ của mình. Người ta ln nghĩ rằng
thơng tin cá nhân của mình khơng
quan trọng! Ai biết thì đã sao?Họ làm
được gì chứ? Nó chẳng ảnh hưởng gì
đến những thứ xung quanh mình cả…

Người ta ln ngh ĩ như vậy, tuy nhiên

III.

CÁC PHƯƠNG PHÁP T ẤN CƠNG

Phía trên là một số những điểm yếu tâm
lý mà con người thường bị những kẻ sử
dụng Social Engineering lợi dụng. Và cịn
hơn thế nữa, Social Engineering là một
quy trình có hệ thống, có thứ tự và có sự
đầu tư kỹ lưỡng, cơng phu. Mục tiêu của
nó có thể từ những thứ vô cùng bé, đơn
giản đến việc thực hiện những mục tiêu
cao hơn, tinh vi hơn. Chính vì vậy, một hệ
thống xác định các phương pháp tấn công
4


Social Engineering sẽ cho chúng ta dễ
dàng hình dung Social Engineering thực
hiện như thế nào? Nó dựa vào các “lỗ
hổng” về tâm lý như thế nào? Qua tiếp xúc
với một số phương pháp tấn cơng dưới đây
mọi người có thể thực hiện điều đó.
Về cơ bản, các phương pháp tấn cơng
Social Engineering nằm trong một trong
hai hình thức chính: dựa vào con người và
dựa vào kĩ thuật.Mọi người lưu ý trong
cách phân chia, con người và máy móc là

cơng cụ, là đối tượng tấn công chứ không
phải là cách tấn cơng vào con người hay
máy móc.
Các phương pháp dựa vào máy móc:
 Phishing: “Phishing là phương pháp
phổ biến nhất của Social Engineering
trên thế giới trực tuyến” (Granger,
2006). Phishing là một hành động gửi
mail lừa đảo cho nạn nhân. Nội dung
email sẽ dẫn thẳng người dùng đến
các website lừa đảo giống hệt các
website thật, qua đó lừa người dùng
nhằm lấy được các thông tin về tài
khoảng người dùng.
 Pop-Up Windows: Chúng ta rất dễ
gặp hình thức này khi đang sử dụng
trình duyệt web. Nội dung các PopUp này thường là thông báo chúng ta
nhận được một món tiền, giải thưởng
nào đó… Bắt đầu từ đó, nó sẽ có các
phương pháp để đi vào khai thác
thông tin của chúng ta.
Các phương pháp dựa vào con người:

 Direct approach: Hỏi trực tiếp đối
tượng để khai thác thơng tin. Phương
pháp đơn giản nhất, có thể khơng coi
đó là một phương pháp, tuy nhiên khi
một người có thái độ về bảo mật
thơng tin khơng tốt, phương pháp này
nhiều khi mang đến hiệu quả bất ngờ.

Nhiều khi chúng ta có thể ngồi n để
lấy được thơng tin.
 DumpsterDiving
and
Shoulder
Surfing: Đây là hai trong những hình
thức được sử dụng sớm nhất của
Social Engineering. Dumpster diving
có nghĩa là sẵn sàng thu thập những
thứ dơ bẩn, đã bị vứt bỏ đi để lấy
thơng tin họ cần, điển hình chúng ta
có thể thấy ở đây ra rác. Rác chứa
thông tin quan trọng của chúng ta như
thế nào? Trước khi là rác, thì nó chính
là những thơng tin, tài liệu chúng ta
sử dụng. Khi chúng ta không cần
dùng nữa, chúng ta sẽ vứt đi, tuy
nhiên chúng ta lại không xử lý chúng
hoặc xử lý khơng cẩn thận thì các
thơng tin này có thể rơi vào tay những
kẻ có ý đồ xấu. Cịn về Shoulder
Surfing, đó là cách nhìn trộm mật
khẩu hoặc mã pin. Mọi người có chắc
chắn rằng khi mình đánh mật khẩu tại
một nơi cơng cộng sẽ khơng có ai
nhìn thấy khơng? Thậm chí bạn có
đánh nhanh đến đâu, nếu người ta
quay phim về rồi phân tích thì sao.

5



 Impersonation and Important User:
Phương pháp nàynhững kẻ tấn công
sẽ giả mạo một người quan trọng,
chức vụ cao, có uy tín trong tổ chức.
Hoặc họ làm ra vẻ ngu ngơ, giả vờ,
làm người ngốc nghếch mà tưởng
trừng như vô hại. Từ đó họ cầu giúp
đỡ, lợi dụng lịng tốt và sử dụng dưới
danh nghĩa của người khác. Họ khơng
có những thứ cần thiết để khai thác hệ
thống, họ sẽ tận dụng vào người có
thơng tin mà khơng cần phải trải qua
bất cứ sự xác nhận nào, thử thách nào.
 Third-Party Authorization: Sử dụng
tên của người có quyền để thực hiện
việc mình mong muốn hoặc đã được
chứng thực với hệ thống. Ví dụ: “Ơng
A đã nói là đồng ý” hoặc là “Trước
khi đi nghỉ mát, giám đốc đã nói rằng
tớ có thể liên lạc với cậu để lấy thông
tin.”Chúng ta nên nhớ rằng hầu hết
các kĩ thuật Social Engineering thực
hiện ở trong nội bộ tổ chức và có thể
tìm thấy dễ dàng. Phương pháp này
tương đối giống phương pháp đầu
tiên.
 Pretexting: Với các tấn công này, các
attacker sẽ xây dựng một kịch bản chi

tiết trước để khai thác nạn nhân: họ sẽ
làm tăng độ tin tưởng của nạn nhân
vào mình, từ đó sẽ làm nạn nhân vơ ý
hoặc có chủ ý tiết lộ thơng tin hoặc
thực hiện một hành động có lợi cho
mình.

IV.

TẦM ẢNH HƯỞNG CỦA SOCIAL
ENGINEERING

Social Engineering có thực sự là nguy
hiểm, đáng quan tâm và mức độ nguy hiểm
của nó đến mức nào.Chúng ta sẽ tham
khảo một khảo sát để biết được tình hình.
Báo cáo“The risk of social engineering
on information security: A survey of IT
Professionals” Đây là là một cuộc khảo sát
được thực hiện bởi Dimens ional Research
và được bảo đảm bởi tổ chức Check
1
Point , thực hiện với 853 chun gia IT ở
nhiều nước có ngành cơng nghệ thông tin
phát triển hàng đầu thế giới: Mỹ, Anh,
Canada, Úc, New Zealand và Đức trong
khoảng tháng 7 và tháng 8 năm 2011. Mục
tiêu của cuộc khảo sát là thu thập dữ liệu
về nhận thức đối với các cuộc tấn công
Social Engineering và tác động của nó đối

với các doanh nghiệp.
Báo cáo đã cho chúng ta thấy các kết
quả như sau:
 Có 97% các chuyên gia bảo mật và
86% các chuyên gia ngành Công
Nghệ Thông Tin đã nhận thức được
mối đe dọa an ninh tiềm ẩn từ Social
Engineering. Sự nhận thức về mối đe
dọa này cũng được chia thành nhiều
cấp độ khác nhau:
1

Check Point Software Technologies Ltd. là nhà tiên phong trong
lĩnh v c An ninh Internet. Check Point đ xu t các gi i pháp an
ninh t ng th có tính năng m t c ng h p nh t, m t agent đi m
cu i (endpoint) đ n nh t và m t ki n trúc qu n tr duy nh t, đ c
tùy bi n đ thích ng nh t v i nhu c u kinh doanh năng đ ng c a
khách hàng.

6


ích về kinh tế và 14% nhằm vào mục
đích là để trả thủ, mâu thuẫn cá nhân.
Qua đây chúng ta có thể thấy được,
mục đích của các cuộc tấn cơng này là
những mục đích xấu, gây ảnh hưởng
tổn hại đến một tổ chức, một cá nhân
chứ không hề đơn giản.
 Về mật độ xảy ra các vụ tấn công

trên: 32% tổng số người tham gia
cuộc khảo sát nói rằng họ thường
xuyên là đối tượng của Social
Engineering, trong vòng hai năm, họ
đã bị khai thác khoảng 25 lần hoặc
hơn thế.Và 48% các tổ chức được
khảo sát cho biết họ thường xuyên là
đối tượng bị tấn cơng và cho biết
trong vịng hai năm số lần họ bị khai
thác là 25 hoặc hơn thế.

Nhận thức của các chuyên gia đối với Social
Engineering

 Có 43% số người được phỏng vấn cho
biết rằng họ đã là đối tượng bị khai
thác bởi Social Engineering. Chỉ có
16% có thể khẳng định rằng họ khơng
phải là đối tượng của Social
Engineering, trong khi 41% không
nhận thức được rằng họ đã bị tấn công
hay chưa.

