Tìm hiểu về social engineering là gì? Hiện thực một số kịch bản tấn công. Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng. Vấn đề an toàn thông tin không còn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo chung của toàn cầu. Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật về phần mềm đã phát triển vượt bậc nhưng cũng không đủ bảo vệ chúng ta khỏi việc rò rỉ thông tin. Vậy đâu là nguyên nhân? Đó chính là con người, bởi lẽ không có bất kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu con người. Yếu tố con người một yếu tố rất quan trọng và cũng rất hay bị khai thác đôi khi lại không được đánh giá đúng mức. Và đó là lý do khiến cho kỹ thuật Social Engineering – một kỹ thuật tấn công vào yếu tố con người chưa bao giờ bị xem là lỗi thời.
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI TP HỒ CHÍ MINH
- -
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Tp Hồ Chí Minh, ngày 08 tháng 08 năm 2018
Trang 2BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI TP HỒ CHÍ MINH
- -
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Trang 3CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập- Tự do- Hạnh phúc
TP Hồ Chí Minh, ngày … tháng … năm 20……
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP TỐT NGHIỆP ĐẠI HỌC
1 Tên đề tài:Nghiên cứu kỹ thuật khai thác thông tin nhạy cảm sử dụng Social Engineering và các biện pháp phòng chống
2 Sinh viên: Nguyễn Trung Nghĩa Lớp:D14CQAT01-N
3 Giáo viên hướng dẫn: TS Huỳnh Trọng Thưa
4 Nơi công tác: Học Viện Công Nghệ Bưu Chính Viễn Thông (Cơ sở Tp Hồ Chí Minh)
Trang 4LỜI CẢM ƠN
Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc đối với các thầy cô của trường Học Viện Công Nghệ Bưu Chính Viễn Thông, đặc biệt là các thầy cô khoa Công Nghệ Thông Tin 2 của trường đã tạo điều kiện cho em thực tập ở khoa để có nhiều thời gian cho khóa luận tốt nghiệp Và em cũng xin chân thành cảm ơn thầy Ts Huỳnh Trọng Thưa đã nhiệt tình hướng dẫn hướng dẫn em hoàn thành tốt khóa thực tập
Trong quá trình thực tập, cũng như là trong quá trình làm bài báo cáo thực tập, khó tránh khỏi sai sót, rất mong các thầy, cô bỏ qua Đồng thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp thầy, cô để em học thêm được nhiều kinh nghiệm và sẽ hoàn thành tốt hơn bài báo cáo tốt nghiệp sắp tới
Em xin chân thành cảm ơn!
Trang 5MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC KÝ HIỆU VÀ VIẾT TẮT iv
DANH MỤC CÁC HÌNH v
LỜI MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VỀ SOCIAL ENGINEERING 2
1.1 Social Engineering là gì? 2
1.2 Điểm yếu của con người 3
1.3 Tại sao Social Engineering thành công? 4
CHƯƠNG 2: PHÂN LOẠI SOCIAL ENGINEERING 5
2.1 Human-based Social Engineering – Tấn công phi kỹ thuật dựa trên yếu tố con người 5
2.1.1 Personal Approaches – Hỏi trực tiếp 5
2.1.2 Impersonation – Mạo danh 5
2.1.3 Posing as Important User – Giả làm người dùng quan trọng 6
2.1.4 Dumpster Diving and Shoulder Surfing – Đào bới rác và nhìn chộm 6
2.1.5 Third-person Authorization – Quyền bên thứ ba 8
2.1.6 Direct approach - Tiếp cận trực tiếp 8
2.2 Computer-based Social Engineering – Tấn công dựa trên yếu tố kỹ thuật 8
2.2.1 Baiting 8
2.2.2 Phishing 9
2.2.3 Vishing 9
2.2.4 Pop-up Windows 9
2.2.5 Mail attachments 9
2.2.6 Website 9
2.2.7 Interesting Software 10
2.2.8 Phishing Email 10
2.3 Mobile-based Social Engineering 10
2.3.1 Publishing Malicious Apps 10
2.3.2 Repackaging Legitimate Apps 10
2.3.3 Fake Security Applications 10
2.3.4 Using SMS 11
CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ TẦM ẢNH HƯỞNG 12
3.1 Các bước tấn công 12
3.1.1 Thu thập thông tin 12
Trang 63.1.2 Chọn mục tiêu 12
3.1.3 Tấn công 12
3.1.4 Xóa dấu vết 13
3.2 Tầm ảnh hưởng 13
3.2.1 Các cuộc tấn công thành công 13
3.2.2 Tầm ảnh hưởng thực tế 14
CHƯƠNG 4: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 16
4.1 Đối với công tác tổ chức 16
4.1.1 Xây dựng một framework quản lý an ninh 16
4.1.2 Đánh giá rủi ro 17
4.1.3 Social Engineering trong chính sách an ninh 17
4.2 Đối với cá nhân 18
4.2.1 Để không trở thành nạn nhân 18
4.2.2 Cách bảo vệ bản thân 18
CHƯƠNG 5: THIẾT KẾ VÀ HIỆN THỰC MỘT SỐ KỊCH BẢN TẤN CÔNG 20
5.1 Giới thiệu về bộ công cụ Social-Engineering Toolkit 20
5.1.1 Tính năng 20
5.1.2.Hướng dẫn sử dụng 21
5.1.3 Hiện thực một số kịch bản tấn công 22
KẾT LUẬN 34
DANH MỤC TÀI LIỆU THAM KHẢO 36
