Các chủ đề trình bày

❑ Social Engineering với tấn công mạo danh

❑ Social Engineering là gì
trên mạng xã hội
❑ Tại sao Social Engineering lại hiệu quả
❑ Ảnh hưởng của mạng xã hội tới mạng
❑ Các giai đoạn trong một cuộc tấn công
Social Engineering ❑ Các mục tiêu phổ biến của
Social Engineering
❑ Các kiểu Social Engineering
 ❑ Ăn cắp ID
❑ Thế nào là ăn cắp tính danh ❑ Biện pháp đối phó Social
Enginneering ❑ Thử nghiệm Social Engineering

doanh nghiệp
❑ Các chiến thuật xâm nhập phổ biến và chiến lược phòng
chống
 Khái niệm Social Engineering
Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

Biện pháp đối phó

Ăn cắp ID
Social Engineering

Thử nghiệm
xâm nhập
 Không
có bất
kỳ
bảnválỗi nàođối với một conngười
ngungốc

Social
Engineering là gì

❑ Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật ❑ Social
Engineering phụ thuộc vào những thứ mà mọi người không biết những thôngtinvềchúng và bất cẩn
trong việc bảo vệ nó

Thông tin bí mật

Chi tiết việcuỷquyền

Chi tiết truy cập

Các hành vi dễ bị tấn công

Sự thiếu hiểu biết về
Socal Engineers có
Social Engineering và
Sự tin tưởng là nền thể đe doạ nghiêm
các hiệu ứng của nó
tảng cơ bản của tấn
trong đến việc mất
công Social Engineering
trong đội ngũ nhân
mát trong trường
viên khiến cho các tổ
Các mục tiêu sẽ được
hỏi để trợ giúp và họ
hợp không tuân thủ
tuân theo những quy
chức là một mục tiêu
định mang tính nghĩa
vụ được đưa ra
những yêu cầu của họ (tổ chức)

Social Engineers thu

hút các mục tiêu tiết
lộ thông tin bởi một
cái gì đó đầy hứa hẹn

dễ dàng
Những yếu tố làm doanh nghiệp dễ bị tấn công
 Đào tạo
an ninh
còn thiếu

Thiếu
Dễ dàng
những
truy cập
chính sách
thông tin
an ninh

Nhiều các
đơn vị tổ
chức
Tại sao Social Engineering Lại HiệuQuả
 Chính sách bảo mật mạnh
cũng sẽ là liên kết yếu nhất
và con người là yếu tố nhạy
cảm nhất

Không có một phần mêm

hay phần cứng nào có thể
chống lại một cuộc tấn công
Social Engineering

Rất khó để phát hiện ra

Social Engineering

Không có một phương pháp

chắc chắn nào để đảm bảo
an ninh một cách đầy đủ từ
các cuộc tấn công Social
Engineering

Những Dấu Hiệu của một cuộc tấncông

Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố
gắng để xâm nhập mạng
 thấy sự vội vàng và vô tình để lại tên

Bất ngờ được khen tặng hoặc ca ngợi

Không cung cấp số gọi lạiYêu cầu phi

chính thức

cho

Yêu cầu
Thấy khó chịu khi đặt câu hỏi thẩm quyền và đe doạ nếu
như không cung cấp thông tin

Các giai đoạn của

một

cuộctấncôngSocialEngineering
 Nghiên cứu công ty mục tiêu Lựa chọn nạn nhân
Durmpster diving, trang web, nhân sự, lịch Xác định những nhânviên không hài lòng
trình, vv vềchính sách trong công tymục tiêu
 Nghiên cứu Phát triển Khai thác
đã được lựa chọn
Khai thác mối quanhệ
Phát triển mối quan hệ Tập hợp thông tin tài khoản nhạy cảm,
Phát triển mối quan hệ với những nhân viên thôngtin tài chính, và công nghệ hiện tại

Những
ảnh
hưởng
lên tổ
chức

Những mất
mát về kinh
tế
 chính sách
Tổn hại uy tín
khủng bố

Mất sự riêng
tư
Tạm thời
hoặc vĩnh
viễn đóng
cửa tục
Các vụ kiện và các thủ

Tấn
 công bằng các câu lênh Injection

Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet
ẩn danh và thuyết phục họ cung
cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo
người dùng hợp pháp, mà người đó có thể truy cập tới
hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ
thống máy tính

Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông
tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối
tượng
“Rebecca” và
“Jessica” là
hai nạn nhân
của kỹ thuật
Social
Engineering
 Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng
hạn như nhân viên tiếp tân của công ty

Ví dụ

• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìmhiểucác thôngtinvề cô ta”
• “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của
cô có một người tên là Rebecca phải không”

Những mục tiêu chung của Social Engineering

Nhân viên tiếp tân

và nhân viên hỗ trợ
User và Client Người bán hàng của tổ chức mục
tiêu
Giámđốchỗ
trợkỹthuật
Người quản trị hệ thống
Những mục tiêu chung của Social
Engineering:Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để
khai thác lượng thông tin lớn từ những nhân viên của công ty

Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho
nhân viên giả mạo

kẻ tấn công có thể cố gắng tấn

công Social Engineering lên nhữngnhân viên văn
mặc dù có tường lửa tốt nhất, phát hiện xâm phòng để thuthậpnhững dữ liệu nhạy cảmnhư: •
nhập, và hệ thống chống virut, thì bạn vẫn bị tấn Những chính sách bảo mật • Những tài liệu nhạy cảm•
công bởi những lỗ hổng bảo mật Cấu trúc mạng văn phòng • Những mật khẩu

Khái niệm Social Engineering

Biện pháp đối phó

Kỹ thuật Social Engineering
Mạo danh trên mạng xã hội
Social Engineering Ăn cắp
Identity

Thử nghiệm
xâm nhập
Các kiểu Social Engineering
 Human-based
Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng,
sợ hãi,
và sự giúp đỡ

Computer-based
Social Engineering được thực hiện bởi
sự giúp đỡ của máy tính

giả làmnhân viên hỗtrợ

Giả như một User quan
giả như một người sử
 nói như mộtnhân viênhỗtrợ kỹ thuật và yêu
cầuID
dụng đầu trọng
cuối hợp pháp Nhận dạng và yêu cầu
kỹ thuật
Giả làm một VIP của một
thông tin nhạy cảm và Password cho việc khôi
công tư, khách hàng quan
“chào ! Đây là John, từ bộ trọng, ….. phục dữ liệu “ thưa ngài, tôi là Mathew,

phận X, tôi đã quên “ chào tôi là kevin, thư

password của tôi. Bạn có thể lấy lại nó dùm tôi
kí giám đốc kinh doanh. nhân viên hỗ trợ kỹ thuật, công ty X, tối qua chúngrôi
Tôi đang làm một dự án
đến đểkiểm tra có bị mất dữliệuhay không.
Ngài có thể lấycho tôi ID và Passwordkhông”

được chứ ?”

cấp bách và bị mất mật khẩu hệ thống

của mình. Bạn có thể giúp tôi được chứ?”

có một hệ thống bị sậpởđây, và chúng tôi

 Ví dụ
về
việc
hỗ
trợ kỹ
thuật

“ Một
người đàn
ông gọi đến
bàn hỗ trợ
của công ty
và nói rằng
ông ta đã
quên mật
khẩu của
ông ta. Ông
ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng
cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và
nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra
một lối vào mạng bên trong của công ty”

Ví dụ
về
việc
giả
mạo
cơ
quan
 hỗtrợ

“chào, tôi là John Brown. Tôi đang ở cùng với kiểm

soát viên ngài Arthur Sanderson. Chúng tôi đã nói
với công ty làm một cuộc kiểm tra bất ngờ đối với
bạn nhằm khắc phục các thảm họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tôi biết
làm cách nào bạn khôi phục một website sau khi bị
tai nạn
”
 giả mạo cơ quan hỗtrợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong
New York. Tôi biết đây là một thông báo ngắn, nhưng tôi
có một nhóm khách hàng tiềm năng được thử nghiệm
trong nhiều tháng và được thêu ngoài được đào tạo an
ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có
thể sử dụng họ cho một chuyến đi tới các cơ sở của
chúng
ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký
họ đặc biệt quan tâm đến những biện pháp an ninh,
chúng tôi đã được thông qua. Dường như đã có một
số
người sâm nhập vào trong website, đó là lý do mà họ quan
tâm đến công ty của chúng tôi
”

ví dụ
cơ
quan
hỗ trợ
 “chào, tôi với dịch vụ chuyển phát nhanh Aircon.
Chúng tôi nhận được cuộc gọi rằng phòng máy tính
bị quá nóng và cần được kiểm tra hệ thống HVAC của
bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi,
thông gió và điều hòa nhiệt độ) có thể thêmđộ tin
cậy đủ để giả mạo một kẻ xâm nhập cho phép anhta
hoặc cô ta để đạt được quyền truy cập vào tài
nguyên mục tiêu.
 ❑

