Social engineering phương pháp tấn công nguy hiểm trong công tác bảo mật thông tin vẫn còn bị chúng ta xem nhẹ

Những kĩ thuật trên dựa vào nền tảng là những điểm yếu tâm lý, những nhận thức sai lầm của con người về việc bảo mật thông tin.Mục đích của các cuộc tấn c ông Social Engineering có rất n

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NG HIÊN

CỨU KHOA HỌC

Nguy Hiểm Trong Công Tác B ảo Mật Thông Tin

Vẫn Còn Bị Chúng Ta Xem Nhẹ

Học viên thự c hiện : Đào Trọng Nghĩa

MSHV: 12 12 025 Lớp: Cao học K22-2012

TP Hồ Ch í Minh, thán g 11 năm 2 012

Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác

Bảo Mật Thông Tin Vẫn Còn Bị Chúng Ta Xem Nhẹ

Đào Trọng Nghĩa

Khoa Công Nghệ Thông T in, Đại Học Kho a Học T ự Nhiên, Đại Học Quốc Gia Thành Phố Hồ Chí Minh

daot rongnghia@rocketmail.com

Tóm tắt—Trong thời đại hiện nay, cùng với

sự phát triển mạnh mẽ của công nghệ thông tin

là sự gia tăng nhanh chóng số lượng tội phạm

an ninh mạng Vấn đề an toàn thông tin không

còn là nỗi lo của các nước phát triển mà đã trở

thành nỗi lo chung của toàn cầu Vào thế kỷ 21,

khi sức mạnh về phần cứng và kỹ thuật về

phần mềm đã phát triển vượt bậc nhưng vẫn

không đủ bảo vệ chúng ta thoát khỏi việc rò rỉ

thông tin Vậy đâu là nguyên nhân? Đó chính

là con người, bởi lẽ không có bất kỳ phần cứng

hay phần mềm nào có thể khắc phục được

điểm yếu về yếu tố con người Và đó là lý do

khiến cho kỹ thuật S ocial Engineering - một kỹ

thuật tấn công vào yếu tố con người - ngày

càng trở nên phổ biến và tinh vi hơn

Keywords:Social Engineering; Human Hacking;

I GIỚI THỆU Trên thế giới, khi nói về vấn đề bảo mật thông tin, người ta không thể không nói

đến Social Engineering - một kỹ thuật khai

thác thông tin rất nguy hiểm, khó phát

hiện, phòng chống và gây thiệt hại to lớn

cho công tác bảomật thông tin Ngày nay,

công nghệ thông tin đóng vai trò chủ chốt

trong nhiều lĩnh vực quan trọng của xã hội

như kinh tế, giáo dục, chính trị và quân sự

- những lĩnh vực trong đó sự lỏng lẻo về công tác bảo mật thông tin sẽ khiến chúng

ta phải trả giá đắt Chính vì thế, Social Engineering nhận được nhiều sự quan tâm toàn cầu, đặc biệt là trong lĩnh vực công nghệ thông tin

Social Engineering là một thuật ngữ liên quan đến các ngành khoa học xã hội, tuy nhiên chúng ta thường xuyên sử dụng và bắt gặp nó trong ngành công nghệ thông tin Social Engineering được hiểu đơngiản

là một kĩ thuật tác động đến con người nhằm mục đích lấy được một thông tin hoặc đạt được một hành động mong muốn

Những kĩ thuật trên dựa vào nền tảng là những điểm yếu tâm lý, những nhận thức sai lầm của con người về việc bảo mật thông tin.Mục đích của các cuộc tấn c ông Social Engineering có rất nhiều, chúng ta

có thể kể đến như: các lợi ích về tài chính, tạo ra những điều có lợi cho mình, trả thù

