Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên
‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài

Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn
công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan
liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một
khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao.

Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm
2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập
nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần
thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật
lừa đảo.

Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp,
Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống,
tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các
cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13
năm 2008


Các chủ đề trình bày
 Social Engineering là gì
 Tại sao Social Engineering lại hiệu quả
 Các giai đoạn trong một cuộc tấn công
Social Engineering
 Các mục tiêu phổ biến của Social
Engineering
 Các kiểu Social Engineering
 Các chiến thuật xâm nhập phổ biến và

chiến lược phòng chống
 Social Engineering through Impersonation
trên miền mạng Social
 Ảnh hưởng của mạng Xã hội tới mạng
doanh nghiệp
 Ăn cắp ID
 Thế nào là Steal Indentity
 Biện pháp đối phó Social Enginneering
 Thử nghiệm Social Engineering

Khái niệm Social
Engineering
Kỹ thuật Social
Engineering
Mạo danh trên
mạng xã hội

Ăn cắp ID
Biện pháp đối phó
Social Engineering
Thử nghiệm
xâm nhập
Không có bất kz bản vá lỗi nào
đối với một con người ngu ngốc
Social Engineering là gì
 Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật
 Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về
chúng và bất cẩn trong việc bảo vệ nó
Thông tin bí mật
Chi tiết việc uỷ

quyền
Chi tiết truy cập
Sự tin tưởng là nền
tảng cơ bản của tấn
công Social
Engineering
Sự thiếu hiểu biết về
Social Engineering và
các hiệu ứng của nó
trong đội ngũ nhân
viên khiến cho các tổ
chức là một mục tiêu
dễ dàng
Socal Engineers có
thể đe doạ nghiêm
trong đến việc mất
mát trong trường
hợp không tuân thủ
những yêu cầu của họ
(tổ chức)
Social Engineers thu
hút các mục tiêu tiết
lộ thông tin bởi một
cái gì đó đầy hứa hẹn
Các mục tiêu sẽ được
hỏi để trợ giúp và họ
tuân theo những quy
định mang tính nghĩa
vụ được đưa ra
Các hành vi dễ bị tấn công

Những yếu tố làm doanh
nghiệp dễ bị tấn công
Đào tạo
an ninh
còn thiếu
Dễ dàng
truy cập
thông tin
Thiếu
những
chính sách
an ninh
Nhiều các
đơn vị tổ
chức
Tại sao Social Engineering Lại Hiệu Quả
Không có một phần mêm
hay phần cứng nào có thể
chống lại một cuộc tấn công
Social Engineering
Chính sách bảo mật mạnh
cũng sẽ là liên kết yếu nhất
và con người là yếu tố nhạy
cảm nhất
Rất khó để phát hiện ra
Social Engineering


Không có một phương pháp
chắc chắn nào để đảm bảo

an ninh một cách đầy đủ từ
các cuộc tấn công Social
Engineering
Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker
liên tục cố gắng để xâm nhập mạng
cho thấy sự vội vàng và vô
tình để lại tên
Bất ngờ được khen tặng hoặc
ca ngợi
Thấy khó chịu khi đặt câu hỏi
Yêu cầu thẩm quyền và đe doạ nếu
như không cung cấp thông tin
Yêu cầu phi chính thức
Không cung cấp số gọi lại
Các giai đoạn của một cuộc tấn công Social
Engineering
Nghiên cứu công ty mục
tiêu
Durmpster diving, trang
web, nhân sự, lịch trình,
vv
Lựa trọn nạn nhân
Xác định những nhân
viên không hài lòng về
chính sách trong công ty
mục tiêu
Phát triển mối quan hệ
Phát triển mối quan hệ
với những nhân viên đã

được lựa chọn
Khai thác
Phát triển
Nghiên cứu
Khai thác mối quan hệ
Tập hợp thông tin tài
khoản nhạy cảm, thông
tin tài chính, và công
nghệ hiện tại


Những ảnh hưởng lên tổ chức
Những mất
mát về kinh
tế
Mất sự riêng
tư
chính sách
khủng bố
Các vụ kiện và
các thủ tục
Tổn hại uy tín
Tạm thời
hoặc vĩnh
viễn đóng
cửa
Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên
từ một nguồn internet ẩn danh và thuyết phục họ cung
cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo
người dùng hợp pháp, mà người đó có thể truy cập tới
hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ
thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông
tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối tượng
“Rebecca” và “Jessica” là
hai nạn nhân của kỹ thuật
Social Engineering

Ví dụ
• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin
về cô ta”
• “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”
• “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”
Rebeca và Jessica là
những mục tiêu dễ dàng
lừa đảo, chẳng hạn như
nhân viên tiếp tân của
công ty
Những mục tiêu chung của Social Engineering
Giám đốc hỗ
trợ kỹ thuật
Người quản trị
hệ thống
Người bán hàng
của tổ chức mục
tiêu
User và Client