Eavesdropping Eavesdropping cũng sử dụng với những kênh truyền thông

khác như đường dây điện thoại, email, tin nhắn tức thời, vv…
❑ Nghe lén hoặc nghe trái phép các cuộc hội thoại hoặc đọc tin
nhắn Shoulder Surfing
❑ Chặn lại bất kỳ các hình thức như âm thanh, video hoạc
văn bản. ❑ Shoulder Surfing là
tênchoquy trình mà kẻ trộmsửdụng để tìmra mật khẩu, từ một khoảng cáchxabằngcách sử dụng ống nhòm, đểcó
sốchứng minh nhân dân, sốtài khoản, vv ….. được một chút thôngtin.
❑ Kẻ trộmnhìn qua vai củabạn hoặc thậmchí quansát

Dumpster diving là tìm kiếm kho báu của người khác trong thùngrácthùng rác

Hóa đơn điện thoại

ht

pộh

Thông tin các hoạt

động
 liên lạc

Thông tin
tài chính

Thông tin

ghi chú
 Bên
ủy

Tailgating quyềnthứba
Một người trái phép, đeo một thẻ id giả đi vào một Đề cập đến một người quantrongtrongmột tổ chức và cố gắn
thu thậpthôngtin:“Mr.George, Giámđốc tài chínhcủachúng tôi đã
khu vực được đảm bảo chặt chẽ, đó là một người
yêu cầu tôi lấy một bảnbáocáo tài chính. Vui lòng bạn
có thẩm quyền thông qua cửa có yêu cầu truy cập cóthểcúngcấp cho tôi chứ”
In PersonKhảo sát một công tyđểthu thập những
thôngtinvể:
- công nghệ hiện tại - Thông tin liên lạc
 Piggybacking

Tôi quên thẻ ID ở nhà. Vui lòng hãy giúp tôi

Một người có thẩm quyền cho phép truy cập

Reverse Social Engineering cho một người trái phép bằng cách
Điều này là khi kẻ tấn công đóng
cho cách cửa luôn
được mở
giả một người người đó ở một
vị trí quyền lực vì vậy các nhân
viên sẽ cho anh ta các thông tin
mà không cần các cách khác.

Tấn công Reverse Social

Engineering liên quan đến sự phá
hoại, tiếp thị, và hỗ trợ công nghệ
 Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai
vào một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố,
bán hệ thống lọc nước đắt đỏ cho khách hàng mà không hề bị nghi
ngơ trong quá trình hoạt động đã thu về hơn một triệu đô la
bộ phim này là một nghiên cứu xuất sắc của Social
Engineering, hành động của người thao tác đã tác động lên
hành động của người khác hoặc tiết lộ thông tin bí mật
Những lá thư Hoax là những email
Thu thập thông tin cá nhân bằng
cảnh báo các vấn đề cho người
cách nói chuyện với người dùng
dùng về virut, Troijan, sâu có thể
trực tuyến đã được lựa chọn để
làm tổn hại đến hệ thống máy tính
lấy thông tin như ngày sinh hoặc
người sử dụng Một cửa sổ window tự động bật
tên thời con gaí
 Chain Letters là những lá thư cung
Không liên quan, không mong
lên khi lướt web và yêu cầu thông
cấp quà tặng miễn phí như tiền
muốn và những email không được
tin của người dùng để đăng nhập
hay phần mềm kèm theo điều
yêu cầu này dùng để thu thập
hoặc đăng ký
kiện là người dùng phải chuyển và thông tin mạng.
thông tin tài chính, các số an ninh, khác.
tiếp thư này đến một số người

Cửa sổ pop-ups
lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo
yêu cầu thông tin cá nhân hoặc tải trương trìnhđộchại như Keyloggers, Troijan, hoặc phần mềm gián
điệp

Một email giả

bất hợp pháp
tự nhận là đến
từ một web
hợp pháp và cố
gắng để có
được thông
tincánhân hoặc
tài khoản người
dùng

