Professional Documents
Culture Documents
Dương Đức Hiến Báo cáo ANM
Dương Đức Hiến Báo cáo ANM
1
LỜI NÓI ĐẦU
An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin
khá quan tâm. Khi Internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần
thiết. Mục đích của việc kết nối mạng là để mọi người có thể sử dụng chung tài
nguyên mạng từ những vị trí địa lý khác nhau. Vì thế mà các tài nguyên dễ dàng bị
phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất dữ liệu cũng như
các thông tin có giá trị. Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật
tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và như thế an ninh
mạng ra đời.
Bảo mật an ninh mạng được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống
mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài ngoài nước luôn tìm cách
tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy cảm
thường ảnh hưởng tới sự sống còn của công ty. Chính vì vậy, các nhà quản trị mạng
luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và hoàn thiện lỗ hổng hệ thống.
Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tìm hiểu an toàn
an ninh mạng” làm đồ án môn An toàn và an ninh mạng.
Do kiến thức và kinh nghiệm của bản thân còn hạn chế nên việc thực hiện sẽ
không thể tránh khỏi những thiếu sót. Rất mong được sự đóng góp ý kiến của quý thầy
cô trong bộ môn cùng toàn thể các bạn để đề tài được hoàn thiện hơn.
Cuối cùng, em xin chân thành cảm ơn thầy Nguyễn Phúc Hậu – Giảng viên học
phần An toàn và An ninh mạng đã hướng dẫn em, giúp đỡ em hoàn thành đề tài này.
2
Chương 1. TỔNG QUAN VỀ AN NINH MẠNG
1.1. Giới thiệu về an ninh mạng?
An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin
khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên
cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung
tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên dễ
dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữ liệu
cũng như các thông tin có giá trị. Kết nối càng rộng thì càng dễ bị tấn công, đó là một
quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và như thế an
ninh mạng ra đời.
Ví dụ: User A gởi một tập tin cho User B trong phạm vi là nước Việt Nam thì nó
khác xa so với việc User A gởi tập tin cho User C ở Mỹ. Ở trường hợp đầu thì dữ liệu
có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát
dữ liệu với phạm vi rất rộng là cả thế giới.
Theo thống kê của tổ chức IC 3 thì số tội phạm internet ngày càng gia tăng nhanh
chóng chỉ trong vòng 8 năm từ năm 2001 đến năm 2009 số lượng tội phạm đã tăng gần
gấp 20 lần và dự đoán trong tương lai con số này con tăng lên nhiều.
Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công tăng
đến chóng mặt. Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập
nhau. Sự phát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ là miếng mồi béo
bở của các Hacker bùng phát mạnh mẽ.
3
Tóm lại, internet là một nơi không an toàn. Mà không chỉ là internet các loại
mạng khác, như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm phạm.
Thậm chí, mạng điện thoại, mạng di động cũng không nằm ngoài cuộc. Vì vậy chúng
ta nói rằng, phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy tính
một cơ quan mà là toàn cầu
1.
1.1.
5
Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới
biết được nội dung của lá mail, còn những User khác không thể biết được. Giả sử có
User thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không còn
nữa.
Tính xác thực (Authentication)
Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa
người gởi và người nhận.
Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của một đầu cuối đến
máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo
rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai, dịch
vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể
giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được
cho phép.
Tính toàn vẹn (Integrity)
Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay
đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc
phần mềm.
Ví dụ: User A gởi email cho User B, User A gởi nội dung như thế nào thì User B
chắc chắn sẽ nhận được đúng y nội dung như vậy có nghĩa là User A gởi gì thì User B
nhận y như vậy không có sự thay đổi.
Tính không thể phủ nhận (Non repudiation)
Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối
bỏ một bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có thể
chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn
tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng
thật được nhận bởi người nhận hợp lệ.
Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A không
gởi mail cho B.
Tính sẵn sàng (Availability)
Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ
lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công
khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ. Tính khả
dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ
thống do các cuộc tấn công gây ra.
6
Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là bất
cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web client.
Khả năng điều khiển truy nhập (Access Control)
Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên
phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn
chặn một truy cập nào đấy trong hệ thống.
Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công
ty, người quản trị viên có thể ngăn chặn một số phòng ban gởi thông tin ra ngoài và từ
ngoài vào trong.
7
Chương 2. HỆ ĐIỀU HÀNH VÀ HỆ ĐIỀU HÀNH MÃ NGUỒN MỞ
2.
2.1. Hệ điều hành là gì?
Giới thiệu chung
Hệ điều hành (tiếng Anh: Operating System - viết tắt: OS) là một phần mềm
dùng để điều hành, quản lý toàn bộ tất cả thành phần (bao gồm cả phần cứng và phần
mềm) của thiết bị điện tử.
Có vai trò trung gian trong việc giao tiếp giữa người sử dụng và thiết bị.
8
2.1.2. Hệ điều hành dành cho thiết bị di động
Được thiết kế dành cho những thiết bị như: Điện thoại di động, Máy tính bảng,…
Được thiết kế với nhu cầu giải trí, liên lạc,… nên không có được đầy đủ những tính
năng như hệ điều hành dành cho máy tính.
9
Mặc dù được cho là “mã nguồn mở", việc phát hành và sử dụng mã nguồn trên
vẫn phải tuân theo một loạt các quy tắc được xác định trước (ví dụ, giấy phép GNU
GPL).
Bên cạnh một số ngôn ngữ lập trình mở như PHP, Java, v.v., cũng có những
ngôn ngữ "mở một phần" như .NET. Mặc dù ngôn ngữ thực sự là mã nguồn mở,
nhưng người dùng phải trả tiền gián tiếp bằng cách mua hệ điều hành Windows chứ
không dùng được trên hệ điều hành MAC OS.
Ngoài một số ngôn ngữ lập trình game engine mã nguồn mở, cũng có một số
ngôn ngữ không thuộc phần mềm mã nguồn mở như Unity. Nếu bạn tạo một trò chơi
bằng mã nguồn này, bạn được sử dụng miễn phí, nhưng bạn không thể bán nó. Bởi vì
khi bạn bán chúng, bản quyền được báo cáo và khiếu nại bởi Store Link ngay lập tức,
liên kết bị gỡ và trò chơi bị đóng hoàn toàn. Để thương mại hóa nó, bạn phải mua và
sử dụng giấy phép từ chủ sở hữu ngôn ngữ lập trình.