Trang 7DANH MỤC KÝ HIỆU VÀ VIẾT TẮT
Admin Administrator
SET Social Engineering Toolkit
Trang 8DANH MỤC CÁC HÌNH
Hình 5.1: Giao diện bộ công cụ Social-Engineering Toolkit
Hình 5.2: Các tùy chọn trong bộ công cụ
Hình 5.3 Kịch bản tấn công giả mạo DNS spoofing
Hình 5.4 Mô hình giả mạo website bằng SET
Hình 5.5 Giả mạo DNS bằng Ettercap
Hình 5.6: Các tùy chọn khởi tạo một website giả mạo
Hình 5.7 Cấu hình Web phising thành công
Hình 5.8 Bổ sung bản ghi DNS giả mạo
Hình 5.9 Ettercap đang lắng nghe tích cực các truy vấn DNS
Hình 5.10 Giao diện đăng nhập sau khi bị ta tấn công
Hình 5.11 Thông tin thu thập được từ nạn nhân
Hình 5.12 Kịch bản tấn công giả mạo e-mail
Hình 5.13 Thu thập thông tin giả mạo facebook
Hình 5.14 Các tùy chọn trong Mass Mailer Attack
Hình 5.15 Nội dung mail hoàn chỉnh
Hình 5.16 E-mail nhận được sau khi gửi từ Kali Linux
Hình 5.17 Giao diện đăng nhập giả mạo
Hình 5.18: Đường dẫn đầy đủ
Hình 5.19: Trang đăng nhập cấu hình SSL và chứng thư số chưa được cấu hình đúng Hình 5.20: Chứng thư số cấp cao
Trang 9LỜI MỞ ĐẦU
Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin
là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng Vấn đề an toàn thông tin không còn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo chung của toàn cầu Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật về phần mềm đã phát triển vượt bậc nhưng cũng không đủ bảo vệ chúng ta khỏi việc rò rỉ thông tin Vậy đâu là nguyên nhân? Đó chính là con người, bởi lẽ không có bất kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu con người Yếu tố con người một yếu tố rất quan trọng và cũng rất hay bị khai thác đôi khi lại không được đánh giá đúng mức. Và đó là lý do khiến cho kỹ thuật Social Engineering – một kỹ thuật tấn công vào yếu tố con người chưa bao giờ bị xem là lỗi thời Đồ án được thực hiện nhằm mục đích nghiên cứu cách thức hoạt động và mối nguy hiểm của Social Engineering để từ đó đưa ra các giải pháp phòng chống
Mục tiêu đặt ra khi thực hiện đồ án là:
1 Tìm hiểu tổng quan về Social Engineering
2 Nghiên cứu cách thức hoạt động của Social Engineering
3 Tìm hiểu bộ công cụ Social-Engineer Toolkit trong Kali
4 Hiện thực kịch bản tấn công bằng bộ công cụ Social-Engineer Toolkit
5 Thiết kế sự phòng vệ chống lại các hoạt động Social Engineering
Sau thời gian thực hiện báo cáo, các mục tiêu về cơ bản đã đạt được Tuy nhiên tấn công Social Engineering là lĩnh vực tuy không phức tạp nhưng phạm vi rất rộng, thời gian thực hiện đồ án tương đối ngắn nên chắc chắn không tránh khỏi thiếu sót Rất mong được sự góp ý của các thầy cô, cũng như các bạn học viên để báo cáo này được hoàn thiện hơn
Trang 10Báo cáo TTTN Đại học Chương 1: Tổng quan về Social Engineering
CHƯƠNG 1: TỔNG QUAN VỀ SOCIAL ENGINEERING
1.1 Social Engineering là gì?
“There is no patch to human stupidity” Một câu nói minh họa đầy đủ cho cách
tấn công Social Engineering Bên cạnh các biện pháp tấn công bằng kỹ thuật như sử dụng các chương trình tấn công thì hacker thường vận dụng kết hợp với các phương pháp phi kỹ thuật, tận dụng các kiến thức và kỹ năng xã hội để đạt được kết quả nhanh chóng và hiệu quả hơn Và phương pháp tấn công không dựa trên các kỹ thuật hay công
cụ thuần túy này được gọi là Social Engineering, trong đời thực thì dạng tấn công này
có thể xem như là các kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt được một mục tiêu nào đó
Có một câu chuyện thường được nhắc như là một dạng tấn công Social Engineering điền hình như sau: trong một cuộc thăm dò tính bảo mật và sự chặt chẽ trong quản lý thông tin của các công ty tại một cao ốc văn phòng lớn tại Wall Street, các chuyên gia bảo mật đã giả dạng một nhóm các chuyên viên an ninh mạng tiến hành một đợt khảo sát và thẩm định an ninh miễn phí cho các doanh nghiệp thuộc tòa cao ốc trên
Và trong đợt thử nghiệm này các “chuyên gia bảo mật giả dạng” đã yêu cầu nhân viên quản trị hệ thống của các doanh nghiệp cho phép kiểm tra các hệ thống máy chủ, kế cả những thông tin quan trọng để đánh giá xem có lổ hỗng nào hay không Và kết quả thật đáng ngạc nhiên, có đến 7/10 công ty được yêu cầu đã cho phép các hacker trên thâm nhập và thao tác trực tiếp trên hệ thống của mình May mà đây chỉ là các hacker mũ trắng đang hoạt động với mục tiêu đó lường tính bảo mật của doanh nghiệp