Các email Phishing

hoặc các Pop-Up
chuyển hướng
người dùng tới
những trang web giả
mạo bắt trước trang
web đáng tin cậy và
yêu cầu họ gửi thông
tin các nhân của họ
 Engineering sử dụng SMS
Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM. Trong đónói có việc
khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của
mình

Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm
đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit

Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra
Social Engineering bằng “Face SMSSpyingTool”
Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắnSMScủa người
khác

Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe

Tấn
công
Insider

Nếu đối thủ cạnh

tranh muốn gây ra
thiệt hại cho tổ
chức của bạn, ăn
cắp
các bí mật quan
trọng, hoặc đưa
bạn ra khỏi doanh,
họ chỉ cần tìm ra
một
công việc chuẩn bị
đưa ai đó vượt qua
vòng phỏng vấn, và
họ đã có người
của họ trong tổ
chức của bạn.
 - 60 % các cuộc tấn công xảy ra phía sau
tường lửa
- Một cuộc tấn công bên trong sẽ dễ
việc trả thù chỉ cần có người bất mãn để trả thù và công ty của bạn sẽ bị tổ
hại
dàng khởi động
- Phòng chống là rất khó khăn - Những kẻ tấn công bên trong cóthể dễ dàng thành công
Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng
đối phó với căng thẳng hay xung đột, và cảm thấy thất vọng với công việc của mình, chính trị văn phòng, và thiếu
tôn trọng hoặc đề xuất …

Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủcạnh tranh

Ngăn
chặn
mối
đe
dọa
bên
trong
nội
bộ
 Tách biệt và luân phiên nhiệm
vụ
Tối thiểu đặc quyền Kiểm soát truy cập
Lưu trữ dữ liệu quan trọng

Pháp lý những chính sách

Đăng nhập và kiểm

toán

Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ

Các
chiến
thuật
 xâmnhập phổ biếnvàchiếnlượcphòng chống
Đào
Lĩnh vực rủi ro Chiến thuật của kẻ tấn công Chiến lược phòngchốngMạo danh hoặc thuyết phục
tạo nhân viên bàn trợ giúp không đượctiết
lộ mật khẩu cũng như các thông tin khác thông
Điện thoại ( bàn
trợ giúp)
qua đường điện thoại

Quản lý thẻ an ninh chặt chẽ, đào tạonhân Văn phòng

Lối ra vào Không được phép truy cập vật lý viên, và nhân viên an ninh Shoulder
Không nên gõ bất kỳ mật khẩu nào khi cóbất kỳ
surfing người nào đang có mặt tại đó ( nếu phải làm, thì nên nào việc đó rất nhanh).
Gán một mã PIN cho mỗi nhân viên bànhỗtrợ
Mạo danh các cuộc gọi trợ giúp
Điện thoại(bàn trợ giúp)
guiúp đỡ

Văn phòng Lang thang qua các phòng tìm kiếm các
Hộ tống tất cả các khách
phòng đang mở

Mail room Chèn các bản ghi nhớ giả mạo Khóa và theo dõi Mail Room

Phòng máy /
Cố gắn truy cập, loại bỏ thiết bị, hoặc đính
phòng điện thoại cập nhật thiết bị
Giữ phòng điện thoại riêng, phòng server, vv. Đều được khóa và kiểm kê
riêng kèm một số giao thức để lấy dữ liệu mật
Kiểm soát các cuộc gọi ở nước ngoài và các cuộc
Điện thoại và hệ

thống PBXĂn cắp số điện thoại để truy cập

gọi đường dài, dấu viết cuộc gọi, và từchối
chuyển cuộc gọi
 Khái niệm Social Engineering
Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

Biện pháp đối phó

Ăn cắp Identity
Social Engineering

Thử nghiệm
xâm nhập
Social Engineering thông qua
 mạodanhtrêncácmạng xã hội
chi tiết về
tổ chức
lạc và kết
Mạo danh có nghĩa là bắt
nối
chước hoặc sao chép các
Kẻ tấn công cũng có thể sử
hành vi hoặc hành động
dụng thông tin thu thập
chi tiết cáđược để tiến hành các
của người khác hình thức tấn công Social
nhânEngineering khác
Mã độc hại được sửdụng
để thu thập thôngtinbí
mật từ các trang mạngxã Kẻ tấn công sửdụngnhững hồ sơkhác nhauđểtạo ra các mạng
Chi tiết lớnnhững người bạnvàtriết
hội và tạo ra các tài khoản xuất thông tin đểsửdụngtấn công Social Engineering
nghề
với những tên khác nhau
nghiệp