10
Khi lập trình viên sử dụng phần mềm mã nguồn mở, họ cũng tránh được những
rủi ro như mua phải phần mềm có bản quyền nhưng không được nhà cung cấp hỗ trợ
sau khi hết thời hạn sử dụng. Có một số lý do để giải thích điều này. Tuy nhiên, người
dùng sẽ không thể sử dụng phần mềm nếu không nhận được sự hỗ trợ vì những lý do
chủ quan hay khách quan. Ngoài ra, người dùng sẽ phải trả thêm tiền để tiếp tục sử
dụng.
Độ bảo mật cao
Như đã đề cập ở trên, không có lỗ hổng bảo mật nào trong mã nguồn mở. Chỉ cần
tưởng tượng rằng phần mềm mã nguồn mở từ lâu đã được phát triển bởi một cộng
đồng lập trình viên, bao gồm nhiều lập trình viên tài năng trên khắp thế giới. Sau đó,
họ liên tục kiểm tra, sửa đổi, thêm và bớt các tính năng.
Trước khi người dùng thêm các tính năng mới vào phần mềm mã nguồn mở, hãy
luôn đặt các yếu tố an toàn và kiểm tra chúng trước. Nếu không, các tính năng này sẽ
làm cho phần mềm kém an toàn hơn.
Hệ thống mã nguồn hoạt động linh hoạt
Phải nói rằng, khi tạo ứng dụng bằng mã nguồn mở, việc sửa lỗi nhanh hơn nhiều
so với phần mềm có bản quyền. Nếu nhà phát triển tìm thấy lỗi trong quá trình hoàn
thiện, họ có thể sửa lỗi đó ngay lập tức. Không giống như mã nguồn mở, khi bạn chỉnh
sửa trong phần mềm có bản quyền, bạn phải báo cáo với nhà cung cấp và chỉnh sửa
nếu được phép.
Ví dụ: nếu một lập trình viên muốn phát triển thêm các tính năng và mở rộng tiện
ích của ứng dụng được tạo từ phần mềm mã nguồn mở, họ có thể điều chỉnh, thêm /
bớt mã tùy chỉnh hoặc chờ phản hồi từ nhà cung cấp mà không cần xin phép. Điều này
chứng tỏ tính linh hoạt của phần mềm mã nguồn mở.
Không giới hạn khả năng sáng tạo
Vì nó "mở" và miễn phí, nhiều lập trình viên đã sử dụng nó để tạo ra những phần
mềm hữu ích. Nó được coi là một sản phẩm giúp các nhà thiết kế và lập trình sáng tạo
và thử nghiệm các ý tưởng của họ.
Phần mềm mã nguồn mở cũng giúp người dùng giảm bớt sự phụ thuộc vào các
nhà cung cấp như mã nguồn có bản quyền.
2.3.2. Nhược điểm
Khó khăn khi sử dụng
Điều này không đúng với tất cả các phần mềm nguồn mở vì nhiều phần mềm
trong số chúng (chẳng hạn như LibreOffice, Mozilla Firefox và hệ điều hành Android)
11
cực kỳ dễ sử dụng. Tuy nhiên, một số ứng dụng mã nguồn mở có thể khó thiết lập và
sử dụng. Điều này có thể ảnh hưởng đến năng suất và sẽ là rào cản lớn nhất khi bạn
quyết định sử dụng các phần mềm này hay không.
Các vấn đề về khả năng tương thích
Nhiều loại phần cứng độc quyền cần các trình điều khiển chuyên biệt để chạy các
phần mềm mã nguồn mở, những chương trình này thường chỉ có sẵn từ nhà sản xuất
thiết bị. Điều này có thể làm tăng thêm chi phí của bạn. Ngay cả khi phần mềm mã
nguồn mở tồn tại, nó có thể không hoạt động với phần mềm của bạn cũng như trình
điều khiển độc quyền.
Trách nhiệm pháp lý và bảo hành
Với phần mềm độc quyền, nhà phát triển thường cung cấp bồi thường và bảo
hành như một phần của thỏa thuận cấp phép tiêu chuẩn. Điều này là do họ hoàn toàn
kiểm soát và giữ bản quyền sản phẩm cũng như mã cơ bản của nó. Giấy phép phần
mềm nguồn mở thường chỉ chứa bảo hành có giới hạn và không có trách nhiệm pháp
lý hoặc bảo vệ bồi thường vi phạm.
2.4. Những hệ điều hành mã nguồn mở phổ biến nhất hiện nay
Hệ điều hành Linux
Thông thường bạn chỉ nghe tên hệ điều hành như Microsoft Windows, MAC OS.
Tuy nhiên, đây không phải là một hệ điều hành mở. Bằng chứng đơn giản là bạn
thường phải trả phí bản quyền để cài lại Win trên máy tính. Đôi khi người dùng bị giới
hạn bởi các nguyên tắc hoạt động của bản quyền này nên có thể gây ra những khó
khăn nhất định.
Tuy nhiên, hệ điều hành Linux ra đời từ năm 1991 đã mang đến cho các lập trình
viên nhiều sự lựa chọn hơn. Linux là một ứng dụng mã nguồn mở. Điều này là hoàn
toàn miễn phí và có nghĩa là bạn có thể tự do sử dụng nó cho mục đích thương mại mà
không phải trả bất cứ điều gì. Tất nhiên, người dùng được sử dụng miễn phí tất cả các
tính năng đặc biệt của hệ điều hành Linux.
Ví dụ: nếu bạn đang sử dụng OpenOffice thay vì ứng dụng Microsoft Office,
điều này bao gồm các ứng dụng như trình soạn thảo văn bản (Writer tương tự như
Word), bảng tính (Calc tương tự như Excel), v.v.
12
Chương 3. PHƯƠNG PHÁP TẤN CÔNG, PHÒNG THỦ MẠNG MÁY TÍNH
1.1
2.1
3.1
3.1. Tấn công mạng là gì ?
Tấn công mạng (cyber attack) là các hành động trái phép đối với các tài sản
digital bên trong mạng của một tổ chức. Tấn công mạng nhằm vào hệ thống thông tin
máy tính, cơ sở hạ tầng, mạng máy tính hoặc thiết bị máy tính cá nhân. Các bên tấn
công thường thực hiện các cuộc tấn công mạng này nhằm thay đổi, phá hủy hoặc đánh
cắp dữ liệu cá nhân.