SE là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty Đó là
quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh SE là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công
SE sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai
thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một
hành động nào đó Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng
tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho
kỹ thuật tấn công này hành động
Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật,
mặc dù họ không cố ý Những kẻ tấn công đặc biệt rất thích phát triển kĩ năng về SE và
có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa Mặc
dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do tin tặc lợi dụng lòng tốt và sự giúp đỡ của mọi người
Trang 11Báo cáo TTTN Đại học Chương 1: Tổng quan về Social Engineering Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin Họ chắc chắn
là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ – để lợi dụng sơ hở của họ Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng Hay khi bạn nhặt được một chiếc USB bạn có thể rất vô tư cắm nó ngay vào máy tính để xem nó là của ai và chứa thông tin gì Nhưng đó có thể chính là nguồn phát tán virus và mã độc đến bạn, tổ chức và người thân của bạn
1.2 Điểm yếu của con người
Nếu bạn hỏi bất kỳ chuyên gia bảo mật nào thì họ sẽ cho bạn biết liên kết yếu nhất trong chuỗi bảo mật chính là con người - đối tượng có thể dễ dàng chấp nhận một người hoặc kịch bản quen thuộc nào đó Giống như khi bạn bảo vệ ngôi nhà của mình vậy Không quan trọng là bạn có bao nhiêu ổ khóa và bao nhiêu chốt cửa Không quan trọng là bạn có nuôi chó để trông nhà hay có hệ thống báo động rồi hàng rào dây thép gai thậm chí là cả bảo vệ hay không Chỉ cần bạn tin tưởng người ở cổng, khi anh ta nói rằng mình là người giao pizza và bạn cho anh ta vào nhà mà không kiểm tra, bạn hoàn toàn trở nên bị động trước bất kỳ rủi ro nào anh ta mang lại
Chúng ta biết rằng phần mền và phần cứng là những thứ vô cùng phức tạp Tuy nhiên, con người kẻ tạo ra chúng lại phức tạp hơn gấp nhiều lần Bởi vì con người có nhân cách, có tâm lý, có tình cảm là những thứ mà đến cả robot AI “Shophia” hiện đại nhất bây giờ vẫn chưa có được Đây chính là điểm tựa cho con người thành công như hôm nay, nhưng cũng là điểm yếu chí mạng của chúng ta Và tấn công Social Engineering lại nhằm ngay vào điểm yếu chí mạng này Để biết tại sao phương pháp Social Engineering thành công, chúng ta đi vào phân tích một số yếu tố tâm lý của con người thường xuyên bị lợi dụng:
Luôn mong muốn điều có lợi cho mình và tránh khỏi các phiền hà, rắc rối: Chúng
ta có thể thấy điều này qua ví dụ sau Trong trường hợp một nhân viên chăm sóc khách hàng một công ty dịch vụ Chúng ta biết rằng, họ luôn yêu cầu phải làm cho khách hàng hài lòng nhất có thể Từ đó, họ sẽ được những phản hồi tốt về chất lượng dịch vụ, được tính điểm cao trong hệ thống… Với mục tiêu đó, nhân viên chúng ta sẽ luôn cố gắng đáp ứng cho khách hàng một cách tốt nhất Chính
vì lý do này, nhiều khi họ những người nắm giữ thông tin, dữ liệu về hệ thống sẽ cung cấp rất nhiều thông tin không nên cho khách hàng
Có khuynh hướng giúp đỡ người khác: Con người sinh ra là một vật sống có tình
cảm Chúng ta luôn sẵn lòng giúp đỡ ai đó khi họ gặp khó khăn Chính đặc điểm này của chúng ta rất dễ bị kẻ xấu lợi dụng Bạn sẽ làm gì khi có người lạ mượn máy tính của bạn? Bạn sẽ làm gì khi gặp một người “quên” mang thẻ an ninh vào cổng chẳng hạn?
Xu hướng chấp nhân một thông tin mới hơn là nghi ngờ tính xác thực của thông
tin đó: Hầu hết trong chúng ta ai cũng vậy, mọi người khi nghe một thông báo,
một khẳng định, một lời khuyên nào đó… chúng ta đều tin đó là sự thật Việc này
Trang 12Báo cáo TTTN Đại học Chương 1: Tổng quan về Social Engineering kéo dài không lâu cho đến khi chúng ta biết được sự thật nhưng nó cũng không ngắn để kẻ xấu đạt được mục đích
Lười…muốn làm nhanh cho xong việc, đốt cháy giai đoạn: Vấn đề này vô cùng
nguy hiểm nhưng lại xảy ra vô cùng phổ biến trong chúng ta Chúng ta thường xuyên thực hiện công việc với tâm lý như thế, tuy nhiên lại không nhận thức được hậu quả của nó? Có khi nào bạn bỏ sót qua quy trình an ninh vì nó rườm rà phức tạp? Có khi nào bạn nhắm mắt cho qua những lỗ hổng an ninh? Có khi nào bạn
vô tư đọc mật khấu mình qua điện thoại?
