Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta
Trang 1CH ƯƠNG 4: SOCIAL NG 4: SOCIAL
ENGINEERING
Nguy n T n Thành ễn Tấn Thành ấn Thành
Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp phi kỹ thu t đ t nh p vào h th ng ho cật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ặc
m ng công ty Đó là quá trình đánh l a ngừa người dùng của hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti dùng c a h th ng, ho c thuy tủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc ặc ết
ph c h cung c p thông tin có th giúp chúng ta đánh b i b ph n an ninh.ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc Social engineering là r t quan tr ng đ tìm hi u, b i vì hacker có th l i d ngấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ể giúp chúng ta đánh bại bộ phận an ninh ởi vì hacker có thể lợi dụng ể giúp chúng ta đánh bại bộ phận an ninh ợi dụng
t n công vào y u t con ngấn Thành ết ống hoặc ười dùng của hệ thống, hoặc thuyếti và phá v h th ng kỹ thu t an ninh hi n t i.ỡ hệ thống kỹ thuật an ninh hiện tại ệ thống hoặc ống hoặc ật đột nhập vào hệ thống hoặc ệ thống hoặc
Phương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp này có th s d ng đ thu th p thông tin trể giúp chúng ta đánh bại bộ phận an ninh ử dụng để thu thập thông tin trước hoặc trong cuộc ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ước hoặc trong cuộcc ho c trong cu cặc ột nhập vào hệ thống hoặc
t n công.ấn Thành
1.Social engineering là gì?
Social engineering s d ng s nh hử dụng để thu thập thông tin trước hoặc trong cuộc ự ảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa ưởi vì hacker có thể lợi dụngng và s thuy t ph c đ đánh l aự ảnh hưởng và sự thuyết phục để đánh lừa ết ể giúp chúng ta đánh bại bộ phận an ninh ừa người dùng của hệ thống, hoặc thuyết
người dùng của hệ thống, hoặc thuyếti dùng nh m khai thác các thông tin có l i cho cu c t n công ho c thuy tằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ợi dụng ột nhập vào hệ thống hoặc ấn Thành ặc ết
ph c n n nhân th c hi n m t hành đ ng nào đó Social engineer (ngự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti th cự ảnh hưởng và sự thuyết phục để đánh lừa
hi n công vi c t n công b ng phệ thống hoặc ệ thống hoặc ấn Thành ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp social engineering) thười dùng của hệ thống, hoặc thuyếtng s d ngử dụng để thu thập thông tin trước hoặc trong cuộc
đi n tho i ho c internet đ d d ngệ thống hoặc ặc ể giúp chúng ta đánh bại bộ phận an ninh ỗ người dùng tiết lộ thông tin nhạy cảm hoặc ười dùng của hệ thống, hoặc thuyếti dùng ti t l thông tin nh y c m ho cết ột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ặc
đ có để giúp chúng ta đánh bại bộ phận an ninh ượi dụngc h có th làm m t chuy n gì đó đ ch ng l i các chính sách an ninhể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ống hoặc
c a t ch c B ng phủa hệ thống, hoặc thuyết ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp này, Social engineer ti n hành khai thác các thóiết quen t nhiên c a ngự ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti dùng, h n là tìm các l h ng b o m t c a h th ng.ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ỗ người dùng tiết lộ thông tin nhạy cảm hoặc ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc
Đi u này có nghĩa là người dùng của hệ thống, hoặc thuyếti dùng v i ki n th c b o m t kém cõi sẽ là c h i choớc hoặc trong cuộc ết ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc
kỹ thu t t n công này hành đ ng.ật đột nhập vào hệ thống hoặc ấn Thành ột nhập vào hệ thống hoặc
Sau đây là m t ví d v kỹ thu t t n công social engineering đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ấn Thành ượi dụngc Kapil Raina
k l i, hi n ông này đang là m t chuyên gia an ninh t i Verisign, câu chuy n x yể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc ột nhập vào hệ thống hoặc ệ thống hoặc ẩy
ra khi ông đang làm vi c t i m t công ty khác trệ thống hoặc ột nhập vào hệ thống hoặc ước hoặc trong cuộcc đó: “M t bu i sàng vài nămột nhập vào hệ thống hoặc
trước hoặc trong cuộcc, m t nhóm ngột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti l bước hoặc trong cuộcc vào công ty v i t cách là nhân viên c a m tớc hoặc trong cuộc ư ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc công ty v n chuy n mà công ty này đang có h p đ ng làm vi c chung Và hật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ợi dụng ột nhập vào hệ thống hoặc ệ thống hoặc
bước hoặc trong cuộcc ra v i quy n truy c p vào toàn b h th ng m ng công ty H đã làm đi uớc hoặc trong cuộc ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc
đó b ng cách nào? B ng cách l y m t lằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ấn Thành ột nhập vào hệ thống hoặc ượi dụngng nh thông tin truy c p t m t sỏ thông tin truy cập từ một số ật đột nhập vào hệ thống hoặc ừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ống hoặc nhân viên khác nhau trong công ty Đ u tiên h đã ti n hành m t nghiên c uầu tiên họ đã tiến hành một nghiên cứu ết ột nhập vào hệ thống hoặc
t ng th v công ty t hai ngày trể giúp chúng ta đánh bại bộ phận an ninh ừa người dùng của hệ thống, hoặc thuyết ước hoặc trong cuộcc Ti p theo h giã v làm m t chìa khóa đết ời dùng của hệ thống, hoặc thuyết ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh vào c a trử dụng để thu thập thông tin trước hoặc trong cuộc ước hoặc trong cuộcc, và m t nhân viên công ty đã giúp h tìm l i đột nhập vào hệ thống hoặc ượi dụngc Sau đó, h làm
m t th an ninh đ vào c ng công ty, và ch b ng m t n cấn Thành ! ể giúp chúng ta đánh bại bộ phận an ninh ỉ bằng một nụ cười thân thiện, nhân ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti thân thi n, nhânệ thống hoặc
Trang 2viên b o v đã m c a cho h vào Trảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ởi vì hacker có thể lợi dụng ử dụng để thu thập thông tin trước hoặc trong cuộc ước hoặc trong cuộcc đó h đã bi t trết ười dùng của hệ thống, hoặc thuyếtng phòng tài chính
v a có cu c công ta xa, và nh ng thông tin c a ông này có th giúp h t n côngừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ủa hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành
h th ng Do đó h đã đ t nh p văn phòng c a giám đ c tài chính này H l cệ thống hoặc ống hoặc ột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ủa hệ thống, hoặc thuyết ống hoặc tung các thùng rác c a công ty đ tìm ki m các tài li u h u ích Thông qua laoủa hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh ết ệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công công c a công ty, h có thêm m t s đi m ch a tài li u quan tr ng cho h mà làủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc rác c a ngủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti khác Đi m quan tr ng cu i cùng mà h đã s d ng là gi gi ngể giúp chúng ta đánh bại bộ phận an ninh ống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc ảnh hưởng và sự thuyết phục để đánh lừa nói c a v giám đ c v n m t này Có thành qu đó là do h đã ti n hành nghiênủa hệ thống, hoặc thuyết $ ống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ặc ảnh hưởng và sự thuyết phục để đánh lừa ết
c u gi ng nói c a v giám đ c Và nh ng thông tin c a ông giám đ c mà h thuủa hệ thống, hoặc thuyết $ ống hoặc ững thông tin của ông này có thể giúp họ tấn công ủa hệ thống, hoặc thuyết ống hoặc
th p đật đột nhập vào hệ thống hoặc ượi dụng ừa người dùng của hệ thống, hoặc thuyếtc t thùng rác đã giúp cho h t o s tin tự ảnh hưởng và sự thuyết phục để đánh lừa ưởi vì hacker có thể lợi dụngng tuy t đ i v i nhân viên.ệ thống hoặc ống hoặc ớc hoặc trong cuộc
M t cu c t n công đã di n ra, khi h đã g i đi n cho phòng IT v i vai trò giámột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ấn Thành ễn Tấn Thành ệ thống hoặc ớc hoặc trong cuộc
đ c phòng tài chính, làm ra vẽ mình b m t pasword, và r t c n password m i.ống hoặc $ ấn Thành ấn Thành ầu tiên họ đã tiến hành một nghiên cứu ớc hoặc trong cuộc
H ti p t c s d ng các thông tin khác và nhi u kỹ thu t t n công đã giúp hết ử dụng để thu thập thông tin trước hoặc trong cuộc ật đột nhập vào hệ thống hoặc ấn Thành chi m lĩnh toàn b h th ng m ng” Nguy hi m nh t c a kỹ thu t t n công nàyết ột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ủa hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc ấn Thành
là quy trình th m đ nh thông tin cá nhân Thông qua tẩy $ ười dùng của hệ thống, hoặc thuyếtng l a, m ng riêng o,ử dụng để thu thập thông tin trước hoặc trong cuộc ảnh hưởng và sự thuyết phục để đánh lừa
ph n m m giám sát m ng sẽ giúp r ng cu c t n công, b i vì kỹ thu t t n côngầu tiên họ đã tiến hành một nghiên cứu ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ấn Thành ởi vì hacker có thể lợi dụng ật đột nhập vào hệ thống hoặc ấn Thành này không s d ng các bi n pháp tr c ti p Thay vào đó y u t con ngử dụng để thu thập thông tin trước hoặc trong cuộc ệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ết ết ống hoặc ười dùng của hệ thống, hoặc thuyết ấn Thànhi r t quan tr ng Chính s l là c a nhân viên trong công ty trên đã đ cho kẽ t nự ảnh hưởng và sự thuyết phục để đánh lừa ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ủa hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành công thu th p đật đột nhập vào hệ thống hoặc ượi dụngc thông tin quan tr ng
2.Ngh thu t c a s thao túng ệ thuật của sự thao túng ật của sự thao túng ủa sự thao túng ự thao túng
Social Engineering bao g m vi c đ t đồm việc đạt được những thông tin mật hay truy cập trái ệ thống hoặc ượi dụngc nh ng thông tin m t hay truy c p tráiững thông tin của ông này có thể giúp họ tấn công ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc phép, b ng cách xây d ng m i quan h v i m t s ngằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ự ảnh hưởng và sự thuyết phục để đánh lừa ống hoặc ệ thống hoặc ớc hoặc trong cuộc ột nhập vào hệ thống hoặc ống hoặc ười dùng của hệ thống, hoặc thuyếti K t qu c a socialết ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết engineer là l a m t ngừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti nào đó cung c p thông tin có giá tr Nó tác đ ng lênấn Thành $ ột nhập vào hệ thống hoặc
ph m ch t v n có c a con ngẩy ấn Thành ống hoặc ủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti, ch ng h n nh mong mu n tr thành ngẳng hạn như mong muốn trở thành người ư ống hoặc ởi vì hacker có thể lợi dụng ười dùng của hệ thống, hoặc thuyếti
có ích, tin tưởi vì hacker có thể lợi dụngng m i người dùng của hệ thống, hoặc thuyếti và s nh ng r c r i.ợi dụng ững thông tin của ông này có thể giúp họ tấn công ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ống hoặc
Social engineering v n d ng nh ng th thu t và kỹ thu t làm cho m t ngật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ủa hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti nào đó đ ng ý làm theo nh ng gì mà Social engineer mu n Nó không ph i làồm việc đạt được những thông tin mật hay truy cập trái ững thông tin của ông này có thể giúp họ tấn công ống hoặc ảnh hưởng và sự thuyết phục để đánh lừa cách đi u khi n suy nghĩ ngể giúp chúng ta đánh bại bộ phận an ninh ười dùng của hệ thống, hoặc thuyếti khác, và nó không cho phép Social engineer làm cho người dùng của hệ thống, hoặc thuyếti nào đó làm nh ng vi c vững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ượi dụngt quá t cách đ o đ c thông thư ười dùng của hệ thống, hoặc thuyếtng Và trên h t, nó không d th c hi n chút nào Tuy nhiên, đó là m t phết ễn Tấn Thành ự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ột nhập vào hệ thống hoặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp mà
h u h t Attackers dùng đ t n công vào công ty Có 2 lo i r t thông d ng :ầu tiên họ đã tiến hành một nghiên cứu ết ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ấn Thành
Social engineering là vi c l y đệ thống hoặc ấn Thành ượi dụngc thông tin c n thi t t m t ngầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh ừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti nào
đó h n là phá h y h th ng.ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc
Psychological subversion: m c đích c a hacker hay attacker khi s d ngủa hệ thống, hoặc thuyết ử dụng để thu thập thông tin trước hoặc trong cuộc PsychSub (m t kỹ thu t thiên v tâm lý) thì ph c t p h n và bao g m sột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ồm việc đạt được những thông tin mật hay truy cập trái ự ảnh hưởng và sự thuyết phục để đánh lừa chu n b , phân tích tình hu ng, và suy nghĩ c n th n, chính xác nh ng tẩy $ ống hoặc ẩy ật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ừa người dùng của hệ thống, hoặc thuyết
s d ng và gi ng đi u khi nói, và nó thử dụng để thu thập thông tin trước hoặc trong cuộc ệ thống hoặc ười dùng của hệ thống, hoặc thuyếtng s d ng trong quân đ i.ử dụng để thu thập thông tin trước hoặc trong cuộc ột nhập vào hệ thống hoặc
Trang 3Sau đây là m t tình hu ng mà m t Attacker đã đánh c p password c a m tột nhập vào hệ thống hoặc ống hoặc ột nhập vào hệ thống hoặc ấn Thành ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc khách hàng N u b n có ý đ làm hacker thì có th h c h i, còn n u b n là ngết ồm việc đạt được những thông tin mật hay truy cập trái ể giúp chúng ta đánh bại bộ phận an ninh ỏ thông tin truy cập từ một số ết ười dùng của hệ thống, hoặc thuyếti dùng thì hãy c n th n khi g p tình hu ng tẩy ật đột nhập vào hệ thống hoặc ặc ống hoặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng t ự ảnh hưởng và sự thuyết phục để đánh lừa
Vào m t bu i sáng, cô Alice đang ăn sáng thì nh n đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ượi dụngc cu c g i.ột nhập vào hệ thống hoặc
Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với
cô Alice”
Alice: “ Xin chào, tôi là Alice”
Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm Thế này…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.” Alice: ” Của tôi à à vâng.”
Attacker: ” Tôi thông báo với cô về việc server mail vừa
bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail Vì cô là người sử dụng ở xa nên chúng tôi xử
lý trường hợp của cô trước tiên.”
Alice: ”Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được
mà Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được.”
