Đề tài trình bày khái niệm, đặc điểm, phân loại và cách phòng chống đối với tấn công dựa trên kỹ nghệ xã hội (social engineering
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (905.28 KB, 39 trang )
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTTKT VÀ THƯƠNG MẠI ĐIỆN TỬ
-----------🙞🕮🙜-----------
BÀI THẢO LUẬN
HỌC PHẦN AN TỒN VÀ BẢO MẬT THƠNG TIN
Đề tài: “Trình bày khái niệm, đặc điểm, phân loại và cách
phịng chống đối với tấn cơng dựa trên kỹ nghệ xã hội
(Social engineering)”
Giảng viên hướng dẫn : ThS. Trần Thị Nhung
Nhóm thảo luận
Mã LHP
: 08
: 2241eCIT0921
Hà Nội, tháng 11 năm 2022
0
DANH SÁCH THÀNH VIÊN NHĨM 8
STT THÀNH VIÊN
35
Khuất Hồng Nam
(Thư ký)
NHIỆM VỤ
NHẬN XÉT
Phần 1.1, Mở đầu, Kết Tinh thần đội nhóm tốt, có trách
luận, Tổng hợp Word nhiệm với cơng việc chung
Tích cực đóng góp, bổ sung, hồn
thiện bài thảo luận của nhóm
58
Nguyễn Thị Hồng Trang
Phần 3
Tinh thần đội nhóm tốt, có trách
nhiệm với cơng việc chung
60
Vũ Thị Huyền Trang
Phần 3
Tinh thần đội nhóm tốt, có trách
nhiệm với cơng việc chung
61
63
Phan Đức Trọng
Giao nhiệm vụ, Thuyết Chủ động trong công việc chung, tích
(Nhóm trưởng)
trình
Nguyễn Đình Tuấn
Phần 1.2
cực đóng góp, bổ sung, hồn thiện bài
thảo luận của nhóm
Tinh thần đội nhóm tốt, có trách
nhiệm với cơng việc chung
65
Phan Thanh Tùng
Phần 2
Tinh thần đội nhóm tốt, có trách
nhiệm trong cơng việc.
66
Phạm Thị Un
Phần 3
Tinh thần đội nhóm tốt, có trách
nhiệm trong cơng việc.
BS
Đồn Duy Anh
Phần 2
Tinh thần đội nhóm tốt, có trách
nhiệm trong cơng việc.
BS
Nguyễn Quang Huy
Powerpoint
Hồn thành đúng deadline, tinh thần
đội nhóm tích cực, sáng tạo.
1
Cộng hòa xã hội chủ nghĩa Việt Nam
Độc lập – Tự do – Hạnh phúc
*
*
*
BIÊN BẢN HỌP NHÓM 8
(Lần 1)
Học phần: An tồn và bảo mật thơng tin
Mã học phần: 2241eCIT0921
Giảng viên hướng dẫn: ThS. Trần Thị Nhung
Thời gian: 21h, ngày 21/10/2022
Địa điểm: Họp online trên phần mềm trực tuyến Google Meet
Thành viên tham gia:
o Tham gia đủ 09/09 thành viên.
o Hoạt động sơi nổi, tích cực đóng góp ý kiến xây dựng bài thảo luận.
Nội dung: Thảo luận và đưa ra đề cương của đề tài.
Nhóm trưởng
Thư ký
Trọng
Nam
Phan Đức Trọng
Khuất Hồng Nam
Cộng hịa xã hội chủ nghĩa Việt Nam
2
Độc lập – Tự do – Hạnh phúc
*
*
*
BIÊN BẢN HỌP NHĨM 8
(Lần 2)
Học phần: An tồn và bảo mật thơng tin
Mã học phần: 2241eCIT0921
Giảng viên hướng dẫn: ThS. Trần Thị Nhung
Thời gian: 22h, ngày 25/10/2022
Địa điểm: Họp online trên phần mềm trực tuyến Google Meet
Thành viên tham gia:
o Tham gia đủ 09/09 thành viên.
o Hoạt động sơi nổi, tích cực đóng góp ý kiến xây dựng bài thảo luận.
Nội dung:
o Tổng hợp lại tài liệu tham khảo.
o Phân công nhiệm vụ cụ thể cho từng thành viên..