Đối tượng phổ biến nhất bị tấn công mạng là những ai?
Đối tượng phổ biến nhật bị tấn công mạng là: Cá nhân, doanh nghiệp, tổ chức và
cả nhà nước. Các Hacker hay tin tặc sẽ tiếp cận những đối tượng này qua hình thức
như mạng nội bộ (máy tính , thiết bị điện tử) hay tiếp cận qua con người nhờ thiết bị dị
động, mạng social và ứng dụng phần mềm.
Mục đích của tấn công mạng và các loại tấn công mạng hiện nay
Tuỳ vào các loại tấn công mạng (Cyber attack) mà mục đích của hacker hay tin
tặc sẽ có chút khác biệt. Nhìn chung tất cả vẫn nhằm mục đích bất hợp pháp. Sau đây
là các loại tấn công mạng phổ biến và mục đích cụ thể của từng loại tấn công.
Denial-of-service (Dos) và các cuộc tấn công distributed denial-of-service
(DDoS)
Một cuộc tấn công DDos sẽ chiếm đoạt tài nguyên (resource) của hệ thống
khiến nó không thể phản hồi các yêu cầu dịch vụ. Cuộc tấn công DDoS cũng là một
13
cuộc tấn công vào tài nguyên của hệ thống, nhưng nó được thực hiện từ một số lượng
lớn các host khác mà bị nhiễm phần mềm độc hại do hacker kiểm soát.
Không giống như các cuộc tấn công được tạo ra để cho phép kẻ tấn công có
được quyền truy cập, DDoS không mang lại lợi ích trực tiếp cho kẻ tấn công. Đối với
một số hacker, chỉ cần đạt được việc từ chối dịch vụ là đủ hài lòng. Tuy nhiên, nếu
resource bị tấn công thuộc về một đối thủ cạnh tranh kinh doanh, thì lợi ích mang lại
cho kẻ tấn công là không hề nhỏ. Một mục đích khác của tấn công DDoS có thể là đưa
một hệ thống offline để có thể khởi chạy một loại tấn công khác. Điển hình là chiếm
quyền điều khiển hijacking.
Có nhiều kiểu tấn công DoS và DDoS khác nhau, phổ biến nhất là tấn công
TCP SYN flood, tấn công Teardrop, tấn công Smurf, tấn công ping-of-death và botnet.
Tấn công TCP SYN flood
Cuộc tấn công này, hacker khai thác việc sử dụng bộ nhớ buffer trong quá trình
handshake khởi tạo phiên bản TCP (Transmission Control Protocol). Hacker làm quá
tải queue in-process của hệ thống mục tiêu với các yêu cầu kết nối, nhưng nó không
phản hồi khi hệ thống mục tiêu trả lời các yêu cầu đó. Điều này khiến hệ thống mục
tiêu hết thời gian chờ đợi phản hồi từ thiết bị của kẻ tấn công, điều này khiến hệ thống
gặp sự cố hoặc không sử dụng được vì hàng đợi queue bị đầy.
Tấn công Teardrop
Cuộc tấn công này làm cho các trường độ dài và độ lệch phân mảnh trong các
gói Internet Protocol (IP) tuần tự chồng lên nhau trên host bị tấn công. Mặc dù hệ
thống bị tấn công cố gắng tạo lại các gói trong quá trình này nhưng không thành công.
Hệ thống mục tiêu sau đó trở nên nhầm lẫn và bị treo.
Nếu người dùng không có các bản vá (patch) để bảo vệ khỏi cuộc tấn công
DDoS này, hãy vô hiệu hóa SMBv2 và chặn các cổng port 139 và 445.
Tấn công Smurt
Cuộc tấn công này liên quan đến việc sử dụng giả mạo IP (IP spoofing) và
ICMP để bão hòa lưu lượng truy cập vào mạng mục tiêu. Phương pháp tấn công này
sử dụng các yêu cầu ICMP echo được nhắm mục tiêu vào các địa chỉ IP quảng bá
broadcast. Các yêu cầu ICMP này bắt nguồn từ địa chỉ của “người dùng” giả mạo.
Ví dụ: nếu địa chỉ của người dùng dự định là 10.0.0.10, hacker sẽ giả mạo yêu
cầu ICMP echo từ 10.0.0.10 đến địa chỉ quảng bá broadcast 10.255.255.255. Yêu cầu
này sẽ chuyển đến tất cả các IP trong phạm vi, với tất cả các phản hồi sẽ quay trở lại
10.0.0.10, làm quá tải mạng. Quá trình này có thể lặp lại và có thể được tự động hóa
nhằm tạo ra một lượng lớn tắc nghẽn mạng.
14
Để bảo vệ thiết bị của bạn khỏi cuộc tấn công như thế này, bạn cần phải tắt các
broadcast IP được phát trực tiếp tại các bộ định tuyến router. Điều này sẽ ngăn chặn
yêu cầu broadcast ICMP echo trên các thiết bị mạng. Một tùy chọn khác là định cấu
hình hệ thống cuối để ngăn chúng phản hồi các gói ICMP từ các địa chỉ broadcast.
Tấn công Ping of death
Loại tấn công này sử dụng các gói IP để ping một hệ thống mục tiêu có kích
thước IP tối đa là 65,535 byte. Các gói IP có kích thước này không được cho phép, vì
vậy hacker sẽ phân mảnh gói IP. Khi hệ thống mục tiêu tập hợp lại gói tin, nó có thể bị
quá tải bộ đệm và các sự cố khác.
Các cuộc tấn công ping of death có thể bị chặn bằng cách sử dụng một firewall
để kiểm tra các gói IP bị phân mảnh (fragmented) về kích thước tối đa.
Tấn công Botnets
Botnet là hàng triệu hệ thống bị nhiễm phần mềm độc hại dưới sự kiểm soát
của hacker để thực hiện các cuộc tấn công DDoS. Các bot hoặc hệ thống zombie này
được sử dụng để thực hiện các cuộc tấn công chống lại hệ thống mục tiêu, thường làm
quá tải băng thông bandwidth và khả năng xử lý của hệ thống mục tiêu. Các cuộc tấn
công DDoS này rất khó truy dấu vết vì các botnet nằm ở nhiều vị trí địa lý khác nhau.