Nhân viên tiếp tân
và nhân viên hỗ trợ
Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để
khai thác lượng thông tin lớn từ những nhân viên của công ty
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho
nhân viên giả mạo
mặc dù có tường lửa tốt nhất,
phát hiện xâm nhập, và hệ thống
chống virut, thì bạn vẫn bị tấn
công bởi những lỗ hổng bảo mật
kẻ tấn công có thể cố gắng tấn
công Social Engineering lên những
nhân viên văn phòng để thu thập
những dữ liệu nhạy cảm như:
• Những chính sách bảo mật
• Những tài liệu nhạy cảm
• Cấu trúc mạng văn phòng
• Những mật khẩu
Kỹ thuật Social
Engineering
Khái niệm Social
Engineering
Mạo danh trên
mạng xã hội
Thử nghiệm
xâm nhập
Biện pháp đối phó

Social Engineering
Ăn cắp Identity
Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm
bằng cách khai thác sự tin tưởng, sợ
hãi, và sự giúp đỡ
Computer-based
Social Engineering được thực hiện bởi
sự giúp đỡ của máy tính
giả như một người sử
dụng đầu cuối hợp pháp
Nhận dạng và yêu cầu
thông tin nhạy cảm
“chào ! Đây là John, từ bộ
phận X, tôi đã quên
password của tôi. Bạn có
thể lấy lại nó dùm tôi
được chứ ?”


Giả như một User quan
trọng
giả làm nhân viên hỗ trợ
kỹ thuật
nói như mộtnhân viên hỗ
trợ kỹ thuật và yêu cầu ID
và Password cho việc khôi
phục dữ liệu
“ thưa ngài, tôi là Mathew,

nhân viên hỗ trợ kỹ thuật,
công ty X, tối qua chúng rôi
có một hệ thống bị sập ở
đây, và chúng tôi đến để
kiểm tra có bị mất dữ liệu
hay không. Ngài có thể lấy
cho tôi ID và Password
không”

Giả làm một VIP của một
công tư, khách hàng quan
trọng, …
“ chào tôi là kevin, thư
kí giám đốc kinh doanh.
Tôi đang làm một dự án
cấp bách và bị mất mật
khẩu hệ thống của mình.
Bạn có thể giúp tôi được
chứ?”

Ví dụ về việc hỗ trợ kỹ thuật
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty
và nói rằng ông ta đã quên mật khẩu của ông ta. Ông
ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng
cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và
nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra
một lối vào mạng bên trong của công ty”



“chào, tôi là John Brown. Tôi đang ở cùng với kiểm
soát viên ngài Arthur Sanderson. Chúng tôi đã nói
với công ty làm một cuộc kiểm tra bất ngờ đối với
bạn nhằm khắc phục các thảm họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tôi biết
làm cách nào bạn khôi phục một website sau khi bị
tai nạn
”

Ví dụ về việc giả mạo cơ quan hỗ trợ
Ví dụ về việc giả mạo cơ quan hỗ trợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong
New York. Tôi biết đây là một thông báo ngắn, nhưng tôi
có một nhóm khách hàng tiềm năng được thử nghiệm
trong nhiều tháng và được thêu ngoài được đào tạo an
ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có
thể sử dụng họ cho một chuyến đi tới các cơ sở của chúng
ta, nó nên được đưa lên cao hơn và để chúng tôi đăng k{
họ đặc biệt quan tâm đến những biện pháp an ninh,
chúng tôi đã được thông qua. Dường như đã có một số
người sâm nhập vào trong website, đó là l{ do mà họ quan
tâm đến công ty của chúng tôi
”

“chào, tôi với dịch vụ chuyển phát nhanh Aircon.
Chúng tôi nhận được cuộc gọi rằng phòng máy tính
bị quá nóng và cần được kiểm tra hệ thống HVAC của
bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi,

thông gió và điều hòa nhiệt độ) có thể thêm độ tin
cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta
hoặc cô ta để đạt được quyền truy cập vào tài
nguyên mục tiêu.

ví dụ cơ quan hỗ trợ
Eavesdropping
 Nghe lén hoặc nghe trái phép
các cuộc hội thoại hoặc đọc
tin nhắn
 Chặn lại bất kz các hình thức
như âm thanh, video hoạc
văn bản.
 Eavesdropping cũng sử dụng
với những kênh truyền thông
khác như đường dây điện
thoại, email, tin nhắn tức
thời, vv…

Shoulder Surfing
 Shoulder Surfing là tên cho
quy trình mà kẻ trộm sử
dụng để tìm ra mật khẩu, số
chứng minh nhân dân, số
tài khoản, vv …
 Kẻ trộm nhìn qua vai của
bạn hoặc thậm chí quan sát
từ một khoảng cách xa
bằng cách sử dụng ống
nhòm, để có được một chút

thông tin.

Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác
Hóa đơn
điện thoại
thùng giác
hộp thư
ghi chú
Thùng máy in
Thông tin
liên lạc
Thông tin
các hoạt
động
Thông tin
tài chính