Thái độ với việc bảo vệ thông tin cá nhân của mình không cao: Đây là yếu tố tâm
lý vô cùng quan trọng và nguy hiểm để kẻ xấu dựa vào đó thực hiện mưu đồ của mình Người ta thường nghĩ thông tin cá nhân của mình không quan trọng Ai biết thì đã sao? Họ làm gì được mình chứ? Nó chẳng ảnh hưởng đến những thứ xung quanh mình cả… Người ta luôn nghĩ vậy nhưng họ không biết rằng, một người không nằm trong hệ thống bảo mật vẫn có thể làm ảnh hưởng đến toàn bộ
hệ thống
“Social Engineering is the hardest form of attack to defend againts because it
can’t be defense with hardware or software alone ” (Theo Social Engineering: Concepts
and Solutions) Đúng vậy, đối với những cuộc tấn công công nghệ, chúng ta có thể dùng phần cứng và phần mềm để phòng chống, chúng sẽ tuân thủ hoàn toàn những yêu cầu của người tạo ra, không hỏi tại sao, không cần biết đúng sai… Tuy nhiên, con người là một sinh vật với tâm lý phức tạp, chúng ta không thể phòng thủ đơn thuần bằng những thiết bị, bằng những trương trình cứng nhắc Chúng ta cần những phương pháp hiệu quả hơn, tốt hơn Thế nhưng, tốt đến đâu hiệu quả đến đâu thì con người vẫn luôn có sai lầm Đây chính là câu trả lời của chúng ta cần biết
1.3 Tại sao Social Engineering thành công?
Mặc dù Social Engineering là kỹ thuật tấn công không mới nhưng đã có rất nhiều người trở thành nạn nhân bị tin tặc tấn công Vậy sự thật ẩn chứa bên trong Social Engineering là gì?
Sự thật 1: Tất cả mọi người đều có thể là mục tiêu: Ngay cả một chuyên gia về an
ninh mạng cũng có thể trở thành đối tượng tấn công của Hacker bởi kỹ thuật Social engineering Đặc biệt các kỹ thuật, chiến lược và thủ thuật tấn công Social engineering ngày càng phức tạp Không có một phương pháp chắc chắn nào để đảm bảo an ninh một cách đầy đủ từ cá cuộc tấn công Social Engineering Không có một phần mềm hay phần cứng nào có thể chống lại một cuộc tấn công Social Engineering
Sự thật 2: Lợi dụng lòng tin con người: Những kẻ tấn công sẽ đóng vai như một bạn
bè, người thân, đối tác của bạn Sau đó chúng sẽ lợi dụng lòng tin để tỏ ra mình muốn giúp đỡ, tin tưởng, quan tâm tới nạn nhân Đằng sau nghệ thuật này lại ít người nhận ra
rằng mình đang bị lừa đảo
Sự thật 3: Tấn công bằng kỹ thuật Social engineering không nhất thiết phải dùng công cụ: Social engineering có thể dùng thủ thuật, sự lừa đảo đơn giản trong cuộc sống
Trang 13Báo cáo TTTN Đại học Chương 1: Tổng quan về Social Engineering thường ngày.Hacker có thể áp dụng kỹ thuật Social engineering thực hiện hành vi gian
dối ở khắp mọi nơi, tại bất kỳ thời điểm nào và rất khó phát hiện ra Social Engineering
Trang 14
Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering
CHƯƠNG 2: PHÂN LOẠI SOCIAL ENGINEERING 2.1 Human-based Social Engineering – Tấn công phi kỹ thuật dựa trên yếu tố con người
Human-based Social Engineering dựa trên dựa trên mối qua hệ giữa người với người để khai thác, thu thập thông tin nhạy cảm.Với kiểu tấn công này, tin tặc có thể thực hiện hành vi trực tiếp vào đối tượng để lấy được thông tin dữ liệu Chúng có thể nghe lén bạn gọi điện, đóng giả là người thân rồi trà trộn, tìm kiếm tài liệu… Hình thức tấn công dựa trên yếu tố con người được phân loại như sau:
2.1.1 Personal Approaches – Hỏi trực tiếp
Cách rẻ nhất và đơn giản nhất có thể không xem là một cách nhưng đôi khi nó vẫn rất hiệu quả cho hacker lấy thông tin là hỏi trực tiếp Cách tiếp cận này có vẻ thô lỗ
và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật ở giai đoạn đầu tiên Có
4 cách tiếp cận chính minh chứng thành công của social engineer:
Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm quyền để ép buộc mục tiêu làm theo yêu cầu
Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng
Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí, thông tin
từ mục tiêu
Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu Sự trợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker đánh cắp nhận dạng của mục tiêu
Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn Việc bảo
vệ chống lại tấn công đe dọa là phát triển một nền văn hóa không sợ hãi trong kinh doanh Nếu cách cư xử thông thường là lịch sự, thì sự thành công của sự đe dọa bị giảm xuống, bởi vì các cá nhân riêng lẻ thích để leo thang vị trí đối đầu Một thái độ hỗ trợ trong quản lý và vai trò giám sát về phía sự leo thang của vấn đề và ra quyết định là thứ
tệ nhất mà có thể xảy ra với hacker social engineering Mục đích của họ là khuyến khích mục tiêu ra quyết định nhanh hơn Với vấn đề này để chuyển cấp có thẩm quyền cao hơn, thì cũng ít có khả năng để đạt được mục tiêu này Thuyết phục luôn luôn là một phương pháp quan trọng để đạt được mục đích Bạn không thể thiết kế điều này ra khỏi lực lượng lao động của bạn, nhưng có thể cung cấp các hướng dẫn nghiêm ngặt về những
gì một cá nhân nên làm và không nên làm Hacker sẽ luôn luôn hỏi hoặc đưa ra một kịch bản nơi mà một user đưa ra thông tin giới hạn Tiếp tục các chiến dịch nâng cao nhận thức và hướng dẫn cơ bản bao gồm các thiết bị an ninh như các mật khẩu là sự phòng thủ tốt nhất