… hoặc do áp lực bên ngoài gây ra

Vấn đề Social Engineering đã được quan tâm rất nhiều trên thế giới, tuy nhiên

ở Việt Nam chúng ta, đặc biệt là giới sinh

viên thì tầm hiểu biết và mối quan tâm về

vấn đề này thì rất kém và ít ỏi Mục đích

bài ngh iên cứu này của chúng tôi sẽ không

nhấn mạnh, đi sâu vào việc phân tích

Social Engineering là gì, nó hoạt động ra

sao, trên nền tảng gì; chúng tôi chỉ đưa ra

những kiến thức sơ lược, những thông tin

gần gũi với mọi người về những điều trên

Qua đó cho mọi người biết được tác hại

thực sự của Social Engineering là không

hề nhỏ, mong muốn mọi người nâng cao

nhận thức hơn về vấn đề này và có thể

trang bị một số kiến thức cơ bản để phòng

tránh nó một cách hiệu quả nhất

II NHỮNGĐIỂMYẾUCỦACON

NGƯỜI Chúng ta biết rằng phần mềm và phần cứng của máy tính là những thứ vô cùng

phức tạp Tuy nhiên, con người, kẻ đã tạo

ra chúng lại phức tạp hơn gấp nhiều lần

Bởi vì con người có nhân cách, có tâm lý,

tình cảm là những thứ mà các vật nhân tạo

chưa thể có được Đây chính là điểm vô

cùng mạnh đã giúp con người thành công

như ngày hôm nay, nhưng cũng là một

điểm yếu của con người Và Social

Engineering chính là phương pháp tấn

công vô cùng nguy hiểm dựa trên những

điểm yếu này

Chúng ta sẽ đặt câu hỏi, tại sao phương pháp Social Engineering dựa vào tâm lý

con người lại nguy hiểm? Để trả lời câu

hỏi này, chúng ta hãy đi vào phân tích một

số tâm lý của con người thường xuyên bị Social Engineering lợi dụng:

 Luôn mong muốn điều có lợi cho

mình và tránh khỏi các phiền hà, rắc rối: Chúng ta có thể thấy điều này qua

ví dụ sau Trong trường hợp một nhân viên chăm sóc khác hàng của một công ty dịch vụ Chúng ta biết rằng,

họ luôn được yêu cầu rằng phải làm cho khách hàng hài lòng nhất có thể

Từ đó, họ sẽ được những phản hồi tốt

về chất lượng dịch vụ, được tính điểm cao trong hệ thống Với mục tiêu đó, nhân viên của chúng ta sẽ luôn cố gắng đáp ứng yêu cầu cho khách hàng một cách tốt nhất Chính vì lí do này, nhiều khi họ, những người nắm giữ thông tin, dữ liệu về hệ thống sẽ cung cấp rất nhiều thông tin không nên cung cấp cho khách hàng

 Có khuynh hướng giúp đỡ người

khác: Con người chúng ta là một sinh

vật sống có tình cảm Chúng ta luôn sẵn sàng giúp đỡ một người khi họ gặp vấn đề gì đó.Chính đặc điểm này của chúng ta sẽ rất dễ dàng để bị kẻ xấu lợi dụng Bạn đang ngồi lướt web trong quán cà phê, có một người đến nhờ sử dụng máy tính? Lúc đó bạn sẽ làm thế nào? Bạn từ chối, nếu đó là một cố gái xinh xắn thì sao? Bạn có nghĩ về những trường hợp xấu xảy ra khi cho người lạ mượn máy tính mình không?

 Xu hướng chấp nhận một thông tin

mới hơn là nghi ngờ tính xác thực của thông tin đó:Hầu hết trong chúng ta ai

cũng vậy, mọi người khi nghe một thông báo, một khẳng định, một lời khuyên mới nào đó… c húng ta đều tin

nó là có thật Việc này sẽ kéo dài cho đến khi chúng ta phát hiện nó là không thật Quãng thời gian này có thể không dài, tuy nhiên sẽ không ngắn để thực hiện một số mục đích

 Lười…muốn làm nhanh một việc, cắt

bỏ giai đoạn:Vấn đề này vô cùng

nguy hiểm tuy nhiên lại xảy ra vô cùng phổ biến trong chúng ta Chúng

ta thường xuyên thực hiện công việc với tâm lý như thế, tuy nhiên lại không nhận thức được hậu quả của việc đó Có khi nào bạn ghi mật khẩu của mình lên một tờ giấy, lên một note trên máy tính chưa? Có khi nào bạn đọc password của mình qua điện thoại c hưa?

 Thái độ của một người đối với việc

bảo vệ thông tin cá nhân của mình không cao: Đây là một tâm lý vô cùng

quan trọng và nguy hiểm để kẻ xấu dựa vào đó c ó thể thực hiện mọi mưu

đồ của mình Người ta luôn nghĩ rằng thông tin cá nhân của mình không quan trọng! Ai biết thì đã sao?Họ làm được gì chứ? Nó chẳng ảnh hưởng gì đến những thứ xung quanh mình c ả…

Người ta luôn ngh ĩ như vậy, tuy nhiên

họ lại không biết rằng, một người không nằm trong hệ thống bảo mật vẫn c ó thể làm ảnh hưởng đến toàn bộ

hệ thống bảo mật

Người ta đã nói rằng: “Social Engineering is the hardest form of attack to defend againts because it can’t be defense with hardware or software alone” (Theo Social Engineering: Concepts and Solutions) Với những cuộc tấn công công nghệ, chúng ta có thể phòng chống bằng phần cứng và phần mềm, chúng sẽ tuân thủ hoàn toàn những yêu cầu c ủa người tạo ra, không hỏi vì sao, không cần biết đúng sai… Tuy nhiên, con người là một sinh vậtvới tâm lý phức tạp, chúng ta không thể phòng thủ đơn thuần bằng những thiết bị, bằng những chương trình cứng nhắc

Chúng ta cần phải có một phương pháp hiệu quả hơn, tốt hơn Thế nhưng, tốt đến đâu hiệu quả đến đâu thì con người vẫn luôn có sai lầm Đây chính là câu trả lời của chúng ta cần biết

III CÁCPHƯƠNGPHÁPT ẤNCÔNG Phía trên là một số những điểm yếu tâm

lý mà con người thường bị những kẻ sử dụng Social Engineering lợi dụng Và còn hơn thế nữa, Social Engineering là một quy trình có hệ thống, có thứ tự và có sự đầu tư kỹ lưỡng, công phu Mục tiêu của

nó có thể từ những thứ vô cùng bé, đơn giản đến việc thực hiện những mục tiêu cao hơn, tinh vi hơn Chính vì vậy, một hệ thống xác định các phương pháp tấn c ông

Social Engineering sẽ cho chúng ta dễ

dàng hình dung Social Engineering thực

hiện như thế nào? Nó dựa vào các “lỗ

hổng” về tâm lý như thế nào? Qua tiếp xúc

với một số phương pháp tấn công dưới đây

mọi người c ó thể thực hiện điều đó

Về cơ bản, các phương pháp tấn công Social Engineering nằm trong một trong

hai hình thức chính: dựa vào con người và

dựa vào kĩ thuật.Mọi người lưu ý trong

cách phân chia, con người và máy móc là

công cụ, là đối tượng tấn công chứ không

phải là cách tấn công vào con người hay

máy móc

Các phương pháp dựa vào máy móc:

 Phishing: “Phishing là phương pháp

phổ biến nhất của Social Engineering trên thế giới trực tuyến” (Granger, 2006) Phishing là một hành động gửi mail lừa đảo cho nạn nhân Nội dung email sẽ dẫn thẳng người dùng đến các website lừa đảo giống hệt các website thật, qua đó lừa người dùng nhằm lấy được các thông tin về tài khoảng người dùng

 Pop-Up Windows: Chúng ta rất dễ

gặp hình thức này khi đang sử dụng trình duyệt web Nội dung các

Pop-Up này thường là thông báo chúng ta nhận được một món tiền, giải thưởng nào đó… Bắt đầu từ đó, nó sẽ có các phương pháp để đi vào khai thác thông tin c ủa chúng ta

Các phương pháp dựa vào c on người:

 Direct approach: Hỏi trực tiếp đối

tượng để khai thác thông tin Phương pháp đơn giản nhất, có thể không coi

đó là một phương pháp, tuy nhiên khi một người có thái độ về bảo mật thông tin không tốt, phương pháp này nhiều khi mang đến hiệu quả bất ngờ

Nhiều khi c húng ta có thể ngồi yên để lấy được thông tin

 DumpsterDiving and Shoulder Surfing: Đây là hai trong những hình

thức được sử dụng sớm nhất của Social Engineering Dumpster diving

có nghĩa là sẵn sàng thu thập những thứ dơ bẩn, đã bị vứt bỏ đi để lấy thông tin họ cần, điển hình chúng ta

có thể thấy ở đây ra rác Rác chứa thông tin quan trọng c ủa chúng ta như thế nào? Trước khi là rác, thì nó chính

là những thông tin, tài liệu chúng ta

sử dụng Khi chúng ta không cần dùng nữa, chúng ta sẽ vứt đi, tuy nhiên chúng ta lại không xử lý chúng hoặc xử lý không cẩn thận thì các thông tin này có thể rơi vào tay những

kẻ có ý đồ xấu Còn về Shoulder Surfing, đó là cách nhìn trộm mật khẩu hoặc mã pin Mọi người c ó chắc chắn rằng khi mình đánh mật khẩu tại một nơi công cộng sẽ không có ai nhìn thấy không? Thậm chí bạn có đánh nhanh đến đâu, nếu người ta quay phim về rồi phân tích thì sao

 Impersonation and Important User:

Phương pháp nàynhững kẻ tấn công

sẽ giả mạo một người quan trọng, chức vụ cao, có uy tín trong tổ chức

Hoặc họ làm ra vẻ ngu ngơ, giả vờ, làm người ngốc nghếch mà tưởng trừng như vô hại Từ đó họ cầu giúp

đỡ, lợi dụng lòng tốt và sử dụng dưới danh nghĩa của người khác Họ không

có những thứ cần thiết để khai thác hệ thống, họ sẽ tận dụng vào người có thông tin mà không cần phải trải qua bất cứ sự xác nhận nào, thử thách nào

 Third-Party Authorization: Sử dụng

tên của người có quyền để thực hiện việc mình mong muốn hoặc đã được chứng thực với hệ thống Ví dụ: “Ông

A đã nói là đồng ý” hoặc là “Trước khi đi nghỉ mát, giám đốc đã nói rằng

tớ có thể liên lạc với cậu để lấy thông tin.”Chúng ta nên nhớ rằng hầu hết các kĩ thuật Social Engineering thực hiện ở trong nội bộ tổ chức và có thể tìm thấy dễ dàng Phương pháp này tương đối giống phương pháp đầu tiên

 Pretexting: Với các tấn công này, các

attacker sẽ xây dựng một kịch bản c hi tiết trước để khai thác nạn nhân: họ sẽ làm tăng độ tin tưởng của nạn nhân vào mình, từ đó sẽ làm nạn nhân vô ý hoặc có chủ ý tiết lộ thông tin hoặc thực hiện một hành động có lợi cho mình

IV TẦMẢNHHƯỞNGCỦASOCIAL

ENGINEERING Social Engineering có thực sự là nguy hiểm, đáng quan tâm và mức độ nguy hiểm của nó đến mức nào.Chúng ta sẽ tham khảo một khảo sát để biết được tình hình

Báo cáo“The risk of social engineering

on information security: A survey of IT Professionals” Đây là là một cuộc khảo sát được thực hiện bởi Dimens ional Research

và được bảo đảm bởi tổ chức Check Point1, thực hiện với 853 chuyên gia IT ở nhiều nước có ngành công nghệ thông tin phát triển hàng đầu thế giới: Mỹ, Anh, Canada, Úc, New Zealand và Đức trong khoảng tháng 7 và tháng 8 năm 2011 Mục tiêu của cuộc khảo sát là thu thập dữ liệu

về nhận thức đối với các cuộc tấn công Social Engineering và tác động của nó đối với c ác doanh nghiệp

Báo cáo đã cho chúng ta thấy các kết quả như sau:

 Có 97% các chuyên gia bảo mật và 86% các chuyên gia ngành Công Nghệ Thông Tin đã nhận thức được mối đe dọa an ninh tiềm ẩn từ Social Engineering Sự nhận thức về mối đe dọa này cũng được chia thành nhiều cấp độ khác nhau:

1

Check Point Software Technologies Ltd là nhà tiên phong trong lĩnh v c An ninh Internet Check Point đ xu t các gi i pháp an ninh t ng th có tính năng m t c ng h p nh t, m t agent đi m

cu i (endpoint) đ n nh t và m t ki n trúc qu n tr duy nh t, đ c tùy bi n đ thích ng nh t v i nhu c u kinh doanh năng đ ng c a khách hàng.

