Giáo trình CEH v7 tiếng việt chương 9 social engineering

Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài Mạng gián điệp bởi những những hacker liên kết với quân đội, m

Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên

‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài

Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao

Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm

2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật lừa đảo

Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các

cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008

http://www.fiercegovernmentit.com

Các chủ đề trình bày

 Social Engineering là gì

 Tại sao Social Engineering lại hiệu quả

 Các giai đoạn trong một cuộc tấn công

Social Engineering

 Các mục tiêu phổ biến của Social

Engineering

 Các kiểu Social Engineering

 Các chiến thuật xâm nhập phổ biến và

chiến lược phòng chống

 Social Engineering through Impersonation

trên miền mạng Social

 Ảnh hưởng của mạng Xã hội tới mạng

doanh nghiệp

 Ăn cắp ID

 Thế nào là Steal Indentity

 Biện pháp đối phó Social Enginneering

 Thử nghiệm Social Engineering

Khái niệm Social Engineering

Thử nghiệm xâm nhập

Không có bất kz bản vá lỗi nào đối với một con người ngu ngốc

Social Engineering là gì

 Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật

 Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về

chúng và bất cẩn trong việc bảo vệ nó

dễ dàng

Socal Engineers có thể đe doạ nghiêm trong đến việc mất mát trong trường hợp không tuân thủ những yêu cầu của họ (tổ chức)

Social Engineers thu hút các mục tiêu tiết

lộ thông tin bởi một cái gì đó đầy hứa hẹn

Những yếu tố làm doanh

nghiệp dễ bị tấn công

Đào tạo

an ninh còn thiếu

Dễ dàng truy cập thông tin

Thiếu những chính sách

an ninh

Nhiều các đơn vị tổ chức

Tại sao Social Engineering Lại Hiệu Quả

và con người là yếu tố nhạy cảm nhất

Rất khó để phát hiện ra Social Engineering

Không có một phương pháp chắc chắn nào để đảm bảo

an ninh một cách đầy đủ từ các cuộc tấn công Social Engineering

Những Dấu Hiệu của một cuộc tấn công

Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker

như không cung cấp thông tin

Yêu cầu phi chính thức

Không cung cấp số gọi lại

Các giai đoạn của một cuộc tấn công Social Engineering

Nghiên cứu công ty mục

Phát triển mối quan hệ

Phát triển mối quan hệ

với những nhân viên đã

được lựa chọn

Khai thác Phát triển

Nghiên cứu

Khai thác mối quan hệ

Tập hợp thông tin tài khoản nhạy cảm, thông tin tài chính, và công nghệ hiện tại

Những ảnh hưởng lên tổ chức

Những mất mát về kinh

tế

Mất sự riêng

tư

chính sách khủng bố

Các vụ kiện và các thủ tục

Tấn công bằng các câu lênh Injection

Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên

từ một nguồn internet ẩn danh và thuyết phục họ cung cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể truy cập tới

hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính

Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó

Giả sử hai đối tượng

“Rebecca” và “Jessica” là hai nạn nhân của kỹ thuật Social Engineering

Ví dụ

• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin

về cô ta”

• “Tôi gặp cô Jessica , cô ta là một đối tượng dễ dàng lừa đảo”

• “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”

Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty

Những mục tiêu chung của Social Engineering

Giám đốc hỗ trợ kỹ thuật

Những mục tiêu chung của Social Engineering:

Nhân viên văn phòng

Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty

Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo

• Những chính sách bảo mật

• Những tài liệu nhạy cảm

• Cấu trúc mạng văn phòng

• Những mật khẩu

Biện pháp đối phó Social Engineering

Ăn cắp Identity

Các kiểu Social Engineering

Human-based

Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ

Computer-based

Social Engineering được thực hiện bởi

sự giúp đỡ của máy tính

giả như một người sử

dụng đầu cuối hợp pháp

Nhận dạng và yêu cầu

thông tin nhạy cảm

“chào ! Đây là John, từ bộ

phận X, tôi đã quên

password của tôi Bạn có

thể lấy lại nó dùm tôi

có một hệ thống bị sập ở đây, và chúng tôi đến để kiểm tra có bị mất dữ liệu hay không Ngài có thể lấy cho tôi ID và Password không”

Giả làm một VIP của một công tư, khách hàng quan trọng, …

“ chào tôi là kevin, thư

kí giám đốc kinh doanh

Tôi đang làm một dự án cấp bách và bị mất mật khẩu hệ thống của mình

Bạn có thể giúp tôi được chứ?”

