TỔNG LIÊN ĐỒN LAO ĐỘNG VIỆT NAM
TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG
KHOA CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN MÔN NHẬP MÔN BẢO MẬT MÁY TÍNH

TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI

Người hướng dẫn: THẦY HỒ VĂN THÁI
Người thực hiện: LÊ QUỐC TRUNG - 51900842
Lớp

:

19050401

Khố

THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021

:

23


TỔNG LIÊN ĐỒN LAO ĐỘNG VIỆT NAM
TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG
KHOA CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN MÔN NHẬP MÔN BẢO MẬT MÁY TÍNH

TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI

Người hướng dẫn: THẦY HỒ VĂN THÁI
Người thực hiện: LÊ QUỐC TRUNG - 51900842
Lớp

:

19050401

Khố

THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021

:

23


LỜI CẢM ƠN
Để hồn thành bài báo cáo ngày hơm nay, em xin trân trọng bày tỏ lòng biết ơn
sâu sắc đến thầy Hồ Văn Thái – trực tiếp giảng dạy thực hành mơn Nhập mơn Bảo
mật máy tính. Nhờ sự tận tình hướng dẫn trong suốt quá trình học tại trường cũng
như học online mà em đã có đủ kiến thức để hoàn thành bài báo cáo này. Lời cuối
em xin một lần nữa cám ơn thầy/cô và chúc thầy/cô dồi dào sức khoẻ để truyền đạt
kiến thức cho các lứa học sinh sinh viên. Do kiến thức còn chưa vững nên trong bài
báo cáo có sai sót gì mong thầy góp ý để em có được nhiều kinh nghiệm hơn. Em
xin chân thành cảm

1



ĐỒ ÁN ĐƯỢC HỒN THÀNH
TẠI TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG
Tôi xin cam đoan đây là sản phẩm đồ án của riêng chúng tôi và được sự
hướng dẫn của thầy Hồ Văn Thái;. Các nội dung nghiên cứu, kết quả trong đề tài
này là trung thực và chưa công bố dưới bất kỳ hình thức nào trước đây. Những số
liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính
tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo.
Ngồi ra, trong đồ án cịn sử dụng một số nhận xét, đánh giá cũng như số
liệu của các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn
gốc.
Nếu phát hiện có bất kỳ sự gian lận nào tơi xin hồn tồn chịu trách
nhiệm về nội dung đồ án của mình. Trường đại học Tôn Đức Thắng không liên
quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong q trình thực
hiện (nếu có).
TP. Hồ Chí Minh, ngày 12 tháng 11 năm 2021
Tác giả
(ký tên và ghi rõ họ tên)

Lê Quốc Trung

2


PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN
Phần xác nhận của GV hướng dẫn

______________________________________________________
______________________________________________________

______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
_____________________
Tp. Hồ Chí Minh, ngày

tháng năm

(kí và ghi họ tên)

Phần đánh giá của GV chấm bài

______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
_____________________
Tp. Hồ Chí Minh, ngày

tháng năm

(kí và ghi họ tên)

3



MỤC LỤC
LỜI CẢM ƠN...........................................................................................................1
PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN......................................3
MỤC LỤC.................................................................................................................4
CHƯƠNG 1 – LÍ DO CHỌN ĐỀ TÀI VÀ TÓM TẮT.............................................5
CHƯƠNG 2 – TỔNG QUAN VỀ SOCIAL ENGINEERING..................................5
2.1 Social engineering là gì?...........................................................................5
2.2 Về tác phẩm The art of deception.............................................................6
CHƯƠNG 3 – CÁC HÌNH THỨC TẤN CƠNG SOCIAL ENGINEERING............6
3.1 Tấn công dựa trên yếu tố con người.........................................................7
3.1.1 Pretexting....................................................................................7
3.1.2 Tailgating (Piggybacking)..........................................................8
3.1.3 Something for Something (Quid Pro Quo).................................9
3.1.4 Honey trap................................................................................10
3.2 Tấn công dựa trên yếu tố kỹ thuật...........................................................10
3.2.1 Phishing....................................................................................10
3.2.2 Baiting......................................................................................11
3.2.3 Vishing.....................................................................................11
CHƯƠNG 4 – TỔNG KẾT.....................................................................................12