Nhận thức của các chuyên gia đối với Social

Engineering

 Có 43% số người được phỏng vấn cho biết rằng họ đã là đối tượng bị khai thác bởi Social Engineering Chỉ có 16% có thể khẳng định rằng họ không phải là đối tượng của Social Engineering, trong khi 41% không nhận thức được rằng họ đã bị tấn công hay chưa

Mức độ nhận biết đã bị tấn công bởi Social

Engineering hay chưa

 Khảo sát về mục đích của các cuộc tấn công c ho thấy: 51% mục đích c ủa các cuộc tấn công là nhằm vào các lợi

ích về kinh tế và 14% nhằm vào mục đích là để trả thủ, mâu thuẫn c á nhân

Qua đây chúng ta có thể thấy được, mục đích của các cuộc tấn c ông này là những mục đích xấu, gây ảnh hưởng tổn hại đến một tổ chức, một cá nhân chứ không hề đơn giản

 Về mật độ xảy ra các vụ tấn công trên: 32% tổng số người tham gia cuộc khảo sát nói rằng họ thường xuyên là đối tượng của Social Engineering, trong vòng hai năm, họ

đã bị khai thác khoảng 25 lần hoặc hơn thế.Và 48% các tổ chức được khảo sát cho biết họ thường xuyên là đối tượng bị tấn công và cho biết trong vòng hai năm số lần họ bị khai thác là 25 hoặc hơn thế

Tần suất bị tấn công Social Engineering của các công

ty và nhân viên

Qua báo cáo cho thấy thiệt hại từ các cuộc tấn công này tương đối lớn:

Mức thiệt hại khi bị tấn công bởi Social Engineering

Các tổ chức được khảo sát c ho biết, các thiệt hại bao gồm chi phí về sự gián đoạn

kinh doanh, chi phí đối với khách hàng,

mất doanh thu, lao động và các chi phí

khác…Gần một nửa trong số họ (48%) cho

biết rằng thiệt hại là hơn 25,000$ và 30%

các tổ chức lớn cho biết thiệt hại của họ

lên tới hơn 100,000$

Báo cáo còn cho biết nhiều con số nữa, chúng tôi không đi sâu vào việc nó diễn ra

như thế nào, ở đâu, tuy nhiên chúng tôi

đưa ra những c on số nhằm cho mọi người

thấy về độ nguy hiểm và tầm ảnh hưởng

của Social Engineering Cho mọi người

thấy được rằng: trên thế giới, Social

Engineering là một vấn đề rất được quan

tâm, nó xảy ra rất thường xuyên và thiệt

hai c ủa nó gây ra là không hề nhỏ

V THỰCNGHIỆM

Để kiểm chứng lại mức độ nguy hiểm của Social Engineering cũng như nhận

thức của mọi người về an toàn thông tin,

chúng tôi làm một cuộc khảo sát Khi tiến

hành khảo sát, chúng tôi đặt mình vào vị trí của người thực hiện tấn công đang tiến hành thu thập dữ liệu phục vụ cho việc tấn công mục tiêu Chúng tôi dùng một kỹ thuật nhỏ trong Social Engineering bằng cách tiến hành dưới danh nghĩa một cuộc khảo sát tìm hiểu về thói quen, phong cách sống của sinh viên trong thời đại công nghệ thông tin Trong đó, đó các câu hỏi mang tính chất khai thác thông tin nhưng

bề ngoài lại hoàn toàn vô hại với người làm khảo sát

A Dữ liệu thực nghiệm

Đối tượng khảo sát là 142 bạn sinh viên đến từ nhiều trường khác nhau Kết cấu nội dung của cuộc khảo sát được nghiên cứu, và thực hiện theo hai hướng: Đầu t iên

là các câu hỏi lấy thông tin người tham gia

Thứ hai là các câu hỏi để đánh giá nhận thức của mọi người đối với vấn đề bảo mật thông tin Các câu hỏi đã được hệ thống và chuẩn bị từ trước, qua việc xem xét các thông tin thu thập được, chúng tôi sẽ thực hiện khai thác thông của một số người tham gia khảo sát

