TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ
HỘI
Giáo viên hướng dẫn : Vũ Thị Vân
Sinh viên thực hiện : Nguyễn Trung Thắng
Đậu Thị Nga
Trần Minh Khánh
1
NỘI DUNG
•
1. Kỹ nghệ xã hội
•
2. Các phương pháp phổ biến
•
3. Các bước tấn công trong Social engineerin
•
4. Các kiểu tấn công phổ biến
•
5. Bảo vệ chống lại kỹ nghệ xã hội
2
CƠ SỞ AN TOÀN THÔNG TIN
TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
3

Social engineer : sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai
thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động
nào đó.

Người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện
thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể
làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.
Kỹ nghệ xã hội - social engineerin

CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
- Phương pháp tâm lý psychology subversion (Human-based)
- Phương pháp vật lý (Computer-Based Social Engineering)
4
CÁC PHƯƠNG PHÁP PHỔ BIẾN
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
5
Human-based có thể được chia thành 6 loại như sau :
● Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng
hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành
thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.
● Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp
ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
● Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự
ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
● Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk
và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
● Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng
nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
● Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu
có thể là password, username, filename hoặc những thông tin mật khác.

Phương pháp tâm lý psychology subversion (Human-based)
CƠ SỞ AN TOÀN THÔNG TIN
TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
6
Phương pháp vật lý (Computer-Based Social Engineering)
Computer-Based Social Engineering

● Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh

báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo
của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
● Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương
trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.
● Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email.
Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là
AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự,
bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp.
CƠ SỞ AN TOÀN THÔNG TIN
TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Computer-Based Social Engineering
● Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có
thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi
làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy
xuất vào hệ thống mạng tổ chức.
● Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của
CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn như
Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.
7
CƠ SỞ AN TOÀN THÔNG TIN
TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Các bước tấn công trong social engineering
● Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân
viên trong tổ chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này
thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng
ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà
các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng .
● Chọn mục tiêu
● Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”. Gồm có 3 loại chính:

Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh
như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của
chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công
thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.

8
CƠ SỞ AN TOÀN THÔNG TIN
TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
● Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung
cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc
thể hiện kiến thức về tổ chức.
● Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm
vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài
khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.
9
CƠ SỞ AN TOÀN THÔNG TIN
TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
CÁC KIỂU TẤN CÔNG PHỔ BIẾN
● Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân
viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì
những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ
tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩ các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên. Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương
cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình.
● Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật
Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào
hệ thống mà không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity Theft) .

10
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
● Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận
thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm
bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ
chỉ biết cung cấp những thông tin mà hacker yêu cầu.
● Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng
hằng ngày để đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử dụng tên người dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông
tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan,
worm là những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn
phí.
● URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện
trên các thanh địa chỉ một cách hợp pháp. Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ bạn vào trang web và thực hiện
giao dịch bình thường. Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là . Khác biệt là ở chổ giao thức http và https
11
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Bảo vệ chống lại kỹ nghệ xã hội
● Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến vấn đề
về xã hội nên việc phòng chống nó có chút rắc rối về cách tư cách của con người.
Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin.
Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống .
● Nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị các
kiến thức về bảo vệ thông tin. Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp sau:
- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước
hết của đạo chích chứ không phải các phương tiện kỹ thuật.

- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được.
- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất. Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm
vụ, là một phần trong công việc của mình.
- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức.
- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm nhấn đặc biệt về các biện pháp chống kỹ nghệ xã hội .
12
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Xây dựng chương trình đào tạo và huấn luyện đặc biệt

Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH
cho cán bộ nhân viên như:
- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.
- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ
lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc
- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận
hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.
13
Securiy
policy
Securiy
policy
Identity
management
Identity
management
Awareness and
education
Awareness and
education
Insurance

protection
Insurance
protection
Security Incident
management
Security Incident
management
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Mô hình chính sách bảo mật chống lại tấn công bằng KNXH
14
People need to…
Know what they need to do
Be able to identify threats
Have individual accountability and
sanctions for their actions
Organisations need to…
Implement strong procedures
Provide security awareness training
Establish a Security Conscious
Organisational Culture
CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Những điều cần biết để bảo vệ chống lại kỹ nghệ xã hội
15
CẢM ƠN THẦY CÔ CÙNG CÁC BẠN ĐÃ LẮNG NGHE !
16