Ví dụ về việc hỗ trợ kỹ thuật

“ Một người đàn ông gọi đến bàn hỗ trợ của công ty

và nói rằng ông ta đã quên mật khẩu của ông ta Ông

ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc

Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra một lối vào mạng bên trong của công ty”

“chào, tôi là John Brown Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson Chúng tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm họa xảy ra từ bạn

Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một website sau khi bị tai nạn

”

Ví dụ về việc giả mạo cơ quan hỗ trợ

“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York Tôi biết đây là một thông báo ngắn, nhưng tôi

có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta

họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các cơ sở của chúng

ta, nó nên được đưa lên cao hơn và để chúng tôi đăng k{

họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua Dường như đã có một số người sâm nhập vào trong website, đó là l{ do mà họ quan tâm đến công ty của chúng tôi

”

“chào, tôi với dịch vụ chuyển phát nhanh Aircon Chúng tôi nhận được cuộc gọi rằng phòng máy tính

bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”

sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được quyền truy cập vào tài

nguyên mục tiêu

Eavesdropping

 Nghe lén hoặc nghe trái phép

các cuộc hội thoại hoặc đọc

với những kênh truyền thông

khác như đường dây điện

thoại, email, tin nhắn tức

thời, vv…

Shoulder Surfing

 Shoulder Surfing là tên cho

quy trình mà kẻ trộm sử dụng để tìm ra mật khẩu, số chứng minh nhân dân, số tài khoản , vv …

 Kẻ trộm nhìn qua vai của

bạn hoặc thậm chí quan sát

từ một khoảng cách xa bằng cách sử dụng ống nhòm, để có được một chút thông tin

Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác

Hóa đơn điện thoại

Thông tin các hoạt động

Thông tin tài chính

Tailgating

Một người trái phép, deo

một thẻ id giả đi vào một

khu vực được dảm bảo

chặt chẽ, đó là một người

có thẩm quyền thông qua

cách cửa yêu cầu truy cập

In Person Khảo sát một công ty để thu thập những thông tin vể:

- công nghệ hiện tại

- Thông tin liên lạc

Bên ủy quyền thứ ba

Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin:

“Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính Vui lòng bạn có thể cúng cấp cho tôi chứ”

Reverse Social

Engineering

Điều này là khi kẻ tấn công

đóng giả một người người đó ở

một vị trí quyền lực vì vậy các

nhân viên sẽ cho anh ta các

thông tin mà không cần các

cách khác

Tấn công Reverse Social

Engineering liên quan đến sự phá

hoại, tiếp thị, và hỗ trợ công nghệ

Tôi quên thẻ ID ở nhà Vui lòng hãy giúp tôi

Piggybacking

Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được mở

Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào một nghệ

sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình hoạt động đã thu về hơn một triệu

đô la

bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ thông tin bí mật

Những lá thư Hoax là những email cảnh báo các vấn đề cho người dùng về virut, Troijan, sâu

có thể làm tổn hại đến hệ thống máy tính người sử dụng

Thu thập thông tin cá nhân bằng cách nói chuyện với người dùng trực tuyến đã được lựa chọn để lấy thông tin như ngày sinh hoặc tên thời con gaí

Một cửa sổ window tự động bật

lên khi lướt web và yêu cầu thông

tin của người dùng để đăng nhập

hoặc đăng k{

Chain Letters là những lá thư cung cấp quà tặng miễn phí như tiền hay phần mềm kèm theo điều kiện là người dùng phải chuyển tiếp thư này đến một số người khác

Không liên quan, không mong muốn và những email không được yêu cầu này dùng để thu thập thông tin tài chính, các số an ninh, và thông tin mạng

Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp

Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng

Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ

Social Engineering sử dụng SMS

Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM Trong

đó nói có việc khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình

Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó

đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit

Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra

Social Engineering bằng “Face SMS Spying Tool”

Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắn SMS của người khác

Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe

Tấn công Insider

Nếu đối thủ cạnh tranh muốn gây ra thiệt hại cho tổ chức của bạn, ăn cắp

các bí mật quan trọng, hoặc đưa bạn ra khỏi doanh, họ chỉ cần tìm ra một

công việc chuẩn bị đưa ai đó vượt qua vòng phỏng vấn, và họ đã có người

của họ trong tổ chức của bạn

việc trả thù chỉ cần có người bất mãn để trả thù và công ty của bạn sẽ bị tổ

Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng đối phó với căng thẳng hay xung đột, và cảm thấy thất vọng với công việc của mình , chính trị văn phòng, và thiếu tôn trọng hoặc đề xuất …

Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủ cạnh tranh

Nhân viên bất mãn

Ngăn chặn mối đe dọa bên trong nội bộ

Tách biệt và luân phiên nhiệm

vụ

Tối thiểu đặc quyền

Lưu trữ dữ liệu quan

trọng

Pháp l{ những chính

sách

Đăng nhập và kiểm toán

Kiểm soát truy cập

Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ

Các chiến thuật xâm nhập phổ biến và chiến lược

phòng chống

Điện thoại ( bàn

trợ giúp)

Mạo danh hoặc thuyết phục Đào tạo nhân viên bàn trợ giúp không được tiết lộ mật khẩu cũng như các thông tin khác thông

qua đường điện thoại Lối ra vào Không được phép truy cập vật l{ Quản l{ thẻ an ninh chặt chẽ, đào tạo nhân

viên, và nhân viên an ninh

người nào đang có mặt tại đó ( nếu phải làm, thì nên nào việc đó rất nhanh)

Điện thoại(bàn

trợ giúp)

Mạo danh các cuộc gọi trợ giúp Gán một mã PIN cho mỗi nhân viên bàn hỗ trợ

guiúp đỡ

Kiểm soát các cuộc gọi ở nước ngoài và các cuộc gọi đường dài, dấu viết cuộc gọi, và từ chối chuyển cuộc gọi

Khái niệm Social Engineering

Thử nghiệm xâm nhập

Social Engineering thông qua mạo danh trên các mạng xã hội

Mạo danh có nghĩa là bắt

chước hoặc sao chép các

để tạo ra các mạng lớn những người bạn và triết xuất thông tin để sử dụng tấn công Social

Engineering

chi tiết về

tổ chức

chi tiết cá nhân

Chi tiết nghề nghiệp

Địa chỉ liên lạc và kết nối

Kẻ tấn công tạo ra một nhóm người sử dụng giả mạo trên facebook là “ nhân viên “ của công ty

sử dụng identity giả , kẻ tấn công sau đó sẽ tiến tới “ làm bạn”, hoặc mời, nhóm nhân viên giả mạo, nhóm nhân viên giả mạo này giả mạo là nhân viên của công ty

khi người sử dụng tham gia vào nhóm và họ sẽ cung cấp những thông tin về họ như ngày sinh, trường lớp, nguồn gốc, việc làm vợ chồng, tên, vv…

bằng cách sử dụng những chi tiết của một nhân viên bất kz nào đó, một kẻ tấn công có thể thỏa hiệp với một

cơ sở nào đó để đảm bảo được truy cập vào tòa nhà

Rủi ro của mạng xã hội với các mạng cộng ty

Các thông tin trên các trang web sử dụng để thăm dò sơ

bộ trong một cuộc tấn công mục tiêu

Trong trường hợp không có chính sách mạnh mẽ, nhân viên có thể vô tình gửi dữ liệu nhạy cảm về công ty của họ lên trên mạng xã hội

Tất cả các trang mạng xã hội có thể để sai sót và lỗi

và lộ có thể dẫn đến lỗ hổng trong mạng của công ty

Khái niệm Social Engineering

Kỹ thuật Social

Engineering

Mạo danh trên miền mạng Social

Ăn cắp Identity

Biện pháp đối phó Social Engineering

Thử nghiệm xâm nhập

Ăn cắp Identity

Số liệu thống kê tình trạng ăn cắp Identity

các cuộc tấn công lừa đảo

trên tài khoản thẻ tín

dụng hiện nay

số lượng người trưởng

thành là nạn nhân của việc ăn cắp Identity

Nạn nhân được mình đã

bị mất cắp

phần trăm số lượng nạn nhân bị lừa đảo Identity

tổng số tiền gian lận

Ăn cắp Identify

Bị mất những con số an ninh xã hội

Mắt cắp thông tin cá nhân

Bẵng những phương pháp đơn giản

Ăn cắp identity xảy ra khi một người nào đó bị ăn cắp tên của bạn và các thông tin cá nhân khác cho các mục đích gian lận