Alice: ”Password của tôi à?uhm ”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cô là AliceDxb phải không? Phòng
hệ thống đưa cho chúng tôi username và số điện thoại của
cô, nhưng họ không đưa password cho chúng tôi Không có password thì không ai có thể truy cập vào mail của cô
Trang 4được, cho dù chúng tôi ở phòng dữ liệu Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô Chúng tôi đảm bảo với cô chúng tôi
sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên
hệ với chúng tôi Cô có thể tìm số liên lạc ở trên Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”
3.Đi m y u c a m i ng ểm yếu của mọi người ếu của mọi người ủa sự thao túng ọi người ười i
M i người dùng của hệ thống, hoặc thuyếti thười dùng của hệ thống, hoặc thuyếtng m c ph i nhi u đi m y u trong các v n đ b o m t Đ đắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ảnh hưởng và sự thuyết phục để đánh lừa ể giúp chúng ta đánh bại bộ phận an ninh ết ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh phòng thành công thì chúng ta ph i d a vào các chính sách t t và hu n luy nảnh hưởng và sự thuyết phục để đánh lừa ự ảnh hưởng và sự thuyết phục để đánh lừa ống hoặc ấn Thành ệ thống hoặc nhân viên th c hi n t t các chính sách đó Social engineering là phự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ống hoặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp khó phòng ch ng nh t vì nó không th dùng ph n c ng hay ph n m m đống hoặc ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ầu tiên họ đã tiến hành một nghiên cứu ầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh
ch ng l i ống hoặc
M t ngột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti nào đó khi truy c p vào b t c ph n nào c a h th ng thì các thi t bật đột nhập vào hệ thống hoặc ấn Thành ầu tiên họ đã tiến hành một nghiên cứu ủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc ết $
v t lý và v n đ c p đi n có th là m t tr ng i l n B t c thông tin nào thuật đột nhập vào hệ thống hoặc ấn Thành ấn Thành ệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ởi vì hacker có thể lợi dụng ớc hoặc trong cuộc ấn Thành
th p đật đột nhập vào hệ thống hoặc ượi dụngc đ u có th dùng phể giúp chúng ta đánh bại bộ phận an ninh ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp Social engineering đ thu th p thêmể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc thông tin Có nghĩa là m t ngột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti không n m trong chính sách b o m t cũng cóằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc
th phá h y h th ng b o m t Các chuyên gia b o m t cho r ng cách b o m tể giúp chúng ta đánh bại bộ phận an ninh ủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc
gi u đi thông tin là r t y u Trong trấn Thành ẩy ết ười dùng của hệ thống, hoặc thuyếtng h p c a Social engineering, hoàn toànợi dụng ủa hệ thống, hoặc thuyết không có s b o m t nào vì không th che gi u vi c ai đang s d ng h th ngự ảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ệ thống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc ệ thống hoặc ống hoặc
và kh năng nh hảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa ưởi vì hacker có thể lợi dụngng c a h t i h th ng ủa hệ thống, hoặc thuyết ớc hoặc trong cuộc ệ thống hoặc ống hoặc
Có nhi u cách đ hoàn thành m c tiêu đ ra Cách đ n gi n nh t là yêu c u tr cể giúp chúng ta đánh bại bộ phận an ninh ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ầu tiên họ đã tiến hành một nghiên cứu ự ảnh hưởng và sự thuyết phục để đánh lừa
ti p, đó là đ t câu h i tr c ti p M c dù cách này r t khó thành công, nh ng đâyết ặc ỏ thông tin truy cập từ một số ự ảnh hưởng và sự thuyết phục để đánh lừa ết ặc ấn Thành ư
là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp d nh t, đ n gi n nh t Ngễn Tấn Thành ấn Thành ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ười dùng của hệ thống, hoặc thuyếti đó bi t chính xác h c n gì ết ầu tiên họ đã tiến hành một nghiên cứu
Trang 5Cách th hai, t o ra m t tình hu ng mà n n nhân có liên quan đ n V i các nhânột nhập vào hệ thống hoặc ống hoặc ết ớc hoặc trong cuộc
t khác nhau c n đống hoặc ầu tiên họ đã tiến hành một nghiên cứu ượi dụngc yêu c u xem xét, làm th nào đ n n nhân d dàng dínhầu tiên họ đã tiến hành một nghiên cứu ết ể giúp chúng ta đánh bại bộ phận an ninh ễn Tấn Thành
b y nh t, b i vì attacker có th t o ra nh ng lý do thuy t ph c h n nh ngẩy ấn Thành ởi vì hacker có thể lợi dụng ể giúp chúng ta đánh bại bộ phận an ninh ững thông tin của ông này có thể giúp họ tấn công ết ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công
người dùng của hệ thống, hoặc thuyếti bình thười dùng của hệ thống, hoặc thuyếtng Attacker càng n l c thì kh năng thành công càng cao, thôngỗ người dùng tiết lộ thông tin nhạy cảm hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa tin thu đượi dụngc càng nhi u Không có nghĩa là các tình hu ng này không d a trênống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa
th c t Càng gi ng s th t thì kh năng thành công càng cao ự ảnh hưởng và sự thuyết phục để đánh lừa ết ống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa
M t trong nh ng công c quan tr ng đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ượi dụngc s d ng trong Social engineering làử dụng để thu thập thông tin trước hoặc trong cuộc
m t trí nh t t đ thu th p các s ki n Đó là đi u mà các hacker và sysadminột nhập vào hệ thống hoặc ớc hoặc trong cuộc ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc
n i tr i h n, đ c bi t khi nói đ n nh ng v n đ liên quan đ n lĩnh v c c a h ột nhập vào hệ thống hoặc ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ặc ệ thống hoặc ết ững thông tin của ông này có thể giúp họ tấn công ấn Thành ết ự ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết
4.Phân lo i kỹ thu t t n công Social ại kỹ thuật tấn công Social ật của sự thao túng ấn công Social
engineering
Social engineering có th để giúp chúng ta đánh bại bộ phận an ninh ượi dụngc chia thành hai lo i ph bi n:ết
Human-based: Kỹ thu t Social engineering liên quan đ n s tật đột nhập vào hệ thống hoặc ết ự ảnh hưởng và sự thuyết phục để đánh lừa ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng tác gi a conững thông tin của ông này có thể giúp họ tấn công
người dùng của hệ thống, hoặc thuyết ớc hoặc trong cuộci v i con người dùng của hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh.i đ thu đượi dụngc thông tin mong mu n Ví d nh chúng ta ph iống hoặc ư ảnh hưởng và sự thuyết phục để đánh lừa
g i đi n tho i đ n phòng Help Desk đ truy tìm m t kh u.ệ thống hoặc ết ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ẩy
