KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG- Kỹ thuật tấn công - Social Engineering - 661168

KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security – www.istudy.vn

NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật
Module thuật tấn
tấn công
công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa

Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow

Social Engineering

4
Nội dung
• Khái niệm Social Engineering

• Tác động của Social Engineering
• Phân loại Social Engineering
• Social Engineering trong mạng xã hội
• Trộm cắp tài khoản
• Phòng chống Social Engineering
• Thực nghiệm

Không cách nào có thể sửa chữa
cho sự ngây thơ của con người

Social Engineering là gì?
• Social engineering nghệ thuật thuyết phục người khác

tiết lộ thông tin bí mật.
• Thực tế một người bị tấn công không hề biết là thông tin
cần được bảo mật.
Confidential Information
Gather
Information
Access Details Authorization Details

Tính cách con người là điểm dễ bị tấn công
Social
Nền tảng của Các doanh
nghiệp dễ bị tấn Engineering có
Social
công nếu bỏ thể gây ra thiệt
Engineering là
hại nghiêm
bản năng tin qua Social
trọng nếu
tưởng của con Engineering và
tác động của nó không sớm
người
phát hiện
Attacker làm
Nạn nhân được
cho nạn nhân
yêu cầu giúp đỡ
tiết lộ thông tin
và họ thực hiện
bằng cách hứa
dựa trên đạo
hẹn những điều
đức con người
không có thực

Các yếu tố làm tổ chức dễ bị tấn công
Thiếu sót
trong đào tạo
bảo mật
Lỗ hổng Dễ dàng
chính sách truy cập
bảo mật tài nguyên
Application
Servers Nhiều đơn vị
trong tổ chức

Tại sao Social Engineering lại có tác
động rất lớn?
Chính sách bảo mật mạnh mẽ,
nhưng con người lại là yếu tố nhạy cảm nhất
Không có phần cứng hoặc Rất khó để phát hiện

phần mềm đặc trưng chống tấn công Social
lại Social Engineering Engineering
Không có phương pháp nào đảm bảo hoàn toàn

chống lại Social Engineering

Các dấu hiệu cảnh báo
một cuộc tấn công
• Attacker đóng giả một doanh nhân liên tục tìm cách xâm
nhập đánh cắp thông tin trong hệ thống mạng.
Cung cấp số điện thoại Thái độ vội vàng, lúng

gọi lại túng khi được hỏi tên
Thực hiện yêu cầu Khen ngợi hoặc

không thường lệ thân thiết bất thường
Yêu cầu bồi thường và

Tỏ thái độ khó chịu khi
đe dọa nếu không cấp
được hỏi
thông tin

Các bước trong tấn công Social
Engineering
1 2
Nghiên cứu mục tiêu Lựa chọn nạn nhân
Website, nhân sự, Tìm kiếm một nhân viên
phòng ban, cách hoạt đang thất vọng, bất mãn
động, v..v.. về công ty
Research Develop Exploit
3 4
Phát triển mối quan hệ Khai thác mối quan hệ
Xây dựng mối quan hệ Thu thập các thông tin
thân thiết với nhân viên nhạy cảm về tài khoản,
được chọn tài chính và công nghệ
sử dụng

Các tác động lên một tổ chức
Thiệt hại
Kinh tế
Lợi dụng Nguy cơ

Thiện chí Khủng bố
Đánh mất
Quyền lợi
Đóng
cửa tạm
thời hoặc
vĩnh viễn
Kiện
tụng

Môi trường tấn công
Internet cho phép Attacker tiếp cận nhân viên
ONLINE công ty từ một nguồn khó xác định, và
khuyên họ tiết lộ thông tin bằng việc giả danh
một người dùng đáng tin cậy
Dò hỏi thông tin từ việc gọi điện thoại, đóng

TELEPHONE
vai trò là người sử dụng thông tin hợp pháp,
từ đó xâm nhập vào hệ thống máy tính
Personal
Attacker lấy thông tin bằng cách tiếp cận, hỏi
Approaches
trực tiếp vào thông tin đó

Mục tiêu phổ biến của
Social Engineering
Giám đốc hỗ trợ Kỹ thuật
User và Client
Tiếp tân và Help desk
Các nhà cung cấp

của tổ chức
System Admin

Mục tiêu phổ biến của
Social Engineering: Officer Wokers
Attacker tập trung vào

Mặc dù có Firewall tốt những người làm văn
nhất, IPS/IDS và các phòng, thu thập các dữ
hệ thống AntiVirus, bạn liệu nhạy cảm, bao
vẫn có thể bị tấn công gồm:
bằng những lỗ hổng  Chính sách bảo mật
 Tài liệu nhạy cảm
bảo mật khó lường  Sơ đồ hạ tầng mạng
 Mật khẩu

Module Flow
Social Engineering
Concepts
Kỹ thuật Giả mạo trên

Social Engineering Mạng xã hội
Trộm cắp Biện pháp

Tài khoản phòng chống
Thực nghiệm

Kỹ thuật Social Engineering
Social Engineering
Concepts


Thực nghiệm

1 Human-Based
• Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc
• Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và
bản năng tự nhiên giúp đỡ người khác
Computer-Based
• Social Engineering được
thực hiện bằng sự giúp đỡ
của máy tính 2

Human-Based Social Engineering
Giả mạo Giả mạo Giả mạo

User hợp pháp User quan trọng Hỗ trợ kỹ thuật
Giới thiệu bản Giới thiệu bản Giới thiệu bản

thân như một thân như một thân trong bộ
nhân viên của VIP có ảnh phận hỗ trợ kỹ
công ty và yêu hưởng lớn tới thuật, yêu cầu
cầu các dữ liệu các hoạt động ID và
nhạy cảm của công ty để Password để
yêu cầu thông lấy dữ liệu cần
tin xử lý

Human-Based Social Engineering
Nghe lén Nhìn lén

• Nghe trộm cuộc đàm • Một cách để lấy trộm
thoại hoặc tin nhắn, Account, Password,
audio, video,v..v... thông tin cá nhân..v..v...

Human-Based Social Engineering:
Dumpster Diving
• Những thông tin hữu ích có thể tìm ra từ thùng rác và
hòm thư của nạn nhân.
Hóa đơn Thông tin

điện thoại liên lạc
Thông tin Thông tin

điều hành tài chính

Piggybacking
Tôi để quên thẻ từ ra vào

cửa ở nhà, anh có thể cho tôi
theo vào phía sau không?
Vâng, xin mời theo tôi, tôi sẽ

giúp anh!

Third-party Authorization
Xin chào, tôi thuộc đối tác

vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác
không?
Vâng, anh cứ hỏi!

Phòng chống
Xin chào, tôi thuộc đối tác

vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác
không?
Anh thuộc đối tác vàng nào?

Đã ký với chúng tôi hợp đồng
số hiệu bao nhiêu? Đã cùng
chúng tôi làm những gì?

Computer-Based Social Engineering
Mail báo về một Virus, Thu thập thông tin như
Trojan, Worm mới có thể ngày sinh, bệt danh thông
gây hại cho máy tính qua Nick chat Online
Instant
Pop-up Hoax Chain Spam
Chat
Windows Letters Letters Email
Message
Window đột nhiên Mail thông báo về những món Những Email không
xuất hiện những quà hoặc phền mềm miễn phí mong muốn thu
trang Pop-up yêu với điều kiện người đọc mail thập thông tin tài
cầu đăng nhập phải chuyển tiếp cho một số chính, thông tin cá
hoặc điền thông tin lượng người kế tiếp nhân..v..v…
Computer-Based Social Engineering
Pop-up
• Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm
theo Link, chuyển hướng User tới một Website giả yêu
cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan,
Spyware
Phishing (Lừa đảo)

• Attacker gửi một Email hợp lệ vào hòm thư User yêu cầu
cập nhật lại thông tin hoặc thông tin tài khoản
• Cả Pop-up và Phishing đều chuyển hướng User tới những
trang Web giả

Computer-Based Social Enginnering
SMS Text Message
SMS từ Chứng khoán Đông Á: Tài khoản của

quí khách không đủ thông tin cho phiên giao dịch,
xin vui lòng gọi 08.xxxx001 để bổ sung thông tin
Gọi 08.xxxx001: Xin chào, tôi

là ABC, tôi xin bổ sung số tài
khoản là 207-231-5782, mật
khẩu giao dịch là “P@ssw0rd”

Human & Computer-Based
Social Engineering
Spying (Gián điệp)
• Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của
bạn, họ có thể cài người vào xin việc rồi lấy các thông tin
nhạy cảm gửi ra bên ngoài
Revenge (Tư thù)

• Nhân viên làm việc bất mãn với các chính sách, đãi ngộ,
nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra
bên ngoài cho các đối tượng cần chúng như đối thủ,
khủng bố, tống tiền…

Social Engineering
Phân công
công việc
cụ thể
Phân loại Ưu tiên
dữ liệu quyền hạn
Chính
Quản lý
sách luật
nhập xuất
pháp
Ghi nhận
thao tác

Social Engineering
Đối tượng Xu hướng tấn công Biện pháp phòng chống
Đào tạo cho các nhân viên không
Phone Mạo danh và thuyết phục
chia sẻ thông tin mật qua điện thoại
Thực hiển chứng thực tại lối vào:
Lối vào trụ sở Thâm nhập bất hợp pháp
Thẻ từ, vân tay…
Không sử dụng Password nếu có
Văn phòng Nhìn lén
người lạ hiện diện
Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên
Lang thang tìm kiếm các văn

Văn phòng Hộ tống tất cả các khách vào công ty
phòng mở
Phòng thư Chèn hoặc giả mạo nội dung Giám sát cẩn thận
Chiếm quyền điều khiển, di

Thường xuyên cập nhật danh mục
Phòng máy chuyển thiết bị, đặt thiết bị
thiết bị, khóa cửa cẩn thật
theo dõi
Đánh cắp danh sách số điện
Phone-PBX Gíam sát tất cả các cuộc gọi
thoại, gọi lén
Giả mạo trên Mạng xã hội
Social Engineering
Concepts


Thực nghiệm

Social Engineering trên Mạng xã hội
Giả mạo tính Thông tin Giả mạo thu

cách và hành Tổ chức thập thông tin
động của người trên mạng xã
khác hội
Thông tin Thông tin

Cá nhân nhạy cảm
Attacker sử dụng Attacker sử dụng

thông tin thu thập Kết nối và profile của người
được như một Liên lạc khác kết bạn và
dạng của Social thu thập thông tin
Engineering

Tumblr Google Plus
My Space Facebook
Twitter

Mạng xã hội là một CSDL khổng lồ truy

Đánh cắp
cập bởi nhiều cá nhân, tăng nguy cơ bị
dữ liệu
khai thác thông tin
Nhân viên có thể vô tình mang dữ liệu nhạy
Thông tin nhạy
cảm của công ty lên mạng xã hội nếu không
cảm bị rò rỉ
có chính sách mạnh mẽ
Những thông tin trên mạng xã hội có
Tấn công nạn nhân thể được dùng cho việc khảo sát
sơ bộ nạn nhân
Tất cả các trang mạng xã hội có thể
Lổng hổng hệ thống mạng sai sót dẫn đến tạo ra lỗ hổng trong
hệ hệ thống mạng của công ty

Trộm cắp tài khoản
Social Engineering
Concepts


Thực nghiệm

Y tế/Bảo hiểm/Đầu tư
Thẻ tín dụng
24% 20%
Identity
Thief Ngân hàng/Vốn vay
13%
2011
15%
13% Điện thoại và các tiện ích
15%
Việc làm
Tài liệu chính phủ

Trộm cắp tài khoản (Bước 1/3)
• Lấy toàn bộ thông tin trong các hóa đơn nạn nhân

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
GIẤY CHỨNG MINH NHÂN DÂN
SỐ 273XXXXX9
Họ tên:……………………………………….........
iSTUDY
……………………………………………………... Bản gốc
Sinh ngày:…………………………………………
14-12-2011
TP.Hồ Chí Minh
Nguyên quán:……………………………………..
………………………………………………………
Nơi ĐKHK thường trú:…………………………...
240 Võ Văn Ngân
- Phường Bình Thọ, Quận 9, TP.HCM
………………………………………………………
Tạo một giấy
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
CMND giả
Độc lập - Tự do - Hạnh phúc
GIẤY CHỨNG MINH NHÂN DÂN
SỐ 273XXXXX9
Họ tên:……………………………………….........
iSTUDY
……………………………………………………... Bản giả
Sinh ngày:…………………………………………
14-12-2011
TP.Hồ Chí Minh
Nguyên quán:……………………………………..
………………………………………………………
Nơi ĐKHK thường trú:…………………………...
240 Võ Văn Ngân
- Phường Bình Thọ, Quận 9, TP.HCM
………………………………………………………

Có tiền là có gần
Tới Bank nơi mà nạn nhân đăng ký mở hết mọi thứ!!!
khoản để đăng ký làm lại tài khoản
Nói với họ bạn không nhớ số tài khoản cũ

và nhờ họ tìm thông qua số CMND
Bank sẽ yêu cầu bạn xuất trình CMND,

đưa ra CMND giả và bạn sẽ được cấp lại
tài khoản
Bây giờ, SHOPPING!!!

Trộm cắp tài khoản:
Vấn nạn nghiêm trọng
• Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh.
• Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời
kiểm tra tài khoản thường xuyên góp phần làm giảm vấn
nạn này.

Biện pháp phòng chống
Social Engineering
Concepts


Thực nghiệm

Biện pháp phòng chống: Chính sách
• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên
vi phạm mạnh sẽ giúp giảm thiểu Social Engineering.
• Sau quá trình đào tạo, nhân viên nên ký một bản cam
kết chịu trách nhiệm bảo đảm thông tin.

Password Policies Physical Security Polocies
• Đổi Password định kỳ • Xác định nhân viên hợp

• Đặc Password phức tạp pháp bằng thẻ ra vào,
24/7
• Account bị khóa sau đồng phục,..v..v…
một vài lần đăng nhập • Giám sát khách đi vào
thất bại • Định ra khu vực cấm
• Tuyệt đối không tiết lộ • Tiêu hủy tài liệu không
Password dùng
• Thuê vệ sĩ

Phân loại thông Phân quyền truy

tin cập
Phân loại thông tin Chính sách phân
mật, tuyệt mật, quyền rõ ràng cho
công cộng,..v..v.... từng đối tượng
Dễ quản lý và loại Tính toán trước đề

bỏ các trường hợp phòng có Social
nghi ngờ Engineering xảy ra
Kiểm tra thật kỹ Thời gian phục

hồ sơ nhân viên hồi dữ liệu

Biện pháp phòng chống:
Phát hiện Phishing Email
• Thường dẫn đến một trang Web yêu cầu điền thông tin
cá nhân.
• Lấy tên các ngân hàng, công ty chứng khoán, mạng xã
hội..v..v...
• Nhìn giống như được gửi từ một người có trong mail list.
• Gọi trực tiếp đến số điện thoại trong Email để kiểm
chứng.
• Quan sát Logo thật so với Logo đi kèm mail.

Biện pháp phòng chống:
Bảo mật tất cả các tài liệu, cả cá nhân và công ty
Để đảm bảo cho Mailbox, hãy xóa ngay khi có thể
Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị
Luôn cảnh giác với các yêu cầu cá nhân
Thường xuyên kiểm tra thông tin tài khoản
Luôn giữ thẻ tín dụng bên mình
Bảo vệ thông tin cá nhân với các mạng xã hội
Không hiển thị tài khoản/số điện thoại nếu không cần thiết
Không bao giờ cho thông tin cá nhân qua điện thoại

Social Engineering
Concepts


Thực nghiệm

Tóm lược bài học
• Social Engineering là nghệ thuật dụ dỗ người khác nói ra

những thông tin nhạy cảm của cá nhân hay tổ chức.
• Social Engineering lợi dụng những bản chất đạo đức tự
nhiên của con người.
• Không thể hoàn toàn chống lại Social Engineering mà
người chỉ có thể dùng các biện pháp giảm thiểu tối đa có
thể.

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG- Kỹ thuật tấn công - Social Engineering - 661168

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG- Kỹ thuật tấn công - Social Engineering - 661168

Uploaded by

Copyright:

Available Formats

KỸ THUẬT TẤN CÔNG VÀ PHÒNG

THỦ TRÊN KHÔNG GIAN MẠNG

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

• Khái niệm Social Engineering

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

• Social engineering nghệ thuật thuyết phục người khác

Access Details Authorization Details

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

Không có phần cứng hoặc Rất khó để phát hiện

Không có phương pháp nào đảm bảo hoàn toàn

Institute of Network Security – www.istudy.vn

Cung cấp số điện thoại Thái độ vội vàng, lúng

Thực hiện yêu cầu Khen ngợi hoặc

Yêu cầu bồi thường và

Institute of Network Security – www.istudy.vn

Research Develop Exploit

Institute of Network Security – www.istudy.vn

Lợi dụng Nguy cơ

Institute of Network Security – www.istudy.vn

Dò hỏi thông tin từ việc gọi điện thoại, đóng

Institute of Network Security – www.istudy.vn

Tiếp tân và Help desk

Các nhà cung cấp

Institute of Network Security – www.istudy.vn

Attacker tập trung vào

Institute of Network Security – www.istudy.vn

Kỹ thuật Giả mạo trên

Trộm cắp Biện pháp

Institute of Network Security – www.istudy.vn

Kỹ thuật Giả mạo trên

Trộm cắp Biện pháp

Institute of Network Security – www.istudy.vn

Institute of Network Security – www.istudy.vn

Giả mạo Giả mạo Giả mạo

Giới thiệu bản Giới thiệu bản Giới thiệu bản

Institute of Network Security – www.istudy.vn

Nghe lén Nhìn lén

Institute of Network Security – www.istudy.vn

Hóa đơn Thông tin

Thông tin Thông tin

Institute of Network Security – www.istudy.vn

Tôi để quên thẻ từ ra vào

Vâng, xin mời theo tôi, tôi sẽ

Institute of Network Security – www.istudy.vn

Xin chào, tôi thuộc đối tác

Vâng, anh cứ hỏi!

Institute of Network Security – www.istudy.vn

Xin chào, tôi thuộc đối tác

Anh thuộc đối tác vàng nào?

Institute of Network Security – www.istudy.vn

Phishing (Lừa đảo)

Institute of Network Security – www.istudy.vn

SMS từ Chứng khoán Đông Á: Tài khoản của

Gọi 08.xxxx001: Xin chào, tôi

Institute of Network Security – www.istudy.vn

Revenge (Tư thù)

Institute of Network Security – www.istudy.vn