HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
PHÒNG ĐÀO TẠO SAU ĐẠI HỌC & KHCN




BÁO CÁO TIỂU LUẬN MÔN HỌC
AN TOÀN THÔNG TIN
NÂNG CAO

TÊN ĐỀ TÀI:
NGHIÊN CỨU TẤN CÔNG SOCIAL ENGINEERING


GVHD : TS. NGUYỄN HỒNG SƠN
Thành viên nhóm: 7
1. Phạm Minh Lộc
2. Từ Xuân Lộc
3. Vũ Duy Khánh
4. Nông Thanh Lâm
5. Phạm Thị Mỹ Linh
6. Trà Bảo Linh

TP. HỒ CHÍ MINH, 2015
Nhóm 7 An ninh mạng

ii
MỤC LỤC
LỜI NÓI ĐẦU iv
CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 1
1.1 Social Engeering là gì 1
1.2 Nghệ thuật thao túng 2
1.3 Điểm yếu của mọi người 2
CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 4
2.1 Phân loại kỹ thuật Social Egnieering 4
2.1.1 Human-Based Socal Engineering 4
2.1.2 Computer-Based Social Engineering 5
CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 7
3.1 Các bước tấn công 7
3.1.1 Thu thập thông tin 7
3.1.2 Chọn mục tiêu 7
3.1.3 Tấn công 7
3.2 Các kiểu tấn công phổ biến 8
3.2.1 Insider Attacks 8
3.2.2 Identity Theft 9
3.2.3 Phishing Attacks 9
3.2.4 Online Scams 9
3.2.5 URL Obfuscation 10
3.3 Các mối đe dọa Socal Engineering 10
3.3.1 Online Threats 10
3.3.2 Telephone-Based Threats 12
3.3.3 Waste Management Threats 13
3.3.4 Personal Approaches 14
3.3.5 Reverse Social Engineering 14
3.3 Biện pháp đối phó Social Engineering 15
CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL

ENGINEERING 17
4.1 Xây dựng một framework quản lý an ninh 17
4.2 Đánh giá rủi ro 19
4.3 Social engineering trong chính sách an ninh 21
CHƯƠNG 5: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL
ENGINEERING 23
5.1 Sự nhận thức 23
5.2 Quản lý sự cố 23
5.3 Xem xét sự thực thi 25
5.4 Social Engineering và mô hình phân lớp phòng thủ chiều sâu 25
Nhóm 7 An ninh mạng

iii
CHƯƠNG 6: THỰC HÀNH DEMO ĐỌC LÉN PHÍM NHẬP CỦA NẠN NHÂN QUA CƠ
CHẾ PHISING CỦA SOCIAL ENGINEERING 27
6.1 Mô hình 27
6.2 Yêu cầu: 27
6.3 Thực hiện 27
6.4 Cách phòng chống 31
TỔNG KẾT: 32
TÀI LIỆU THAM KHẢO 33


Nhóm 7 An ninh mạng

iv

LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ
mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất

mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ,
đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng
mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng
thời tăng tính bảo mật thông tin cho mạng được cao hơn. Đặc biệt với sự phát triển của
Internet cùng với sự ra đời các mạng xã hội vấn đề lừa đảo trên mạng diễn ra ngày
càng phức tạp hơn với đề tài “Nghiên cứu tấn công Social Engineering” sẽ đưa cho
chúng ta thấy cái nhìn tổng quát nhất về tình hình an ninh mạng hiện nay và kỹ thuật
tấn công Social Engineering để từ đó có phương pháp phòng chống tốt nhất.


Nhóm 7 An ninh mạng

1
CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL
ENGINEERING
1.1 Social Engeering là gì
Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người
dùng nhằm khai tác các thông tin có lợi cho các cuộc tấn công hoặc thuyết phục nạn
nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn
công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet
để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một
chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phuong pháp này,
Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm
các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo
mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.
Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina
kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xảy ra khi
ông đang làm việc tại một công ty khác trước đó: “Một buổi sáng vài năm trước, một
nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển
mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập

vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy
một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu
tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo
họ giả vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ
tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ
cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường
phòng tài chính vừa có cuộc công tác xa, và những thông tin của ông này có thể giúp
họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ
lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao
công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác
của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị
giám đốc vắng mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói
của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng
rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn
ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ
Nhóm 7 An ninh mạng

2
mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác
và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm
nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua
tường lửa, mạng riêng ảo, phần mềm giám sát mạng sẽ giúp rộng cuộc tấn công, bởi
vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố
con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẻ
tấn công thu thập được thông tin quan trọng.
1.2 Nghệ thuật thao túng
Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập
trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social
engineer là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm
chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin

tưởng mọi người và sợ những rắc rối.
Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người
nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách
điều khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người
nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không
dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng
để tấn công vào công ty. Có 2 loại rất thông dụng:
 Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó
hơn là phá hủy hệ thống.
 Psychological subversion: mục đích của hacker hay attacker khi sử dụng
PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự
chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử
dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.
1.3 Điểm yếu của mọi người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề
phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân
viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng
chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật
lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được
Nhóm 7 An ninh mạng

3
đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa
là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo
mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong
trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể
che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực
tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là

phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố
khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất,
bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường.
Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều.
Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì
khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là một
trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn,
đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.















Nhóm 7 An ninh mạng

4
CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL
ENGINEERING

2.1 Phân loại kỹ thuật Social Egnieering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con
người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi
điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố
gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại
mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
2.1.1 Human-Based Socal Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật
này, kẻ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ
thống. Hacker mạo danh mình là người bảo vệ, nhân viên, đối tác, để độp nhập công
ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác,
máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng
nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như
người quản lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức,
hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người
nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của
giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một
phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ
trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ
thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận
lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê
tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc

Nhóm 7 An ninh mạng

5
phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty
lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những
thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa
nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft
trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động
tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty –
biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới
các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là
nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể
xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức;
bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ
thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source
code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social
Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người
cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là
nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên
helpdesk cung cấp lại.
2.1.2 Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có
thể chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh
doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy
ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường
link đến một trang web giả mạo trong hợp pháp với logo của công ty và nội dung có
chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.

Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng
phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người
sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan
đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để
khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ
Nhóm 7 An ninh mạng

6
thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm
cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã
mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài
đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.
Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là
mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích
là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna
Kournikova(trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu
tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng
.vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để
xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách
báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao
đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu
ứng quả cầu tuyết.
Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm,
chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra
một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền
vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân
viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế
social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ
chức.

Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và
cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM,
hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản
quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ được cài đặt
thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.





Nhóm 7 An ninh mạng

7
CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ
SOCIAL ENGINEERING
3.1 Các bước tấn công
3.1.1 Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng
ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ
chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ
như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra
các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và
chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là
hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công
Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên
thông tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ
tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ
tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân
viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.1.2 Chọn mục tiêu

Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm
yếu đáng chú ý trong nhân viên của tổ chức đó. Mục tiêu thông thường là nhân viên hổ
trợ kỹ thuật, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài
khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin
nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy
cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá
hoại và che giấu vết. Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này
có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành
viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho
quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.
3.1.3 Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”.
Gồm có 3 loại chính:
Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài
đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông
Nhóm 7 An ninh mạng

8
minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh
công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn
nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị
đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ.
Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói
chuyện ngắn.
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả
vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà
cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó
xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ
tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích

hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận
và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn
không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn
là phần trong kịch bản. Với bản tính con người là thông cảm nên trong hầu
hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi
lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho
đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức
nghi ngờ.
Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ
nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ
tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password,
thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.
3.2 Các kiểu tấn công phổ biến
3.2.1 Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt
nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang
bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider Attack
– tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những gián điệp này
được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công
Nhóm 7 An ninh mạng

9
ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm
2010) được cho rằng có liên quan đến sự rò rĩ các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên. Những
nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn.
Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của
mình. Hoặc một trường hợp khác, nhân viên muốn có tiền nhiều hơn, bằng cách đánh
cấp các bảng kế hoạch kinh doanh mang bán cho các công ty khác.

