Tài Liệu Hacker Dịch Social Engineering

Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả

Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn

từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị

dò dỉ thông tin từ bộ ngoại giao.

Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật lừa đảo.

Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008

http://www.fiercegovernmentit.com

Các chủ đề trình bày

 Social Engineering là gì

 Tại sao Social Engineering lại hiệu quả

 Các giai đoạn trong một cuộc tấn công Social Engineering

 Các mục tiêu phổ biến của Social Engineering

 Các kiểu Social Engineering

 Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống

 Social Engineering through Impersonation trên miền mạng Social

 Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp

 Thế nào là Steal Indentity

 Biện pháp đối phó Social Enginneering

 Thử nghiệm Social Engineering

Khái niệm Social Engineering

Ăn cắp ID

Biện pháp đối phó Social Engineering

Thử nghiệm xâm nhập

Không có bất kỳ bản vá lỗi nào đối với một con người

ngu ngốc

Social Engineering là gì

 Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật

 Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó

Thông tin bí mật

Chi tiết việc uỷ quyền Chi tiết truy cập

Sự tin tưởng là nền tảng cơ bản của tấn

công Social Engineering

Sự thiếu hiểu biết về Social Engineering và các hiệu ứng của nó trong đội ngũ nhân viên khiến cho các

tổ chức là một mục tiêu dễ dàng

Socal Engineers có thể đe doạ nghiêm trong đến việc mất mát trong trường hợp không tuân thủ những yêu cầu của họ (tổ chức)

Social Engineers thu hút các mục tiêu tiết lộ thông tin bởi một cái gì đó đầy hứa hẹn

Các mục tiêu sẽ được hỏi để trợ giúp

và họ tuân theo những quy định mang

tính nghĩa vụ được đưa ra

Các hành vi dễ bị tấn công

Những yếu tố làm doanh nghiệp dễ bị tấn công

Đào tạo an ninh còn thiếu

Dễ dàng truy cập thông tin

Thiếu những chính sách an ninh

Nhiều các đơn vị tổ chức

Tại sao Social Engineering Lại Hiệu Quả

Không có một phần mêm hay phần cứng nào có

thể chống lại một cuộc tấn công Social

Engineering

Chính sách bảo mật mạnh cũng sẽ là liên kết yếu nhất và con người là yếu tố nhạy cảm nhất

Rất khó để phát hiện ra Social Engineering

Không có một phương pháp chắc chắn nào để đảm bảo an ninh một cách đầy đủ từ các cuộc tấn công Social Engineering

Những Dấu Hiệu của một cuộc tấn công

Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng

cho thấy sự vội vàng và vô tình để lại tên

Bất ngờ được khen tặng hoặc ca ngợi

Thấy khó chịu khi đặt câu hỏi Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp

thông tin

Yêu cầu phi chính thức

Không cung cấp số gọi lại

Các giai đoạn của một cuộc tấn công Social Engineering

Nghiên cứu công ty mục tiêu

Durmpster diving, trang web, nhân sự, lịch

trình, vv

Lựa trọn nạn nhân

Xác định những nhân viên không hài lòng

về chính sách trong công ty mục tiêu

Phát triển mối quan hệ

Phát triển mối quan hệ với những nhân

viên đã được lựa chọn

Khai thác Phát triển

Nghiên cứu

Khai thác mối quan hệ

Tập hợp thông tin tài khoản nhạy cảm, thông tin tài chính, và công nghệ hiện tại

Những ảnh hưởng lên tổ chức

Những mất mát về kinh tế

Mất sự riêng tư

chính sách khủng bố

Các vụ kiện và các thủ tục

Tổn hại uy tín

Tạm thời hoặc vĩnh viễn

đóng cửa

Tấn công bằng các câu lênh Injection

Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết phục họ cung cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính

Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó

Giả sử hai đối tượng “Rebecca” và “Jessica” là hai nạn nhân của kỹ thuật Social Engineering

Ví dụ

• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta”

• “Tôi gặp cô Jessica , cô ta là một đối tượng dễ dàng lừa đảo”

• “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”

Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty

Những mục tiêu chung của Social Engineering

Những mục tiêu chung của Social Engineering:

Nhân viên văn phòng

Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty

Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo

mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và

hệ thống chống virut, thì bạn vẫn bị tấn công bởi những

lỗ hổng bảo mật

kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu nhạy cảm như:

• Những chính sách bảo mật

• Những tài liệu nhạy cảm

• Cấu trúc mạng văn phòng

Kỹ thuật Social Engineering

Khái niệm Social Engineering

Mạo danh trên mạng xã hội

Thử nghiệm xâm nhập

Biện pháp đối phó Social Engineering

Ăn cắp Identity

Các kiểu Social Engineering

giả như một người sử dụng đầu cuối hợp

pháp

giả như một người sử dụng đầu cuối hợp

pháp

Nhận dạng và yêu cầu thông tin nhạy cảm

“chào ! Đây là John, từ bộ phận X, tôi đã

quên password của tôi Bạn có thể lấy lại nó

dùm tôi được chứ ?”

Nhận dạng và yêu cầu thông tin nhạy cảm

“chào ! Đây là John, từ bộ phận X, tôi đã

quên password của tôi Bạn có thể lấy lại nó

dùm tôi được chứ ?”

nói như mộtnhân viên hỗ trợ kỹ thuật và yêu

cầu ID và Password cho việc khôi phục dữ liệu

“ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ thuật, công ty X, tối qua chúng rôi có một hệ thống bị sập ở đây, và chúng tôi đến để kiểm tra

có bị mất dữ liệu hay không Ngài có thể lấy cho tôi ID và Password không”

nói như mộtnhân viên hỗ trợ kỹ thuật và yêu cầu ID và Password cho việc khôi phục dữ liệu

“ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ thuật, công ty X, tối qua chúng rôi có một hệ thống bị sập ở đây, và chúng tôi đến để kiểm tra

có bị mất dữ liệu hay không Ngài có thể lấy cho tôi ID và Password không”

Giả làm một VIP của một công tư, khách hàng quan trọng, …

“ chào tôi là kevin, thư kí giám đốc kinh doanh Tôi đang làm một dự án cấp bách và

bị mất mật khẩu hệ thống của mình Bạn có thể giúp tôi được chứ?”

Giả làm một VIP của một công tư, khách hàng quan trọng, …

“ chào tôi là kevin, thư kí giám đốc kinh doanh Tôi đang làm một dự án cấp bách và

bị mất mật khẩu hệ thống của mình Bạn có thể giúp tôi được chứ?”

Ví dụ về việc hỗ trợ kỹ thuật

“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu của ông ta Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.

Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là

vô tình tạo ra một lối vào mạng bên trong của công ty”

“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu của ông ta Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.

Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là

vô tình tạo ra một lối vào mạng bên trong của công ty”

“chào, tôi là John Brown Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson Chúng tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm họa xảy ra từ bạn

Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một website sau khi bị tai nạn

”

“chào, tôi là John Brown Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson Chúng tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm họa xảy ra từ bạn

Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một website sau khi bị tai nạn

”

Ví dụ về việc giả mạo cơ quan hỗ trợ

“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York Tôi biết đây là một thông báo ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.

họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các

cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký

họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua Dường như đã

có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi ”

“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York Tôi biết đây là một thông báo ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.

họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các

cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký

họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua Dường như đã

có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi ”

“chào, tôi với dịch vụ chuyển phát nhanh Aircon Chúng tôi nhận được cuộc gọi rằng phòng máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”

sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được quyền truy cập vào tài nguyên mục tiêu.

“chào, tôi với dịch vụ chuyển phát nhanh Aircon Chúng tôi nhận được cuộc gọi rằng phòng máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”

sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được quyền truy cập vào tài nguyên mục tiêu.

 Eavesdropping cũng sử dụng với những kênh truyền

thông khác như đường dây điện thoại, email, tin

 Eavesdropping cũng sử dụng với những kênh truyền

thông khác như đường dây điện thoại, email, tin

nhắn tức thời, vv…

Shoulder Surfing

 Shoulder Surfing là tên cho quy trình mà kẻ trộm sử dụng để tìm ra mật khẩu, số chứng minh nhân dân, số tài khoản, vv …

 Kẻ trộm nhìn qua vai của bạn hoặc thậm chí quan sát từ một khoảng cách xa bằng cách sử dụng ống nhòm, để có được một chút thông tin.