Nhóm trưởng
Thư ký
Trọng
Nam
Phan Đức Trọng
Khuất Hồng Nam
MỤC LỤC
DANH SÁCH THÀNH VIÊN NHĨM 8 .......................................................................... 1
3
BIÊN BẢN HỌP NHÓM 8 ............................................................................................... 2
MỤC LỤC .......................................................................................................................... 3
MỞ ĐẦU ............................................................................................................................. 6
PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING ....................... 7
1.1 Tổng quan về social engineering ............................................................................ 7
1.1.1 Khái niệm về Social Engineering ........................................................................ 7
1.1.2 Thủ thuật .............................................................................................................. 8
1.1.3 Điểm yếu của con người .................................................................................... 10
1.2. Phân loại ................................................................................................................. 11
1.2.1 Human – based .................................................................................................. 11
1.2.2 Computer – based .............................................................................................. 13
PHẦN II: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TRONG SOCIAL
ENGINEERING .............................................................................................................. 16
2.1 Các bước tấn công trong social engineering ....................................................... 16
2.1.1 Thu thập thông tin .............................................................................................. 16
2.1.2 Chọn mục tiêu .................................................................................................... 16
2.1.3 Tấn công ............................................................................................................ 16
2.2 Các mối đe dọa từ social engineering .................................................................... 17
2.2.1 Các mối đe dọa trực tuyến ................................................................................. 17
2.2.2 Telephone-Based Threat .................................................................................... 21
2.2.3 Waste Management Threat ................................................................................ 21
2.2.4 Personal Approaches ......................................................................................... 22
PHẦN III: THIẾT KẾ VÀ THỰC THI PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE
DỌA TỪ SOCIAL ENGINEERING ............................................................................. 24
3.1 Thiết kế sự phòng vệ chống lại các mối đe dọa từ social engineering ............... 24
3.1.1 Xây dựng một framework quản lý an ninh......................................................... 24
3.1.2 Đánh giá rủi ro .................................................................................................. 27
3.1.3 Social engineering trong chính sách an ninh .................................................... 31
3.2 Thực thi sự phòng vệ chống lại các mối đe dọa từ social engineering .............. 33
4
3.2.1 Sự nhận thức ...................................................................................................... 33
3.2.2 Quản lý sự cố ..................................................................................................... 33
3.2.3 Xem xét sự thực thi............................................................................................. 35
3.3.4 Social Engineering và mơ hình phân lớp phịng thủ chiều sâu ......................... 35
KẾT LUẬN ...................................................................................................................... 37
TÀI LIỆU THAM KHẢO............................................................................................... 38
5
MỞ ĐẦU
Các cuộc tấn cơng dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm
kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outof-date Adobe Flash - hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn
cơng vào năm 2013 theo Cisco - bạn có thể truy cập vào một trang web độc hại và trang
web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ
tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thơng tin cá nhân, có thể từ
một keylogger do chính họ cài đặt.
Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý.
Nói cách khác, chúng khai thác con người là chính chứ khơng phải nhắm đến mục tiêu
phần mềm của họ.
Có thể bạn đã nghe nói về lừa đảo (Phishing) là một hình thức của Social engineer.
Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty the tín dụng của bạn,
hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo
và cải trang trông giống như một thực hoặc yêu cầu hạn tải về và cài đặt một chưa trình
dồn hai. Theo đó thấy rõ rằng thủ đoạn của Social engineer khơng có liên quan đến các
trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu
bạn gửi một email trả lời với thông tin cá nhân. Thay vì cố gắng khai thác một lỗi trong
một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear
Phishing có thể cịn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết
kế để nhắm mục tiêu cá nhân cụ thể.
Để giúp mọi người trở thành một người có kiến thức thơng thái về sự cố tấn cơng kĩ
nghệ, nhóm 8 xin được trình bày qua đề tài: “Trình bày khái niệm, đặc điểm, phân loại và
cách phòng chống đối với tấn công dựa trên kỹ nghệ xã hội (social engineering)”. Tuy
nhiên, do thời gian có hạn cũng như khả năng cịn nhiều hạn chế nên đề tài của nhóm chúng
em làm chắc chắn khơng thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong
nhận được sự chỉ dẫn thêm từ giảng viên.
Nhóm 8 xin chân thành cảm ơn!
6
PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING
1.1 Tổng quan về social engineering
1.1.1 Khái niệm về Social Engineering
Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó
nhằm mục đích lấy cắp thơng tin hoặc thuyết phục nạn nhân để thực hiện việc gì.
Các cơng ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN,
các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn cơng.
Một nhân viên có thể vơ tình để lộ thơng tin key trong email hoặc trả lời điện thoại
của một người mà họ khơng quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp
hàng giờ liền ở quán rượu.
Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu
nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó
nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và khơng
có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo
mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN
và các phần mềm giám sát mạng. Khơng có thiết bị hay giới hạn bảo mật nào hiệu quả khi
một nhân viên vơ tình để lộ thơng tin key trong email, hay trả lời điện thoại của người lạ
hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ
liền ở quán rượu.
Thơng thường, mọi người khơng nhận thấy sai sót của họ trong việc bảo mật, mặc
dù họ không cố ý. Những người tấn cơng đặc biệt rất thích phát triển kĩ năng về Social
Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang
bị lừa. Mặc dù có nhiều chính sách bảo mật trong cơng ty, nhưng họ vẫn có thể bị hại do
hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người.
Những kẻ tấn cơng ln tìm những cách mới để lấy được thông tin. Họ chắc chắn
là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp
tân và những nhân viên ở bộ phận hỗ trợ – để lợi dụng sơ hở của họ. Thường thì mọi người
dựa vào vẻ bề ngồi để phán đốn. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu
và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng.
7
Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai,
email trên Website của cơng ty. Ngồi ra, các cơng ty cịn thêm danh sách các nhân viên
chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một
số ít thơng tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập.
1.1.2 Thủ thuật
Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái
phép, bằng cách xây dựng mối quan hệ với một số người.
Kết quả của social engineer là lừa một người nào đó cung cấp thơng tin có giá trị
hay sử dụng thơng tin đó.
Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở
thành người có ích, tin tưởng mọi người và sợ những rắc rối.
Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm
theo những gì mà attacker muốn. Nó khơng phải là cách điều khiển suy nghĩ người khác,
và nó khơng cho phép attacker làm cho người nào đó làm những việc vượt quá tư cách đạo
đức thông thường. Và trên hết, nó khơng dễ thực hiện chút nào. Tuy nhiên, đó là một
phương pháp mà hầu hết Attackers dùng để tấn cơng vào cơng ty. Có 2 loại rất thơng dụng
:
Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là
phá hủy hệ thống.
Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub
thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận về
chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong qn đội.
Xem xét tình huống sau đây:
Trích dẫn:Attacker : “ Chào bà, tơi là Bob, tơi muốn nói chuyện với cơ Alice”
Alice: “ Xin chào, tôi là Alice”.
Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tơi gọi điện cho
cô sớm thế này…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
8
Attacker: ” Tơi gọi điện cho cơ vì những thơng tin cá nhân của cô trong phiếu
thông tin tạo account có vấn đề.”
Alice: ” Của tơi à..à vâng.”
Attacker: ” Tơi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng
tôi đang cố gắng phục hồi lại hệ thống mail. Vì cơ là người sử dụng ở xa nên chúng
tôi xử lý trường hợp của cô trước tiên.”
Alice: ”Vậy mail của tơi có bị mất khơng?”
Attacker: “Khơng đâu, chúng tơi có thể phục hồi lại được mà. Nhưng vì chúng
tơi là nhân viên phịng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống
mail của văn phịng, nên chúng tơi cần có password của cơ, nếu khơng chúng tơi
khơng thể làm gì được.”
Alice: ”Password của tôi à?uhm..”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tơi khơng được
hỏi về vấn đề này, nhưng nó được viết bởi văn phịng luật, nên tất cả phải làm đúng
theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cơ là AliceDxb phải khơng? Phịng hệ thống đưa cho
chúng tôi username và số điện thoại của cô, nhưng họ khơng đưa password cho chúng
tơi. Khơng có password thì khơng ai có thể truy cập vào mail của cơ được, cho dù
chúng tơi ở phịng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng
tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không
sử dụng password của cơ vào bất cứ mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cơ trong
vài phút nữa.”
Alice: ” Có chắc là mail khơng bị mất không?”
Attacker: ” Tất nhiên là không rồi. Chắc cơ chưa gặp trường hợp này bao giờ,
nếu có thắc mắc gì thì hãy liên hệ với chúng tơi. Cơ có thể tìm số liên lạc ở trên
Internet.”
Alice: ” Cảm ơn.”
9
Attacker: ” Chào cô.”
1.1.3 Điểm yếu của con người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phịng
thành cơng thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện
tốt các chính sách đó.
Social engineering là phương pháp khó phịng chống nhất vì nó khơng thể dùng
phần cứng hay phần mềm để chống lại.
Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mật máy
tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật
lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thơng tin nào thu thập được đều có
thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một
người khơng nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các
chuyên gia bảo mật cho rằng cách bảo mật giấu đi thơng tin thì rẩt yếu. Trong trường hợp
của Social engineering, hồn tồn khơng có sự bảo mật nào vì không thể che giấu việc ai
đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực
tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương
pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một
tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác hơn chỉ là việc yêu cầu
xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức nào, bởi
vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường.
Attacker càng nỗ lực thì khả năng thành cơng càng cao, thơng tin thu được càng
nhiều. Khơng có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật
thì khả năng thành cơng càng cao.
Một trong những cơng cụ quan trọng được sử dụng trong Social engineering là một
trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc
biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
10
1.2. Phân loại
1.2.1 Human – based
Là việc trao đổi giữa người với người để lấy được thông tin mong muốn. Các kỹ
thuật social engineering dựa vào con người có thể đại khái chia thành:
1.
Impersonation:
Với kiểu tấn công social engineering này, hacker giả làm một nhân viên hay người
sử dụng hợp lệ trong hệ thống để đạt được quyền truy xuất. Ví dụ, hacker có thể làm quen
với một nhân viên cơng ty , từ đó thu thập một số thơng tin có liên quan đến cơng ty đó.
Có một quy luật được thừa nhận trong giao tiếp xã hội là khi nhận được sự giúp đỡ từ một
người nào đó, thì họ sẵn sàng giúp đỡ lại mà khơng cần điều kiện hay yêu cầu gì cả. (một
ân huệ sinh ra một ân huệ ngay cả khi nó đã được đề nghị giúp đỡ mà khơng có bất cứ u
cầu từ người nhận). (Điều này được biết như)Có thể xem nó như là một sự biết ơn. Sự biết
ơn ln thấy trong môi trường hợp tác. Một nhân viên (sẽ)sẵn sàng giúp đỡ người khác với
(mong muốn)suy nghĩ là sau này có thể người ta sẽ giúp lại họ. Social engineers cố gắng
tận dụng đặc điểm xã hội này khi mạo nhận người khác. Những mưu mẹo này đã được sử
dụng trong quá khứ cũng như một sự ngụy trang để đạt được sự truy xuất vật lý. Nhiều
thông tin có thể được lượm lặt từ bàn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên
ở cửa.
2.
Posing as Important User:
Sự mạo nhận đạt tới một mức độ cao hơn bằng cách nắm lấy đặc điểm của một nhân
viên quan trọng (để thêm vào một yếu tố của sự đe dọa) lời nói của họ có giá trị và thông
thường đáng tin cậy hơn. Yếu tố biết ơn đóng vai trị để nhân viên vị trí thấp hơn sẽ tìm
cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta. Kẻ tấn cơng giả
dạng như một user quan trọng có thể lôi kéo một nhân viên – người mà (không có sự chuẩn
bị rất dễ dàng) . Social engineer sử dụng quyền lực để hăm dọa thậm chí là đe dọa báo cáo
nhân viên với người giám sát nhân viên đó nếu họ khơng cung cấp thơng tin theo u cầu.
3.
Third-person Authorization:
Một kỹ thuật social engineering phổ biến khác là kẻ tấn công bày tỏ là nguồn tài
nguyên này anh ta đã được chấp nhận của sự ủy quyền chỉ định. Chẳng hạn một người chịu
trách nhiệm cho phép truy xuất đến thơng tin nhạy cảm, kẻ tấn cơng có thể quan sát cẩn
thận anh ta và lợi dụng sự vắng mặt của anh ta như là lợi thế để truy xuất tài nguyên. Kẻ
11
tấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh ta đã được chấp
nhận để truy xuất thơng tin. Đây có thể là hiệu quả đặc biệt nếu người chịu trách nhiệm
đang trong kỳ nghỉ hoặc ở ngoài – nơi mà sự xác minh khơng thể ngay lập tức. Người ta
có khuynh hướng làm theo sự giao phó ở nơi làm việc, thậm chí họ nghi ngờ rằng những
u cầu có thể khơng hợp pháp. Người ta có khuynh hướng tin rằng những người khác
đang thể hiện những quan điểm đúng của họ khi họ tuyên bố. Trừ khi có bằng chứng mạnh
mẽ trái ngược lại, khơng thì người ta sẽ tin rằng người mà họ đang nói chuyện đang nói sự
thật về cái họ thấy hoặc cần.
4.