Botnet có thể được giảm thiểu bằng cách:
Lọc RFC3704, nơi mà sẽ từ chối lưu lượng truy cập từ các địa chỉ giả mạo
(spoof) và giúp đảm bảo rằng lưu lượng truy cập có thể truy dấu đến đúng mạng nguồn
của nó. Ví dụ, bộ lọc RFC3704 sẽ để các gói từ địa chỉ danh sách bogon.
Bộ lọc black hole, làm giảm lưu lượng truy cập không mong muốn trước khi
nó đi vào mạng được bảo vệ. Khi một cuộc tấn công DDoS được phát hiện, máy chủ
BGP (Border Gateway Protocol) sẽ gửi các bản cập nhật routing đến các bộ định tuyến
router ISP để chúng định tuyến tất cả lưu lượng truy cập đến các server người dùng và
sử dụng interface null0 ở bước tiếp theo.
Tấn công Man-in-the-midđle (MitM)
Một tấn công MitM xảy ra khi một hacker tự chèn vào giữa các giao tiếp của
client và server. Dưới đây là một số kiểu tấn công man-in-the-middle phổ biến:
Session hijacking (Chiếm quyền điều khiển)
Máy client kết nối với server.
Máy tính của hacker ngắt kết nối máy client khỏi server.
Máy tính của hacker giành được quyền kiểm soát máy client
15
Hacker thay thế địa chỉ IP của client bằng địa chỉ IP của chính nó và giả mạo
sequence number của client.
Máy tính của hacker tiếp tục trao đổi dữ liệu với server và lúc đó server tin
rằng nó vẫn đang giao tiếp với máy client.
Giả mạo IP (IP Spoofing)
Giả mạo IP được hacker sử dụng để thuyết phục hệ thống rằng nó đang giao
tiếp với một thực thể (entity) đáng tin cậy, đã biết và cung cấp cho hacker quyền truy
cập vào hệ thống. Hacker sẽ gửi một gói với địa chỉ nguồn IP của một server đáng tin
cậy, đã biết thay vì địa chỉ nguồn IP của chính nó tới một host mục tiêu. Host mục tiêu
có thể chấp nhận gói tin đó và hành động theo nó.
Replay
Một cuộc tấn công phát lại xảy ra khi hacker chặn và lưu các tin nhắn cũ. Sau
đó cố gắng gửi chúng đi bằng cách mạo danh một trong những người tham gia. Loại
này có thể được đối phó dễ dàng với việc giấu phiên bản thời gian hoặc số nonce (một
số ngẫu nhiên hoặc một chuỗi thay đổi theo thời gian).
Hiện tại, không có công nghệ hoặc cấu hình duy nhất nào để ngăn chặn tất cả
các cuộc tấn công MitM. Nói chung, việc mã hóa và chứng chỉ số SSL sẽ cung cấp
biện pháp bảo vệ hiệu quả chống lại các cuộc tấn công MitM, đảm bảo cả tính bí mật
và tính toàn vẹn của thông tin liên lạc. Nhưng một cuộc tấn công man-in-the-middle có
thể xâm nhập vào giữa các giao tiếp theo cách mà việc mã hóa cũng không giúp ích
được gì.
Tấn công lừa đảo trực tuyến spear-phishing
Tấn công lừa đảo Spear phishing là hoạt động gửi email có vẻ như từ các
nguồn đáng tin cậy với mục tiêu lấy thông tin cá nhân hoặc tác động đến người dùng
nhằm thực hiện điều gì đó. Nó có thể liên quan đến file đính kèm với email mà bạn vô
tình tải malware vào máy tính. Nó cũng có thể là một liên kết dẫn đến một trang web
bất hợp pháp, nơi có thể lừa bạn tải xuống malware hoặc chuyển giao thông tin cá
nhân của mình.
Spear phishing là một loại hoạt động lừa đảo được nhắm mục tiêu. Những
hacker dành thời gian để tiến hành nghiên cứu các mục tiêu và tạo ra các thông điệp
mang tính liên quan cá nhân. Do đó, hành vi lừa đảo trực tuyến có thể rất khó xác định
và thậm chí còn khó bảo vệ hơn.
Một trong những cách đơn giản nhất mà một hacker có thể thực hiện một cuộc
tấn công lừa đảo trực tuyến là giả mạo email, đó là khi thông tin trong phần “From”
của email bị làm giả, làm cho nó có vẻ như đến từ một người mà bạn biết, chẳng hạn
16
như quản lý của bạn hoặc công ty đối tác của bạn. Một kỹ thuật khác mà những kẻ lừa
đảo sử dụng để thêm độ uy tín cho câu chuyện là sao chép trang web – chúng sao chép
các trang web hợp pháp để đánh lừa bạn nhập thông tin nhận dạng cá nhân Personally
Identifiable Information (PII) hoặc thông tin đăng nhập.
Để giảm nguy cơ bị lừa đảo, bạn có thể sử dụng các kỹ thuật sau:
Tư duy phản biện – Đừng chấp nhận rằng email đó là thỏa thuận thực sự tốt chỉ
vì bạn đang bận rộn hoặc căng thẳng vì bạn đang có 150 thư chưa đọc khác trong hộp
thư đến của mình. Dừng lại một phút và hãy phân tích email đó.
Kiểm tra qua các liên kết – Di chuyển chuột qua liên kết, nhưng không nhấp
vào liên kết đó! Chỉ cần để con trỏ chuột qua liên kết và xem nơi nó đến thực sự từ
đâu. Áp dụng tư duy phản biện để giải mã URL.
Phân tích tiêu đề header email – Tiêu đề email xác định làm thế nào một email
gửi đến địa chỉ của bạn. Các thông số “Reply-to” và “Return-Path” phải dẫn đến cùng
một miền domain như được nêu trong email.
Tấn công Drive-by download
Driver-by download là một phương pháp phổ biến để phát tán malware. Hacker
tìm kiếm các trang web không được bảo vệ và đặt một tập lệnh độc hại vào
code HTTP hoặc PHP trên một trong các trang đó. Tập lệnh này có thể cài đặt
malware trực tiếp vào máy tính của người nào mà truy cập trang web đó hoặc nó có
thể hướng người dùng đến trang web do hacker kiểm soát.
Những Drive-by download có thể xảy ra khi truy cập trang web hoặc xem
email hoặc cửa sổ pop-up. Không giống như nhiều loại tấn công an ninh mạng khác,
drive-by không dựa vào người để làm bất kỳ điều gì chủ động kích hoạt cuộc tấn công,
bạn không phải nhấp vào nút tải xuống hoặc mở file đính kèm email độc hại để bị
nhiễm. Một Drive-by download có thể tận dụng lợi thế của ứng dụng, hệ điều hành
hoặc trình duyệt web browser có lỗi bảo mật do cập nhật không thành công hoặc thiếu
các bản cập nhật.
Để bảo vệ mình khỏi các cuộc tấn công Drive-by download, bạn cần cập nhật
trình duyệt browser và hệ điều hành của mình thường xuyên và tránh các trang web có
thể chứa code độc hại. Bám sát các trang web bạn thường sử dụng. Hãy nhớ rằng ngay
cả những trang web này cũng có thể bị tấn công. Đừng giữ quá nhiều chương trình và
ứng dụng không cần thiết trên thiết bị của bạn. Bạn càng có nhiều plug-in, thì càng có
nhiều lỗ hổng có thể bị khai thác bởi các cuộc tấn công Drive-by download.
Tấn công mật khẩu
17
Vì mật khẩu là cơ chế được sử dụng phổ biến nhất để xác thực user đăng nhập
vào hệ thống thông tin, nên việc lấy mật khẩu là một phương pháp tấn công phổ biến
và hiệu quả. Bạn có thể truy cập mật khẩu của một người bằng cách nhìn xung quanh
bàn làm việc của người đó, ‘‘ sniffing ’’ kết nối với mạng để lấy mật khẩu không được
mã hóa, sử dụng kỹ thuật social engineering, giành quyền truy cập vào database.
Tấn công SQL injection
SQL injection đã trở thành một vấn đề phổ biến với các trang web database-
driven. Nó xảy ra khi một người dùng thực thi một truy vấn query SQL đến database
thông qua dữ liệu input từ máy client đến server. Các lệnh SQL được chèn vào input
data-plane (ví dụ: thay vì đăng nhập hoặc mật khẩu) để chạy các lệnh SQL được xác
định trước.
Khai thác SQL Injection thành công có thể đọc dữ liệu nhạy cảm từ database,
sửa đổi (chèn, cập nhật hoặc xóa) database, thực thi các hoạt động quản trị (chẳng hạn
như tắt máy) trên database, khôi phục nội dung của một file nhất định và trong một số
trường hợp, nó còn ra lệnh cho hệ điều hành.
Tấn công Cross-site scriting (XSS)
Các cuộc tấn công XSS sử dụng tài nguyên web của bên thứ ba để chạy các tập
lệnh trong trình duyệt browser web hoặc ứng dụng liên quan tập lệnh. Cụ thể, kẻ tấn
công tiêm nhiễm một payload chứa JavaScript độc hại vào database của trang web.
Khi người dùng yêu cầu một trang từ trang web, trang web sẽ truyền trang, với
payload của hacker là một phần của nội dung HTML, đến trình duyệt browser của
người dùng, nơi thực thi tập lệnh độc hại.
Để bảo vệ khỏi các cuộc tấn công XSS, các developer có thể filter dữ liệu input
của người dùng trong một yêu cầu HTTP trước khi phản hồi lại. Đảm bảo tất cả dữ
liệu được xác thực, lọc hoặc thoát ra trước khi gửi lại bất kỳ thứ gì cho người dùng,
chẳng hạn như giá trị của các tham số truy vấn trong khi tìm kiếm. Chuyển đổi các ký
tự đặc biệt như ?, &, /, <,> và dấu cách thành các ký tự tương đương được mã hóa
HTML hoặc URL tương ứng. Cung cấp cho người dùng tùy chọn để tắt các tập lệnh
phía máy client.
Tấn công nghe lén
Các cuộc tấn công nghe lén (Eavesdropping attack) xảy ra thông qua việc đánh
chặn lưu lượng mạng. Bằng cách nghe trộm, hacker có thể lấy mật khẩu, số thẻ tín
dụng và thông tin bí mật khác mà người dùng có thể gửi thông qua mạng.
1.
2.
18
3.
3.1.
3.2. Phòng thủ
19
Firewall phần mềm sử dụng để đảm bảo anh ninh cho các mạng vừa, nhỏ do đó
chi phí thấp, không ảnh hưởng đến tốc độ chuyển các gói tin; Firewall phần mềm thực
hiện trên từng hệ điều hành nhất định.
Firewall phần cứng có thể thực hiện độc lập. Firewall phần mềm có thể lọc
đuợc nội dung gói tin còn fìrewall phần cứng chỉ có thể lọc thông tin của gói tin, nội
dung của gói tin thì firewall phần cứng không thể kiểm soát.
20
Chương 4. KIỂM THỬ CÁC PHƯƠNG ÁN TẤN CÔNG
1
2
3
4
4.1. Sử dụng Social engineering toolkit(root)
Giới thiệu.
Sự phát triển của công nghệ, đặc biệt là Internet đã giúp cuộc sống của con người
trở nên thuận tiện và dễ dàng hơn. Tuy nhiên kéo theo đó là sự gia tăng nhiều hình thức
lừa đảo công nghệ cao nhằm chiếm đoạt thông tin, tài sản cá nhân. Các hình thức lừa
đảo này được biết đến như là các biểu hiện khác nhau của phương thức tấn công Social
Engineering. Đây là 1 phương pháp được hacker mũ đen rất thích sử dụng vì nó không
cần quá nhiều kỹ thuật mà đánh mạnh vào tâm lí, cảm tính của con người.
Setoolkit hay Social-Engineer Toolkit được tạo ra và viết bởi Dave Kennedy,
người sáng lập TrustedSec. Nó là một công cụ dựa trên Python mã nguồn mở nhằm
mục đích kiểm tra thâm nhập xung quanh Social-Engineering.
Đến nay Setoolkit có hơn 2 triệu lượt tải xuống và nhằm mục đích tận dụng các
cuộc tấn công công nghệ tiên tiến trong môi trường Social Enginnering. Bộ công cụ đã
được giới thiệu trong một số cuốn sách như: “Metasploit: The Penetrations Tester's
Guide” được viết bởi người sáng lập TrustedSec cũng như Devon Kearns, Jim
O'Gorman, và Mati Aharoni.
21
Cách cài đặt.
Hiện tại thì SEToolkit đã được tích hợp sẵn trong bản cài đặt Kali Linux mới
nhất. Nên với những ai đang sử dụng Kali linux thì tại Terminal ta chỉ cần gõ lệnh
Setoolkit là truy cập được. Còn đối với các hệ điều hành khác hoặc các bản phân phối
của Linux như Ubuntu thì ta có thể tải về theo 2 cách:
Ta có thể tải trực tiếp thông qua trang chủ của dự án: Social-Engineer
Toolkit – TrustedSec.
Tải qua Github của dự án: trustedsec/social-engineer-toolkit
Sử dụng lệnh:
Sau khi cài đặt và chạy thì ta sẽ thấy một thông báo thỏa thuận. Đọc và đồng ý
với thỏa thuận là có thể sử dụng công cụ này. Giao diện của Setoolkit như sau:
22
Một số tính năng chính.
SET cung cấp rất nhiều vector và kỹ thuật tấn công khác nhau. Tuy nhiên ta có
thể nêu ra 1 vài tính năng chính như sau:
Tấn công lừa đảo: Tính năng này cho phép bạn chọn từ một số tùy chọn tấn
công phishing để tiếp cận nạn nhân của mình. Bạn có thể tạo các thư email có đính kèm
các tải trọng độc hại và gửi chúng đến một số lượng nhỏ hoặc nhiều người nhận. Nó
cũng cho phép bạn giả mạo địa chỉ email của mình bằng cách thay đổi các biến đơn
giản, giúp bạn thực sự dễ sử dụng.
Tấn công web: Mô-đun này kết hợp các tùy chọn khác nhau để tấn công nạn
nhân của bạn từ xa. Nó bao gồm các kỹ thuật tấn công như Java Applet Attack và
Metasploit Browser Exploit để cung cấp các payload độc hại. Phương pháp Credential
Harvester cho phép bạn sao chép trang web và thu thập thông tin từ các trường người
dùng và mật khẩu, cũng như các kỹ thuật TabNabbing, HTA Attack, Web-Jacking và
23
Multi-Attack, tất cả đều có cùng mục đích là phishing nhằm lừa người dùng tiết lộ
thông tin đăng nhập của họ.
Trình tạo phương tiện truyền nhiễm: Tính năng thú vị này cho phép bạn tạo
các thiết bị đa phương tiện bị nhiễm(USB / CD / DVD) với tệp autorun.inf, sau này có
thể được chèn vào bất kỳ PC nào và sẽ tự động chạy payload của Metasploit nếu tính
năng chạy tự động được bật.
Tạo Payload và Listener: Tính năng này cho phép bạn tạo các payload độc hại
cho Windows, bao gồm Shell Reverse_TCP, Reverse_TCP Meterpreter, Shell
Reverse_TCP X64 và Meterpreter Reverse HTTPS.
Tấn công Mass Mailer: Loại tấn công này có thể được thực hiện chống lại một
hoặc nhiều cá nhân, thậm chí cho phép bạn nhập danh sách người dùng để gửi cho bất
kỳ người nào bạn muốn. Nó cũng cho phép bạn sử dụng tài khoản Gmail cho cuộc tấn
công email của bạn hoặc sử dụng máy chủ của riêng bạn hoặc chuyển tiếp mở để gửi
hàng loạt.
Ngoài các tùy chọn chính này, bạn cũng sẽ tìm thấy các lựa chọn tấn công hữu
ích khác như dựa trên Arduino, Điểm truy cập không dây, Trình tạo mã QR và Vectơ
tấn công Powershell.
4.2. Tạo trang web lừa đảo
Ta sẽ sử dụng công cụ setoolkit để thực hiện fishing trang: https://vi-
vn.facebook.com/ và lấy thông tin đăng nhập. Vào giao diện của Setoolkit:
24
Tại giao diện của Setoolkit thực hiện chọn option 1 để thực hiện tấn
công Social-engineering. Ta được:
Tiếp theo chọn option 2 để thực hiện tấn công với Website:
25
Tại đây ta sẽ có 3 lựa chọn để tấn công:
Web templates: Thực hiện tấn công phishing với các mẫu có sẵn như
google, twitter, vv:
26
Quay trở lại tool, lúc này tool sẽ yêu cầu mình nhập địa chỉ IP. Ta sẽ thực
hiện nhập địa chỉ IP nội bộ khi muốn tấn công mạng LAN và nhập địa chỉ IP ngoài của
mình khi muốn tấn công mang WAN. Trong hướng dẫn này, ta sẽ thực hiện cuộc tấn
công trên mạng LAN, để kiểm tra địa chỉ IP nội bộ hãy chạy ifconfig. Tiếp theo nhập
địa chỉ đường dẫn vừa lưu tệp index.html, nhớ thêm / ở sau đường dẫn. Và cuối cùng là
nhập url trang web bạn muốn phishing. Các bước được thực hiện như ảnh sau :
Vậy là setup thành công bây giờ SET sẽ mở Ip 192.168.137.130 để nghe ngóng
dữ liệu. Ở trên máy vừa cài đặt, thực hiện truy cập localhost port 192.168.137.130 để
xem giao diện :
27
Đối với máy thuộc cùng mạng LAN, ta sẽ truy cập thông qua địa chỉ IP nội bộ
vừa nhập. Mở rộng 1 chút, ta có thể sử dụng công cụ ngrok để chuyển từ khai thác
LAN sang WAN. Chạy lệnh ngrok như sau: ./ngrok tcp 80 ta được:
Ta có thể hiểu đơn giản là lúc này ngrok đã mở cho mình 1 đường hầm giữa
localhost của bạn và internet. Giúp người khác mạng có thể truy cập được localhost của
bạn thông qua custom domain của ngrok, như trong ảnh trên là:
2.tcp.ngrok.io:13690 -> localhost:80. Thực hiện truy cập
vào 2.tcp.ngrok.io:13690:
28
Khi người dùng truy cập vào url trên và nhập thông tin vào trang facebook giả này
thì request sẽ được chuyển về cho SET. Giao diện SET lúc này sẽ như sau:
29
Buớc 2: Chọn 1 "Social Engineering Attacks"
30
Bước 3: Chọn 4 "Create Payload and Listener"
31
Bước 5: Chọn payload mà bạn muốn, trong trường hợp này mình chọn 2
"Windows Reverse_TCP Meterpreter"
32
Bước 7: Chọn cổng
33
Sau đó, công cụ sẽ tiến hình quá trình crypt
Bước 8: Sau khi hoàn tất, bạn sẽ thấy xuất hiện file msf.exe trong đường
dẫn /root/.set
34
Để dễ dàng đánh lừa nạn nhân, mình sẽ đổi tên file này thành
crack_facebook.exe
35
Bước 10: Điều bạn cần làm là chuyển giao file crack_facebook.exe này
tới nạn nhân (bạn có thể up nó lên các web lưu trữ, rồi trỏ link vào các forum,
comment link trên youtube....) Sau khi nạn nhân kích vào file này, bạn đã thâm nhập
thành công máy nạn nhân.
36
Lưu ý: Để tăng cường khả năng vượt qua sự phát hiện của phần mềm diệt virus,
có thể tìm các tools cho crypter và kết hợp các crypter có sẵn trong công cụ.
4.4. Các cách phòng tránh
Luôn kiểm tra đường dẫn trước khi truy cập 1 địa chỉ lạ
Người dùng Internet cần dành thời gian kiểm tra đường dẫn nhận được qua thư
điện tử hay mạng xã hội. Đường dẫn của các website giả mạo sẽ được làm giống các
website chính thống và thường chứa thêm một số từ ngữ, chuỗi ký tự khác. Xem trước
đường dẫn đầy đủ trước khi nhấp vào truy cập là cách nhận biết đầu tiên để phòng
tránh tấn công phising.
Kiểm tra đường dẫn trước khi điền thông tin đăng nhập, thông tin cá
nhân
Khi đã vô tình nhấp vào đường dẫn của website giả mạo, hãy tìm kiếm các dấu
hiệu giả mạo trong chính đường dẫn đó. Đường dẫn của website giả mạo thường chứa
nhiều ký tự vô nghĩa và/hoặc các chuỗi văn bản bổ sung. Nếu có bất cứ dấu hiệu nghi
37
ngờ nào, người dùng không nên tiếp tục thao tác, khai báo các thông tin mà trang web
yêu cầu.
Kiểm tra SSL và chứng thư số của website
Hầu hết các website hợp pháp đều sử dụng giao thức bảo mật SSL (Secure
Sockets Layer) và chứng thư số (Digital Certificate) để bảo vệ khách hàng và giao dịch
trực tuyến. Vì vậy, hãy tìm các dấu hiệu SSL và chứng thư số trên website để kiểm tra
độ tin cậy của đường dẫn.
Kiểm tra thanh địa chỉ để biết thông tin chi tiết của tổ chức
Chứng chỉ SSL/TLS có vai trò quan trọng trong quá trình bảo mật web bằng cách
mã hóa các phiên và bảo vệ thông tin được gửi giữa các trình duyệt và máy chủ web.
Chứng thư số cấp cao (EV SSL Certificate) là chứng thư số cấp cao nhất theo chuẩn
X.509, thường được thể hiện trong thanh địa chỉ màu xanh lá cây chuyên dụng.
Phần lớn các website chính thống của thương hiệu hàng đầu đã sử dụng EV SSL,
giúp người dùng dễ dàng xác minh website đang truy cập. Khi khách hàng nhấp chuột
vào phần màu xanh lá cây trong thanh địa chỉ, thông tin chi tiết của đơn vị chủ quản
website và đơn vị cấp chứng thực sẽ được hiển thị.
Cẩn thận với tấn công homograph – tấn công từ đồng âm tên miền quốc
tế
Kỹ thuật tấn công homograph lợi dụng tập hợp các từ được đánh vần giống nhau,
nhưng có ý nghĩa khác nhau để tạo ra các tên miền giả mạo. Nhiều ký tự Unicode dùng
để biểu diễn cho các bảng chữ cái của tiếng Hy Lạp, Cyrillic và Armenian trong các
tên miền quốc tế, nếu nhìn bằng mắt thường sẽ trông không khác gì các chữ cái Latin
gây dễ nhầm lẫn. Tuy nhiên, các ký tự này được máy tính xử lý như các ký tự khác
nhau, trở thành các địa chỉ website hoàn toàn khác biệt.
Với cách thức này, kẻ lừa đảo có thể tạo ra một tên miền giả mạo, thậm chí sử
dụng chứng thư số bảo mật, khiến người dùng rất dễ bị lừa. Do đó, đây là phương
pháp tấn công giả mạo “gần như không thể phát hiện ra”. Nếu người dùng cảm thấy
đường dẫn đáng ngờ, hãy sao chép và dán đường dẫn này vào một thẻ khác trên trình
38
duyệt, tên miền thật sự sẽ được tiết lộ. Một cách khác là người dùng nhấp vào chi tiết
chứng chỉ SSL để xem tên miền thực sự được chứng nhận.
Các chuyên gia bảo mật khuyến cáo rằng các bộ phận CNTT phải thường xuyên
tiến hành kiểm tra để tránh các cuộc thâm nhập có sử dụng các kỹ thuật social
engineering. Điều này sẽ giúp quản trị viên tìm hiểu loại người dùng nào có nguy cơ
cao nhất đối với các loại tấn công cụ thể, đồng thời xác định các yêu cầu đào tạo bổ
sung cho nhân viên của mình.
Đào tạo nâng cao nhận thức bảo mật cũng có thể hữu ích trong việc ngăn chặn
các cuộc tấn công social engineering. Nếu mọi người biết những gì hình thành các
cuộc tấn công social engineering và chúng có khả năng thực hiện những điều gì, thì họ
sẽ ít có khả năng trở thành nạn nhân hơn.
Trên quy mô nhỏ hơn, các tổ chức phải có các cổng truy cập email và web an
toàn để quét email chứa các liên kết độc hại và lọc chúng ra, nhằm làm giảm khả năng
các nhân viên sẽ nhấp vào một trong các liên kết không an toàn đó. Luôn cập nhật các
bản sửa lỗi phần mềm trên các thiết bị cũng rất quan trọng, cũng như theo dõi các nhân
viên chuyên xử lý các thông tin nhạy cảm và kích hoạt các biện pháp xác thực nâng
cao cho họ.
Đừng trở thành nạn nhân
Trong bối cảnh các cuộc tấn công lừa đảo diễn ra tràn lan, rất nhanh chóng và chỉ
cần một vài người sử dụng làm con mồi là cuộc tấn công đã thành công, bạn cần có
những phương pháp để bảo vệ bản thân mình. Đơn giản nhất là hãy chú ý đến mọi thứ.
Hãy ghi nhớ những điều sau để tránh bị lừa đảo.
39
Những mẹo cần nhớ:
Chậm lại: Người gửi spam muốn bạn hành động trước và suy nghĩ sau. Nếu
thông điệp truyền tải tạo một cảm giác cấp bách hoặc sử dụng chiến thuật gây áp lực
cao thì hãy cảnh giác. Đừng bao giờ để cho sự khẩn cấp chúng tạo ra ảnh hưởng đến
sự đánh giá của bạn.
Nghiên cứu kỹ càng: Hãy nghi ngờ bất kỳ tin nhắn nào bạn nhận được. Nếu
email có vẻ như là từ một công ty bạn đang sử dụng dịch vụ, hãy tìm hiểu theo cách
của riêng bạn. Sử dụng công cụ tìm kiếm để truy cập trang web của công ty hoặc thư
mục điện thoại để tìm số điện thoại của họ rồi xác thực thông tin.
Đừng để một liên kết kiểm soát nơi bạn đến: Giữ quyền kiểm soát bằng cách
tự tìm kiếm trang web thông qua việc sử dụng công cụ tìm kiếm để đảm bảo bạn đến
đúng trang web mình cần. Di chuột qua các liên kết trong email sẽ hiển thị URL thực
tế ở phía dưới, nhưng lưu ý là những giả mạo tinh vi vẫn có thể đánh lừa bạn.
Việc hack email đang diễn ra tràn lan: Tin tặc, kẻ gửi spam và những kẻ sử
dụng social engineering chiếm quyền kiểm soát tài khoản email của mọi người (và các
tài khoản liên lạc khác) đã trở nên ngày càng nguy hiểm hơn. Khi chúng kiểm soát tài
khoản email, chúng sẽ đánh cắp danh bạ của người đó. Ngay cả khi người gửi dường
như là người bạn biết, nếu bạn không mong đợi một email có liên kết hoặc file đính
kèm, hãy kiểm tra với bạn bè trước khi mở liên kết hoặc tải xuống.
Cẩn thận với bất kỳ tải xuống nào: Nếu bạn không biết người gửi là ai và vì
sao họ lại gửi file đính kèm cho bạn, việc tải xuống bất kỳ điều gì là một sai lầm
nghiêm trọng.
Địa chỉ email nước ngoài là giả mạo: Nếu bạn bỗng dưng nhận được email từ
công ty xổ số hoặc rút thăm trúng thưởng ở nước ngoài, tiền từ một người họ hàng
không xác định hoặc yêu cầu chuyển tiền từ nước ngoài thì chắc chắn đó là lừa đảo.
Cách bảo vệ bản thân:
40
Xóa mọi yêu cầu cung cấp thông tin tài chính hoặc mật khẩu: Nếu bạn
được yêu cầu trả lời thư có thông tin cá nhân thì đó là một trò lừa đảo.
Từ chối yêu cầu trợ giúp hoặc đề nghị trợ giúp: Các công ty và tổ chức hợp
pháp không liên lạc với bạn để trợ giúp. Nếu bạn không yêu cầu hỗ trợ cụ thể từ người
gửi, hãy xem xét bất kỳ đề nghị nào để 'trợ giúp' khôi phục điểm tín dụng, hỗ trợ mua
nhà, trả lời câu hỏi, v.v... Tương tự, nếu bạn nhận được yêu cầu trợ giúp từ tổ chức từ
thiện hoặc tổ chức mà bạn không có mối quan hệ nào, hãy xóa bỏ các yêu cầu đó.
Thay vào đó, hãy tự mình tìm kiếm các tổ chức từ thiện có uy tín để tránh trở thành
nạn nhân của một trò lừa đảo.
Đặt bộ lọc spam của bạn ở mức cao nhất: Mỗi chương trình email đều có bộ
lọc spam. Hãy xem các tùy chọn cài đặt của bạn và đặt các tùy chọn này ở mức cao
nhất — chỉ cần nhớ kiểm tra thư mục spam của bạn theo định kỳ để xem liệu có email
quan trọng nào bị đưa nhầm vào đây hay không. Bạn cũng có thể tìm kiếm hướng dẫn
từng bước để cài đặt bộ lọc spam của mình bằng cách tìm kiếm tên nhà cung cấp email
của bạn cộng với cụm từ 'spam filters'.
Bảo mật các thiết bị máy tính của bạn: Cài đặt phần mềm diệt virus, tường
lửa, bộ lọc email và cập nhật các phần mềm này. Đặt hệ điều hành của bạn tự động cập
nhật và nếu điện thoại thông minh của bạn không tự động cập nhật, hãy cập nhật thủ
công bất cứ khi nào bạn nhận được thông báo yêu cầu cập nhật. Sử dụng một công cụ
41
chống lừa đảo được cung cấp bởi trình duyệt web của bạn hoặc bên thứ ba để cảnh báo
bạn về các rủi ro.
42
Chương 5. KẾT LUẬN
Setoolkit là một công cụ tấn công Social Enginnering rất mạnh mẽ và có nhiều tùy
chọn để khám phá khi làm việc với Setoolkit. Đối với bài viết này, mình chỉ đề cập đến
cài đặt và các tùy chọn chính, đồng thời cho thấy việc sử dụng một trong những
phương pháp lừa đảo thông dụng nhất: trang web giả mạo.
Bài báo cáo cũng cho thấy các cuộc tấn công phishing ngày càng trở nên tinh vi
hơn. Vì thế hiểu rõ được cách vận hành cũng như cách hacker khai thác sẽ giảm tối đa
nguy cơ bị mất thông tin.
43