3.2.2 Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên
để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật Dumpster
Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các
hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ thống mà không bị
phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity Theft).
3.2.3 Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin
ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin
mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm
sao cho hacker không thể giả mạo.
3.2.4 Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể
thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày
để đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử dụng tên người
dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó
có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm là
những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file. Trong
ví dụ dưới đây mà một email bất chính, dùng để dụ nạn nhân mở một liên kết không an
toàn.
Nhóm 7 An ninh mạng

10
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ
pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần mềm miễn phí. Vì

nhẹ dạ mà nạn nhân vô tình cài vào một mã độc hại.
3.2.5 URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một
trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các
thanh địa chỉ một cách hợp pháp. Ví dụ địa chỉ http://204.13.144.2/Citibanj có thể
xuất hiện là địa chỉ hợp pháp cho ngân hành Citibank, tuy nhiên thực tế thì không.
URL Obfuscation sử dụng để làm cho cuộc tấn công và lừa đảo trục tuyến trở nên hợp
pháp hơn. Một trang web xem qua thì hợp pháp với hình ảnh, tên tuổi của công ty,
nhưng những liên kết trong đó sẽ dẫn đến những trang web của hacker.
Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ bạn vào trang web
và thực hiện giao dịch bình thường. Tuy nhiên, bạn đã vào trang giả
mạo của hacker, vì trang web của ebay là Khác biệt là ở chổ giao
thức http và https.
3.3 Các mối đe dọa Socal Engineering
3.3.1 Online Threats
Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho công
việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối này là cơ
hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, pop-up
windows, instant message sử dụng trojan, worm, virus gây thiệt hại và phá hủy tài
nguyên máy tính. Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp
thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thông
qua tấn công trực tiếp. Một cuộc tấn công Social engineering có thể giúp cho hacker
thu thập được những thông tin cần thiết, chuẩn bị cho một cuộc tấn công mạnh mẽ
khác sau đó. Vì thế, phải có lời khuyên và những khuyến cáo cho nhân viên, là làm thế
nào để nhận diện và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng
chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email
riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn
hơn, và mức độ cảnh giác đối với email mạo danh cũng giảm đi. Đó chính là cơ hội
Nhóm 7 An ninh mạng


11
cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những
thông tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ông chủ
muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc họp. Chỉ đơn giản là làm cho
email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không thận trọng nên
đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình
nghỉ của nhân viên có thể không là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với
hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân
viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin
ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin
mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm
sao cho hacker không thể giả mạo.
Một ví dụ lừa đảo nữa của kỹ thuật này là email sau đây:

Nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link trên
chỉ ra là trang web này bảo mật, sử dụng https, mặc dù link thật sự của trang web sử
dụng http. Tên công ty trong mail là “Contoso”, nhưng link thật sự thì tên công ty gọi
là “Comtoso”
Các ứng dụng pop-up và hộp hội thoại (Pop-Up Applications and Dialog
Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích làm
việc của công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như
mua sắm hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân của nhân viên hệ
thống máy tính công ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc dù

Nhóm 7 An ninh mạng

12
điều này có thể không là mục tiêu cụ thể của hacker, họ sẽ sử dụng các nhân viên trong
một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục
đích phổ biến là nhúng một mail engine vào môi trường máy tính công ty thông qua đó
hacker có thể bắt đầu phising hoặc các tấn công khác vào email của cá nhân hay của
công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong
một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một
thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví
dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân viên có
kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa bịp này.
Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể đe dọa và lừa
được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức năng
của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc định
sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua thiết
lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ không
nên bấm vào cửa sổ pop-up, trước khi có sự ý kiến của nhân viên phòng IT.
Instant Mesaging Có một số mối đe dọa tiềm tàng của IM khi nó được hacker
nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, kèm
theo đó là lựa chọn cho mình một cái tên giả mạo (nickname), nghĩa là sẽ không hoàn
toàn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đã quen biết.
Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM.
3.3.2 Telephone-Based Threats
Điện thoại là môi trường mà người ta ít quan tâm đến việc bảo mật, cũng ít có
hacker tấn công phá hổng hệ thống điện thoại. Nhưng sử dụng điện thoại để phục vụ
cho mục đích tấn công mạng khác thì không phải không có. Gọi điện thoại đến nạn
nhân, thuyết phục họ cung cấp thông tin bằng một kịch bản tình huống giả được các

hacker viết trước, đó là chính mối đe dọa lớn nhất của kỹ thuật tấn công Social
engineering sử dụng điện thoại.
Không dừng lại ở đó, VoIP đang dần dần phát triển, ngày càng có nhiều doanh
nghiệp sử dụng VoIP. Việc tấn công vào mạng VoIP để nghe lén cuộc gọi là điều mà
các hacker đang tiến tới. Việc nghe lén cuộc gói trước đây chỉ phục vụ cho tổ chức an
Nhóm 7 An ninh mạng