Computer-based: Kỹ thu t này liên quan đ n vi c s d ng các ph n m m đật đột nhập vào hệ thống hoặc ết ệ thống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh
c g ng thu th p thông tin c n thi t Ví d b n g i email và yêu c u ngống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ật đột nhập vào hệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ết ử dụng để thu thập thông tin trước hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ười dùng của hệ thống, hoặc thuyếti dùng
nh p l i m t kh u đăng nh p vào website Kỹ thu t này còn đật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ẩy ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ượi dụngc g i là Phishing (l a đ o).ừa người dùng của hệ thống, hoặc thuyết ảnh hưởng và sự thuyết phục để đánh lừa
4.1 Human-Based Social Engineering
Kỹ thu t Human Based có th chia thành các lo i nh sau:ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ư
Impersonation: M o danh là nhân viên ho c ngặc ười dùng của hệ thống, hoặc thuyếti dùng h p l Trong kỹ thu tợi dụng ệ thống hoặc ật đột nhập vào hệ thống hoặc này, kẽ t n công sẽ gi d ng thành nhân viên công ty ho c ngấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ặc ười dùng của hệ thống, hoặc thuyếti dùng h p lợi dụng ệ thống hoặc
c a h th ng Hacker m o danh mình là ngủa hệ thống, hoặc thuyết ệ thống hoặc ống hoặc ười dùng của hệ thống, hoặc thuyếti gác công, nhân viên, đ i tác, đống hoặc ể giúp chúng ta đánh bại bộ phận an ninh
đ p nh p công ty M t khi đã vào đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ượi dụngc bên trong, chúng ti n hành thu th p cácết ật đột nhập vào hệ thống hoặc thông tin t thùng rác, máy tính đ bàn, ho c các h th ng máy tính, ho c là h iừa người dùng của hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh ặc ệ thống hoặc ống hoặc ặc ỏ thông tin truy cập từ một số thăm nh ng ngững thông tin của ông này có thể giúp họ tấn công ười dùng của hệ thống, hoặc thuyết ồm việc đạt được những thông tin mật hay truy cập tráii đ ng nghi p.ệ thống hoặc
Posing as Important User: Trong vai trò c a m t ngủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyết ử dụng để thu thập thông tin trước hoặc trong cuộci s d ng quan tr ng
nh ngư ười dùng của hệ thống, hoặc thuyếti quan lý c p cao, trấn Thành ưởi vì hacker có thể lợi dụngng phòng, ho c nh ng ngặc ững thông tin của ông này có thể giúp họ tấn công ười dùng của hệ thống, hoặc thuyết ầu tiên họ đã tiến hành một nghiên cứui c n tr giúp ngayợi dụng
l p t c, hacker có th d d ngật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ỗ người dùng tiết lộ thông tin nhạy cảm hoặc ười dùng của hệ thống, hoặc thuyếti dùng cung c p cho chúng m t kh u truy c pấn Thành ật đột nhập vào hệ thống hoặc ẩy ật đột nhập vào hệ thống hoặc vào h th ng.ệ thống hoặc ống hoặc
Trang 6Third-person Authorization: L y danh nghĩa đấn Thành ượi dụng ự ảnh hưởng và sự thuyết phục để đánh lừac s cho phép c a m t ngủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti nào đó đ truy c p vào h th ng Ví d m t tên hacker nói anh để giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ột nhập vào hệ thống hoặc ượi dụngc s yự ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết quy n c a giám đ c dùng tài kho n c a giám đ c đ truy c p vào h th ng.ủa hệ thống, hoặc thuyết ống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc
Calling Technical Support: G i đi n tho i đ n phòng t v n kỹ thu t là m tệ thống hoặc ết ư ấn Thành ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc
phương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp c đi n c a kỹ thu t t n công Social engineering Help-desk vàể giúp chúng ta đánh bại bộ phận an ninh ủa hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc ấn Thành phòng h tr kỹ thu t đợi dụng ật đột nhập vào hệ thống hoặc ượi dụng ật đột nhập vào hệ thống hoặcc l p ra đ giúp cho ngể giúp chúng ta đánh bại bộ phận an ninh ười dùng của hệ thống, hoặc thuyếti dùng, đó cũng là con m iồm việc đạt được những thông tin mật hay truy cập trái ngon cho hacker
Shoulder Surfing là kỹ thu t thu th p thông tin b ng cách xem file ghi nh t kýật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ật đột nhập vào hệ thống hoặc
h th ng Thông thệ thống hoặc ống hoặc ười dùng của hệ thống, hoặc thuyếtng khi đăng nh p vào h th ng, quá trình đăng nh p đật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ật đột nhập vào hệ thống hoặc ượi dụngc ghi nh n l i, thông tin ghi l i có th giúp ích nhi u cho hacker.ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh
Dumpster Diving là kỹ thu t thu th p thông tin trong thùng rác Nghe có vẽ “đêật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc
ti n” vì ph i lôi thùng rác c a ngệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti ta ra đ tìm ki m thông tin, nh ng vì đ iể giúp chúng ta đánh bại bộ phận an ninh ết ư
cu c ph i ch p nh n hi sinh Nói vui v y, thu th p thông tin trong thùng rác c aột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ủa hệ thống, hoặc thuyết các công ty l n, thông tin mà chúng ta c n thu có th là password, username,ớc hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh filename ho c nh ng thông tin m t khác Ví d : Tháng 6 năm 2000, Larry Ellison,ặc ững thông tin của ông này có thể giúp họ tấn công ật đột nhập vào hệ thống hoặc
ch t ch Oracle, th a nh n là Oracle đã dùng đ n dumpster diving đ c g ngủa hệ thống, hoặc thuyết $ ừa người dùng của hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc ết ể giúp chúng ta đánh bại bộ phận an ninh ống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên tìm ra thông tin v Microsoft trong trười dùng của hệ thống, hoặc thuyếtng h p ch ng đ c quy n Danh tợi dụng ống hoặc ột nhập vào hệ thống hoặc ừa người dùng của hệ thống, hoặc thuyết
“larrygate”, không là m i trong ho t đ ng tình báo doanh nghi p.ớc hoặc trong cuộc ột nhập vào hệ thống hoặc ệ thống hoặc
M t s th mà dumpster có th mang l i: (1).Sách niên giám đi n tho i công ty –ột nhập vào hệ thống hoặc ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc
bi t ai g i sau đó dùng đ m o nh n là nh ng bết ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ước hoặc trong cuộcc đ u tiên đ đ t quy n truyầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh
xu t t i các d li u nh y c m Nó giúp có đấn Thành ớc hoặc trong cuộc ững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ượi dụngc tên và t cách chính xác đ làmư ể giúp chúng ta đánh bại bộ phận an ninh
có v nh là nhân viên h p l Tìm các s đã g i là m t nhi m v d dàng khi k! ư ợi dụng ệ thống hoặc ống hoặc ột nhập vào hệ thống hoặc ệ thống hoặc ễn Tấn Thành !
