Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn cơng mang tên
‘Byzantime Candor’, do dị dỉ thơng tin ra bên ngoài

Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn
công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan
liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một
khả năng mới được cơng bố đó là khả năng bị dị dỉ thơng tin từ bộ ngoại giao.
Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm
2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập
nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần
thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật
lừa đảo.
Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp,
Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống,
tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các
cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13
năm 2008



Các chủ đề trình bày
 Social Engineering là gì
 Tại sao Social Engineering lại hiệu quả

 Các giai đoạn trong một cuộc tấn công
Social Engineering
 Các mục tiêu phổ biến của Social
Engineering

 Social Engineering through Impersonation

trên miền mạng Social
 Ảnh hưởng của mạng Xã hội tới mạng
doanh nghiệp
 Ăn cắp ID
 Thế nào là Steal Indentity

 Các kiểu Social Engineering

 Biện pháp đối phó Social Enginneering

 Các chiến thuật xâm nhập phổ biến và

 Thử nghiệm Social Engineering

chiến lược phòng chống


Khái niệm Social
Engineering

Mạo danh trên
mạng xã hội

Kỹ thuật Social
Engineering

Biện pháp đối phó
Social Engineering

Ăn cắp ID


Thử nghiệm
xâm nhập


Khơng có bất kz bản vá lỗi nào
đối với một con người ngu ngốc


Social Engineering là gì
 Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thơng tin bí mật
 Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về
chúng và bất cẩn trong việc bảo vệ nó

Thơng tin bí mật

Chi tiết truy cập

Chi tiết việc uỷ
quyền


Các hành vi dễ bị tấn công
Sự tin tưởng là nền
tảng cơ bản của tấn
công Social
Engineering

Các mục tiêu sẽ được
hỏi để trợ giúp và họ

tuân theo những quy
định mang tính nghĩa
vụ được đưa ra

Sự thiếu hiểu biết về
Social Engineering và
các hiệu ứng của nó
trong đội ngũ nhân
viên khiến cho các tổ
chức là một mục tiêu
dễ dàng

Socal Engineers có
thể đe doạ nghiêm
trong đến việc mất
mát trong trường
hợp không tuân thủ
những yêu cầu của họ
(tổ chức)

Social Engineers thu
hút các mục tiêu tiết
lộ thơng tin bởi một
cái gì đó đầy hứa hẹn


Những yếu tố làm doanh
nghiệp dễ bị tấn công
Đào tạo
an ninh

cịn thiếu

Thiếu
những
chính sách
an ninh

Dễ dàng
truy cập
thơng tin

Nhiều các
đơn vị tổ
chức


Tại sao Social Engineering Lại Hiệu Quả
Chính sách bảo mật mạnh
cũng sẽ là liên kết yếu nhất
và con người là yếu tố nhạy
cảm nhất
Khơng có một phần mêm
hay phần cứng nào có thể
chống lại một cuộc tấn cơng
Social Engineering

Rất khó để phát hiện ra
Social Engineering

Khơng có một phương pháp

chắc chắn nào để đảm bảo
an ninh một cách đầy đủ từ
các cuộc tấn công Social
Engineering


Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker
liên tục cố gắng để xâm nhập mạng

Không cung cấp số gọi lại

Yêu cầu phi chính thức

Yêu cầu thẩm quyền và đe doạ nếu
như không cung cấp thông tin

cho thấy sự vội vàng và vơ
tình để lại tên

Bất ngờ được khen tặng hoặc
ca ngợi
Thấy khó chịu khi đặt câu hỏi


Các giai đoạn của một cuộc tấn công Social
Engineering
Lựa trọn nạn nhân

Nghiên cứu công ty mục

tiêu

Xác định những nhân
viên không hài lịng về
chính sách trong cơng ty
mục tiêu

Durmpster diving, trang
web, nhân sự, lịch trình,
vv

Nghiên cứu
Phát triển mối quan hệ
Phát triển mối quan hệ
với những nhân viên đã
được lựa chọn

Phát triển

Khai thác
Khai thác mối quan hệ
Tập hợp thông tin tài
khoản nhạy cảm, thơng
tin tài chính, và cơng
nghệ hiện tại


Những ảnh hưởng lên tổ chức
Những mất
mát về kinh

tế
chính sách
khủng bố

Tổn hại uy tín
Mất sự riêng
tư
Tạm thời
hoặc vĩnh
viễn đóng
cửa

Các vụ kiện và
các thủ tục


Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên
từ một nguồn internet ẩn danh và thuyết phục họ cung
cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo
người dùng hợp pháp, mà người đó có thể truy cập tới
hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ
thống máy tính

Trong việc tiếp cận đối tượng, kẻ tấn cơng sẽ lấy thông
tin bằng cách trực tiếp hỏi đối tượng đó



Giả sử hai đối tượng
“Rebecca” và “Jessica” là
hai nạn nhân của kỹ thuật
Social Engineering

Rebeca và Jessica là
những mục tiêu dễ dàng
lừa đảo, chẳng hạn như
nhân viên tiếp tân của
cơng ty

Ví dụ
•

“có một người tên là Rebecca làm tại một ngân hàng và tơi gọi cho cơ ấy để tìm hiểu các thơng tin
về cơ ta”

•

“Tơi gặp cơ Jessica, cơ ta là một đối tượng dễ dàng lừa đảo”

•

“Hỏi cơ ta: có phải trong cơng ty của cơ có một người tên là Rebecca phải không”


Những mục tiêu chung của Social Engineering
Nhân viên tiếp tân
và nhân viên hỗ trợ
User và Client