13
ninh, phòng chống tội phạm. Nhưng nó đã bị các hacker lợi dụng để nghe lén những
thông tin bàn thảo của các vị giám đốc.
3.3.3 Waste Management Threats
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa
thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản
bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại. Các loại
thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có
vẻ đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công
ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin
dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không
còn sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương
tiện lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty, thì tính
sở hữu nó có thể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không
được coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải đưa ra lời khuyên về xử lý
rác thải.
 Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương
tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt vào máy hủy,
chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của
user để hủy nó, thì phải phát triển một giao thức cho việc vứt bỏ.
 Nên đặt các thùng rác ở trong vùng an toàn mà không tiếp cận với công cộng.

Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải bên trong.
Chính sách bảo mật thường không chú ý vấn đề này, bởi vì nó thường được giả định
rằng bất cứ ai được phép vào công ty phải là đáng tin cậy. Rõ ràng, điều này không
phải lúc nào cũng đúng. Một trong những biện pháp có hiệu quả nhất để quản lý giấy
thải là đặc tả của việc phân loại dữ liệu. Bạn xác định loại giấy khác nhau dựa trên các
thông tin và chỉ định cách thức nhân viên quản lý sự vứt bỏ của họ. Ví dụ có thể phân
thành các loại: Bí mật công ty, riêng tư, văn phòng, công cộng
Nhóm 7 An ninh mạng

14
3.3.4 Personal Approaches
Cách rẻ nhất và đơn giản nhất cho hacker lấy thông tin là hỏi trực tiếp. Cách tiếp
cận này có vẻ thô lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật.
Có 4 cách tiếp cận minh chứng thành công của social engineer:
o Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm
quyền để ép buộc mục tiêu làm theo yêu cầu.
o Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót
hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng.
o Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp dưới
hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí, thông tin
từ mục tiêu.
o Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sự trợ
giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker
đánh cắp nhận dạng của mục tiêu.
Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Nó phụ
thuộc khá nhiều vào nhận thức của nhân viên. Việc phát triển một môi trường làm việc
cộng đồng tin cậy sẽ làm giảm mức độ thành công của hacker. Thường xuyên tổ chức
những chương trình tập huấn về mức độ rủi ro của an ninh cho nhân viên là cách tốt
nhất giúp họ nâng cao nhận thức, chống lại kiểu tấn công này.
3.3.5 Reverse Social Engineering

Là một hình thức cao hơn social engineering, giải quyết các khó khăn phổ biến
của social engineering bình thường. Hình thức này có thể mô tả là một user hợp pháp
của hệ thống hỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker được cho là có
vị trí cao hơn user hợp pháp, người thực sự là mục tiêu. Để thực hiện một tấn công
RSE, kẻ tấn công phải có sự hiểu biết về hệ thống và luôn luôn phải có quyền truy xuất
trước đó đã được cấp cho anh ta, thường là do social engineering bình thường tiến
hành.
Tấn công RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự
giúp đỡ. Sau khi đạt quyền truy xuất bằng các phương tiện khác, hacker phá hoại
workstation bằng cách làm hư station, hoặc làm cho nó có vẻ là hư hỏng. Với sự
phong phú các thông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo
có thể thực hiện việc phá hoại. Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự
Nhóm 7 An ninh mạng

