Professional Documents
Culture Documents
Chuong 2. 01. Tan Cong Vao Yeu To Con Nguoi
Chuong 2. 01. Tan Cong Vao Yeu To Con Nguoi
❑ Social Engineering là gì
trên mạng xã hội
❑ Tại sao Social Engineering lại hiệu quả
❑ Ảnh hưởng của mạng xã hội tới mạng
❑ Các giai đoạn trong một cuộc tấn công
Social Engineering ❑ Các mục tiêu phổ biến của
Social Engineering
❑ Các kiểu Social Engineering
❑ Ăn cắp ID
❑ Thế nào là ăn cắp tính danh ❑ Biện pháp đối phó Social
Enginneering ❑ Thử nghiệm Social Engineering
doanh nghiệp
❑ Các chiến thuật xâm nhập phổ biến và chiến lược phòng
chống
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Thử nghiệm
xâm nhập
Không
có bất
kỳ
bảnválỗi nàođối với một conngười
ngungốc
Social
Engineering là gì
❑ Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật ❑ Social
Engineering phụ thuộc vào những thứ mà mọi người không biết những thôngtinvềchúng và bất cẩn
trong việc bảo vệ nó
dễ dàng
Những yếu tố làm doanh nghiệp dễ bị tấn công
Đào tạo
an ninh
còn thiếu
Thiếu
Dễ dàng
những
truy cập
chính sách
thông tin
an ninh
Nhiều các
đơn vị tổ
chức
Tại sao Social Engineering Lại HiệuQuả
Chính sách bảo mật mạnh
cũng sẽ là liên kết yếu nhất
và con người là yếu tố nhạy
cảm nhất
chính thức
cho
Yêu cầu
Thấy khó chịu khi đặt câu hỏi thẩm quyền và đe doạ nếu
như không cung cấp thông tin
cuộctấncôngSocialEngineering
Nghiên cứu công ty mục tiêu Lựa chọn nạn nhân
Durmpster diving, trang web, nhân sự, lịch Xác định những nhânviên không hài lòng
trình, vv vềchính sách trong công tymục tiêu
Nghiên cứu Phát triển Khai thác
đã được lựa chọn
Khai thác mối quanhệ
Phát triển mối quan hệ Tập hợp thông tin tài khoản nhạy cảm,
Phát triển mối quan hệ với những nhân viên thôngtin tài chính, và công nghệ hiện tại
Những
ảnh
hưởng
lên tổ
chức
Những mất
mát về kinh
tế
chính sách
Tổn hại uy tín
khủng bố
Mất sự riêng
tư
Tạm thời
hoặc vĩnh
viễn đóng
cửa tục
Các vụ kiện và các thủ
Tấn
công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet
ẩn danh và thuyết phục họ cung
cấp những thông tin thông qua một User đáng tin cậy
Yêu cầu thông tin, thông thường bằng cách giả mạo
người dùng hợp pháp, mà người đó có thể truy cập tới
hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ
thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông
tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối
tượng
“Rebecca” và
“Jessica” là
hai nạn nhân
của kỹ thuật
Social
Engineering
Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng
hạn như nhân viên tiếp tân của công ty
Ví dụ
• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìmhiểucác thôngtinvề cô ta”
• “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của
cô có một người tên là Rebecca phải không”
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho
nhân viên giả mạo
Thử nghiệm
xâm nhập
Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng,
sợ hãi,
và sự giúp đỡ
Computer-based
Social Engineering được thực hiện bởi
sự giúp đỡ của máy tính
được chứ ?”
“ Một
người đàn
ông gọi đến
bàn hỗ trợ
của công ty
và nói rằng
ông ta đã
quên mật
khẩu của
ông ta. Ông
ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng
cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và
nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra
một lối vào mạng bên trong của công ty”
Ví dụ
về
việc
giả
mạo
cơ
quan
hỗtrợ
ví dụ
cơ
quan
hỗ trợ
“chào, tôi với dịch vụ chuyển phát nhanh Aircon.
Chúng tôi nhận được cuộc gọi rằng phòng máy tính
bị quá nóng và cần được kiểm tra hệ thống HVAC của
bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi,
thông gió và điều hòa nhiệt độ) có thể thêmđộ tin
cậy đủ để giả mạo một kẻ xâm nhập cho phép anhta
hoặc cô ta để đạt được quyền truy cập vào tài
nguyên mục tiêu.
