CHƯƠNG 4: SOCIAL
ENGINEERING
Nguyễn Tấn Thành
Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng
công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ
cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering
là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con
người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng
để thu thập thông tin trước hoặc trong cuộc tấn công.
1.Social engineering là gì?
Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người
dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn
nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc
tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc
internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể
làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phương
pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng,
hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với
kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.
Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại,
hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông
đang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một
nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển
mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập
vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách
lấy một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty.
Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp
theo họ giã vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp
họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một
nụ cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết
trường phòng tài chính vừa có cuộc công ta xa, và những thông tin của ông này có

thể giúp họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài
chính này. Họ lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích.
Thông qua lao công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho
họ mà là rác của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả
giọng nói của vị giám đốc vắn mặt này. Có thành quả đó là do họ đã tiến hành nghiên
cứu giọng nói của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập
được từ thùng rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc
tấn công đã diễn ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài
chính, làm ra vẽ mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng
các thông tin khác và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống
mạng”. Nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin
cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng...sẽ giúp
rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực
tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong
công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng.
2.Nghệ thuật của sự thao túng
Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái
phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer
là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn
có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi
người và sợ những rắc rối.
Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó
đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều
khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào
đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ
thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để
tấn công vào công ty. Có 2 loại rất thông dụng :
• Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó
hơn là phá hủy hệ thống.
• Psychological subversion: mục đích của hacker hay attacker khi sử dụng

PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự
chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử
dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.
Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách
hàng. Nếu bạn có ý đồ làm hacker thì có thể học hỏi, còn nếu bạn là người dùng thì
hãy cẩn thận khi gặp tình huống tương tự.
Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi.
Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện
với cô Alice”
Alice: “ Xin chào, tôi là Alice”.
Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu,
xin lỗi vì tôi gọi điện cho cô sớm Thế này…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng
không sao đâu.”
Attacker: ” Tôi gọi điện cho cô vì những thông tin cá
nhân của cô trong phiếu thông tin tạo account có vấn
đề.”
Alice: ” Của tôi à..à vâng.”
Attacker: ” Tôi thông báo với cô về việc server mail vừa
bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại
hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi
xử lý trường hợp của cô trước tiên.”
Alice: ”Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được
mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và
chúng tôi không được phép can thiệp vào hệ thống mail
của văn phòng, nên chúng tôi cần có password của cô, nếu
không chúng tôi không thể làm gì được.”
Alice: ”Password của tôi à?uhm..”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi

rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được
viết bởi văn phòng luật, nên tất cả phải làm đúng theo
luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cô là AliceDxb phải không?
Phòng hệ thống đưa cho chúng tôi username và số điện
thoại của cô, nhưng họ không đưa password cho chúng tôi.
Không có password thì không ai có thể truy cập vào mail
của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng
chúng tôi phải phục hồi lại mail của cô, và chúng tôi
cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với
cô chúng tôi sẽ không sử dụng password của cô vào bất cứ
mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass
của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục
hồi lại mail của cô trong vài phút nữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp
trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên
hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên
Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”
3.Điểm yếu của mọi người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng
thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên
thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống
nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật
lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được

đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có
nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ
thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là
rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật
nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của
họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp,
đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là
phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố
khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy
nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình
thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được
càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng
giống sự thật thì khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là một
trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội
hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
4.Phân loại kỹ thuật tấn công Social engineering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con
người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi
điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố
gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập
lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa
đảo).
4.1. Human-Based Social Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật

này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ
thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập
công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ
thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những
người đồng nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như
người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức,
hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người
nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của
giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một
phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng
hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho
hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ
thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi
nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê
tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc
phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công
ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc
những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle,
thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về
Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới
trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết
ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới
các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là
nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể

xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức;
bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ
thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source
code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social
Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành
người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ
chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân
viên helpdesk cung cấp lại.
4.2. Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể
chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh
doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy
ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một
đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội
dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng
phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email.
Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề
liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số
điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được
gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp
tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi
bằng Voip.
Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã
mất kết nối và cần phải nhập lại username và password. Một chương trình đã được
cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.
Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là
mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích

là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna
Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu
tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở
rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi
user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail
bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp
một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu
ứng gọi là hiệu ứng quả cầu tuyết.
Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm,
chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra
một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền
vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân
viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế
social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ
chức.
Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và
cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU,
RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có
bản quyền. Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài
đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp
pháp.
5.Các bước tấn công trong Social
Engineering
5.1. Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng
ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong