Professional Documents
Culture Documents
Gather
Information
Attacker làm
Nạn nhân được
cho nạn nhân
yêu cầu giúp đỡ
tiết lộ thông tin
và họ thực hiện
bằng cách hứa
dựa trên đạo
hẹn những điều
đức con người
không có thực
Thiếu sót
trong đào tạo
bảo mật
Lỗ hổng Dễ dàng
chính sách truy cập
bảo mật tài nguyên
Application
Servers Nhiều đơn vị
trong tổ chức
3 4
Phát triển mối quan hệ Khai thác mối quan hệ
Xây dựng mối quan hệ Thu thập các thông tin
thân thiết với nhân viên nhạy cảm về tài khoản,
được chọn tài chính và công nghệ
sử dụng
Thiệt hại
Kinh tế
Đánh mất
Quyền lợi
Đóng
cửa tạm
thời hoặc
vĩnh viễn
Kiện
tụng
Personal
Attacker lấy thông tin bằng cách tiếp cận, hỏi
Approaches
trực tiếp vào thông tin đó
Thực nghiệm
Thực nghiệm
Computer-Based
• Social Engineering được
thực hiện bằng sự giúp đỡ
của máy tính 2
Instant
Pop-up Hoax Chain Spam
Chat
Windows Letters Letters Email
Message
Window đột nhiên Mail thông báo về những món Những Email không
xuất hiện những quà hoặc phền mềm miễn phí mong muốn thu
trang Pop-up yêu với điều kiện người đọc mail thập thông tin tài
cầu đăng nhập phải chuyển tiếp cho một số chính, thông tin cá
hoặc điền thông tin lượng người kế tiếp nhân..v..v…
Institute of Network Security – www.istudy.vn
Computer-Based Social Engineering
Pop-up
• Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm
theo Link, chuyển hướng User tới một Website giả yêu
cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan,
Spyware
Phân công
công việc
cụ thể
Phân loại Ưu tiên
dữ liệu quyền hạn
Chính
Quản lý
sách luật
nhập xuất
pháp
Ghi nhận
thao tác
Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên
Phòng thư Chèn hoặc giả mạo nội dung Giám sát cẩn thận
Thực nghiệm
My Space Facebook
Thực nghiệm
24% 20%
Identity
Thief Ngân hàng/Vốn vay
13%
2011
15%
13% Điện thoại và các tiện ích
15%
Việc làm
Tài liệu chính phủ
• Lấy toàn bộ thông tin trong các hóa đơn nạn nhân
Có tiền là có gần
Tới Bank nơi mà nạn nhân đăng ký mở hết mọi thứ!!!
khoản để đăng ký làm lại tài khoản
Thực nghiệm
• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên
vi phạm mạnh sẽ giúp giảm thiểu Social Engineering.
• Sau quá trình đào tạo, nhân viên nên ký một bản cam
kết chịu trách nhiệm bảo đảm thông tin.
Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị
Không hiển thị tài khoản/số điện thoại nếu không cần thiết
Không bao giờ cho thông tin cá nhân qua điện thoại
Thực nghiệm