 Đối với các thông tin cơ bản, người dùng được yêu cầu cung cấp các thông tin về họ Ngoài ra còn có yêu cầu cung cấp thông tin liên lạc để nhận được kết quả khảo sát, việc này nhằm mục đích tăng tình hiếu kì của người tham gia khảo sát Trong đó các thông tin họ tên, email, số điện thoại dùng để khai thác thông tin Các

thông tin về trường và chuyên ngành dùng để phân loại đối tượng

Thống kê thể hiện số lượng cung cấp thông tin

Những thông tin trên sẽ giúp ích rất nhiều trong việc khai thác đối tượng cũng

như trả lời các câu hỏi bảo mật, truy tìm

các tài khoản, các thông tin liên quan, giả

mạo đối tượng để thu thập thông tin bạn

bè, người thân đối phương Kết quả khảo

sát phản ánh được nhận thức của mọi

người về việc cung cấp các thông tin cá

nhân của mình trên mạng internet và nhận

thức về việc bảo mật thông tin c á nhân

 Tiếp theo vô phần chính là các câu hỏi đánh vào phần nhận thức của mọi người

B Kết quả thực nghiệm

Sau khi khảo sát, chúng tôi thu được

142 dòng dữ liệu, kết quả của bảng khảo

sát được chúng tôi chia thành hai nhóm:

Nhóm những người chuyên ngành về Công

Nghệ Thông Tin (55 người), và nhóm

những người không chuyên (87 người)

Kết quả được chúng tôi thống kê như sau:

1 Câu hỏi: Bạn có tham gia mạng xã hội

hay không?

Mạng xã hội là nguồn khai thác thông tin ưa thích c ủa các kẻ tấn công, đó là nơi

kẻ tấn c ông c ó thể phác thảo bạn một cách toàn diện nhất về hình dạng c ũng như tính cách Mạng xã hội mang mọi người đến gần bạn hơn, trong đó có cả những “Social Engineer”

Thống kê m ức độ sử dụng Mạng xã hội

2 Bạn có thói quen trao đổi chuyện học

hành, công việc với bạn bè, thầy cô, đồng nghiệp qua email hay không?

Thống kê thể hiện m ức độ trao đổi chuyện học hành,

công việc

Việc này cho chúng ta biết được thói quen trao đổi thông tin của đối tượng, qua

đó đánh giá được tầm quan trọng của email

họ sử dụng cũng như lượng thông tin giá trị ẩn c hứa trong tài khoản email c ủa họ

3 Bạn thường download phần mềm bằng

cách nào?

Việc nắm được thói quen cài đặt phần mềm của đối tượng giúp ta dễ dàng tiếp

cận với máy tính của đối tượng hơn Đây

là cách giúp kẻ tấn công có thể đưa các

phần mềm có chứa mã độc hại vào máy

tính của nạn nhân qua đó kiểm sóat máy

tính đó và khai thác được nhiều thông tin

có giá trị khác

Thống kê cách thức cài đặt một chương trình m ới

4 Đa phần chúng ta đều gặp khó khăn

trong việc ghi nhớ các password, bạn thường giải quyết cách này thế nào?

Một thói quen chết người của nhiều người là “Dùng một password cho nhiều

tài khoản” dẫn đến tình trạng mất thông tin

hàng loạt Hãy tưởng tượng nếu kẻ tấn

công dụ bạn đăng ký thành viên ở một

website do họ tạo ra?

Thống kê cách thức lưu trữ, ghi nhớ password

5 Bạn sẽ làm gì nếu nhặt được một USB,

việc đầu tiên bạn sẽ làm là?

Lợi dụng sự tò mò của con người , kẻ tấn công hoàn toàn có thể dàn cảnh bỏ quên USB ở một nơi mà đối tượng dễ dàng nhìn thấy và không quên kèm theo một chút mã độc hại Vì tò mò, rất nhiều người rất muốn biết nội dung bên trong USB, c on

số 91/142 không phải là con số nhỏ ,trong

đó c ó ½ là dân công nghệ thông tin

Thống kê cách xử lý khi nhận được m ột usb

6 Bạn đang ngồi quán trong quán cafe và

sử dụng laptop, có một cô gái xinh đẹp

có chuyện gấp cần mượn laptop của bạn để gửi email cá nhân, bạn sẽ?

Bạn sẵn sàng giúp đỡ người khác không một chút phòng bị, việc gì sẽ xảy ra nếu cô gái ấy là một hacker hoặc là người của tổ chức đối thủ?