Địa chỉ liên

 Kẻ tấn công
tạo ra một
nhóm
người sử
dụng giả
mạo trên
facebook là
“ nhân viên
“ của công
ty
sử dụng
identity giả ,
kẻ tấn công
sau đó sẽ
tiến tới “ làm
bạn”, hoặc
mời, nhóm
nhân viên giả
mạo,
nhómnhân
viên giả mạo
này giả mạo
là nhân viên
của công ty
khi người sử dụng
tham gia vào nhóm
và họ sẽ cung cấp những thông tin về họ như ngày sinh, trường lớp, nguồn gốc, việc làm vợ chồng, tên, vv…
bằng cách sử dụng những chi tiết của một nhân viên bất kỳ nào đó, một kẻ tấn công có thể thỏa hiệp với một cơ sở nào
đó để đảm bảo được truy cập vào tòa nhà
 Rủi
ro
của

mạng xã hội với các mạngcộngty

 Một trang trang web mạng xã hội là một cơ sở dữ liệu khổng lồ
được truy cập bởi nhiều cá nhân, tăng nguy cơ khai thác thông tin
Ăn cắp
dữ liệu
Trong trường hợp không có chính sách mạnh mẽ, nhân viên
có thể vô tình gửi dữ liệu nhạy cảm về công ty của họ lên
Không cố ý làm rò
trên mạng xã hội
rỉ thông tin
Các thông tin trên các trang web sử dụng để thămdò sơ
bộ trong một cuộc tấn công mục tiêu
Tấn công mục tiêu

Tất cả các trang mạng xã hội có thể để sai sót và lỗi

và lộ có thể dẫn đến lỗ hổng trong mạng của công
ty
lỗ hổng hệ thống mạng

Khái niệm Social Engineering

 Mạo danh trên miền mạng Social

Kỹ thuật Social Engineering

Biện pháp đối phó

Ăn cắp Identity
Social Engineering

Thử nghiệm
xâm nhập
Ăn cắp Identity

Số liệu
thống
kê tình
trạng
ăn
 cắpIdentity
số lượng người trưởng
thành là nạn nhân của
việc ăn cắp Identity

các cuộc tấn công lừa đảo

trên tài khoản thẻ tín
dụng hiện nay

tổng số tiền gian lận

phần trăm số lượng nạn nhân bị lừa đảo
Identity

Nạn nhân được mình đã bị mất cắp

Ăn cắp
Identify
 Bị mất những con số an
ninh xã hội
Đó là một tội ác mà kẻ mạo

danh có được thông tin cá

nào đó bị ăn cắp tên của bạn và các
Mắt cắp thông tin cá nhân thông tin cá nhân khác cho các mục
nhân, như số an ninh xã hội hoặc bằng lái xe

Ăn cắp identity xảy ra khi một người

Không gian ảo đã làm cho việc ă cắp Identity dễ dàng hơn để s
đích gian lận n ử

dụng thông tin cho các mục đín

h
gian lậ
n

Bẵng những phương pháp

đơn giản

Làm
thế
nào
để ăn
cắp
 Identity
Identity gốc – Steven Charles
Địa chỉ: San Diego CA 92130
BƯỚC 1
Steven’s được gửi hóa đơn điện thoại, hóa đơn nước hoặc hóa đơn điện sư dụng Dumpster Diving, Sotolen
Email, hoặc ăn trộm tại chỗ

BƯỚC
2
Đến sở giao
thông và nói
rằng bạn bị
mất
 bằng lái xe

Họ sẽ yêu cầu bạn cho bằng chứng của

Identity như hóa đơn nước và hóa đơnđiện

Cho họ xem những hóa đơn bị mất cắp

Nói cho họ biết bạn đã di chuyển từđịađiểm

ban đầu nào

Nhân viên các bộ phận sẽ yêu cầu bạnhoàn

thành hai việc cho việc thay đổi bằng lái xevà
việc thứ hai cho sự thay đổi trên địa chỉ