Technical Support:
Một chiến thuật thường hay được sử dụng, đặc biệt khi nạn nhân không phải là
chun gia về kỹ thuật. Kẻ tấn cơng có thể giả làm một người bán phần cứng hoặc kỹ thuật
viên hoặc một nhà cung cấp liên quan máy tính và tiếp cận với nạn nhân.
5.
In Person:
Kẻ tấn cơng có thể thực sự cố gắng để tham quan vị trí mục tiêu và quan sát tình
hình cho thơng tin. Hắn ta có thể cải trang chính anh ta thành người phân phối thư, người
lao cơng hoặc thậm chí rong chơi như một vị khách ở hành lang. Anh ấy có thể giả làm nhà
kinh doanh, khách hoặc kỹ thuật viên. Khi ở bên trong, anh ta có thể nhìn password trên
màn hình, tìm dữ liệu quan trọng nằm trên bàn hoặc nghe trộm các cuộc nói chuyện bí mật.
Có 2 kỹ thuật được sử dụng bởi attacker. Đó là:
- Dumpster Diving: Tìm kiếm trong thùng rác, thơng tin được viết trên mảnh giấy
hoặc bản in máy tính. Hacker có thể tìm thấy password, filename, hoặc những mẩu thơng
tin bí mật.
- Shoulder Surfing: Là một kỹ thuật thu thập password bằng cách xem qua vai người
khác khi họ đăng nhập vào hệ thống. Hacker có thể xem người sử dụng hợp lệ đăng nhập
và sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống.
Khi ở bên trong, kẻ xâm nhập có cả một menu các sách lược để chọn, bao gồm đi
lang thang những hành lang của tịa nhà để tìm kiếm các văn phịng trống với tên đăng
nhập mà mật khẩu của nhân viên đính trên pc của họ; đi vào phòng mail để chèn các bản
ghi nhớ giả mạo vào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến phòng
server hay phịng điện thoại để lấy nhiều thơng tin hơn từ hệ thống đang vận hành; đặt bộ
12
phân tích protocol trong wiring closet để bắt gói dữ liệu, username, và password hay chỉ
đơn giản đánh cắp thông tin nhằm đến.
Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên mất password.
Trong sự hoảng sợ, anh ta cịn nói thêm là nếu anh ta nhỡ hạn cuối của một dự án quảng
cáo thì ơng chủ có thể đuổi việc anh ta. Người nhân viên hỗ trợ cảm thấy thông cảm cho
anh ta và nhanh chóng khởi động lại password, việc làm này giúp cho hacker xâm nhập
vào hệ thống mạng của công ty.
Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã
dùng đến dumpster diving để cố gắng tìm ra thơng tin về Microsoft trong trường hợp chống
độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại:
Sách niên giám điện thoại cơng ty – biết ai gọi sau đó dùng để mạo nhận là những
bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư
cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ
dễ dàng khi kẻ tấn cơng có thể xác định tổng đài điện thoại của công ty từ sách niên giám.
Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách cơng ty; lịch hội họp, sự kiện,
và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và
password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
1.2.2 Computer – based
Là sử dụng các phần mềm để lấy được thơng tin mong muốn. Có thể chia thành các
loại như sau:
1.
Phising:
Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh,
ngân hàng hoặc thẻ tín dụng u cầu chứng thực thơng tin và cảnh báo sẽ xảy ra hậu quả
nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một
trang web giả mạo trông hợp pháp với logo của cơng ty và nội dung có chứa form để yêu
cầu username, password, số thẻ tín dụng hoặc số pin.
2.
Vishing:
Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising,
nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ
13
nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản
ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề.
Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu
cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn cơng mới
này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
3.
Pop-up Windows:
Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần
phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ
xâm nhập sau đó sẽ email thơng tin đến một website ở xa.
4.
Mail attachments:
Có 2 hình thức thơng thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này
sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user khơng nghi
ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp
này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống
như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương
tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch
để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu
người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể
tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết.
5.
Websites:
Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn
như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi
hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương
tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào
password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có
username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.
6.
Interesting Software:
Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình
hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống
hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware
14
(chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang
dưới một chương trình hợp pháp.
15
PHẦN II: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TRONG
SOCIAL ENGINEERING
2.1 Các bước tấn công trong social engineering
2.1.1 Thu thập thơng tin
Một trong những chìa khóa thành cơng của Social Engineering là thông tin. Đáng
ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức
đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một
phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như
là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh
hay khơng nếu có thì chúng ở đâu. Tất cả thơng tin này có thể là hữu ích với các nhà đầu
tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những
thứ mà các tổ chức ném đi có thể là nguồn tài ngun thơng tin quan trọng. Tìm kiếm trong
thùng rác có thể khám phá hóa đơn, thư từ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được
các thông tin quan trọng. Mục đích của kẻ tấn cơng trong bước này là hiểu càng nhiều
thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
2.1.2 Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu
đáng chú ý trong nhân viên của tổ chức đó. Mục tiêu thơng thường là nhân viên hổ trợ kỹ
thuật, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích
hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và
lấy một vị trí trong hệ thống. Kẻ tấn cơng nhận ra là khi chúng có thể truy cập, thậm chí là
cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.
Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với
các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao.
Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công
việc này yêu cầu đặc quyền tài khoản của người quản lý.
2.1.3 Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”.
Gồm có 3 loại chính:
16
1. Ego attack: Trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc
điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế nào
và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử
dụng điều này để trích ra thơng tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn
nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài
năng của họ. Kẻ tấn cơng thường có thể phán đốn ra điều này chỉ sau một cuộc nói chuyện
ngắn.
2. Sympathy attacks: Trong loại tấn cơng thứ hai này, kẻ tấn công thường giả vờ là
nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối
tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện
xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ
tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện
kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm
vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm
giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là thơng cảm nên
trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy
truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy
người thơng cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ.
3. Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có
quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn cơng sẽ nhằm vào nạn nhân
có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho
các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc
thông tin nhạy cảm.
2.2 Các mối đe dọa từ social engineering
2.2.1 Các mối đe dọa trực tuyến
Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho cơng
việc, đáp ứng các yêu cầu thông tin tự động cả outside và inside. Sự kết nối này là cơ hội
giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, pop-up
windows, instant message sử dụng trojan, worm, virus...gây thiệt hại và phá hủy tài nguyên
máy tính. Social engineer tiếp cận với người dùng và thuyết phục họ cung cấp thông tin,
thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thơng qua tấn cơng
trực tiếp. Với mỗi một cuộc tấn cơng Social engineering có thể giúp cho hacker thu thập
17
được những thông tin cần thiết, chuẩn bị cho một cuộc tấn cơng mạnh mẽ khác sau này. Vì
thế, phải có lời khuyên và những khuyến cáo cho người dùng, là làm thế nào để nhận diện
và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats):
Người dùng mỗi ngày có thể nhận được số lượng email hàng chục hàng trăm, từ cả
các hoạt động kinh doanh, và từ hệ thống email riêng. Khối lượng email nhiều có thể làm
cho việc kiểm tra email trở nên khó khăn hơn, và mức độ cảnh giác đối với email mạo danh
cũng giảm đi. Đó chính là cơ hội cho hacker mạo danh một người quen để dụ dỗ nạn nhân
cung cấp những thông tin cần thiết.
Một ví dụ của tấn cơng kiểu này:
Hacker sẽ gửi một email đến người dùng và nói rằng tài khoản của người dùng bị
hạn chế và yêu cầu người dùng download file đính kèm để tiếp tục sử dụng dịch vụ. Nếu
người dùng không thận trọng sẽ tải file chứa mã độc và bị lấy cắp thông tin.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng,
hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng,
hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong email, và được
dẫn đến một trang web giả mạo. Hacker nắm bắt thơng tin có lợi cho mục đích tài chính
hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những
người dùng bình thường, họ chỉ biết cung cấp những thơng tin mà hacker u cầu. Vì vậy,
18
phía cần phịng chống là các cơng ty cung cấp dịch vụ, làm sao cho hacker khơng thể giả
mạo.
Một
ví
dụ
lừa
đảo
nữa
của
kỹ
thuật
này
là
sau
đây:
Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog
Boxes):
Phần lớn nhân viên của một doanh nghiệp duyệt Web cho các lý do cá nhân, chẳng
hạn như mua sắm hoặc nghiên cứu trực tuyến. Thơng qua trình duyệt cá nhân của nhân
viên hệ thống máy tính cơng ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc
dù điều này có thể khơng là mục tiêu cụ thể của hacker nhưng hacker có thể lợi dụng các
nhân viên để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục đích
phổ biến là nhúng một email engine vào mơi trường máy tính cơng ty thơng qua đó hacker
có thể bắt đầu phishing hoặc các tấn công khác vào email của cá nhân hay của công ty. Hai
phương thức thông thường để lôi kéo user click vào một nút bấm bên trong một hộp hội
thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một thông báo lỗi ứng
19