15
giúp đỡ. Để là người được user gọi tới, kẻ tấn công phải quảng bá là hắn ta có khả
năng sửa được lỗi. Sự quảng bá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung
quanh các văn phòng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo
lỗi. Một thông báo lỗi ví dụ có thể:
** ERROR 03 - Restricted Access Denied ** - File access not allowed by user.
Consult with Mr. Downs
at (301) 555-1414 for file permission information.
Trong trường hợp này, user sẽ gọi “Mr. Downs” đề được giúp đỡ, và tiết lộ
thông tin tài khoản mà không nghi ngờ tính hợp pháp của “Mr. Downs” . Phương pháp
khác của sự quảng bá có thể bao gồm social engineering. Một ví dụ của điều này là
hacker gọi đến mục tiêu và thông báo với họ là số điện thoại hỗ trợ kỹ thuật mới đã
thay đổi, và sau đó hacker sẽ đưa cho họ số của riêng mình. Phần thứ ba ( và dễ nhất)
của một cuộc tấn công RSE là cho hacker giúp đỡ giải quyết vấn đề. Bởi vì hacker là
kẻ chủ mưu của sự phá hoại, vấn đề dễ dàng để sửa, và mục tiêu không nghi ngờ người
giúp đỡ bởi vì hắn ta thể hiện là một user am hiểu hệ thống. Trách nhiệm của hacker

chỉ là lấy thông tin tài khoản từ mục tiêu trong khi giúp đỡ họ. Sau khi thông tin đạt
được, hacker giải quyết vấn đề và sau đó kết thúc cuộc trò chuyện với mục tiêu.
3.3 Biện pháp đối phó Social Engineering
Để xác định được phương pháp đối phó với Social Engineering là điều rất quan
trọng trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến vấn đề về xã hội
nên việc phòng chống nó có chút rắc rối về các tư cách của con người. Có một số cách
để làm điều này.
Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống.
Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công
ty.
Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết. Khi nhân viên của
bạn hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của
phòng an ninh.
Vấn đề về con người cũng không kém quan trọng. Vì kỹ thuật tấn công này chủ
yếu liên quan đến tư tưởng con người. Sự lơ là của nhân viên, sự mất lòng tin của nhân
viên cũng là nguy cơ mất an toàn cho hệ thống.
Nhóm 7 An ninh mạng

16
Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích
của an ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho
việc phân phối những mục đích này.
Đánh giá rủi ro: Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các
công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa social engineering và hợp
lý hóa mối nguy hiểm trong tổ chức.
Social engineering trong chính sách an ninh: Phát triển một văn bản thiết lập các
chính sách và thủ tục quy định nhân viên xử trí tình huống mà có thể là tấn công social
engineering. Bước này giả định là chính sách bảo mật đã có, bên ngoài những mối đe
dọa của social engineering. Nếu hiện tại không có chính sách bảo mật, thì cần phải
phát triển chúng.








Nhóm 7 An ninh mạng

17
CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC
MỐI ĐE DỌA TỪ SOCIAL ENGINEERING
Sau khi hiểu được phạm vi rộng lớn của các mối đe dọa, có ba bước cần thiết để
thiết kế sự phòng vệ chống lại mối đe dọa từ social engineering đối với nhân viên
trong công ty. Sự phòng vệ hiệu quả là một chức năng của lập kế hoạch. Thường sự
phòng vệ là phản ứng lại – bạn khám phá ra một cuộc tấn công thành công và dựng lên
một hàng rào để đảm bảo là vấn đề không xảy ra lần nữa. Mặc dù các tiếp cận này
minh chứng một mức độ nhận thức, giải pháp đến quá trễ nếu vấn đề lớn hoặc tốn
kém. Để chặn trước kịch bản như thế, có ba bước tiến hành như sau:
Xây dựng một framework quản lý an ninh. Phải xác định tập hợp các mục đích
của an ninh social engineering và đội ngũ nhân viên những người chịu trách
nhiệm cho việc phân phối những mục đích này.
Đánh giá thực hiện quản lý rủi ro. Các mối đe dọa không thể hiện cùng một
mức độ rủi ro cho các công ty khác nhau. Ta phải xem xét lại mỗi một mối đe
dọa social engineering và hợp lý hóa mối nguy hiểm trong tổ chức.
Thực thi phòng vệ social engineering trong chính sách bảo mật. Phát triển một
văn bản thiết lập các chính sách và thủ tục quy định nhân viên xử trí tình huống
mà có thể là tấn công social engineering. Bước này giả định là chính sách bảo
mật đã có, bên ngoài những mối đe dọa của social engineering. Nếu hiện tại
không có chính sách bảo mật, thì cần phải phát triển chúng.