t n công có th xác đ nh t ng đài đi n tho i c a công ty t sách niên giám.ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh $ ệ thống hoặc ủa hệ thống, hoặc thuyết ừa người dùng của hệ thống, hoặc thuyết (2).Các bi u đ t ch c; b n ghi nh ; s tay chính sách công ty; l ch h i h p, sể giúp chúng ta đánh bại bộ phận an ninh ồm việc đạt được những thông tin mật hay truy cập trái ảnh hưởng và sự thuyết phục để đánh lừa ớc hoặc trong cuộc $ ột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa
ki n, và các kỳ ngh ; s tay h th ng; b n in c a d li u nh y c m ho c tên đăngệ thống hoặc ỉ bằng một nụ cười thân thiện, nhân ệ thống hoặc ống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ặc
nh p và password; b n ghi source code; băng và đĩa; các đĩa c ng h t h n.ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ết
Phương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng pháp nâng cao h n trong kỹ thu t Social engineering là Reverse Socialơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc Engineering (Social engineering ngượi dụngc) Trong kỹ thu t này, hacker tr thànhật đột nhập vào hệ thống hoặc ởi vì hacker có thể lợi dụng
người dùng của hệ thống, hoặc thuyếti cung c p thông tin Đi u đó không có gì là ng c nhiên, khi hacker bây giấn Thành ời dùng của hệ thống, hoặc thuyết chính là nhân viên phòng help desk Người dùng của hệ thống, hoặc thuyếti dùng b m t password, và yêu c u$ ấn Thành ầu tiên họ đã tiến hành một nghiên cứu nhân viên helpdesk cung c p l i.ấn Thành
4.2 Computer-Based Social Engineering
Computer Based: là s d ng các ph n m m đ l y đử dụng để thu thập thông tin trước hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ượi dụngc thông tin mong mu n.ống hoặc
Có th chia thành các lo i nh sau:ể giúp chúng ta đánh bại bộ phận an ninh ư
Trang 7Phising: Thu t ng này áp d ng cho m t email xu t hi n đ n t m t công tyật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ột nhập vào hệ thống hoặc ấn Thành ệ thống hoặc ết ừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc kinh doanh, ngân hàng ho c th tín d ng yêu c u ch ng th c thông tin và c nhặc ! ầu tiên họ đã tiến hành một nghiên cứu ự ảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa báo sẽ x y ra h u qu nghiêm tr ng n u vi c này không đảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ết ệ thống hoặc ượi dụngc làm Lá thư
thười dùng của hệ thống, hoặc thuyếtng ch a m t đột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếtng link đ n m t trang web gi m o trông h p pháp v iết ột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ợi dụng ớc hoặc trong cuộc logo c a công ty và n i dung có ch a form đ yêu c u username, password, sủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ầu tiên họ đã tiến hành một nghiên cứu ống hoặc
th tín d ng ho c s pin.! ặc ống hoặc
Vishing: Thu t ng là s k t h p c a “voice” và phishing Đây cũng là m t d ngật đột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ự ảnh hưởng và sự thuyết phục để đánh lừa ết ợi dụng ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc phising, nh ng k t n công sẽ tr c ti p g i đi n cho n n nhân thay vì g i email.ư ! ấn Thành ự ảnh hưởng và sự thuyết phục để đánh lừa ết ệ thống hoặc ởi vì hacker có thể lợi dụng
Người dùng của hệ thống, hoặc thuyết ử dụng để thu thập thông tin trước hoặc trong cuộci s d ng sẽ nh n đật đột nhập vào hệ thống hoặc ượi dụngc m t thông đi p t đ ng v i n i dung c nh báoột nhập vào hệ thống hoặc ệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ớc hoặc trong cuộc ột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa
v n đ liên quan đ n tài kho n ngân hàng Thông đi p này hấn Thành ết ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ước hoặc trong cuộcng d n h g iẫn họ gọi
đ n m t s đi n tho i đ kh c ph c v n đ Sau khi g i, s đi n tho i này sẽết ột nhập vào hệ thống hoặc ống hoặc ệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ấn Thành ống hoặc ệ thống hoặc
k t n i ngết ống hoặc ười dùng của hệ thống, hoặc thuyết ượi dụngi đ c g i t i m t h th ng h tr gi , yêu c u h ph i nh p mãớc hoặc trong cuộc ột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ỗ người dùng tiết lộ thông tin nhạy cảm hoặc ợi dụng ảnh hưởng và sự thuyết phục để đánh lừa ầu tiên họ đã tiến hành một nghiên cứu ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc
th tín d ng Và Voip ti p tay đ c l c thêm cho d ng t n công m i này vì giá r! ết ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ự ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ớc hoặc trong cuộc !
và khó giám sát m t cu c g i b ng Voip.ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết
Pop-up Windows: M t c a s sẽ xu t hi n trên màn hình nói v i user là anh taột nhập vào hệ thống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc ấn Thành ệ thống hoặc ớc hoặc trong cuộc
đã m t k t n i và c n ph i nh p l i username và password M t chấn Thành ết ống hoặc ầu tiên họ đã tiến hành một nghiên cứu ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng trình
đã đượi dụngc cài đ t trặc ước hoặc trong cuộcc đó b i k xâm nh p sau đó sẽ email thông tin đ n m tởi vì hacker có thể lợi dụng ! ật đột nhập vào hệ thống hoặc ết ột nhập vào hệ thống hoặc website xa.ởi vì hacker có thể lợi dụng
Mail attachments: Có 2 hình th c thông thười dùng của hệ thống, hoặc thuyếtng có th để giúp chúng ta đánh bại bộ phận an ninh ượi dụng ử dụng để thu thập thông tin trước hoặc trong cuộcc s d ng Đ u tiênầu tiên họ đã tiến hành một nghiên cứu
là mã đ c h i Mã này sẽ luôn luôn n trong m t file đính kèm trong email V iột nhập vào hệ thống hoặc ẩy ột nhập vào hệ thống hoặc ớc hoặc trong cuộc
m c đích là m t user không nghi ng sẽ click hay m file đó, ví d virus IloveYou,ột nhập vào hệ thống hoặc ời dùng của hệ thống, hoặc thuyết ởi vì hacker có thể lợi dụng sâu Anna Kournikova( trong trười dùng của hệ thống, hoặc thuyếtng h p này file đính kèm tên làợi dụng AnnaKournikova.jpg.vbs N u tên file đó b c t b t thì nó sẽ gi ng nh file jpg vàết $ ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ớc hoặc trong cuộc ống hoặc ư user sẽ không chú ý ph n m r ng vbs) Th hai cũng có hi u qu tầu tiên họ đã tiến hành một nghiên cứu ởi vì hacker có thể lợi dụng ột nhập vào hệ thống hoặc ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng t , baoự ảnh hưởng và sự thuyết phục để đánh lừa
g m g i m t file đánh l a h i user đ xóa file h p pháp Chúng đồm việc đạt được những thông tin mật hay truy cập trái ởi vì hacker có thể lợi dụng ột nhập vào hệ thống hoặc ừa người dùng của hệ thống, hoặc thuyết ỏ thông tin truy cập từ một số ể giúp chúng ta đánh bại bộ phận an ninh ợi dụng ượi dụng ật đột nhập vào hệ thống hoặcc l p kết
ho ch đ làm t c nghẽn h th ng mail b ng cách báo cáo m t s đe d a khôngể giúp chúng ta đánh bại bộ phận an ninh ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ệ thống hoặc ống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa
t n t i và yêu c u ngồm việc đạt được những thông tin mật hay truy cập trái ầu tiên họ đã tiến hành một nghiên cứu ười dùng của hệ thống, hoặc thuyếti nh n chuy n ti p m t b n sao đ n t t c b n và đ ngật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ết ột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ết ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ồm việc đạt được những thông tin mật hay truy cập trái nghi p c a h Đi u này có th t o ra m t hi u ng g i là hi u ng qu c uệ thống hoặc ủa hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ệ thống hoặc ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ầu tiên họ đã tiến hành một nghiên cứu tuy t.ết
Websites: M t m u m o đ làm cho user không chú ý đ l ra d li u nh yột nhập vào hệ thống hoặc ư ẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy ể giúp chúng ta đánh bại bộ phận an ninh ể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc
c m, ch ng h n nh password h s d ng t i n i làm vi c Ví d , m t websiteảnh hưởng và sự thuyết phục để đánh lừa ẳng hạn như mong muốn trở thành người ư ử dụng để thu thập thông tin trước hoặc trong cuộc ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ệ thống hoặc ột nhập vào hệ thống hoặc
có th t o ra m t cu c thi h c u, đòi h i user đi n vào đ a ch email vàể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ư ấn Thành ỏ thông tin truy cập từ một số $ ỉ bằng một nụ cười thân thiện, nhân password Password đi n vào có th tể giúp chúng ta đánh bại bộ phận an ninh ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng t v i password đự ảnh hưởng và sự thuyết phục để đánh lừa ớc hoặc trong cuộc ượi dụngc s d ng cáử dụng để thu thập thông tin trước hoặc trong cuộc nhân t i n i làm vi c Nhi u nhân viên sẽ đi n vào password gi ng v iơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ớc hoặc trong cuộc password h s d ng t i n i làm vi c, vì th social engineer có username h p lử dụng để thu thập thông tin trước hoặc trong cuộc ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ệ thống hoặc ết ợi dụng ệ thống hoặc
và password đ truy xu t vào h th ng m ng t ch c.ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ệ thống hoặc ống hoặc
Trang 8Interesting Software: Trong trười dùng của hệ thống, hoặc thuyếtng h p này n n nhân đợi dụng ượi dụngc thuy t ph c t i vết ảnh hưởng và sự thuyết phục để đánh lừa
và cài đ t các chặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng trình hay ng d ng h u ích nh c i thi n hi u su t c aững thông tin của ông này có thể giúp họ tấn công ư ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ệ thống hoặc ấn Thành ủa hệ thống, hoặc thuyết CPU, RAM, ho c các ti n ích h th ng ho c nh m t crack đ s d ng các ph nặc ệ thống hoặc ệ thống hoặc ống hoặc ặc ư ột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ử dụng để thu thập thông tin trước hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu
m m có b n quy n Và m t Spyware hay Malware ( ch ng h n nh Keylogger)ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ẳng hạn như mong muốn trở thành người ư
sẽ đượi dụngc cài đ t thông qua m t chặc ột nhập vào hệ thống hoặc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng trình đ c h i ng y trang dột nhập vào hệ thống hoặc ước hoặc trong cuộci m tột nhập vào hệ thống hoặc
chương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng trình h p pháp.ợi dụng
Engineering
5.1 Thu th p thông tin ập thông tin
M t trong nh ng chìa khóa thành công c a Social Engineering là thông tin Đángột nhập vào hệ thống hoặc ững thông tin của ông này có thể giúp họ tấn công ủa hệ thống, hoặc thuyết
ng c nhiên là d dàng thu th p đ y đ thông tin c a m t t ch c và nhân viênễn Tấn Thành ật đột nhập vào hệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ủa hệ thống, hoặc thuyết ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc trong t ch c đó Các t ch c có khuynh hước hoặc trong cuộcng đ a quá nhi u thông tin lênư website c a h nh là m t ph n c a chi n lủa hệ thống, hoặc thuyết ư ột nhập vào hệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ủa hệ thống, hoặc thuyết ết ượi dụngc kinh doanh Thông tin này
thười dùng của hệ thống, hoặc thuyếtng mô t hay đ a ra các đ u m i nh là các nhà cung c p có th ký k t;ảnh hưởng và sự thuyết phục để đánh lừa ư ầu tiên họ đã tiến hành một nghiên cứu ống hoặc ư ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ết danh sách đi n thoai và email; và ch ra có chi nhánh hay không n u có thì chúngệ thống hoặc ỉ bằng một nụ cười thân thiện, nhân ết đâu T t c thông tin này có th là h u ích v i các nhà đ u t ti m năng,
ởi vì hacker có thể lợi dụng ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ể giúp chúng ta đánh bại bộ phận an ninh ững thông tin của ông này có thể giúp họ tấn công ớc hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ư
nh ng nó cũng có th b s d ng trong t n công Social Engineering Nh ng thư ể giúp chúng ta đánh bại bộ phận an ninh $ ử dụng để thu thập thông tin trước hoặc trong cuộc ấn Thành ững thông tin của ông này có thể giúp họ tấn công
mà các t ch c ném đi có th là ngu n tài nguyên thông tin quan tr ng Tìmể giúp chúng ta đánh bại bộ phận an ninh ồm việc đạt được những thông tin mật hay truy cập trái
ki m trong thùng rác có th khám phá hóa đ n, th t , s tay, có th giúp choết ể giúp chúng ta đánh bại bộ phận an ninh ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ư ừa người dùng của hệ thống, hoặc thuyết ể giúp chúng ta đánh bại bộ phận an ninh
k t n công ki m đ! ấn Thành ết ượi dụngc các thông tin quan tr ng M c đích c a k t n công trongủa hệ thống, hoặc thuyết ! ấn Thành
bước hoặc trong cuộcc này là hi u càng nhi u thông tin càng t t đ làm ra v là nhân viên, nhàể giúp chúng ta đánh bại bộ phận an ninh ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ! cung c p, đ i tác chi n lấn Thành ống hoặc ết ượi dụngc h p l ,…ợi dụng ệ thống hoặc
5.2 Ch n m c tiêu ọn mục tiêu ục tiêu
Khi kh i lống hoặc ượi dụngng thông tin phù h p đã đợi dụng ượi dụng ật đột nhập vào hệ thống hoặcc t p h p, k t n công tìm ki m đi mợi dụng ! ấn Thành ết ể giúp chúng ta đánh bại bộ phận an ninh
y u đáng chú ý trong nhân viên c a t ch c đó ết ủa hệ thống, hoặc thuyết
M c tiêu thông thười dùng của hệ thống, hoặc thuyếtng là nhân viên h tr kỹ thu t, đợi dụng ật đột nhập vào hệ thống hoặc ượi dụng ật đột nhập vào hệ thống hoặcc t p luy n đ đ a sệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ư ự ảnh hưởng và sự thuyết phục để đánh lừa giúp đ và có th thay đ i password, t o tài kho n, kích ho t l i tài kho n,…ỡ hệ thống kỹ thuật an ninh hiện tại ể giúp chúng ta đánh bại bộ phận an ninh ảnh hưởng và sự thuyết phục để đánh lừa ảnh hưởng và sự thuyết phục để đánh lừa
