Institute of Network Security – www.istudy.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security – www.istudy.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa

Module 02: Kỹ thuật tấn công

Institute of Network Security – www.istudy.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection

• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow


Institute of Network Security – www.istudy.vn
Social Engineering
4
Institute of Network Security – www.istudy.vn
Nội dung
• Khái niệm Social Engineering
• Tác động của Social Engineering
• Phân loại Social Engineering
• Social Engineering trong mạng xã hội
• Trộm cắp tài khoản
• Phòng chống Social Engineering
• Thực nghiệm
Institute of Network Security – www.istudy.vn
Không cách nào có thể sửa chữa
cho sự ngây thơ của con người
Institute of Network Security – www.istudy.vn
Confidential Information
Authorization Details Access Details
Social Engineering là gì?

• Social engineering nghệ thuật thuyết phục người khác
tiết lộ thông tin bí mật.
• Thực tế một người bị tấn công không hề biết là thông tin
cần được bảo mật.

Gather

Information
Institute of Network Security – www.istudy.vn
Tính cách con người là điểm dễ bị tấn công
Attacker làm
cho nạn nhân
tiết lộ thông tin
bằng cách hứa
hẹn những điều
không có thực
Các doanh
nghiệp dễ bị tấn
công nếu bỏ
qua Social
Engineering và
tác động của nó
Social
Engineering có
thể gây ra thiệt
hại nghiêm
trọng nếu
không sớm
phát hiện
Nền tảng của
Social
Engineering là
bản năng tin
tưởng của con
người
Nạn nhân được
yêu cầu giúp đỡ

và họ thực hiện
dựa trên đạo
đức con người
Institute of Network Security – www.istudy.vn
Application
Servers
Lỗ hổng
chính sách
bảo mật
Nhiều đơn vị
trong tổ chức
Các yếu tố làm tổ chức dễ bị tấn công
Dễ dàng
truy cập
tài nguyên
Thiếu sót
trong đào tạo
bảo mật
Institute of Network Security – www.istudy.vn
Không có phương pháp nào đảm bảo hoàn toàn
chống lại Social Engineering
Rất khó để phát hiện
tấn công Social
Engineering
Chính sách bảo mật mạnh mẽ,
nhưng con người lại là yếu tố nhạy cảm nhất

Không có phần cứng hoặc
phần mềm đặc trưng chống
lại Social Engineering

Tại sao Social Engineering lại có tác
động rất lớn?
Institute of Network Security – www.istudy.vn
Các dấu hiệu cảnh báo
một cuộc tấn công
• Attacker đóng giả một doanh nhân liên tục tìm cách xâm
nhập đánh cắp thông tin trong hệ thống mạng.
Tỏ thái độ khó chịu khi
được hỏi
Khen ngợi hoặc
thân thiết bất thường
Thái độ vội vàng, lúng
túng khi được hỏi tên
Yêu cầu bồi thường và
đe dọa nếu không cấp
thông tin
Thực hiện yêu cầu
không thường lệ
Cung cấp số điện thoại
gọi lại
Institute of Network Security – www.istudy.vn
Các bước trong tấn công Social
Engineering
Nghiên cứu mục tiêu
Website, nhân sự,
phòng ban, cách hoạt
động, v v
Lựa chọn nạn nhân
Tìm kiếm một nhân viên
đang thất vọng, bất mãn

về công ty
Research Develop Exploit
Phát triển mối quan hệ
Xây dựng mối quan hệ
thân thiết với nhân viên
được chọn
Khai thác mối quan hệ
Thu thập các thông tin
nhạy cảm về tài khoản,
tài chính và công nghệ
sử dụng
1
3
2
4
Institute of Network Security – www.istudy.vn
Các tác động lên một tổ chức
Thiệt hại
Kinh tế
Lợi dụng
Thiện chí
Đóng
cửa tạm
thời hoặc
vĩnh viễn
Kiện
tụng
Đánh mất
Quyền lợi
Nguy cơ

Khủng bố
Institute of Network Security – www.istudy.vn
Môi trường tấn công
ONLINE
Internet cho phép Attacker tiếp cận nhân viên
công ty từ một nguồn khó xác định, và
khuyên họ tiết lộ thông tin bằng việc giả danh
một người dùng đáng tin cậy
TELEPHONE
Dò hỏi thông tin từ việc gọi điện thoại, đóng
vai trò là người sử dụng thông tin hợp pháp,
từ đó xâm nhập vào hệ thống máy tính
Personal
Approaches
Attacker lấy thông tin bằng cách tiếp cận, hỏi
trực tiếp vào thông tin đó
Institute of Network Security – www.istudy.vn
Mục tiêu phổ biến của
Social Engineering
User và Client
Các nhà cung cấp
của tổ chức
System Admin
Giám đốc hỗ trợ Kỹ thuật
Tiếp tân và Help desk
Institute of Network Security – www.istudy.vn
Mục tiêu phổ biến của
Social Engineering: Officer Wokers
Attacker tập trung vào
những người làm văn

phòng, thu thập các dữ
liệu nhạy cảm, bao
gồm:
 Chính sách bảo mật
 Tài liệu nhạy cảm
 Sơ đồ hạ tầng mạng
 Mật khẩu

Mặc dù có Firewall tốt
nhất, IPS/IDS và các
hệ thống AntiVirus, bạn
vẫn có thể bị tấn công
bằng những lỗ hổng
bảo mật khó lường

Institute of Network Security – www.istudy.vn
Module Flow
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Kỹ thuật Social Engineering

Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Kỹ thuật Social Engineering
1
2
Human-Based
• Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc
• Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và
bản năng tự nhiên giúp đỡ người khác
Computer-Based
• Social Engineering được
thực hiện bằng sự giúp đỡ
của máy tính
Institute of Network Security – www.istudy.vn
Giới thiệu bản
thân trong bộ
phận hỗ trợ kỹ
thuật, yêu cầu
ID và
Password để

lấy dữ liệu cần
xử lý
Giới thiệu bản
thân như một
VIP có ảnh
hưởng lớn tới
các hoạt động
của công ty để
yêu cầu thông
tin
Giới thiệu bản
thân như một
nhân viên của
công ty và yêu
cầu các dữ liệu
nhạy cảm
Human-Based Social Engineering
Giả mạo
User hợp pháp
Giả mạo
User quan trọng
Giả mạo
Hỗ trợ kỹ thuật
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering
Nghe lén
• Nghe trộm cuộc đàm
thoại hoặc tin nhắn,
audio, video,v v
Nhìn lén

• Một cách để lấy trộm
Account, Password,
thông tin cá nhân v v
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Dumpster Diving
• Những thông tin hữu ích có thể tìm ra từ thùng rác và
hòm thư của nạn nhân.
Thông tin
liên lạc
Thông tin
tài chính
Thông tin
điều hành
Hóa đơn
điện thoại
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Piggybacking
Tôi để quên thẻ từ ra vào
cửa ở nhà, anh có thể cho tôi
theo vào phía sau không?
Vâng, xin mời theo tôi, tôi sẽ
giúp anh!
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Third-party Authorization
Xin chào, tôi thuộc đối tác
vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác

không?
Vâng, anh cứ hỏi!
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Phòng chống
Xin chào, tôi thuộc đối tác
vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác
không?
Anh thuộc đối tác vàng nào?
Đã ký với chúng tôi hợp đồng
số hiệu bao nhiêu? Đã cùng
chúng tôi làm những gì?