HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO BÀI TẬP LỚN
MÔN : CƠ SỞ AN TOÀN THÔNG TIN
Đề tài
TÌM HIỂU VỀ TẤN CÔNG
SỬ DỤNG KỸ NGHỆ XÃ HỘI
Giáo viên hướng dẫn : VŨ THỊ VÂN
Nhóm sinh viên thực hiện : NGUYỄN TRUNG THẮNG
ĐẬU THỊ NGA
NGUYỄN MINH KHÁNH
Lớp : AT8B
HÀ NỘI, 9/2014

1
MỤC LỤC
Danh mục các ký hiệu các từ viết
tắt…………………………………………….2
Lời nói
đầu……………………………………………………………………….3
Kỹ nghệ xã hội 4
Các phương pháp phổ biến 5
Human-based 5
Computer-based 7
Các bước tấn công trong Social
engineerin……………………………………. .8
Các kiểu tấn công phổ biến
…………………………………………………………………………………
10
Bảo vệ chống lại kỹ nghệ xã hội
…………………………………………………………………………………
13

Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 2
Kết luận…………………………………………………………………………
19
Tài liệu tham khảo………………………………………………………………
20
DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT
1. Tt Thông tin
2. MT Máy tính
3. HT Hệ thống
4. KNXH Kỹ nghệ xã hội
5. ATTT An toàn thông tin
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 3
Lời nói đầu
Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm
kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một
phiên bản out-of-date Adobe Flash - hoặc, God forbid, Java, đó là nguyên nhân
của 91% các cuộc tấn công vào năm 2013 theo Cisco - bạn có thể truy cập vào
một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của
bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm
để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ
cài đặt.
Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm
lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến
mục tiêu phần mềm của họ.
Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social
engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ
tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn
đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu
bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn
của Social engineer không có liên quan đến các trang web giả mạo hoặc phần

mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả
lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm,
họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 4
thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế
để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả
năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể
tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn
thêm từ thầy giáo .
1. Kỹ nghệ xã hội (Social engineerin) :
Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó
nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì.
Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo
VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công.
Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện
thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ
với đồng nghiệp hàng giờ liền ở quán rượu.
Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu
nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người
nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc
gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao
và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các
firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết
bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin
key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen
thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán
rượu.
Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật,
mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ
năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của

không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 5
công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của
mọi người.
Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họ
nắm rõ vành đai bảo vệ và những người trực thuộc - nhân viên bảo vệ, nhân viên
tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường
thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người
mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì
họ nghĩ đây là người giao hàng.
Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai,
email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các
nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX
servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà
họ đang định xâm nhập.
2. Các phương pháp phổ biến
2.1. Phương pháp tâm lý psychology subversion (Human-based)
Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con
người để thu được thông tin mong muốn. Tiếp cận về mặt tinh thần và cảm xúc
hơn là vật chất . Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyết
phục họ hành động .
Kỹ thuật Human Based có thể chia thành các loại như sau:
- Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật
này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của
hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp
nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 6
tin từ thùng rác, máy tính để bàn, hoặc các hệ thống MT, hoặc là hỏi thăm những
người đồng nghiệp.
- Posing as Important User: Trong vai trò của một người sử dụng quan trọng như

người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập
tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào
HT.
- Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người
nào đó để truy cập vào HT. Ví dụ một tên hacker nói anh được sự ủy quyền của
giám đốc dùng tài khoản của giám đốc để truy cập vào HT.
- Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một
phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và
phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi
ngon cho hacker.
- Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký
hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được
ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
- Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Thu thập thông
tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là
password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6
năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến
dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp
chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo
doanh nghiệp.
Một số thứ mà dumpster có thể mang lại :
(1).Sách niên giám điện thoại công ty -biết ai gọi sau đó dùng để mạo nhận là
những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có
được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số
đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện
thoại của công ty từ sách niên giám.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 7
(2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự
kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng
nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.

Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social
Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành
người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ
chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu
nhân viên helpdesk cung cấp lại.
2.2. Computer-Based Social Engineering :
Computer Based: là sử dụng các phần mềm để lấy được TT mong muốn. Có thể
chia thành các loại như sau:
- Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công
ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin
và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm.
Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp
pháp với logo của công ty và nội dung có chứa form để yêu cầu username,
password, số thẻ tín dụng hoặc số pin.
- Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là
một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân
thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động
với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông
điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau
khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ
trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực
thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi
bằng Voip.
- Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là
anh ta đã mất kết nối và cần phải nhập lại username và password. Một
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 8
chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email TT
đến một website ở xa.
- Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu
tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong

email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó,
ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file
đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó
sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai
cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa
file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail
bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận
chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này
có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết.
- Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu
nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ,
một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa
chỉ email và password. Password điền vào có thể tương tự với password
được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào
password giống với password họ sử dụng tại nơi làm việc, vì thế social
engineer có username hợp lệ và password để truy xuất vào HT mạng tổ
chức.
- Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu
suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử
dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng
hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại
ngụy trang dưới một chương trình hợp pháp.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 9
3. Các bước tấn công trong social engineering :
3.1. Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là TT. Đáng ngạc
nhiên là dễ dàng thu thập đầy đủ TT của một tổ chức và nhân viên trong tổ chức
đó. Các tổ chức có khuynh hướng đưa quá nhiều TT lên website của họ như là
một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các

đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và
chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có
thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng
trong tấn công Social Engineering. Những thứ mà các tổ chức ném đi có thể là
nguồn tài nguyên TT quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa
đơn, thư từ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các TT quan trọng.
Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều TT càng tốt để làm
ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.2. Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm
yếu đáng chú ý trong nhân viên của tổ chức đó.
Mục tiêu thông thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa sự
giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,…
Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí
trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp
độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu
vết.
Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận
với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên
quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho
quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người
quản lý.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 10
3.3. Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường
gạt”. Gồm có 3 loại chính:
- Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài
đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông
minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công
ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của

chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không
đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường
có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả
vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung
cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần
sự giúp đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra
sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể
hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn
thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ
username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch
bản. Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu
cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin
từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm,
hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ.
- Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ
nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ
tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password,
thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 11
4. Các kiểu tấn công phổ biến :
4.1. Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn
tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân
viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là
Insider Attack - tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì
những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di
chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là

vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩ
các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên.
Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức
lương cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể
thay đổi mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có
tiền nhiều hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho
các công ty khác.
4.2. Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cắp danh tính của một nhân
viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật
Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có
thể giúp các hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ
thống mà không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp
(Identity Theft)
4.3. Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 12
thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một
đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm
bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công
khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ
chỉ biết cung cấp những thông tin mà hacker yêu cầu. Vì vậy, phía cần phòng
chống là các công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
4.4. Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể
thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng
ngày để đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử
dụng tên người dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông tin

trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó
có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm
là những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ
pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn phí. Vì
nhẹ dạ mà nạn nhân vô tình cài vào một mã độc hại.
4.5. URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào
một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện
trên các thanh địa chỉ một cách hợp pháp. Việc giả mạo có thể nhắm đến những
người dụng bất cẩn. Ví dụ, bạn vào trang web và thực hiện giao
dịch bình thường. Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web
của ebay là . Khác biệt là ở chổ giao thức http và https .
Các ứng dụng pop-up và hộp hội thoại ( Pop-Up Applications and Dialog
Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 13
làm việc của công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng
hạn như mua sắm hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân
của nhân viên hệ thống máy tính công ty có thể tiếp xúc với các hoạt động của
Social Engineer. Mặc dù điều này có thể không là mục tiêu cụ thể của hacker, họ
sẽ sử dụng các nhân viên trong một nỗ lực để đạt được quyền truy xuất vào tài
nguyên công ty. Một trong những mục đích phổ biến là nhúng một mail engine
vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising
hoặc các tấn công khác vào email của cá nhân hay của công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong
một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một
thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ
- ví dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân
viên có kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa

bịp này. Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể
đe dọa và lừa được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức
năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt
mặc định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có
thể vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận
thức được rằng họ không nên bấm vào cửa sổ pop-up, trước khi có sự ý kiển của
nhân viên phòng IT
5. Bảo vệ chống lại kỹ nghệ xã hội :
- Để xác định được phương pháp đối phó với Social Engineering là điều rất
quan trọng trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến
vấn đề về xã hội nên việc phòng chống nó có chút rắc rối về cách tư cách
của con người.
- Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin.
Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố
hàng đầu đảm bảo an toàn của hệ thống
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 14
Nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ
nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị
các kiến thức về bảo vệ thông tin. Đó là cả một quá trình và chỉ có thể thành
công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp
sau:
- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ
luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng
trước hết của đạo chích chứ không phải các phương tiện kỹ thuật.
- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự
cảnh giác, tự đấu tranh mới có thể khắc phục được.
- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong
bảo vệ thông tin là thống nhất. Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm
vụ, là một phần trong công việc của mình.

- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh
của tổ chức.
- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân
viên với điểm nhấn đặc biệt về các biện pháp chống kỹ nghệ xã hội .
- Xây dựng chương trình đào tạo và huấn luyện đặc biệt
Các chuyên gia giàu kinh nghiệm trong lĩnh vực KNXH khẳng định: Bất
cứ một HT an ninh kỹ thuật nào dù được trang bị đồng bộ bởi các chương
trình xác thực, HT phát hiện và chống xâm nhập, hệ thống mã hóa và hạn
chế tiếp cận trái phép đều không thể bảo vệ được hệ thống thông tin. Các
công ty tổ chức kiểm tra khả năng xâm nhập vào mạng MT của mình dựa
vào công nghệ KNXH khẳng định đều thành công 100%.
Bởi vậy, cách duy nhất để đảm bảo an toàn cho tổ chức là phải xây dựng
một HT đảm bảo ATTT kết hợp đồng bộ các phương tiện kỹ thuật với các
biện pháp tổ chức, quản lý, chính sách và nguồn nhân lực, bao gồm: Các
phương tiện kỹ thuật bảo vệ thông tin; Hệ thống quản lý ATTT; Chính
sách an toàn thông tin; Nguồn nhân lực; Chương trình đào tạo và huấn
luyện về bảo vệ TT.
Ý thức bảo vệ thông tin chống KNXH phải xuyên suốt toàn bộ các bộ phận
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 15
cấu thành của hệ thống an toàn thông tin, đặc biệt trong việc xây dựng
nguồn lực và chương trình đào tạo, huấn luyện Đặc biệt, chính sách
ATTT phải thể hiện được mục tiêu này. Vì vậy, ngoài những quy định
chung cho tất cả tổ chức, cần có những quy định riêng cho từng nhóm cán
bộ, nhân viên. Tối thiểu cần có quy định cho nhóm các nhà quản lý, các
nhân viên IT, các nhân viên bảo vệ
Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn
luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần
thiết về KNXH cho cán bộ nhân viên như:
- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ
sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị

lợi dụng.
- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại
với những yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là
cán bộ lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn,
mua chuộc
- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các
nhân viên điện thoại, những người quản trị hệ thống và mạng điện thoại,
bộ phận hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận
cung cấp sản phẩm quan trọng.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 16
Security policy
Security policy
Identy management
Identy management
Awareness and educaon
Awareness and educaon
Insurance protecon
Insurance protecon
Security Incident management
Security Incident management
• Security policy : chính sách bảo mật
• Identity management : quản lý danh tính
• Security Incident management : quản lý an toàn sự cố
• Awareness and education : nâng cao nhận thức và giáo dục
• Insurance protection : chế độ bảo hiểm
Well Documented Security Policy - associated standards and guidelines form the
foundation of a good security strategy.
Tài liệu chính sách an ninh - các tiêu chuẩn và hướng dẫn liên quan tạo thành
nền tảng của một chiến lược an ninh tốt
• Acceptable usage policy - for acceptable business usage of email,

computer systems etc
Chính sách chấp nhận được - doanh nghiệp sử dụng thư điện tử , hệ thống
máy tính …
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 17
• Information classification and handling - for identifying critical
information assets
Phân loại thông tin và xử lý - để xác định các tài sản thông tin quan trọng
• Personnel security - screening prospective employees, contractors to
ensure that they do not pose a security threat to the organization, if
employed
• Nhân viên an ninh - chọn lựa nhân viên tài năng , nhà thầu để đảm bảo họ
không gây ra mối đe dọa cho an ninh tổ chức , nếu sử dụng họ
• Physical security - to secure the facility from unauthorized physical
access with the help of sign in procedures
Bảo mật vật lý : để đảm bảo cơ sở vật chất với truy cập trái phép cùng với
sự giúp đỡ của các phương pháp
• Information access control - password usage and guidelines for
generating secure passwords
Kiểm soát truy cập thông tin : sử dụng mật khẩu và hướng dẫn tạo mật
khẩu an toàn
• Protection from viruses - to secure the systems and information from
viruses and similar threats
Bảo vệ khỏi virut : để bảo đảm hệ thống và thông tin khỏi virut và các mối
đe dọa tương tự
• Information security awareness training - to ensure that employees are
kept informed of threats
Đào tạo nâng cao nhận thức bảo mật thông tin : đảm bảo rằng nhân viên
biết được thông báo về các mối đe dọa
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 18
People need to…

People need to…
Know what they need to do
Be able to identify threats
Have individual accountability and
sanctions for their actions
Organisations need to…
Organisations need to…
Implement strong procedures
Provide security awareness training
Establish a Security Conscious
Organisational Culture
• Compliance monitoring - to continually ensure that the security policy is
being complied with.
Giám sát việc chấp hành - để tiếp tục đảm bảo chính sách an ninh đang
được chấp hành
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 19
- Con người cần :
Biết họ đang làm gì
Có thể xác định các mối đe dọa
Có trách nhiệm cá nhân và trừng phạt đối với hành động gây ra tổn thất của họ
- Các tổ chức cần phải :
Thực hiện các phương pháp mạnh
Tổ chức nâng cao nhận thức an ninh
Xây dựng ý thức ( nền văn hóa ) bảo mật trong tổ chức .
Kết luận :
Kỹ nghệ xã hội (Social engineering) là phương tiện thu thập thông tin cho một
cuộc tấn công bằng cách dựa trên những điểm yếu của các cá nhân. Kỹ nghệ xã
hội không cần phải dùng đễn công nghệ.
Tấn công sử dụng kỹ nghệ xã hội có thể gồm :
Các phương pháp vật lý : lục lọi thùng rác (dumpter diving), bám đuôi chui cửa

(tailgating),…
Các phương pháp tâm lý : mạo danh (impersonation), lừa đảo (phising), thư rác
(spam),…
Kỹ nghệ xã hội là nghệ thuật tác động lên con người, do đó cũng chỉ có thể
chống lại nó bằng chính con người. Rất nhiều mánh lới của kỹ nghệ xã hội
dường như rất đơn giản nhưng vẫn đem lại hiệu quả cao.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 20
Trên thế giới, các hacker đẳng cấp về thực chất là các kỹ sư xã hội. Dù nhiều
người trong số họ là những chuyên gia kỹ thuật xuất sắc, nhưng trong thành công
của họ, theo thống kê họ sử dụng kỹ nghệ xã hội lên tới hơn 80%. Điều này cho
thấy đây thật sự là mối đe dọa lớn nhất và muốn đảm bảo an toàn cho hệ thống
thông tin của các tổ chức, doanh nghiệp thì bên cạnh các phương tiện kỹ thuật
cần đặc biệt chú trọng khâu yếu nhất, đó là con người.
Tài liệu tham khảo :
/> /> />a82e461ce456&CatID=c251d538-7a3c-4fc7-81df-44a2de35883f
/>i.html
- Các nguồn khác trên Internet.
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 21