Shoulder Surfing

 Shoulder Surfing là tên cho quy trình mà kẻ trộm sử dụng để tìm ra mật khẩu, số chứng minh nhân dân, số tài khoản , vv …

 Kẻ trộm nhìn qua vai của bạn hoặc thậm chí quan sát từ một khoảng cách xa bằng cách sử dụng ống nhòm, để có được một chút thông tin.

Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác

Hóa đơn điện thoại

Thông tin liên lạc

Thông tin các hoạt động

Thông tin tài chính

Một người trái phép, deo một thẻ id giả đi vào

một khu vực được dảm bảo chặt chẽ, đó là

một người có thẩm quyền thông qua cách cửa

yêu cầu truy cập

In PersonKhảo sát một công ty để thu thập những thông tin vể:

- công nghệ hiện tại

- Thông tin liên lạc

Bên ủy quyền thứ ba

Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin:

“Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính Vui lòng bạn có thể cúng cấp cho tôi chứ”

Reverse Social Engineering

Điều này là khi kẻ tấn công đóng giả một người người

đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho

anh ta các thông tin mà không cần các cách khác.

Tấn công Reverse Social Engineering liên quan đến sự phá

hoại, tiếp thị, và hỗ trợ công nghệ

Tôi quên thẻ ID ở nhà Vui lòng hãy giúp tôi

Piggybacking

Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được mở

Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình hoạt động đã thu về hơn một triệu đô la

bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ thông tin bí mật

Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình hoạt động đã thu về hơn một triệu đô la

bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ thông tin bí mật

Những lá thư Hoax là những email cảnh báo các vấn đề cho người dùng về virut, Troijan, sâu có thể làm tổn hại đến hệ thống máy tính người sử dụng

Thu thập thông tin cá nhân bằng cách nói chuyện với người dùng trực tuyến đã được lựa chọn để lấy thông tin như ngày sinh hoặc tên thời con gaí

Một cửa sổ window tự động bật lên khi lướt web và yêu

cầu thông tin của người dùng để đăng nhập hoặc đăng ký

Chain Letters là những lá thư cung cấp quà tặng miễn phí như tiền hay phần mềm kèm theo điều kiện là người dùng phải chuyển tiếp thư này đến một số người khác.

Không liên quan, không mong muốn và những email không được yêu cầu này dùng để thu thập thông tin tài chính, các

số an ninh, và thông tin mạng.

Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp

Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp

Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng

Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ

Social Engineering bằng “Face SMS Spying Tool”

Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắn SMS của người khác

Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe

Tấn công Insider

Nếu đối thủ cạnh tranh muốn gây ra thiệt hại cho tổ chức của bạn, ăn cắp các bí mật quan trọng, hoặc đưa bạn ra khỏi doanh, họ

chỉ cần tìm ra một công việc chuẩn bị đưa ai đó vượt qua vòng phỏng vấn, và họ đã có người của họ trong tổ chức của bạn.

Nếu đối thủ cạnh tranh muốn gây ra thiệt hại cho tổ chức của bạn, ăn cắp các bí mật quan trọng, hoặc đưa bạn ra khỏi doanh, họ

chỉ cần tìm ra một công việc chuẩn bị đưa ai đó vượt qua vòng phỏng vấn, và họ đã có người của họ trong tổ chức của bạn.

việc trả thù chỉ cần có người bất mãn để trả thù và công ty của bạn sẽ bị tổ hại

- 60 % các cuộc tấn công xảy ra phía sau tường lửa

- Một cuộc tấn công bên trong sẽ dễ dàng khởi động

- Phòng chống là rất khó khăn

-Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng đối phó với căng thẳng hay xung đột, và cảm thấy thất vọng với công việc của mình , chính trị văn phòng, và thiếu tôn trọng hoặc đề xuất …

Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủ cạnh tranh

Nhân viên bất mãn

Nhân viên bất mãn