Bạn sẽ cần một hình ảnh để cấp giấy phéplái

xe

Giấy phép lái xe thay thế của bạn sẽ được cấp

với địa chỉ mới của nhà bạn

Bây giời bạn đã sẵn sàng với một số thúvui

nguy hiểm
So sánh Ban đầu
Tên tương tự : Steven Charles Ăn cắp Identity
 Đi đến một ngân hàng trong đó đã có tài khoản của Steven
Bước 3 Charles và cho họ biết bạn muốn áp dụng cho một thẻ tín dụng
mới

Nói cho họ biết bạn không nhớ số tài khoản và yêu cầu họ tìm
nó bằng cách sử dụng địa chỉ và tên của Steven’s
Steven giả đã sẵn sàng: ❑ Thực hiện mua những mặt hàng
giá trị với hàng ngànđôla❑ Áp dụng cho vay tiền muaxe❑ Áp
Ngân hàng xẽ yêu cầu id của bạn: cho họ thấy số id trên bằng
dụng cho một hộ chiếumới ❑ Áp dụng cho một tài
lái xe, và nếu như họ chấp nhận, thẻ tín dụng của bạn sẽ được
khoảnngânhàng
phát hành và sẵn sàng sử dụng
❑ Đóng các dịch vụ tiện íchcủabạn

Bây giờ bạn đã sẵn sàng đi shopping

thực sự Steven nhận được bảnbáocáosửdụng
 thẻ tín dụng với số tiềnlớn

Kẻ nào đó đã lấy cắp

số chứng minh của
tôi !

Lấy cắp
Identity –
vấn đề
 nghiêmtrọng

Lấy cắp Identity là một vấn

đề nghiêm trọng
Số lượng và các hành vi vi
phạm đã tăng lên

Đảm bảo thông tin cá nhân

tại nơi làm việc và tại nhà
nhìn qua các báo cáo thẻ
tín dụng chỉ là một trong
vài cách để giảm thiểu nguy
ơ mất cắp indentity

Khái niệm Social Engineering

Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

 Biện pháp đối
Ăn cắp Id
phó
Social Engineering

Thử nghiệm
xâm nhập

Biện Pháp
Đối Phó với Social Engineering:Chính Sách
Những chính sách tốt và thủ tục sẽ không hiệu quả nếu như họ không được giảng dạy và tăng cường cho các nhânviênSau khi

được đào tạo, nhân viên phải ký một tuyên bó thừa nhận rằng họ hiểu các chính sách
 Các chính sách về mật khẩu Thay đổi mật Tuyển dụng nhân viên an ninh
khẩu định kỳ
Tránh mật khẩu đoán
được
Tài khoản cần đươc năng chặn sau khi cố gắn đăng nhập
thât bại

Mật khẩu phải có độ dài

và tính phức tạp
Giữ bí mật mật khẩu
Các chính sách an ninh vật lý
Nhận diện của nhân viên bằng cách phát thẻ id,
đồng phục
Hộ tống những khách mời

Hạn chế các khu vụ truy cập Băm nhỏ những tài liệu
vô dụng
 Biện
pháp
đối
phó
Social

Engineering
 Đào tạo

Một chương trình đào tạo

hiệu quả nên bao gồm tất
cả những chính sách bảo
mật và phương pháp để
nâng cao nhận thức về
Social Engineering

Nguyên tắc hoạt động

Đảm bảo an ninh thông tin

nhạy cảm và ủy quền sử
dụng tài nguyên

Biện pháp đối phó Social Engineering

phân loại thông Kiểm tra nhân viên và sử
tin đặc quyềntruycập
lý đình chỉ đúng đắntần xuất phảnhồi thíchhợp
cần phải có quản trị viên, người sử
Phân loại các thông tin tối mật, độc
dụng các tài khoản phải được ủy
quyền, sử dụng nội bộ, sử dụng công
cộng
quyền thích hợp cần có những phản ứng thích hợp
Trong nội bộ các tiềm tàng về hình
cho những trường hợp cố gắng sử
sự và nhân viên bị thôi việc rất dễ
dàng cho việc mua thông tin dụng Social Engineering

