Social Engineering

Social Engineering

Social Engineering

E-Commerce

Lý Tiến Phúc 50902005 Nguyễn Ngọc Sơn 50902278 Phạm Duy Tiến 50902759

Giới thiệu về Social Engineering

Giới thiệu về Social Engineering

lòng tin của người khác để thao

túng hành vi của họ hoặc bắt họ

tiết lộ thông tin bí mật

 Mục tiêu của hình thức tấn công

tấn công Social Engineering bằng

các phần cứng hoặc phần mềm

thông dụng

tấn công khó phòng chống nhất

Giới thiệu về Social Engineering

làm 2 loại:

 Human based: là việc trao đổi giữa

người với người để lấy được thông tin mong muốn.

phần mềm để lấy được thông tin mong muốn.

 Các kỹ thuật social engineering

dựa vào con người có thể đại khái

 Hacker giả làm một nhân viên hay người sử

dụng hợp lệ trong hệ thống để đạt được quyền truy xuất Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đó thu thập một số thông tin có liên quan đến công ty đó

 Impersonation:

 Lợi dụng quy luật được thừa nhận trong giao

tiếp xã hội là khi nhận được sự giúp đỡ từ một người nào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả

 Social engineers cố gắng tận dụng đặc điểm xã

hội này khi mạo nhận người khác Những mưu mẹo này đã được sử dụng để ngụy trang để đạt được sự truy xuất thông tin vật lý

 Impersonation:

 Nhiều thông tin cá nhân có thể được thu thập từ

người dùng thậm chí là sổ danh bạ và biển đề tên ở cửa, hoặc những thứ người dùng đã xóa đi

 Sự mạo nhận đạt tới một mức độ cao hơn bằng

cách nắm lấy đặc điểm của một nhân viên quan trọng (để thêm yếu tố đe dọa), lời nói của họ có giá trị và thông thường đáng tin cậy hơn

 Lợi dụng sự biết ơn đóng vai trò để nhân viên vị

trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta

 Posing as Important User:

 Kẻ tấn công giả dạng như một user quan trọng

có thể lôi kéo một nhân viên – những người không đề phòng rất dễ dàng bị tấn công Social engineer sử dụng quyền lực để hăm dọa thậm chí là đe dọa báo cáo nhân viên với người giám sát nhân viên đó nếu họ không cung cấp thông tin theo yêu cầu

 Một kỹ thuật social engineering phổ biến khác là

kẻ tấn công thể hiện một nguồn tài nguyên này anh ta đã được chấp nhận của sự ủy quyền chỉ định

 Third-person Authorization:

 Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc

người khác và tuyên bố là anh ta đã được chấp nhận để truy xuất thông tin, mang lại hiệu quả cao nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngoài - nơi mà sự xác minh không thể ngay lập tức

• Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần

 Technical Support:

 Một chiến thuật thường hay được sử dụng, đặc

biệt khi nạn nhân không phải là chuyên gia về kỹ thuật

 Kẻ tấn công có thể giả làm một người bán phần

cứng hoặc kỹ thuật viên hoặc một nhà cung cấp liên quan máy tính và tiếp cận với nạn nhân

 In Person:

 Kẻ tấn công cố gắng để tham quan vị trí mục

tiêu và quan sát tình hình cho thông tin Họ có thể cải trang thành người phân phối thư, người lao công hoặc thậm chí rong chơi như một vị khách ở hành lang, có thể giả làm nhà kinh doanh, khách hoặc kỹ thuật viên

 Khi ở bên trong, anh ta có thể nhìn password

trên màn hình, tìm dữ liệu quan trọng nằm trên bàn hoặc nghe trộm các cuộc nói chuyện bí mật

lệ đăng nhập và sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống.