Tần suất bị tấn công Social Engineering của các công
ty và nhân viên

Mức độ nhận biết đã bị tấn công bởi Social
Engineering hay chưa

Qua báo cáo cho thấy thiệt hại từ các

cuộc tấn công này tương đối lớn:

 Khảo sát về mục đích của các cuộc
tấn cơng cho thấy: 51% mục đích của
các cuộc tấn cơng là nhằm vào các lợi

7


hành khảo sát, chúng tơi đặt mình vào vị
trí của người thực hiện tấn công đang tiến
hành thu thập dữ liệu phục vụ cho việc tấn
công mục tiêu. Chúng tôi dùng một kỹ
thuật nhỏ trong Social Engineering bằng
cách tiến hành dưới danh nghĩa một cuộc
khảo sát tìm hiểu về thói quen, phong cách
sống của sinh viên trong thời đại công
nghệ thơng tin. Trong đó, đó các câu hỏi
mang tính chất khai thác thơng tin nhưng
bề ngồi lại hồn tồn vơ hại với người
làm khảo sát.

Mức thiệt hại khi bị tấn công bởi Social Engineering

Các tổ chức được khảo sát cho biết, các
thiệt hại bao gồm chi phí về sự gián đoạn
kinh doanh, chi phí đối với khách hàng,
mất doanh thu, lao động và các chi phí
khác…Gần một nửa trong số họ (48%) cho
biết rằng thiệt hại là hơn 25,000$ và 30%

các tổ chức lớn cho biết thiệt hại của họ
lên tới hơn 100,000$.
Báo cáo còn cho biết nhiều con số nữa,
chúng tơi khơng đi sâu vào việc nó diễn ra
như thế nào, ở đâu, tuy nhiên chúng tôi
đưa ra những con số nhằm cho mọi người
thấy về độ nguy hiểm và tầm ảnh hưởng
của Social Engineering. Cho mọi người
thấy được rằng: trên thế giới, Social
Engineering là một vấn đề rất được quan
tâm, nó xảy ra rất thường xuyên và thiệt
hai của nó gây ra là khơng hề nhỏ.
V.

A.

Dữ liệu thực nghiệm

Đối tượng khảo sát là 142 bạn sinh viên
đến từ nhiều trường khác nhau. Kết cấu
nội dung của cuộc khảo sát được nghiên
cứu, và thực hiện theo hai hướng: Đầu t iên
là các câu hỏi lấy thông tin người tham gia.
Thứ hai là các câu hỏi để đánh giá nhận
thức của mọi người đối với vấn đề bảo mật
thông tin. Các câu hỏi đã được hệ thống và
chuẩn bị từ trước, qua việc xem xét các
thông tin thu thập được, chúng tôi sẽ thực
hiện khai thác thông của một số người
tham gia khảo sát.


 Đối với các

thông tin cơ bản, người
dùng được yêu cầu cung cấp các
thông tin về họ. Ngồi ra cịn có u
cầu cung cấp thơng tin liên lạc để
nhận được kết quả khảo sát, việc này
nhằm mục đích tăng tình hiếu kì của
người tham gia khảo sát. Trong đó các
thơng tin họ tên, email, số điện thoại
dùng để khai thác thông tin. Các

THỰC NGHIỆM

Để kiểm chứng lại mức độ nguy hiểm
của Social Engineering cũng như nhận
thức của mọi người về an tồn thơng tin,
chúng tơi làm một cuộc khảo sát. Khi tiến

8


1. Câu hỏi: Bạn có tham gia mạng xã hội
hay khơng?
Mạng xã hội là nguồn khai thác thơng
tin ưa thích của các kẻ tấn cơng, đó là nơi
kẻ tấn cơng có thể phác thảo bạn một cách
tồn diện nhất về hình dạng cũng như tính
cách. Mạng xã hội mang mọi người đến

gần bạn hơn, trong đó có cả những “Social
Engineer”

thơng tin về trường và chuyên ngành
dùng để phân loại đối tượng.

Thống kê thể hiện số lượng cung cấp thông tin

Những thơng tin trên sẽ giúp ích rất
nhiều trong việc khai thác đối tượng cũng
như trả lời các câu hỏi bảo mật, truy tìm
các tài khoản, các thơng tin liên quan, giả
mạo đối tượng để thu thập thông tin bạn
bè, người thân đối phương....Kết quả khảo
sát phản ánh được nhận thức của mọi
người về việc cung cấp các thông tin cá
nhân của mình trên mạng internet và nhận
thức về việc bảo mật thơng tin cá nhân.
 Tiếp theo vơ phần chính là các câu
hỏi đánh vào phần nhận thức của mọi
người.