Biện
pháp
đối
phó
Social Engineering

Xác thực hai yếutố

Thay vì mật khẩu cố định, sử dụng xác thực hai yếu tố

cho những dịch vụ mạng có nguy cơ cao như VPNvà
Modem Pool

Phòng thủ Anti-Virus/Anti-Phishing

sử dụng nhiều lớp để phòng chống virus như người

dùng đầu cuối và mail gateway để giảm thiểu các cuộc
tấn công Social Engineering

Thay Đổi Công tác quảnlý

việc thay đổi quy trình quản lý tài liệu sẽ bảo mật hơn
quá trình ad-hoc

Làm
thế
nào
để
 phát hiện các Email giảmạo

Nó bao gồm các liên kết dẫn đến

các trang web giả mạo yêu càu
nhập thông tin cá nhân khi click
Email lừa đảo có vẻ đến từ một
ngân hàng, tổ chức tài chính, công
ty hoặc một mạng xã hội
Giống như đến từ một người
trong danh sách điện chỉ email của
bạn
Chỉ đạo để gọi một cuộc điện
thoại để cung cấp số tài khoản số
điện thoại cá nhân, mật khẩu hoặc
các thông tin bí mật

Nó bao gồm logo của các viên

chức và các thông tin khác được
lấy trực tiếp từ các trang web hợp
pháp thuyết phục bạn tiết lộ chi
tiết cá nhân của bạn
Thanh công cụ chống lừa đảo: Netcraft
Thanh công cụ chống lừa đảo: PhishTank

Biện
pháp
đối
phó
việc
đánh
 cắpIdentity
bảo đảm hoặc xé nhỏ tất cả các tài liệu có chứa thông
tin cá nhân
Luôn giữ cho hồm thư của bạn được an toàn, làm sạch
chúng một cách nhanh chóng
Đảm bảo rằng tên của bạn khong xuất hiện trong các
danh sách của người tiếp thị
Nghi ngờ và xác minh lại tất cả những yêu cầu cho dữ
liệu cá nhân
Xem xét các báo cáo thẻ tín dụng của bạn một cách
thường xuyên

Không bao giờ để thẻ tín dụng của bạn ngoài tầm nhìn

Bảo vệ thông tin cá nhân của bạn khi được công bố công
khai

Không bao giờ đưa ra bất cứ thông tin cá nhân nào trên
điện thoại
Không hiển thị số tài khoản hoặc số liên lạc trừ khi bắt
buộc

Khái niệm Social Engineering

 Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

Biện pháp đối

Ăn cắp Identity
phó
Social Engineering

Thử nghiệm
xâm nhập

Thử
 nghiệm Social Engineering
Mục tiêu của thử nghiệm Social Engineering là để thử nghiệm sức mạnh của yếu tố con người trong một
chuỗi bảo mật trong tổ chức
Thử nghiệm Social Engineering thường được sử dụng để nâng cao trình độ nhận thức bảo mật giữa các nhân
viên
Người thử nghiệm phải chứng tỏ sự cẩn thận và chuyên nghiệp khi thử nghiệmSocial Engineering vì nó có
liên quan đến vấn đề pháp lý vi phạm quyền riêng tư và có thể dẫn đếncác tình huống lúng túng

Kỹ năng làm việc

Kỹ năng
tốt giữa các cá
giao tiếp
nhân
tốt

Trò chuyện và
Sáng tạo
thân thiện một
cách tự nhiên
 Thử nghiệmSocial Engineeringthu
thập các email và địa chỉ

có được sự
Có được sự ủy quyền quản lý rõràngvà chi tiết sẽ
giúp cho việc xác định
ủy quyền
liên lạc chi tiết của các nhân

phạm vi kiểm tra, chẳng hạn như

viên trong tổ chức mục tiêu

danh sách các danh sách các phòng

ban, nhân viên cần phải được kiểm
tra, hoặc mức độ xâmnhập vật lý
thu thập thông tin bằng

xác định phạm vi thử

cách sử dụng kỹ thuật
nghiệm
 footpringting
có được danh sách các
email và địa chỉ liên lạc của
các mục tiêu xác định từ trước
Thông tin có
hợp lệ không
Tạo ra một kịch bản với bối cảnh
Thu thập địa chỉ email và chi tiết liênlạc của tổ chức mục tiêu và
nguồnnhân lực ( nếu không được cung cấp) bằng cách sử dụng cá kỹ
thuật nhưDumpster diving, đoán email, USENET và các trang web
timkiếm, công cụ bẫy email như Email Extractor
Thông tin có hợp lệ không
Cố gắn triết xuất thông tin càng nhiều càng tốt
về các mục tiêuđãxácđịnh bằng cách sử dụng kỹ
thuật footprinting
Tạo ra một kịch bản dựa trên nhữngthông tin
thu thập được xemxet kết quả tích cực và tiêu
cực của một cốgắng
cụ thể
Thử nghiệm Social Engineering: SửDụngEmails
 Tất cả các tài liệu được phục
thông tin cá
Email các nhân viên yêu
nhân được
triết xuất
hồi thông tin và tương ứng với từng nạn nhân
cầu thông tin cá nhân
Tập tin đính
Tất cả các tài liệu của
Gửi và theo dõi các
mail có mã độc hại cho
kèm được