 In Person:

 Hành động:

• Khi ở bên trong, kẻ xâm nhập có thể đi lang thang những hành lang của tòa nhà để tìm kiếm các văn phòng trống lấy tên đăng nhập mà mật khẩu của nhân viên đính trên PC của họ

• Đi vào phòng mail để chèn các bản ghi nhớ giả mạo vào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến phòng server hay phòng điện thoại để lấy nhiều thông tin hơn từ hệ thống đang vận hành

• Đặt bộ phân tích protocol trong wiring closet để bắt gói

dữ liệu, username, và password hay chỉ đơn giản đánh cắp thông tin nhằm đến.

dựa vào phần mềm có thể chia

thành các loại như sau:

 Phising :

 Thuật ngữ này áp dụng cho một email xuất hiện

đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm

 Lá thư thường chứa một đường link đến một

trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin

 Vishing:

 Thuật ngữ là sự kết hợp của giọng nói và

phishing Đây cũng là một dạng phising mà kẻ tấn công gọi điện trực tiếp cho nạn nhân

 Người sử dụng sẽ nhận được một thông điệp tự

động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề

 Sau khi gọi, số điện thoại này sẽ kết nối người

được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng

 VoIP tiếp tay đắc lực thêm cho dạng tấn công

mới này vì giá rẻ và khó giám sát một cuộc gọi bằng VoIP

 Pop-up Windows:

 Một cửa sổ sẽ xuất hiện trên màn hình nói với

người dùng là họ đã mất kết nối và cần phải nhập lại username và password

 Một chương trình đã được cài đặt trước đó bởi

kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa

 Có thể là một thông tin quảng cáo, thông báo

người dùng đã nhận được giải thưởng và yêu cầu họ xác nhận thông tin

 Mail attachments

 Sử dụng mã độc hại: Mã này sẽ luôn luôn ẩn

trong một file đính kèm trong email Với mục đích là một user không nghi ngờ sẽ click hay mở file đó

 Ví dụ: virus IloveYou, sâu Anna

Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng vbs)

 Gửi một file đánh lừa hỏi user để xóa file hợp

pháp Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự

đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ

 Websites:

 Một mưu mẹo để làm cho user không chú ý để lộ

ra dữ liệu nhạy cảm, chẳng hạn như password họ

sử dụng tại nơi làm việc

 Ví dụ, một website có thể tạo ra một cuộc thi ảo,

đòi hỏi user điền vào địa chỉ email và password

Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.

 Trong trường hợp này nạn nhân được thuyết

phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền

 Sau đó một Spyware hay Malware ( chẳng hạn

như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp

Giới thiệu về Social Engineering

 Trong bước này kẻ tấn công sẽ cố gắng tìm hiểu

trước càng nhiều thông tin càng tốt để có thể đóng vai nhân viên, nhà cung cấp, đối tác

 Đây là một bước quan trọng trong quá trình tấn

công Social Engineering, nhưng ngạc nhiên là các thông tin này thường dễ dàng được khai thác từ các website, thư từ, hóa đơn, sổ tay bỏ

đi, và cả thùng rác

 Chọn mục tiêu:

 Khi khối lượng thông tin thu thập được đã đủ, kẻ

tấn công tìm kiếm nhân viên trong tổ chức, thông thường là các nhân viên hỗ trợ vì các nhân viên này thường có nhiệm vụ giúp đỡ các thành viên khác trong công ty, và có một số quyền nhất định như thay đổi password, tạo và kích hoạt tài khoản…

 Khi đã thành công với mục tiêu là nhân viên hỗ

trợ, kẻ tấn công sẽ bắt đầu phá hoại và che giấu vết Mục tiêu tiếp theo của kẻ tấn công sẽ là các nhân viên cấp cao, như là trợ lý administrator…

 Ego attack: Trong loại tấn công này kẻ tấn công

thường dựa vào một vài đặc điểm cơ bản của con người Thường kẻ tấn công sẽ tân bốc mục tiêu hoặc tỏ vẻ đồng tình về một ý kiến nào đó của mục tiêu Sau đó kẻ tấn công sẽ rút trích thông tin từ mục tiêu Nạn nhân của loại tấn công này thường là người cảm thấy không được đánh giá đúng mức trong công ty