2.1.2 Impersonation – Mạo danh
Với kiểu tấn công social engineering này, hacker giả làm một nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt được quyền truy xuất Ví dụ, hacker có thể làm quen với một nhân viên công ty, từ đó thu thập một số thông tin có liên quan đến
Trang 15Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering công ty đó Có một quy luật được thừa nhận trong giao tiếp xã hội là khi nhận được sự giúp đỡ từ một người nào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả Có thể xem nó như là một sự biết ơn Sự biết ơn luôn thấy trong môi trường hợp tác Một nhân viên sẽ sẵn sàng giúp đỡ người khác với mong muốn là sau này có thể người ta sẽ giúp lại họ Social engineers cố gắng tận dụng đặc điểm xã hội này khi mạo nhận người khác Những mưu mẹo này đã được sử dụng trong quá khứ cũng như một sự ngụy trang để đạt được sự truy xuất vật lý Nhiều thông tin có thể được lượm lặt từ bàn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên ở cửa
Kẻ tấn công sẽ giả mạo một nhân viên, người quan trọng, chức vụ cao hoặc có
uy tín trong tổ chức Hoặc chúng làm ra vẻ ngu ngơ, ngốc nghếch tưởng chừng như vô hại Từ đó họ yêu cầu giúp đỡ, lợi dụng lòng tốt và sử dụng danh nghĩa của người khác
Họ không có những thứ cần thiết để khai thác hệ thống nên sẽ lợi dụng những người có thông tin mà không cần phải trải qua bất cứ sự xác nhận, kiểm tra nào
Giả sử, tôi đóng giả là nhân viên của tập đoàn A Để thực hiện hành vi Social Engineering của mình, tôi sẽ lên kế hoạch tiến hành trong vòng một tuần Hàng ngày, tôi mặc áo của tập đoàn A, đeo thẻ của A, tôi được sử dụng thiết bị, máy tính của tập đoàn A cung cấp Sau khi đã vào làm 2-3 ngày, tôi bắt đầu tiến hành thu thập những thông tin quan trọng của A Mạo danh cần nhiều sự chuẩn bị chu đáo vì vậy nó xảy ra ít thường xuyên hơn các hình thức khác Tuy nhiên, nếu thực hiện tốt không ai biết người từng mạo danh đã ở đó Họ sẽ như là một người bình thường hằng ngày ta tiếp xúc và dòng chảy công việc sẽ cuốn họ đi
2.1.3 Posing as Important User – Giả làm người dùng quan trọng
Sự mạo nhận đạt tới một mức độ cao hơn bằng cách nắm lấy đặc điểm của một nhân viên quan trọng lời nói của họ có giá trị và thông thường đáng tin cậy hơn Yếu tố biết ơn đóng vai trò để nhân viên vị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta Kẻ tấn công giả dạng như một user quan trọng
có thể lôi kéo dễ dàng một nhân viên người mà không có sự đề phòng trước Social engineer sử dụng quyền lực để hăm dọa thậm chí là đe dọa báo cáo nhân viên với người giám sát nhân viên đó nếu họ không cung cấp thông tin theo yêu cầu
2.1.4 Dumpster Diving and Shoulder Surfing – Đào bới rác và nhìn chộm
Đây là hai trong những hình thức được sử dụng sớm nhất của Social Engineering Dumpster Diving có nghĩa là sẵn sàng thu thập những thứ dơ bẩn, đã bị vứt bỏ đi để lấy thông tin họ cần, điển hình là rác Rác chứa thông tin quan trọng của chúng ta như thế nào? Trước khi là rác thì nó chính là những thông tin, tài liệu chúng ta sử dụng Khi không cần dùng nữa, chúng ta sẽ vứt đi, tuy nhiên ta lại không xử lý chúng hoặc xử lý không cẩn thận thì các thông tin này có thể rơi vào tay những kẻ có ý đồ xấu Shoulder Surfing là cách nhìn trộm mật khẩu hoặc mã PIN Mọi người có chắc chắn rằng khi mình đánh mật khẩu tại một nơi công cộng sẽ không có ai nhìn thấy không? Thậm chí, bạn có đánh nhanh đến đâu, nếu chúng quay video rồi về phân tích thì không có gì đảm bảo thông tin mật khẩu của bạn còn bí mật
Trang 16Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering
Dumpster diving: Cũng có những tình huống các hacker giả dạng làm những người
quét dọn vệ sinh, hay những đồng nghiệp lục lọi hồ sơ của nhau để tìm kiếm các bị mật công nghệ, nhưng thông tin riêng tư và hình thức này được gọi là Dumpster diving Dumpster diving là một hoạt động có giá trị cho hacker Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc có thể phục vụ như là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại Các loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker Nếu một công ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương tiện lưu trữ điện tử vào thùng rác Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở hữu nó có thể trở thành không
rõ ràng về pháp luật Dumpster diving có thể không được coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải chắc chắn rằng đưa ra lời khuyên như thế nào để giải quyết với những vật liệu thải Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương tiện có từ tính Nếu có loại chất thải quá lớn hoặc khó để đặt vào máy hủy, chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy
nó, thì phải phát triển một giao thức cho việc vứt bỏ Nên đặt các thùng rác ở trong vùng