4.1 Xây dựng một framework quản lý an ninh
Một khung quản lý an ninh xác định một cái nhìn tổng quan các mối đe dọa có thể xảy
ra đối với tổ chức từ social engineering và cấp phát tên công việc có vai trò chịu trách
nhiệm cho việc xây dựng chính sách và thủ tục để làm giảm bớt các mối đe dọa này.
Cách tiếp cận này không có nghĩa là bạn phải sử dụng nhân viên chỉ có chức năng đảm
bảo an ninh của tài sản công ty.
o Security sponsor. Quản lý cấp cao, người có thể cung cấp chứng thực cần thiết
để đảm bảo tất cả nhân viên tham gia nghiêm chỉnh về bảo mật cho công ty.
o Security manager. Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí sự
phát triển và bảo dưỡng của chính sách bảo mật.
o IT security officer. Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho sự phát
triển cơ sở hạ tầng và thực thi chính sách và thủ tục bảo mật.
Nhóm 7 An ninh mạng

18
o Facilities security officer . Một thành viên của đội thiết bị chịu trách nhiệm cho
phát triển vùng và thực thi chính sách và thủ tục bảo mật
o Security awareness officer. Một thành viên của đội ngũ quản lý nhân viên –
thường từ bộ phận phát triển nhân sự hay nguồn nhân lực – người chịu trách
nhiệm cho sự phát triển và thực thi chiến dịch nâng cao nhận thức về an ninh.
o Security Steering Committee – đại diện cho ban cố vấn trong công ty. Như là
những ứng viên được lựa chọn cho hệ thống an ninh, Security Steering
Committee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh. Nếu
không có tập các định nghĩa các mục tiêu, thì khó để khuyến khích sự tham gia
của nhân viên hoặc đo mức độ thành công của dự án. Nhiệm vụ ban đầu của
Security Steering Committee là xác định các rủi ro do social engineering tồn tại
trong công ty. Security Steering Committee cần phải xác định những vùng có
thể tồn tại nguy cơ với công ty. Quá trình này có thể bao gồm các yếu tố tấn
công được xác định trên giấy tờ và các yếu tố riêng biệt của công ty, chẳng hạn
như sử dụng terminal công cộng hay các thủ tục quản lý văn phòng.

Ví dụ: Company Social Engineering Attack Vector Vulnerabilities
Nhóm 7 An ninh mạng

19

4.2 Đánh giá rủi ro
Tất cả các yêu cầu về an ninh để đánh giá mức độ rủi ro mà một cuộc tấn công tiến
hành trong công ty. Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, nhưng nó không
phải cần tiêu tốn nhiều thời gian. Dựa trên công việc đã làm trong khi xác định các yếu
tố cốt lõi của khung quản lý an ninh bởi Security Steering Committee, bạn có thể phân
loại và ưu tiên các rủi ro. Phân loại rủi ro bao gồm:
o Bí mật thông tin
o Sự tín nhiệm kinh doanh
o Sự sẵn sàng kinh doanh
o Tài nguyên
o Chi phí
Nhóm 7 An ninh mạng

20
Có thể thiết lập các ưu tiên bằng cách xác định rủi ro và tính toán chi phí để làm giảm
bớt rủi ro – nếu sự giảm bớt rủi ro tốn nhiều chi phí hơn là xảy ra rủi ro, nó có thể là
không hợp lý. Giai đoạn đánh giá rủi ro có thể rất hữu ích trong sự phát triển sau cùng
của chính sách an ninh.
Ví dụ: Steering Committee Security Requirement and Risk Matrix

Nhóm 7 An ninh mạng

21

4.3 Social engineering trong chính sách an ninh

Một cá nhân IT và quản lý công ty phải phát triển và giúp đỡ thực thi một chính
sách an ninh có hiệu quả trong tổ chức. Đôi khi, trọng tâm của chính sách an ninh là sự
điều khiển công nghệ sẽ giúp bảo vệ chống lại các mối đe dọa về công nghệ, chẳng
hạn virus và worm. Điều khiển công nghệ giúp bảo vệ các công nghệ, chẳng hạn các
tập tin dữ liệu, tập tin chương trình, và hệ điều hành. Security Steering Committee có
vùng an ninh cốt lõi và đánh giá rủi ro mà nó phải ủy quyền sự phát triển của tài liệu
kinh doanh, tiến trình, thủ tục.
Ví dụ: Steering Committee Procedure and Document Requirements