Người bán hàng
của tổ chức mục
tiêu

Giám đốc hỗ
trợ kỹ thuật

Người quản trị
hệ thống


Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để
khai thác lượng thông tin lớn từ những nhân viên của công ty

Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho
nhân viên giả mạo

mặc dù có tường lửa tốt nhất,
phát hiện xâm nhập, và hệ thống
chống virut, thì bạn vẫn bị tấn
cơng bởi những lỗ hổng bảo mật

kẻ tấn cơng có thể cố gắng tấn
cơng Social Engineering lên những
nhân viên văn phịng để thu thập
những dữ liệu nhạy cảm như:
•

•
•
•

Những chính sách bảo mật
Những tài liệu nhạy cảm
Cấu trúc mạng văn phòng
Những mật khẩu


Khái niệm Social
Engineering

Mạo danh trên
mạng xã hội

Kỹ thuật Social
Engineering

Biện pháp đối phó
Social Engineering

Ăn cắp Identity

Thử nghiệm
xâm nhập


Các kiểu Social Engineering
Human-based

Tập hợp những thông tin nhạy cảm
bằng cách khai thác sự tin tưởng, sợ
hãi, và sự giúp đỡ

Computer-based
Social Engineering được thực hiện bởi
sự giúp đỡ của máy tính


giả như một người sử
dụng đầu cuối hợp pháp
Nhận dạng và yêu cầu
thông tin nhạy cảm
“chào ! Đây là John, từ bộ
phận X, tơi đã qn
password của tơi. Bạn có
thể lấy lại nó dùm tơi
được chứ ?”

Giả như một User quan
trọng

giả làm nhân viên hỗ trợ
kỹ thuật

Giả làm một VIP của một
công tư, khách hàng quan
trọng, …..
“ chào tôi là kevin, thư
kí giám đốc kinh doanh.

Tơi đang làm một dự án
cấp bách và bị mất mật
khẩu hệ thống của mình.
Bạn có thể giúp tơi được
chứ?”

nói như mộtnhân viên hỗ
trợ kỹ thuật và yêu cầu ID
và Password cho việc khôi
phục dữ liệu
“ thưa ngài, tôi là Mathew,
nhân viên hỗ trợ kỹ thuật,
cơng ty X, tối qua chúng rơi
có một hệ thống bị sập ở
đây, và chúng tơi đến để
kiểm tra có bị mất dữ liệu
hay khơng. Ngài có thể lấy
cho tơi ID và Password
không”


Ví dụ về việc hỗ trợ kỹ thuật

“ Một người đàn ông gọi đến bàn hỗ trợ của công ty
và nói rằng ơng ta đã qn mật khẩu của ơng ta. Ơng
ta nói thêm rằng nếu ơng ta bỏ lỡ mất dự án quảng
cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và
nhanh chóng resets lại mật khẩu, vậy là vơ tình tạo ra
một lối vào mạng bên trong của công ty”



Ví dụ về việc giả mạo cơ quan hỗ trợ

“chào, tơi là John Brown. Tơi đang ở cùng với kiểm
sốt viên ngài Arthur Sanderson. Chúng tơi đã nói
với cơng ty làm một cuộc kiểm tra bất ngờ đối với
bạn nhằm khắc phục các thảm họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tơi biết
làm cách nào bạn khôi phục một website sau khi bị
tai nạn
”


Ví dụ về việc giả mạo cơ quan hỗ trợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong
New York. Tôi biết đây là một thông báo ngắn, nhưng tơi
có một nhóm khách hàng tiềm năng được thử nghiệm
trong nhiều tháng và được thêu ngoài được đào tạo an
ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tơi nghĩ rằng nếu tơi có
thể sử dụng họ cho một chuyến đi tới các cơ sở của chúng
ta, nó nên được đưa lên cao hơn và để chúng tôi đăng k{
họ đặc biệt quan tâm đến những biện pháp an ninh,
chúng tôi đã được thông qua. Dường như đã có một số
người sâm nhập vào trong website, đó là l{ do mà họ quan
tâm đến công ty của chúng tôi
”



ví dụ cơ quan hỗ trợ

“chào, tơi với dịch vụ chuyển phát nhanh Aircon.
Chúng tôi nhận được cuộc gọi rằng phịng máy tính
bị q nóng và cần được kiểm tra hệ thống HVAC của
bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi,
thơng gió và điều hịa nhiệt độ) có thể thêm độ tin
cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta
hoặc cô ta để đạt được quyền truy cập vào tài
nguyên mục tiêu.


Eavesdropping

Shoulder Surfing

 Nghe lén hoặc nghe trái phép
các cuộc hội thoại hoặc đọc
tin nhắn
 Chặn lại bất kz các hình thức
như âm thanh, video hoạc
văn bản.
 Eavesdropping cũng sử dụng
với những kênh truyền thông
khác như đường dây điện
thoại, email, tin nhắn tức
thời, vv…

 Shoulder Surfing là tên cho

quy trình mà kẻ trộm sử
dụng để tìm ra mật khẩu, số
chứng minh nhân dân, số
tài khoản, vv …..
 Kẻ trộm nhìn qua vai của
bạn hoặc thậm chí quan sát
từ một khoảng cách xa
bằng cách sử dụng ống
nhịm, để có được một chút
thơng tin.


Dumpster diving là tìm kiếm kho báu của người khác trịng thùng giác
thùng giác
Thơng tin
liên lạc

hộp thư

Thùng máy in

Hóa đơn
điện thoại

Thơng tin
các hoạt
động

Thơng tin
tài chính

ghi chú