an toàn mà không tiếp cận với công cộng Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải bên trong Chính sách bảo mật thường không chú ý vấn đề này, bởi vì nó thường được giả định rằng bất cứ ai cho phép truy cập vào các công ty phải là đáng tin cậy Rõ ràng, điều này không phải lúc nào cũng đúng Một trong những biện pháp có hiệu quả nhất để quản lý giấy thải là đặc tả của việc phân loại dữ liệu Bạn xác định loại giấy khác nhau dựa trên các thông tin và chỉ định cách thức nhân viên quản
lý sự vứt bỏ của họ Ví dụ có thể phân thành các loại:
Bí mật công ty: cắt nhỏ tất cả các tài liệu bí mật bỏ đi trước khi bỏ vào thùng rác
Riêng tư: cắt nhỏ tất cả tài liệu riêng tư bỏ đi trước khi bỏ vào thùng rác ở văn phòng Cắt nhỏ tất cả tài liệu văn phòng bỏ đi trước khi bỏ vào thùng rác
Công cộng: vứt bỏ tài liệu công cộng vào bất kỳ thùng rác nào hoặc tái chế chúng làm giấy thải
Shoulder surfing: Dạng tấn công này hacker sẽ xem lén thông tin mật khẩu chúng
ta nhập vào màn hình như tên tài khoản, xem lén kí tự bàn phím hay lắng nghe các âm thanh phát ra khi người dùng gõ vào để đoán xem đó là những kí tự gì Vì lý do này mà nhiều doanh nghiệp cho thiết kế các trạm làm việc sao cho vẫn bảo đảm tính thận thiện nhưng ngăn ngừa người này có thể nhìn thấy màn hình của người khác
Khi ở bên trong, kẻ xâm nhập có cả một menu các sách lược để chọn, bao gồm đi lang thang những hành lang của tòa nhà để tìm kiếm các văn phòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc của họ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo vào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến phòng server hay phòng điện thoại để lấy nhiều thông tin hơn từ hệ thống đang vận
Trang 17Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering hành; đặt bộ phân tích protocol trong wiring closet để bắt gói dữ liệu, username, và password hay chỉ đơn giản đánh cắp thông tin nhằm đến
Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên mất password Trong sự hoảng sợ, anh ta còn nói thêm là nếu anh ta nhỡ hạn cuối của một dự án quảng cáo thì ông chủ có thể đuổi việc anh ta Người nhân viên hỗ trợ cảm thấy thông cảm cho anh ta và nhanh chóng khởi động lại password, việc làm này giúp cho hacker xâm nhập vào hệ thống mạng của công ty
Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp
2.1.5 Third-person Authorization – Quyền bên thứ ba
Một kỹ thuật social engineering phổ biến khác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đã được chấp nhận của sự ủy quyền chỉ định Chẳng hạn một người chịu trách nhiệm cho phép truy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta và lợi dụng sự vắng mặt của anh ta như là lợi thế để truy xuất tài nguyên Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh
ta đã được chấp nhận để truy xuất thông tin Đây có thể là hiệu quả đặc biệt nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngoài - nơi mà sự xác minh không thể ngay lập tức Người ta có khuynh hướng làm theo sự giao phó ở nơi làm việc, thậm chí họ nghi ngờ rằng những yêu cầu có thể không hợp pháp Người ta có khuynh hướng tin rằng những người khác đang thể hiện những quan điểm đúng của họ khi họ tuyên bố Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà
họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần
Sử dụng tên của người có quyền để thực hiện việc mình mong muốn hoặc đã được chứng thực với hệ thống Ví dụ: “Ông A đã nói là đồng ý” hoặc là “Trước khi đi nghỉ mát, giám đốc đã nói rằng tôi có thể liên lạc với cậu để lấy thông tin” Hay ví dụ:
“A ơi, mình làm ở phòng kế toán Giám đốc cần tôi tìm lại một số tài liệu để gửi ngay, nhưng tôi không nhớ mật khẩu đăng nhập, A gửi lại mật khẩu cho tôi với nhé”
2.1.6 Direct approach - Tiếp cận trực tiếp
Hỏi trực tiếp đối tượng để khai thác thông tin Đây là phương pháp đơn giản nhất,
có thể không coi đây là một phương pháp, tuy nhiên vẫn có kết quả không ngờ đối với một số người có thái độ về bảo mật thông tin kém Nhiều khi chúng ta có thể ngồi yên
để chờ lấy được thông tin
2.2 Computer-based Social Engineering – Tấn công dựa trên yếu tố kỹ thuật
2.2.1 Baiting
Baiting là khi kẻ tấn công để lại một thiết bị vật lý bị nhiễm phần mềm độc hại, chẳng hạn như ổ flash USB, ở một nơi chắc chắn sẽ được tìm thấy Sau đó, người tìm thấy sẽ sử dụng thiết bị đó, rồi cài thiết bị vào máy tính của mình và vô tình cũng làm máy bị nhiễm phần mềm độc hại luôn
Trang 18Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering 2.2.2 Phishing
Phishing là khi kẻ tấn công gửi một email lừa đảo được cải trang thành một email hợp pháp (thường giả mạo là từ một nguồn đáng tin cậy) Thông báo này nhằm lừa người nhận chia sẻ thông tin cá nhân hay thông tin tài chính hoặc nhấp vào liên kết cài đặt phần mềm độc hại
Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form
để yêu cầu username, password, số thẻ tín dụng hoặc số pin
2.2.3 Vishing
Vishing còn được gọi là lừa đảo bằng giọng nói và đó là việc sử dụng social engineering qua điện thoại để thu thập thông tin cá nhân và thông tin tài chính từ mục tiêu Thuật ngữ là sự kết hợp của “voice” và phishing Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email Người sử dụng
sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản có thể là tài khoản ngân hàng Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip 2.2.4 Pop-up Windows
Chúng ta rất dễ gặp hình thức này khi đang sử dụng trình duyệt web Nội dung các Pop- Up này thường là thông báo chúng ta nhận được một món tiền, giải thưởng nào
đó Đồng thời, chuyển hướng người dùng tới một website giả yêu cầu điền thông tin hoặc kích hoạt Virus, Trojan, Spyware…
2.2.5 Mail attachments
Có 2 hình thức thông thường có thể được sử dụng Đầu tiên là mã độc hại Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng vbs) Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết 2.2.6 Website
Website giải mạo cũng là một trong những kỹ thuật tấn công khá phổ biến năm
2016 -2017 Hacker sẽ tạo ra trang web có giao diện giống hệt với trang web gốc, sau
đó yêu cầu người dùng nhập những thông tin quan trọng
Trang 19Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc Ví dụ, một website có thể tạo ra một cuộc thi
hư cấu, đòi hỏi user điền vào địa chỉ email và password Password điền vào có thể tương
tự với password được sử dụng cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức
2.2.7 Interesting Software
Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp
2.2.8 Phishing Email
Tin tặc sẽ lợi dụng lòng tham và sự tò mò của người dùng để gửi email thông báo bạn đã trúng thưởng hàng nghìn tỉ đồng Chúng sẽ yêu cầu nhấp chuột vào đường link
để điền những thông tin cá nhân như tài khoản ngân hàng, tên, địa chỉ, số điện thoại…
Khi thấy Email có nội dung như trên, bạn đừng vội click vào, thay vì thế bạn có thể tìm đến các chuyên gia bảo mật hoặc các công ty, dịch vụ về an ninh mạng
2.3 Mobile-based Social Engineering
2.3.1 Publishing Malicious Apps
Bước 1: Attackers tạo ra những ứng dụng chứa mã độc với hình dạng và nội dung tương tự những ứng dụng phổ biến trên app stores ví dụ như malicious gaming application chẳng hạn
Bước 2: Attackers đưa những ứng dụng này lên app store
Bước 3: Người dùng cuối download và cài đặt những app chứa mã độc này mà không
hề hay biết
Bước 4: Attackers nhận được thông tin người dùng qua các malicious app mà người dùng cài đặt
2.3.2 Repackaging Legitimate Apps
Bước 1: Developer chân chính tạo ra một ứng dụng và tải lên app store
Bước 2: Malicious developer tải ứng dụng sạch về sau đó thay tùy biến thành ứng dụng chứa mã độc
Bước 3: Malicious deverloper tải app lên một app store thứ 3
Bước 4: Người dùng vô tình donwload app chứa malicious
Bước 5: Khi app chứa malicious chạy trên máy users cũng là lúc hacker nhận được thông tin
2.3.3 Fake Security Applications
Bước 1: Tấn công máy tính nạn nhân bằng malware
Bước 2: Attackers tải app chứa malicious lên app store
Trang 20Báo cáo TTTN Đại học Chương 2: Phân loại Social Engineering Bước 3: Người dùng đăng nhập vào tài khoản , một pop-up trên máy tính nói rằng nạn nhân phải download một app để nhận tin nhắn xác thực trên điện thoại
Bước 4: Người dùng download ứng dụng chứa mã độc trên app store
Bước 5: Attacker chiếm được quyền trên cả máy tính và điện thoại, việc còn lại là tùy vào độ nguy hiểm của hackers
2.3.4 Using SMS
Bước 1: Gửi tin nhắn giả mạo, dụ dỗ người dùng
Bước 2: Người dùng tin tưởng và bắt đầu liên lạc với thông tin mà tin nhắn cung cấp Bước 3: Khi người dùng liên lạc với thông tin giả mạo mà hackers cung cấp thì cũng
là lúc cuộc gọi bị ghi âm lại
Bước 4: Tùy vào khả năng của attackers họ có thể khai thác được nhiều thông tin nhạy cảm
Trang 21Báo cáo TTTN Đại học Chương 3: Các bước tấn công và tầm ảnh hưởng
CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ TẦM ẢNH HƯỞNG
3.1 Các bước tấn công
3.1.1 Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như
là một phần của chiến lược kinh doanh Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể sử dụng trong tấn công Social Engineering Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.1.2 Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó Mục tiêu thông thường là nhân viên hỗ trợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí
là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là mục tiêu kế tiếp Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý
3.1.3 Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt” Gồm có 3 loại chính:
Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm
cơ bản của con người Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân
viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công
sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc
Trang 22Báo cáo TTTN Đại học Chương 3: Các bước tấn công và tầm ảnh hưởng thể hiện kiến thức về tổ chức Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận Nếu
kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ
Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền,
như là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm
3.1.4 Xóa dấu vết
Tẩu thoát (cắt đứt, xóa hết mọi liên lạc dấu vết không để đối phương biết), một cuộc tấn công Social Engineering thành công làm cho người bị tấn công không hề hay biết mọi việc diễn ra rất “bình thường”