4


CHƯƠNG 1 – LÍ DO CHỌN ĐỀ TÀI VÀ TĨM TẮT
Trong xã hội nói chung và lĩnh vực cơng nghệ thơng tin nói riêng, từ cơng ty,
tổ chức, quốc gia, hệ thống, hay thậm chí là mỗi cá nhân chúng ta đều có thơng tin
riêng tư cần được bảo mật. Để bảo vệ được thông tin là cả một nghệ thuật, một
chuỗi các yếu tố tác động và liên kết chặt chẽ với nhau. Trong đó, yếu tố con người
trong bảo mật là một mắt xích được xem là yếu nhất, chỉ cần mắt xích này bị phá vỡ

thì cả hệ thống bảo mật có nguy cơ sụp đổ.
Để hiểu sâu hơn về vấn đề trên, em đã đọc tác phẩm The art of deception –
một tác phẩm kinh điển với các câu chuyện được kể lại qua lời văn của tác giả là
Kevin Mitnick. Ông được biết đến với vai trò là một “hacker mũ trắng” đã giúp đỡ
các tổ chức, chính phủ, và những người dùng phổ thơng chống lại sự tấn công của
các hacker.
Sau khi đọc tác phẩm trên, em quyết định thực hiện bài báo cáo này với chủ
đề “Tìm hiểu các kỹ thuật xã hội” nhằm truyền tải đến cho nhiều người khác kiến
thức được đề cập trong tác phẩm và kiến thức khác về kỹ thuật xã hội và cách
phòng chống.

CHƯƠNG 2 – TỔNG QUAN VỀ SOCIAL ENGINEERING
2.1 Social engineering là gì?
Social engineering hay cịn gọi là kỹ thuật xã hội là một hình thức tấn cơng
vào tâm lý, thói quen, nhận thức sai lầm hoặc sự thiếu kiến thức của con người
nhằm để đánh cắp thơng tin hoặc đạt một mục đích nào đó. Nếu như ở các kỹ thuật
tấn cơng khác, hacker tập trung vào khai thác lỗ hổng bảo mật của hệ thống, thì ở
social engineering, các hacker lại tập trung vào khai thác thói quen tự nhiên của con
người và điểm yếu trong tâm lý của con mồi. Đó là lý do kỹ thuật này được gọi là
kỹ thuật xã hội.

5


2.2 Về tác phẩm The art of deception
Ở tác phẩm này, Kevin Mitnick tập trung chủ yếu về mặt xã hội qua các câu
chuyện. Điển hình như một social engineer đã truy cập được vào hệ thống của một
công ty được bảo mật bằng mật khẩu đổi hàng ngày. Anh ta đã chờ đến mùa tuyết
và gọi điện cho công ty đóng giả làm một nhân viên cơng ty bị mắc kẹt ở nhà do
tuyết và xin người điều hành mật khẩu cơng ty ngày hơm đó để được làm việc từ xa.

Hay một câu chuyện khác kể về một kẻ cắp thông tin đã giả danh làm bạn
thân và là đối tác làm ăn với CEO công ty để yêu cầu thông tin vào lúc CEO đi vắng
khỏi công ty.
Hay là một câu chuyện có vẻ gần gũi hơn với chúng ta, đó là một tên trộm đã
thực hiện dàn cảnh nhắm vào đối tượng là một người phụ nữ ở một quán café, 2 tên
đồng bọn của hắn đã giả vờ nhờ người phụ nữ chụp ảnh giúp trong khi tên trộm
nhanh tay lấy cắp chiếc túi xách. Sau khi người phụ nữ phát hiện và tỏ vẻ lúng túng
thì hắn đến để giả vờ làm người trấn an. Lợi dụng sự hoang mang mà hắn đã thành
công lừa gạt người phụ nữ để moi được thông tin thẻ tín dụng.
Các câu chuyện đề cập trong tác phẩm hầu hết đều gần gũi và đánh vào tâm
lý chủ quan của con người. Từ đó tác giả đã thành công truyền cho mọi người một
nhận thức mới về sự lừa đảo. Ngồi ra tác giả cũng có phân tích thêm một chút về
tâm lý, thành phần dễ bị tấn công, và một số thông tin khác về kỹ thuật này. Bên
cạnh đó cịn cung cấp một số kiến thức về an tồn thơng tin và các chính sách bảo
mật cho cá nhân cũng như doanh nghiệp.

CHƯƠNG 3 – CÁC HÌNH THỨC TẤN CƠNG SOCIAL
ENGINEERING
Như đã nói trên thì kỹ thuật xã hội chủ yếu tập trung vào tâm lý con người,
tấn công vào con người. Tuy nhiên, ở thời đại cơng nghệ như hiện nay thì các social
engineer đã nâng cao khả năng. Bằng sự kết hợp giữa kỹ thuật xã hội và cơng nghệ.
Social engineering có thể được chia làm 2 loại: Tấn công dựa trên yếu tố con người
và tấn công dựa trên yếu tố kỹ thuật.
6


3.1 Tấn công dựa trên yếu tố con người
3.1.1 Pretexting
Pretexting là một hình thức mà kẻ tấn cơng sẽ tự tạo ra một kịch bản hoặc
một cái cớ hợp lí để yêu cầu người dùng cung cấp thông tin cá nhân với mục đích

định danh. Một số biến thể lớn hơn của pretexting sẽ cố gắng thao túng mục tiêu để
khai thác thông tin, điểm yếu của tổ chức hay công ty của nạn nhân. Các kẻ tấn
công thường mạo danh là những nhân vật thường truy hỏi thông tin người khác như
cảnh sát hay phóng viên, những thơng tin được lấy cấp có thể bao gồm cả quan
trọng và khơng quan trọng.
Hình thức tấn cơng này có điểm mạnh là khai thác được thơng tin chính xác
và nhiều thơng tin nhạy cảm do chính chủ thể cung cấp hoặc thậm chí thao túng chủ
thể tự cài hay thực hiện các hành động hỗ trợ cho việc tấn công. Tuy nhiên bên cạnh
đó cũng có điểm yếu là người tấn công phải nắm rõ thông tin cá nhân liên quan đến
chủ thể để có thể hồn thành vai diễn, lấy được trọn vẹn lòng tin của nạn nhân. Nếu
chỉ một sơ suất gây nghi ngờ thì cuộc tấn cơng có thể thất bại.
Cách thức để tránh trở thành nạn nhân của pretexting là phải luôn đảm bảo
không công khai các thơng tin nhạy cảm, giữ vững tâm lý, tìm hiểu thật kĩ trước khi
cung cấp thông tin cho một cá nhân hay tổ chức nào đó. Ln sử dụng các công cụ
bảo mật tránh lộ thông tin cá nhân lên internet như tường lửa, diệt virus,…
Ví dụ gần gũi nhất là hiện tượng đóng giả làm nhân viên cơng ty điện để yêu
cầu người dùng cung cấp thông tin cá nhân đặc biệt là số căn cước để gia hạn hợp
đồng tiêu thụ điện.

7


3.1.2 Tailgating (Piggybacking)
Tailgating hay còn được biết đến với tên gọi là Piggybacking là một hình
thức người khơng có thẩm quyền nhờ (hoặc cố tình theo dõi, theo sau) người có
thẩm quyền để đột nhập vào một hệ thống hoặc một khu vực nào đó có bảo mật. Từ
đó người đột nhập có khả năng thu thập thơng tin hoặc cài thiết bị, phần mềm có
chức năng thu thập thơng tin.
Nghe qua về định nghĩa thì ta có thể thấy hình thức đột nhập này khá đơn
giản hơn so với pretexting khi khơng cần phải tìm hiểu thơng tin hay suy nghĩ kịch

bản rườm rà. Tuy nhiên kỹ thuật này có thể dễ dàng bị khắc phục nếu quy trình ra
vào khu vực bảo mật được kiểm soát kĩ. Khu vực bảo mật có lắp đặt camera, khâu
bảo vệ khơng lơ là. Tức là kỹ thuật này dễ sử dụng nhưng đồng thời cũng dễ khắc
phục bằng cách nhân viên luôn được trang bị kiến thức kĩ, đồng thời mỗi cá nhân
đều phải có ý thức tự bảo vệ khả năng truy cập của mình.
Ví dụ: một người đóng giả nhân viên sửa điện yêu cầu bảo vệ cho vào tồ
nhà. Từ đó nhân viên này có thể tự do thu thập thơng tin bên trong tồ nhà đó. Hay
một ví dụ khác là nhân viên bước ra khỏi khu vực làm việc nhưng khơng khố máy,

8


dẫn đến kẻ đột nhập có quyền truy cập được hệ thống đã được mở khố bởi nhân
viên trước đó.

3.1.3 Something for Something (Quid Pro Quo)
Quid pro quo là một kỹ thuật tấn cơng dựa trên nhu cầu hoặc lịng tham của
con người. Kỹ thuật này sẽ giả vờ cung cấp một thứ gì đó để đổi lại thơng tin hoặc
sự hỗ trợ của mục tiêu.
Để dễ hiểu hơn thì người tấn cơng thường sẽ đóng giả làm nhân viên kỹ thuật
gọi điện và yêu cầu mục tiêu thao tác trên máy tính hệ thống (tắt tường lửa hoặc cài
phần mềm) nhằm hỗ trợ cho việc tấn công diễn ra trơn tru và khơng gặp khó khăn
gì. Hoặc là một số trường hợp lợi dụng lòng tham của người khác. Người tấn công
sẽ tạo tin nhắn thông báo trúng thưởng và yêu cầu người dùng cung cấp thông tin cá
nhân để nhận thưởng.

9


3.1.4 Honey trap

Trong kỹ thuật honey trap, tin tặc sẽ đóng giả thành một người “hấp dẫn” để
tiếp cận và tương tác với mục tiêu nhằm thu thập thông tin. Kỹ thuật này dễ hiểu
nhất là các cô gái quyến rũ, tiếp cận những người quan trọng trong tổ chức để đào
thông tin một cách trực tiếp.

3.2 Tấn công dựa trên yếu tố kỹ thuật
3.2.1 Phishing
Phishing là một kỹ thuật tấn công gần như phổ biến nhất và được sử dụng
nhiều nhất hiện nay. Người tấn công sẽ tạo ra một email hay một trang web giả
mạo. Đồng thời kỹ thuật này cũng đánh vào tâm lý gấp gáp, sợ hãi của người dùng
để khiến mục tiêu quyết định một cách gấp gáp việc cung cấp thông tin.
Kỹ thuật này cần một sự chuẩn bị quy mô và chỉn chu để đánh lừa được con
mồi. Ngoài ra kỹ thuật này còn đánh lừa người dùng click vào link lạ để tự động tải
hay cài phần mềm độc hại lên máy tính cá nhân.
Một trị lừa đảo gần đây nhất ở Việt Nam là khi mục tiêu truy cập vào các
trang web cờ bạc hoặc web đen, pop-up sẽ nhảy lên với màn hình giả danh là bộ
phận An Ninh Mạng cùng với huy hiệu bộ công an. Pop-up này doạ rằng mục tiêu
đã vi phạm pháp luật, yêu cầu nộp phạt để mở khố máy tính.
Ngồi ra một loại hình tấn cơng nữa đó là Spear phishing, kỹ thuật này tương
tự như phishing tuy nhiên, được thiết kế nhằm đến một tổ chức, cá nhân cụ thể.

10


3.2.2 Baiting
Baiting là một kỹ thuật lây nhiễm phần mềm độc hại cho người khác thông
qua “mồi câu” trung gian. Cách thức này lợi dụng sự tò mò của người dùng. Thông
thường hacker sẽ cài virus vào usb, ổ cứng và để ở nơi dễ tìm thấy để người dùng tự
sử dụng và tự lây virus cho bản thân. Ngoài ra còn một số cách khác như các file cài
đặt miễn phí.


3.2.3 Vishing
Vishing nói dễ hiểu tức là một hình thức kết hợp “lừa đảo” và “giọng nói”.
Nó tương tự như phishing tuy nhiên thay vì thơng qua email thì lại sử dụng giọng
nói hay cụ thể hơn là các cuộc gọi. Ở hình thức này, người thực hiện vishing
(visher) có được quyền truy cập danh sách các số điện thoại, hắn sẽ gọi hàng loạt và
tìm ra mục tiêu tiềm năng để tiến hành lừa đảo. Visher sẽ ăn tiền, thơng tin hoặc cả
hai.
Ví dụ gần đây có rất nhiều cuộc gọi giả ngân hàng, báo tài khoản đã bị khoá,
yêu cầu mục tiêu gọi cho một số hotline nào đó để đổi mật khẩu. Hoặc một vài vụ
tinh vi hơn là bên visher cịn cung cấp thơng tin cá nhân để khiến người dùng tin
tưởng hơn và dễ mắc bẫy.
Để phòng tránh các trường hợp này, chúng ta nên dứt khốt gác máy nếu có
số lạ gọi và u cầu thơng tin. Sau đó là thực hiện tra sốt lại, tránh để bị lừa. Ngồi
ra cần củng cố kiến thức, hiểu cách bọn trộm hoạt động chúng ta sẽ khó bị lừa hơn.

11


CHƯƠNG 4 – TỔNG KẾT
Qua một số ví dụ và các hình thức social engineering phổ biến nêu trên,
chúng ta đã có thể hiểu sơ qua về cách một cuộc tấn công social engineering hoạt
động: Khai thác thông tin và hành vi, xây dựng kế hoạch và công cụ, tấn cơng. Tuy
nhiên, mỗi hình thức đều có ưu và khuyết điểm riêng, nhưng đa phần đều có chung
một mục tiêu hướng tới đó là tâm lý con người. Để phịng tránh được kỹ thuật tấn
công này, mỗi cá nhân cần phải học hỏi để có kiến thức về các kỹ thuật, bởi chỉ có
hiểu rõ về cách hoạt động ta mới có thể phịng tránh tốt nhất. Ngồi ra cần có một
cái đầu lạnh để giữ bình tĩnh tránh bị các social engineer “chơi đùa cảm xúc”.

12