 Tấn công:

 Sympathy attack: Trong loại tấn công này, kẻ tấn

công giả vờ là nhân viên tập sự, nhân viên mới hoặc đối tác, gặp tình huống khó xử cần được

sự giúp đỡ để hoàn thành nhiệm vụ Bằng cách này kẻ tấn công sẽ lợi dụng sự giúp đỡ của mục tiêu để khai thác thông tin

 Intimidation attack: Trong loại tấn công này kẻ

tấn công đóng vai là một nhân vật có quyền lực trong tổ chức Kẻ tấn công sẽ nhằm vào các mục tiêu có vị trí thấp hơn mình, tạo một lý do hợp lý để truy xuất thông tin trong tổ chức

Giới thiệu về Social Engineering

 Email:

• Nhiều nhân viên nhận hàng chục hoặc hàng trăm email hằng ngày , dẫn đến sự mất chú ý đến nội dung email Điều này rất có lợi cho hacker, hacker chỉ làm một yêu cầu đơn giản trong email thì cơ hội thành công là rất cao

• Những yêu cầu đơn giản có thể là gửi lịch nghỉ của các nhân viên… yêu cầu này có vẻ như không đe dọa các yêu cầu về bảo mật nhưng thông tin này có thể được hacker sử dụng vào các đợt tấn công khác

• Hacker còn có thể sử dụng các email gần giống với các tổ chức có liên quan đến công ty hoặc các đường dẫn gần giống với các đường dẫn hợp pháp để lừa các nạn nhân (Email Phishing)

 Các mối đe dọa trực tuyến

 Email:

 Pop-up và hội thoại:

• Các nhân viên không chuyên về IT thường bị lôi kéo để click vào pop-up hoặc hộp thoại (các cảnh báo giả, các chương trình download miễn phí hấp dẫn), từ đó hacker lan truyền trojan, worm, virus để truy xuất dữ liệu

 Các mối đe dọa trực tuyến

 Instant messaging:

• IM có một số mối đe dọa tiềm tàng như tính không chính thức của nó, việc người dùng có thể chọn cho mình một cái tên làm cho khả năng nhận biết người mình đang nói chuyện trở nên rất khó khăn (spoofing)

 Private Branch Exchange:

• Mục tiêu để tấn công: Yêu cầu thông tin, đạt quyền truy xuất điện thoại, đạt quyền truy xuất đến hệ thống mạng

• Hacker sử dụng điện thoại gọi tới 1 PBE để thực hiện các mục tiêu trên PBE là tên viết tắt của cụm từ tiếng Anh Private Branch Exchange (Tổng đài Nhánh Riêng), là một mạng điện thoại riêng được sử dụng trong phạm vi một công ty

• Những người sử dụng hệ thống điện thoại PBX dùng chung một số đường điện thoại ngoài để thực hiện các cuộc gọi ra bên ngoài

 Các mối đe dọa từ điện thoại

 Private Branch Exchange:

 Service Desk:

• Là một trong những phòng thủ trụ cột chống lại hacker, nhưng ngược lại nó cũng là mục tiêu cho các hacker social engineering

• Mặc dù nhân viên hỗ trợ thường nhận thấy được mối đe dọa của hacking, họ cũng đào tạo để giúp đỡ và hỗ trợ người gọi, cung cấp cho họ tư vấn và giải quyết các vấn đề của họ

• Đôi khi sự nhiệt tình giúp đỡ làm mất hiệu lực sự cam kết về các tuân thủ các thủ tục bảo mật