Thống kê mức độ sử dụng Mạng xã hội

2. Bạn có thói quen trao đổi chuyện học
hành, cơng việc với bạn bè, thầy cô,
đồng nghiệp ... qua email hay không?

Kết quả thực nghiệm
Sau khi khảo sát, chúng tơi thu được

142 dịng dữ liệu, kết quả của bảng khảo
sát được chúng tôi chia thành hai nhóm:
Nhóm những người chun ngành về Cơng
Nghệ Thơng Tin (55 người), và nhóm
những người khơng chun (87 người).
Kết quả được chúng tôi thống kê như
sau:
B.

Thống kê thể hiện mức độ trao đổi chuyện học hành,
công việc

Việc này cho chúng ta biết được thói
quen trao đổi thơng tin của đối tượng, qua
đó đánh giá được tầm quan trọng của email
họ sử dụng cũng như lượng thông tin giá
trị ẩn chứa trong tài khoản email của họ.

9


3. Bạn thường download phần mềm bằng
cách nào?
Việc nắm được thói quen cài đặt phần
mềm của đối tượng giúp ta dễ dàng tiếp
cận với máy tính của đối tượng hơn. Đây
là cách giúp kẻ tấn cơng có thể đưa các
phần mềm có chứa mã độc hại vào máy
tính của nạn nhân qua đó kiểm sóat máy
tính đó và khai thác được nhiều thơng tin

có giá trị khác.

5. Bạn sẽ làm gì nếu nhặt được một USB,
việc đầu tiên bạn sẽ làm là?
Lợi dụng sự tò mò của con người , kẻ
tấn cơng hồn tồn có thể dàn cảnh bỏ
qn USB ở một nơi mà đối tượng dễ dàng
nhìn thấy và khơng qn kèm theo một
chút mã độc hại. Vì tị mò, rất nhiều người
rất muốn biết nội dung bên trong USB, con
số 91/142 khơng phải là con số nhỏ ,trong
đó có ½ là dân cơng nghệ thơng tin.

Thống kê cách thức cài đặt một chương trình mới

4. Đa phần chúng ta đều gặp khó khăn
trong việc ghi nhớ các password, bạn
thường giải quyết cách này thế nào?

Thống kê cách xử lý khi nhận được một usb

6. Bạn đang ngồi quán trong qn cafe và
sử dụng laptop, có một cơ gái xinh đẹp
có chuyện gấp cần mượn laptop của
bạn để gửi email cá nhân, bạn sẽ?
Bạn sẵn sàng giúp đỡ người khác khơng
một chút phịng bị, việc gì sẽ xảy ra nếu cô
gái ấy là một hacker hoặc là người của tổ
chức đối thủ?


Một thói quen chết người của nhiều
người là “Dùng một password cho nhiều
tài khoản” dẫn đến tình trạng mất thông tin
hàng loạt. Hãy tưởng tượng nếu kẻ tấn
công dụ bạn đăng ký thành viên ở một
website do họ tạo ra?

Thống kê cách thức lưu trữ, ghi nhớ password

10


8. Người u bạn có u cầu bạn cho cơ
ấy/anh ấy biết password của bạn hay
không?

Thống kê thể hiện mức độ tin tưởng đối với một người
lạ

7. Bạn có thường chia sẻ các chuyện
"tuyệt mật" của mình, của cơng ty cho
người yêu biết không ?

Thống kê thể hiện độ tin cậy đối với người yêu

Một lần nữa , mục tiêu của kẻ tấn cơng
cần là thơng tin có giá trị đối với hệ thống ,
và thông này không nhất thiết phải khai
thác từ những người quản trị hệ thống những người ln có ý thức cao trong bảo
mật.

Khai thác thơng tin
Với các thông tin thu thập trên, chúng
tôi đã tiến hành chọn một số đối tượng làm
nạn nhân và khai thác thơng tin. Số lượng
chọn: 15 người (15 dịng dữ liệu). Số
lượng khai thác thành công: 3 người
Chúng tôi đã khai thác được các thông
tin sau: email yahoo, gmail, facebook, ID
đăng nhập web trường, trang thông tin
môn học, các website, diễn đàn trên mạng,
internet. Chúng tôi đã đăng nhập vào nick
yahoo, xem danh sách bạn, lấy được danh
sách bạn bè, log chat của nạn nhân. Đăng
nhập vào email, thu được một số tài liệu
trao đổi với người khác, đăng nhập vào
C.

Thống kê thể hiện mức độ chia sẽ thông tin với người
u

Với Social Engineering , mục đích của
kẻ tấn cơng cần là thơng tin và thơng tin đó
khơng nhất thiết là phải khai thác tự bạn nhất là khi kẻ tấn cơng biết bạn là một
người có hiểu biết và nhận thức về bảo
mật. Tuy nhiên bạn có chắc rằng người
yêu của bạn cũng có nhận thức và cảnh
giác tốt như bạn ?

11



web trường, trang thông tin môn học
Moodle, lấy được các bài nộp của các môn
mà nạn nhân đã nộp. (Moodle trang web
môn học của trường đại học Khoa học tự
nhiên). Có thể mở rộng dùng các tài khoản
trên để phishing bạn bè trong friend list
của họ , tuy nhiên trong giới hạn tìm hiểu ,
chúng tơi dừng việc khai thác tại đây.
Chúng tơi đã lọc danh sách kết quả (142
dịng dữ liệu), lọc ra các dịng dữ liệu có
khai báo email.
Với những người trả lời cầu hỏi số 4
(khó khăn trong việc lưu trữ password) là
“Mỗi site đặt một password nhưng đơn
giản”, chúng tơi đã tiến hành đốn
password của họ và nhận thấy các
password được sử dụng chính là : chữ lót
và tên, số điện thọai di động (họ cung cấp
ở phần thơng tin liên lạc). Nếu khơng đốn
được password thì dùng tính năng qn
mật khẩu của mail box: các câu hỏi bảo
mật thường là “số điện thoại của bạn”,
“nơi bạn sinh ra” … các thơng tin này
hồn tồn có thể có được thơng qua thơng
tin liên lạc họ cung cấp hoặc trên các mạng
xã hội mà hộ tham gia.
Tiếp theo, chúng tôi đăng nhập vào mail
box, xem các thông tin mà nạn nhân có: tài
liệu, liên kết với website khác (diễn đàn,

mạng xã hội, yahoo, hộp mail khác, …);
vào security của mailbox kiểm tra các tài
khoản đang kết nối.
Sử dụng các thông tin khác từ bài khảo
sát như: “Vấn đề lưu trữ password” được

trả lời là “Dùng chung một password” để
khai thác các thông tin cần thiết.
D.

Kết luận

Rất nhiều người tham gia khảo sát vẫn
chưa có đánh giá đúng về vấn đề bảo mật
thơng tin. Đặc biệt trong đó có một số lớn
những người đang có chun ngành là
cơng nghệ thông tin.
VI.

TỔNG KẾT VÀ HƯỚNG PHÁT
TRIỂN

Social Engineering thực sự là một kĩ
thuật tấn cơng nguy hiểm. Nguy hiểm vì
nó rất khó nhận biết, cách thức sử dụng
của nó rất nhiều, từ đơn giản đến phức tạp.
Nguy hiểm vì nó có thể được sử dụng từ
bất kì ai xung quanh chúng ta. Trên thế
giới và ở Việt Nam ta, ở lĩnh vực chuyên
sâu, cái nhìn về Social Engineering cũng

đã tương đối tốt. Tuy nhiên đối với bộ
phận lớp trẻ, kể cả những người học về
Cơng nghệ thơng tin thì nhận thức vấn đề
này vấn còn rất là mơ hồ.
Qua báo cáo chúng tôi muốn mô tả một
cách dễ hiểu nhất về Social Engineering.
Từ đây mong muốn mọi người có thể nâng
cao nhận thức hơn về vấn đề bảo mật
thông tin cá nhân của mình nói riêng và
trang bị những kiến thức để phịng tránh
khỏi kĩ thuật Social Engineering nói riêng.
Mong muốn của nhóm tác giả chúng tơi
là có thể đưa ra một hệ thống cách phòng
tránh ảnh hưởng của Social Engineering
đối với một cá nhân. Từ đó giúp cho việc

12


App lications International Corporation200
Harry
S
Truman
ParkwayAnnapolis,
M aryland 21401
[3] “The risk of social engineering on information
security: a survey of it professionals” Check
Point.
[4] ThomasR.Peltier,“Social
Engineering:

Concepts and Solutions”,in Information
Security and Risk M anagement
[5] Aaron Dolan,"Social Engineering" in G SEC
Option 1 version 1.4b February 10, 2004

bảo vệ an ninh của tổ chức có thể được
nâng cao hơn. Vấn đề này hi vọng có thể
gặp lại với mọi người vào dịp khác.
TÀI LIỆU THAM KHẢO
[1] M alcolm Allen,“Social Engineering: A M eans
To Violate A ComputerSystem”,updated June
2006
[2] Ira S. Winkler, Brian Dealy,“Information
Security Technology?...Don’t Rely on ItA
Case Study in Social Engineering”, inScience

13