❑
Dumpster diving là tìm kiếm kho báu của người khác trong thùngrácthùng rác
ht
pộh
Thông tin
tài chính
Thông tin
ghi chú
Bên
ủy
Tailgating quyềnthứba
Một người trái phép, đeo một thẻ id giả đi vào một Đề cập đến một người quantrongtrongmột tổ chức và cố gắn
thu thậpthôngtin:“Mr.George, Giámđốc tài chínhcủachúng tôi đã
khu vực được đảm bảo chặt chẽ, đó là một người
yêu cầu tôi lấy một bảnbáocáo tài chính. Vui lòng bạn
có thẩm quyền thông qua cửa có yêu cầu truy cập cóthểcúngcấp cho tôi chứ”
In PersonKhảo sát một công tyđểthu thập những
thôngtinvể:
- công nghệ hiện tại - Thông tin liên lạc
Piggybacking
Cửa sổ pop-ups
lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo
yêu cầu thông tin cá nhân hoặc tải trương trìnhđộchại như Keyloggers, Troijan, hoặc phần mềm gián
điệp
Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm
đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit
Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra
Social Engineering bằng “Face SMSSpyingTool”
Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắnSMScủa người
khác
Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe
Tấn
công
Insider
Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủcạnh tranh
Ngăn
chặn
mối
đe
dọa
bên
trong
nội
bộ
Tách biệt và luân phiên nhiệm
vụ
Tối thiểu đặc quyền Kiểm soát truy cập
Lưu trữ dữ liệu quan trọng
Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ
Các
chiến
thuật
xâmnhập phổ biếnvàchiếnlượcphòng chống
Đào
Lĩnh vực rủi ro Chiến thuật của kẻ tấn công Chiến lược phòngchốngMạo danh hoặc thuyết phục
tạo nhân viên bàn trợ giúp không đượctiết
lộ mật khẩu cũng như các thông tin khác thông
Điện thoại ( bàn
trợ giúp)
qua đường điện thoại
Văn phòng Lang thang qua các phòng tìm kiếm các
Hộ tống tất cả các khách
phòng đang mở
Mail room Chèn các bản ghi nhớ giả mạo Khóa và theo dõi Mail Room
Phòng máy /
Cố gắn truy cập, loại bỏ thiết bị, hoặc đính
phòng điện thoại cập nhật thiết bị
Giữ phòng điện thoại riêng, phòng server, vv. Đều được khóa và kiểm kê
riêng kèm một số giao thức để lấy dữ liệu mật
Kiểm soát các cuộc gọi ở nước ngoài và các cuộc
Điện thoại và hệ
Thử nghiệm
xâm nhập
Social Engineering thông qua
mạodanhtrêncácmạng xã hội
chi tiết về
tổ chức
lạc và kết
Mạo danh có nghĩa là bắt
nối
chước hoặc sao chép các
Kẻ tấn công cũng có thể sử
hành vi hoặc hành động
dụng thông tin thu thập
chi tiết cáđược để tiến hành các
của người khác hình thức tấn công Social
nhânEngineering khác
Mã độc hại được sửdụng
để thu thập thôngtinbí
mật từ các trang mạngxã Kẻ tấn công sửdụngnhững hồ sơkhác nhauđểtạo ra các mạng
Chi tiết lớnnhững người bạnvàtriết
hội và tạo ra các tài khoản xuất thông tin đểsửdụngtấn công Social Engineering
nghề
với những tên khác nhau
nghiệp
Thử nghiệm
xâm nhập
Ăn cắp Identity
Số liệu
thống
kê tình
trạng
ăn
cắpIdentity
số lượng người trưởng
thành là nạn nhân của
việc ăn cắp Identity
Ăn cắp
Identify
Bị mất những con số an
ninh xã hội
Đó là một tội ác mà kẻ mạo
Làm
thế
nào
để ăn
cắp
Identity
Identity gốc – Steven Charles
Địa chỉ: San Diego CA 92130
BƯỚC 1
Steven’s được gửi hóa đơn điện thoại, hóa đơn nước hoặc hóa đơn điện sư dụng Dumpster Diving, Sotolen
Email, hoặc ăn trộm tại chỗ
BƯỚC
2
Đến sở giao
thông và nói
rằng bạn bị
mất
bằng lái xe
Nói cho họ biết bạn không nhớ số tài khoản và yêu cầu họ tìm
nó bằng cách sử dụng địa chỉ và tên của Steven’s