 Dumpster Diving

 Dumpster diving là một hoạt động có giá trị cho

hacker

 Giấy tờ vứt đi có thể chứa thông tin mang lại lợi

ích tức thời cho hacker, chẳng hạn như user ID

và số tài khoản bỏ đi, hoặc có thể phục vụ như

là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại

 Các loại thông tin này là vô giá đối với hacker

social engineering, bởi vì nó làm cho hắn ta có

vẻ đáng tin khi bắt đầu cuộc tấn công

 Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa

đi hoặc phá hủy các phương tiện có từ tính

đặt vào máy hủy, chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy nó, thì phải phát triển một giao thức cho việc vứt bỏ

toàn mà không tiếp cận với công cộng

 Tiếp cận cá nhân

 Tiếp cận trực tiếp:

• Ít phổ biến, nhưng hiệu quả hơn cho hacker, trực tiếp, cá nhân tiếp xúc với mục tiêu

• Chỉ có những nhân viên đáng ngờ nhất sẽ nghi ngờ tính hợp

lệ của một người nào đó mà tự giới thiệu về mình và yêu cầu hay trợ giúp cho hệ thống máy tính

• Mặc dù những tiếp cận này có độ rủi ro lớn hơn cho thủ phạm, các lợi ích vẫn rõ ràng

• Hacker có thể được truy xuất tự do đến hệ thống máy tính trong công ty, bên trong chu vi có sự phòng thủ tồn tại

• Hacker có thể xem qua vai để thấy ID và password, đọc thẻ nhớ

 Tiếp cận ảo:

• Hacker social engineering thực hiện liên lạc với mục tiêu đề thực hiện các cuộc tấn công thông qua môi trường điện tử, chẳng hạn như e-mail hay cửa sổ pop-up

 Reverse Social Engineering

 Là một hình thức cao hơn social engineering mà

giải quyết các khó khăn phổ biến của social engineering bình thường

 Hình thức này có thể mô tả là một user hợp

pháp của hệ thống hỏi hacker các câu hỏi cho thông tin

 Trong RSE, hacker được cho là có vị trí cao hơn

user hợp pháp, người thực sự là mục tiêu

 Để thực hiện một tấn công RSE, kẻ tấn công

phải có sự hiểu biết về hệ thống và luôn luôn phải có quyền truy xuất trước đó mà được cấp cho anh ta, thường là do social engineering bình thường tiến hành

Social Engineering Reverse Social Engineering

user cảm thấy là hacker mang nợ họ user cảm thấy mang nợ hacker

các câu hỏi thường vẫn chưa giải

quyết cho nạn nhân

tất cả các vấn đề được giải quyết, những kết thúc không đáng nghi ngờ tất cả các vấn đề được giải quyết,

những kết thúc không đáng nghi ngờ

hacker hoàn toàn điều khiển.

ít hoặc không cần sự chuẩn bị nhiều kế hoạch và sự truy xuất cần

thiết lập trước

 Reverse Social Engineering

 RSE gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự

giúp đỡ.

 Sau khi đạt quyền truy xuất bằng các phương tiện khác,

hacker bắt đầu phá hoại hoặc giả mạo thông báo lỗi

Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự giúp đỡ.

 Để là người được user gọi tới, kẻ tấn công phải quảng bá

là hắn ta có khả năng sửa được lỗi Sự quảng bá có thể bao gồm cung cấp thông tin về sửa chửa xung quanh các văn phòng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo lỗi

 ** ERROR 03 - Restricted Access Denied ** - File

access not allowed by user Consult with Mr Downs

at (301) 555-1414 for file permission information.

Giới thiệu về Social Engineering

sự phòng vệ chống lại mối đe dọa

từ social engineering đối với nhân

viên trong công ty:

trong chính sách bảo mật

 Xây dựng một framework quản lý

an ninh:

có thể cung cấp chứng thực cần thiết để đảm bảo tất cả nhân viên tham gia nghiêm chỉnh về bảo mật cho công ty.

quản lý, người có trách nhiệm cho bố trí

sự phát triển và bảo dưỡng của chính sách bảo mật.