M c đích c a h u h t k t n công là t p h p thông tin nh y c m và l y m t vủa hệ thống, hoặc thuyết ầu tiên họ đã tiến hành một nghiên cứu ết ! ấn Thành ật đột nhập vào hệ thống hoặc ợi dụng ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ột nhập vào hệ thống hoặc $ trí trong h th ng K t n công nh n ra là khi chúng có th truy c p, th m chí làệ thống hoặc ống hoặc ! ấn Thành ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc
c p đ khách, thì chúng có th nâng quy n lên, b t đ u t n công phá ho i và cheấn Thành ột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ầu tiên họ đã tiến hành một nghiên cứu ấn Thành
gi u v t.ấn Thành ết
Tr lý administrator là m c tiêu k ti p Đó là vì các cá nhân này có th ti p c nợi dụng ết ết ể giúp chúng ta đánh bại bộ phận an ninh ết ật đột nhập vào hệ thống hoặc
v i các d li u nh y c m thông thớc hoặc trong cuộc ững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ười dùng của hệ thống, hoặc thuyếtng đượi dụng ưc l u chuy n gi a các thành viênể giúp chúng ta đánh bại bộ phận an ninh ững thông tin của ông này có thể giúp họ tấn công
qu n tr c p cao Nhi u các tr lý này th c hi n các công vi c hàng ngày choảnh hưởng và sự thuyết phục để đánh lừa $ ấn Thành ợi dụng ự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ệ thống hoặc
Trang 9qu n lý c a h mà các công vi c này yêu c u đ c quy n tài kho n c a ngảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ặc ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti
qu n lý.ảnh hưởng và sự thuyết phục để đánh lừa
5.3 T n công ấn công
S t n công th c t thông thự ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ự ảnh hưởng và sự thuyết phục để đánh lừa ết ười dùng của hệ thống, hoặc thuyếtng d a trên cái mà chúng ta g i đó là “s lự ảnh hưởng và sự thuyết phục để đánh lừa ự ảnh hưởng và sự thuyết phục để đánh lừa ười dùng của hệ thống, hoặc thuyếtng
g t” G m có 3 lo i chính:ồm việc đạt được những thông tin mật hay truy cập trái
1 Ego attack: trong lo i t n công đ u tiên này, k t n công d a vào m tấn Thành ầu tiên họ đã tiến hành một nghiên cứu ! ấn Thành ự ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc vài đ c đi m c b n c a con ngặc ể giúp chúng ta đánh bại bộ phận an ninh ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ười dùng của hệ thống, hoặc thuyếti T t c chúng ta thích nói v chúngấn Thành ảnh hưởng và sự thuyết phục để đánh lừa
ta thông minh nh th nào và chúng ta bi t ho c chúng ta đang làmư ết ết ặc
ho c hi u ch nh công ty ra sao K t n công sẽ s d ng đi u này đặc ệ thống hoặc ỉ bằng một nụ cười thân thiện, nhân ! ấn Thành ử dụng để thu thập thông tin trước hoặc trong cuộc ể giúp chúng ta đánh bại bộ phận an ninh trích ra thông tin t n n nhân c a chúng K t n công thừa người dùng của hệ thống, hoặc thuyết ủa hệ thống, hoặc thuyết ! ấn Thành ười dùng của hệ thống, hoặc thuyếtng ch n
n n nhân là người dùng của hệ thống, hoặc thuyết ảnh hưởng và sự thuyết phục để đánh lừai c m th y b đánh giá không đúng m c và đang làmấn Thành $
vi c v trí mà dệ thống hoặc ởi vì hacker có thể lợi dụng $ ước hoặc trong cuộci tài năng c a h K t n công thủa hệ thống, hoặc thuyết ! ấn Thành ười dùng của hệ thống, hoặc thuyếtng có th phánể giúp chúng ta đánh bại bộ phận an ninh đoán ra đi u này ch sau m t cu c nói chuy n ng n.ỉ bằng một nụ cười thân thiện, nhân ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ệ thống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên
2 Sympathy attacks: Trong lo i t n công th hai này, k t n côngấn Thành ! ấn Thành
thười dùng của hệ thống, hoặc thuyếtng gi v là nhân viên t p s , m t nhà th u, ho c m t nhân viênảnh hưởng và sự thuyết phục để đánh lừa ời dùng của hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ặc ột nhập vào hệ thống hoặc
m i c a m t nhà cung c p ho c đ i tác chi n lớc hoặc trong cuộc ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ấn Thành ặc ống hoặc ết ượi dụngc, nh ng ngững thông tin của ông này có thể giúp họ tấn công ười dùng của hệ thống, hoặc thuyếti này
x y ra tình hu ng khó x và c n s giúp đ đ th c hi n xong nhi mảnh hưởng và sự thuyết phục để đánh lừa ống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc ầu tiên họ đã tiến hành một nghiên cứu ự ảnh hưởng và sự thuyết phục để đánh lừa ỡ hệ thống kỹ thuật an ninh hiện tại ự ảnh hưởng và sự thuyết phục để đánh lừa ệ thống hoặc ệ thống hoặc
v
S quan tr ng c a bự ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết ước hoặc trong cuộcc thu th p tr nên rõ ràng đây, khi k t nật đột nhập vào hệ thống hoặc ởi vì hacker có thể lợi dụng ởi vì hacker có thể lợi dụng ! ấn Thành công sẽ t o ra s tin c y v i n n nhân b ng cách dùng các t chuyênự ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ớc hoặc trong cuộc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ừa người dùng của hệ thống, hoặc thuyết ngành thích h p ho c th hi n ki n th c v t ch c K t n công giợi dụng ặc ể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc ết ! ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa
v là h n đang b n và ph i hoàn thành m t vài nhi m v mà yêu c uời dùng của hệ thống, hoặc thuyết ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu truy xu t, nh ng h n không th nh username và password,… M tấn Thành ư ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ể giúp chúng ta đánh bại bộ phận an ninh ớc hoặc trong cuộc ột nhập vào hệ thống hoặc
c m giác kh n c p luôn luôn là ph n trong k ch b n V i b n tính conảnh hưởng và sự thuyết phục để đánh lừa ẩy ấn Thành ầu tiên họ đã tiến hành một nghiên cứu $ ảnh hưởng và sự thuyết phục để đánh lừa ớc hoặc trong cuộc ảnh hưởng và sự thuyết phục để đánh lừa
người dùng của hệ thống, hoặc thuyếti là thông c m nên trong h u h t các trảnh hưởng và sự thuyết phục để đánh lừa ầu tiên họ đã tiến hành một nghiên cứu ết ười dùng của hệ thống, hoặc thuyếtng h p yêu c u sẽ đợi dụng ầu tiên họ đã tiến hành một nghiên cứu ượi dụngc
ch p nh n N u k t n công th t b i khi l y truy xu t ho c thông tinấn Thành ật đột nhập vào hệ thống hoặc ết ! ấn Thành ấn Thành ấn Thành ấn Thành ặc
t m t nhân viên, h n sẽ ti p t c c g ng cho đ n khi tìm th y ngừa người dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ết ống hoặc ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ết ấn Thành ười dùng của hệ thống, hoặc thuyếti thông c m, ho c cho đ n khi h n nh n ra là t ch c nghi ng ảnh hưởng và sự thuyết phục để đánh lừa ặc ết ắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ật đột nhập vào hệ thống hoặc ời dùng của hệ thống, hoặc thuyết
3 Intimidation attacks: V i lo i th ba, k t n công gi v là là m tớc hoặc trong cuộc ! ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ời dùng của hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc nhân v t có quy n, nh là m t ngật đột nhập vào hệ thống hoặc ư ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếti có nh hảnh hưởng và sự thuyết phục để đánh lừa ưởi vì hacker có thể lợi dụngng trong t ch c K!