3.2 Tầm ảnh hưởng
3.2.1 Các cuộc tấn công thành công
Có lẽ cuộc tấn công social engineering nổi tiếng nhất xuất phát từ cuộc Chiến tranh Trojan huyền thoại, trong đó người Hy Lạp có thể vào thành phố Troy và giành chiến thắng bằng cách trốn trong một con ngựa gỗ khổng lồ được tặng cho quân đội Trojan như một món quà hòa bình
Frank Abagnale được coi là một trong những chuyên gia hàng đầu trong các kỹ thuật social engineering Trong những năm 1960, ông đã sử dụng các chiến thuật khác nhau để mạo danh ít nhất tám người, bao gồm một phi công hàng không, một bác sĩ và một luật sư Sau khi bị giam giữ, ông trở thành một nhà tư vấn bảo mật cho FBI và bắt đầu sự nghiệp tư vấn gian lận tài chính của riêng mình Những kinh nghiệm của bản thân đã giúp ông nổi tiếng với cuốn sách bán chạy nhất Catch Me If You Can và sau đó cuốn sách này được chuyển thể thành phim bởi một đạo diễn đã từng đoạt giải Oscar, Steven Spielberg
Một ví dụ gần đây về một cuộc tấn công social engineeringing thành công là vi phạm dữ liệu năm 2011 của công ty bảo mật RSA Một kẻ tấn công đã gửi hai email lừa đảo khác nhau trong vòng hai ngày cho các nhóm nhỏ nhân viên của RSA Các email
có dòng tiêu đề "Kế hoạch tuyển dụng năm 2011" và chứa file tài liệu Excel đính kèm Bảng tính chứa mã độc hại đã âm thầm được cài đặt thông qua lỗ hổng Adobe Flash Dù không làm rõ chính xác thông tin nào đã bị đánh cắp, nhưng hệ thống xác thực hai yếu
tố SecurID (2FA) của RSA đã bị xâm phạm và công ty đã phải chi khoảng 66 triệu USD
để khắc phục hậu quả sau vụ tấn công
Vào năm 2013, Syrian Electronic Army đã có thể truy cập tài khoản Twitter của Associated Press bằng cách đưa vào một liên kết độc hại trong một email lừa đảo Email được gửi đến nhân viên AP dưới vỏ bọc của một đồng nghiệp Các tin tặc sau đó đã
Trang 23Báo cáo TTTN Đại học Chương 3: Các bước tấn công và tầm ảnh hưởng tweet một câu chuyện tin tức giả từ tài khoản của AP cho biết hai vụ nổ đã xảy ra tại Nhà Trắng và sau đó Tổng thống Barack Obama đã bị thương Điều này đã thu hút được
số lượng người quan tâm rất lớn, đến nỗi thị trường chứng khoán đã giảm 150 điểm trong chưa đầy 5 phút
Cũng trong năm 2013, một vụ lừa đảo phishing dẫn đến việc vi phạm nghiêm trọng dữ liệu của Target Một email lừa đảo đã được gửi đến một nhà thầu phụ HVAC (liên quan đến hệ thống sưởi, thông gió và điều hòa không khí) - một đối tác kinh doanh của Target's Email chứa Citadel Trojan, cho phép kẻ tấn công xâm nhập vào hệ thống điểm bán hàng của Target và ăn cắp thông tin của 40 triệu thẻ tín dụng và thẻ ghi nợ của khách hàng Cùng năm đó, Bộ Lao động Hoa Kỳ trở thành mục tiêu bởi một cuộc tấn công watering hole, và các trang web của bộ này đã bị nhiễm phần mềm độc hại thông qua một lỗ hổng trong Internet Explorer - một Trojan truy cập từ xa được gọi là Poison Ivy
Trong năm 2015, tin tặc đã có được quyền truy cập vào tài khoản email cá nhân AOL của John Brennan, sau đó là giám đốc của CIA Một trong những tin tặc đã giải thích trên các phương tiện truyền thông cách hắn sử dụng kỹ thuật social engineering là giả mạo thành một kỹ thuật viên của Verizon và yêu cầu thông tin về tài khoản của Brennan từ ông trùm viễn thông Một khi các tin tặc thu thập được chi tiết tài khoản Verizon của Brennan, chúng sẽ liên lạc với AOL và sử dụng thông tin để trả lời chính xác các câu hỏi bảo mật cho tài khoản email của Brennan
3.2.2 Tầm ảnh hưởng thực tế
Social Engineering có thực sự nguy hiểm, đáng quan tâm và mức độ nguy hiểm của nó đến mức nào Chúng ta sẽ tham khảo một khảo sát để biết được tình hình Báo
cáo “The risk of social engineering on information security: A survey of IT
Professionals”, đây là một cuộc khảo sát được thực hiện bởi Dimensional Research và
được đảm bảo bởi nhà tiên phong trong lĩnh vực an ninh Internet “Check Point Software Technologies Ltd.”, thực hiện với 853 chuyên gia IT ở nhiều nước có ngành công nghệ thông tin phát triển hàng đầu thế giới: Mỹ, Anh, Canada, Úc, New Zealand và Đức trong năm 2011 cách đây 7 năm Mục tiêu cuộc khảo sát là thu thập dữ liệu về nhận thức đối với các cuộc tấn công Social Engineering và tác động của nó đối với doanh nghiệp Báo cáo đã cho chúng ta kết quả như sau:
Có 97% chuyên gia IS và 86% chuyên gia IT đã nhận thức được mối đe dọa an ninh tiềm ẩn từ Social Engineering Sự nhận thức về mối đe dọa này cũng được chia thành nhiều cấp độ khác nhau: có 43% số người được phỏng vấn cho biết rằng
họ đã là đối tượng bị khai thác bởi SE Chỉ có 16% có thể khẳng định họ không phải là đối tượng của SE, trong khi đó 41% không nhận thức được họ đã bị tấn công hay chưa
Khảo sát về mục đích cuộc tấn công cho thấy: 51% mục đích của các cuộc tấn công
là nhằm vào lợi ích kinh tế, 14% nhằm vào mục đích trả thù, mâu thuẫn cá nhân
Về mật độ xảy ra các vụ tấn công: trên 32% tổng số người tham gia cuộc khảo sát nói rằng họ thường xuyên là đối tượng của SE, trong vòng 2 năm họ đã bị khai