Steven giả đã sẵn sàng: ❑ Thực hiện mua những mặt hàng
giá trị với hàng ngànđôla❑ Áp dụng cho vay tiền muaxe❑ Áp
Ngân hàng xẽ yêu cầu id của bạn: cho họ thấy số id trên bằng
dụng cho một hộ chiếumới ❑ Áp dụng cho một tài
lái xe, và nếu như họ chấp nhận, thẻ tín dụng của bạn sẽ được
khoảnngânhàng
phát hành và sẵn sàng sử dụng
❑ Đóng các dịch vụ tiện íchcủabạn
Lấy cắp
Identity –
vấn đề
nghiêmtrọng
Thử nghiệm
xâm nhập
Biện Pháp
Đối Phó với Social Engineering:Chính Sách
Những chính sách tốt và thủ tục sẽ không hiệu quả nếu như họ không được giảng dạy và tăng cường cho các nhânviênSau khi
được đào tạo, nhân viên phải ký một tuyên bó thừa nhận rằng họ hiểu các chính sách
Các chính sách về mật khẩu Thay đổi mật Tuyển dụng nhân viên an ninh
khẩu định kỳ
Tránh mật khẩu đoán
được
Tài khoản cần đươc năng chặn sau khi cố gắn đăng nhập
thât bại
Hạn chế các khu vụ truy cập Băm nhỏ những tài liệu
vô dụng
Biện
pháp
đối
phó
Social
Engineering
Đào tạo
Biện
pháp
đối
phó
Social Engineering
Làm
thế
nào
để
phát hiện các Email giảmạo
Biện
pháp
đối
phó
việc
đánh
cắpIdentity
bảo đảm hoặc xé nhỏ tất cả các tài liệu có chứa thông
tin cá nhân
Luôn giữ cho hồm thư của bạn được an toàn, làm sạch
chúng một cách nhanh chóng
Đảm bảo rằng tên của bạn khong xuất hiện trong các
danh sách của người tiếp thị
Nghi ngờ và xác minh lại tất cả những yêu cầu cho dữ
liệu cá nhân
Xem xét các báo cáo thẻ tín dụng của bạn một cách
thường xuyên
Không bao giờ để thẻ tín dụng của bạn ngoài tầm nhìn
Bảo vệ thông tin cá nhân của bạn khi được công bố công
khai
Không bao giờ đưa ra bất cứ thông tin cá nhân nào trên
điện thoại
Không hiển thị số tài khoản hoặc số liên lạc trừ khi bắt
buộc
Thử nghiệm
xâm nhập
Thử
nghiệm Social Engineering
Mục tiêu của thử nghiệm Social Engineering là để thử nghiệm sức mạnh của yếu tố con người trong một
chuỗi bảo mật trong tổ chức
Thử nghiệm Social Engineering thường được sử dụng để nâng cao trình độ nhận thức bảo mật giữa các nhân
viên
Người thử nghiệm phải chứng tỏ sự cẩn thận và chuyên nghiệp khi thử nghiệmSocial Engineering vì nó có
liên quan đến vấn đề pháp lý vi phạm quyền riêng tư và có thể dẫn đếncác tình huống lúng túng
Trò chuyện và
Sáng tạo
thân thiện một
cách tự nhiên
Thử nghiệmSocial Engineeringthu
thập các email và địa chỉ
có được sự
Có được sự ủy quyền quản lý rõràngvà chi tiết sẽ
giúp cho việc xác định
ủy quyền
liên lạc chi tiết của các nhân
Email nhân viên yêu cầu thông tin cá nhân như tên người dùng mật khẩu bằng cách cải trang quản trị mạng, hỗtrợ kỹ
thuật, hoặc bất kỳ ai từ các bộ phận khác nhau lấy lý do là có một trường hợp khẩn cấp Gửi email tới các mục tiêu có
đính kèm file độc hại và theo rõi phản ứng của họ với file đính kèmđóbằngcách sử dụng công cụ như ReadNotify
Gửi một email lừa đảo tới các mục tiêu như thể từ một ngân hàng và yêu cầu thông tin nhạy cảmtừhọ(bạn cần
phải có sự cho phép cần thiết cho việc này
Thử
nghiệm Social Engineering: InPerson
Social Engineering liên quan đến việc thu thập thông tinnhạycảmhoặccác
đặc quyền truy cập không phù hợp với người ngoài Social Engineering
liên quan đến việc thu thập thông tinnhạycảmhoặccác đặc quyền truy
cập không phù hợp với người ngoài Kĩ thuật Computer-based đề cập
đến việc sử dụng các phầnmềmmáytính để lấy thông tin mong muốn
Phòng thủ thành công phụ thuộc vào chính sách tốt và việc thi hànhcácchính
sách đó có siêng năng hay không