t n công sẽ nh m vào n n nhân có v trí th p h n v trí c a nhân v tấn Thành ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết $ ấn Thành ơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc $ ủa hệ thống, hoặc thuyết ật đột nhập vào hệ thống hoặc
mà h n gi v K t n công t o m t lý do h p lý cho các yêu c u nhắn mặt này Có thành quả đó là do họ đã tiến hành nghiên ảnh hưởng và sự thuyết phục để đánh lừa ời dùng của hệ thống, hoặc thuyết ! ấn Thành ột nhập vào hệ thống hoặc ợi dụng ầu tiên họ đã tiến hành một nghiên cứu ư thi t l p l i password, thay đ i tài kho n, truy xu t đ n h th ng,ết ật đột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ết ệ thống hoặc ống hoặc
ho c thông tin nh y c m.ặc ảnh hưởng và sự thuyết phục để đánh lừa
Trang 106.Các ki u t n công ph bi n ểm yếu của mọi người ấn công Social ổ biến ếu của mọi người
6.1 Insider Attacks
N u m t hacker không tìm đết ột nhập vào hệ thống hoặc ượi dụngc cách nào đ t n công vào t ch c, s l a ch nể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ự ảnh hưởng và sự thuyết phục để đánh lừa ự ảnh hưởng và sự thuyết phục để đánh lừa
t t nh t ti p theo đ xâm nh p là thuê m t nhân viên, ho c tìm ki m m t nhânống hoặc ấn Thành ết ể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ặc ết ột nhập vào hệ thống hoặc viên đang b t mãn, đ làm n i gián, cung c p các thông tin c n thi t Đó chính làấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ột nhập vào hệ thống hoặc ấn Thành ầu tiên họ đã tiến hành một nghiên cứu ết Insider Attack – t n công n i b Insider Attack có m t th m nh r t l n, vìấn Thành ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ết ấn Thành ớc hoặc trong cuộc
nh ng gián đi p này đững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ượi dụngc phép truy c p v t lý vào h th ng công ty, và diật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc chuy n ra vào t do trong công ty M t ví d đi n hình t i Vi t Nam, đó chính làể giúp chúng ta đánh bại bộ phận an ninh ự ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc
v t n công vào Vietnamnet (năm 2010) đấn Thành ượi dụngc cho r ng có liên quan đ n s rò rĩằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ết ự ảnh hưởng và sự thuyết phục để đánh lừa các thông tin n i b ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc
M t ki u khác c a t n công n i b , là chính s phá đám c a các nhân viên.ột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ủa hệ thống, hoặc thuyết ấn Thành ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ủa hệ thống, hoặc thuyết
Nh ng nhân viên làm vi c v i m c lững thông tin của ông này có thể giúp họ tấn công ệ thống hoặc ớc hoặc trong cuộc ương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng th p kém, và anh ta mu n có m cấn Thành ống hoặc
lương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng cao h n B ng cách xâm nh p vào CSDL nhân s công ty, anh ta có thơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ật đột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ể giúp chúng ta đánh bại bộ phận an ninh thay đ i m c lương pháp phi kỹ thuật đột nhập vào hệ thống hoặcng c a mình Ho c m t trủa hệ thống, hoặc thuyết ặc ột nhập vào hệ thống hoặc ười dùng của hệ thống, hoặc thuyếtng h p khác, nhân viên mu n cóợi dụng ống hoặc
ti n nhi u h n, b ng cách đánh c p các b ng k ho ch kinh doanh mang bánơng pháp phi kỹ thuật đột nhập vào hệ thống hoặc ằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa ết cho các công ty khác
B o v , ch ng l i s t n công n i b ảo vệ, chống lại sự tấn công nội bộ ệ thuật của sự thao túng ống lại sự tấn công nội bộ ại kỹ thuật tấn công Social ự thao túng ấn công Social ội bộ ội bộ
Phòng ch ng ki u t n công này th t s r t khó Vì nó không có liên quan đ n hống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ấn Thành ật đột nhập vào hệ thống hoặc ự ảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ết ệ thống hoặc
th ng máy móc, ph n m m, mà liên quan đ n v n đ tâm lý con ngống hoặc ầu tiên họ đã tiến hành một nghiên cứu ết ấn Thành ười dùng của hệ thống, hoặc thuyếti Chúng ta không th đoán bi t để giúp chúng ta đánh bại bộ phận an ninh ết ượi dụngc khi nào nhân viên ph n b i, hay là anh y b muaảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ấn Thành $ chu c, ép bu c ph i tham gia vào cu c t n công Đ phòng ch ng ki u này, đòiột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ống hoặc ể giúp chúng ta đánh bại bộ phận an ninh
h i c t p th công ty có tinh th n đoàn k t cao, v giám đ c, nhà lãnh đ o ph iỏ thông tin truy cập từ một số ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ầu tiên họ đã tiến hành một nghiên cứu ết $ ống hoặc ảnh hưởng và sự thuyết phục để đánh lừa
th u hi u tâm lý c a nhân viên Làm th nào đ nhân viên không ph n b i l iấn Thành ể giúp chúng ta đánh bại bộ phận an ninh ủa hệ thống, hoặc thuyết ết ể giúp chúng ta đánh bại bộ phận an ninh ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc mình, đi u này thiên v ngh thu t ng x ệ thống hoặc ật đột nhập vào hệ thống hoặc ử dụng để thu thập thông tin trước hoặc trong cuộc
Thười dùng của hệ thống, hoặc thuyếtng thì m t t ch c thuê nhân viên an ninh, và đ t ra nh ng chính sách đột nhập vào hệ thống hoặc ặc ững thông tin của ông này có thể giúp họ tấn công ể giúp chúng ta đánh bại bộ phận an ninh
ch ng cu c t n công t bên ngoài, mà ít khi đ phòng đ n n i b bên trong V iống hoặc ột nhập vào hệ thống hoặc ấn Thành ừa người dùng của hệ thống, hoặc thuyết ết ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ớc hoặc trong cuộc các h th ng phát hi n xâm nh p (intrusion detection systems - IDS), h u h tệ thống hoặc ống hoặc ệ thống hoặc ật đột nhập vào hệ thống hoặc ầu tiên họ đã tiến hành một nghiên cứu ết chúng đượi dụngc thi t k và tri n khai đ phát hi n các m i đe d a t bên ngoài Tuyết ết ể giúp chúng ta đánh bại bộ phận an ninh ể giúp chúng ta đánh bại bộ phận an ninh ệ thống hoặc ống hoặc ừa người dùng của hệ thống, hoặc thuyết nhiên, đi u đó không ph i là t t c , IDS cũng có giá tr trong vi c phát hi n cácảnh hưởng và sự thuyết phục để đánh lừa ấn Thành ảnh hưởng và sự thuyết phục để đánh lừa $ ệ thống hoặc ệ thống hoặc
cu c t n công n i b , n u nh nhân viên an ninh bi t cách khai thác.ột nhập vào hệ thống hoặc ấn Thành ột nhập vào hệ thống hoặc ột nhập vào hệ thống hoặc ết ư ết
6.2 Identity Theft
M t hacker có th gi danh m t nhân viên ho c ăn c p danh tính c a m t nhânột nhập vào hệ thống hoặc ể giúp chúng ta đánh bại bộ phận an ninh ảnh hưởng và sự thuyết phục để đánh lừa ột nhập vào hệ thống hoặc ặc ấn Thành ủa hệ thống, hoặc thuyết ột nhập vào hệ thống hoặc viên đ thâm nh p vào h th ng Thông tin để giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ệ thống hoặc ống hoặc ượi dụngc thu th p thông qua kỹ thu tật đột nhập vào hệ thống hoặc ật đột nhập vào hệ thống hoặc Dumpster Diving ho c Shoulder Surfing k t h p v i vi c t o ID gi (fake ID) cóặc ết ợi dụng ớc hoặc trong cuộc ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa
th giúp các hacker xâm nh p vào t ch c Vi c t o tài kho n xâm nh p vào hể giúp chúng ta đánh bại bộ phận an ninh ật đột nhập vào hệ thống hoặc ệ thống hoặc ảnh hưởng và sự thuyết phục để đánh lừa ật đột nhập vào hệ thống hoặc ệ thống hoặc