các nạn nhân mở ra nạn nhân

nhận được
tiêu
Tất cả các tài liệu phảnhồi lại và tương ứng với các
Gửi các email lừa đảo Phản hồi nạn nhân
cho các nạn nhân mục

Email nhân viên yêu cầu thông tin cá nhân như tên người dùng mật khẩu bằng cách cải trang quản trị mạng, hỗtrợ kỹ
thuật, hoặc bất kỳ ai từ các bộ phận khác nhau lấy lý do là có một trường hợp khẩn cấp Gửi email tới các mục tiêu có
đính kèm file độc hại và theo rõi phản ứng của họ với file đính kèmđóbằngcách sử dụng công cụ như ReadNotify
Gửi một email lừa đảo tới các mục tiêu như thể từ một ngân hàng và yêu cầu thông tin nhạy cảmtừhọ(bạn cần
phải có sự cho phép cần thiết cho việc này

Thử nghiệm Social Engineering: SửDụngĐiệnThoại

Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ
như một đồng nghiệp và yêu cầu thông tin nhạy cảm
Gọi đến mục tiêu và cung cấp cho họ những phần
thưởng thay thế cho thông tin cá nhân của họ

Đe dọa mục tiệu với những hậu

Gọi một cuộc điện thoại đến
quả nghiêm trọng (vd như tài
mục tiêu đặt ra giả vờ như
một user quan trọng Gọi một cuộc điện thoại khoản sẽ bị vô hiệu hóa) để có được thông tin

đến mục Sử dụng kỹ thuật Reverse Social

tiêu đặt ra giả vờ như nhân viên

hỗ trợ kỹ thuật và yêu cầu họ tin
Engineering sao cho các mục tiêu mang lại lại thông
thông tin nhạy cảm

Đề cập đến một người quan trọng trong tổ chức

và cố gắng thu thập dữ liệu

Thử
 nghiệm Social Engineering: InPerson

Thành công của bất kỳkỹthuật

cố gắng vào cổng sau đeo
kết bạn với nhân viên trong
Social Engineering đềuphục
một thẻ ID giả hoặc
quán ăn tự phục vụ và cố gắng
thuộc vào một người thử
để lấy thông tin
nghiệmbằng cách nàonóđưara một kịch
piggyback bản thửnghiệmvàkĩ năng giao tiếp của có vô số kỹ thuật Social
mình
cố gắng nghe trộmtrên hệ
cố gắng vào trụ sở giả
Engineering dựa trênnhững
thông , nhìn trộm và
như một kiểm toán viên pháp lý không
thông tin có sẵn và phạmvi thửnghiệm. Luôn luôn xemxét các
bên ngoài
những người sử dụng tất cả các tài liệu tìm thấy
bước thử nghiệmcóvấnđề
cố gắng vào trụ sở giả
nằm trong một báo cáo
như một nhân viên kỹ
thuật
 Social

Engineering là nghệ thuật thuyết phục mọi người tiết lộthôngtin

Social Engineering liên quan đến việc thu thập thông tinnhạycảmhoặccác
đặc quyền truy cập không phù hợp với người ngoài Social Engineering
liên quan đến việc thu thập thông tinnhạycảmhoặccác đặc quyền truy
cập không phù hợp với người ngoài Kĩ thuật Computer-based đề cập
đến việc sử dụng các phầnmềmmáytính để lấy thông tin mong muốn
Phòng thủ thành công phụ thuộc vào chính sách tốt và việc thi hànhcácchính
sách đó có siêng năng hay không

Nếu bạn nghĩ

rằng công nghệ
có thể giải
quyết các vấn
đềbảomật, thì
tức là bạn
không hiểu gì
về các vấn đề
bảo mật của bạnvàcôngnghệ là gì!