Social Engineering thực sự là một kỹ thuật tấn công nguy hiểm. Nguy hiểm vì nó rất khó nhận biết, cách thức tấn công của nó rất đa dạng, từ đơn giản đến phức tạp. Nguy hiểm vì nó có thể được sử dụng từ bất kỳ ai xung quanh chúng ta. Trên thế giới và ở Việt Nam, lĩnh vực nghiên cứu chuyên sâu, cái nhìn về Social Engineering cũng đã tương đối tốt. Tuy nhiên với bộ phận lớp trẻ, kể cả những người học về công nghệ thông tin thì nhận thức về vấn đề này còn rất mơ hồ.
Trang 1NGHIÊN CỨU KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING
A TÓM TẮT
Social Engineering là kỹ thuật tấn công không mới Tuy nhiên, nhiều cá nhân và tổ chức vẫn chưa có nền tảng kiến thức về kỹ thuật tấn công Social Engineering Do đó, các tổ chức vẫn thường xuyên bị tin tặc tấn công bởi những trò lừa đảo hết sức đơn giản Hacker
có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công
Vậy sự thật ẩn chứa bên trong Social Engineering là gì?
B MỞ ĐẦU
Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng Vấn đề an toàn thông tin không còn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo chung của toàn cầu Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật phần mềm đã phát triển vượt bậc nhưng vẫn không
đủ khả năng bảo vệ chúng ta thoát khỏi việc rò rỉ thông tin Vậy đâu là nguyên nhân? Khi các thiết bị và phương tiện bảo vệ thông tin tin cậy ngày càng nhiều thì giới đạo chích, một mặt tiếp tục khai thác các điểm yếu của hệ thống kỹ thuật, mặt khác lại hướng sự chú ý vào khâu yếu nhất của hệ thống, đó là con người, bởi lẽ không có bất kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu về yếu tố con người
Chúng có thể sử dụng các chiêu lừa đảo khác nhau và tận dụng các điểm yếu về tâm lý như tính nhẹ dạ cả tin, hám lợi của con người Các chiêu tấn công phi kỹ thuật đó được gọi chung là kỹ nghệ xã hội (social engineering) Thực tế đã cho thấy rằng khả năng thành công của phương thức tấn công này cao gấp nhiều lần tấn công trực diện vào hệ thống kỹ thuật Và đó là lý do khiến cho kỹ thuật Social Engineering – một kỹ thuật tấn công vào yếu tố con người ngày càng trở nên phổ biến và tinh vi hơn
Trên thế giới, khi nói về vấn đề bảo mật thông tin người ta không thể không nói đến Social Engineering – một kỹ thuật khai thác thông tin rất nguy hiểm, khó phát hiện, phòng chống
và gây thiệt hại to lớn cho công tác bảo mật thông tin Ngày nay, công nghệ thông tin đang đóng vai trò chủ chốt trong nhiều lĩnh vực quan trọng của xã hội như: kinh tế, giáo dục,
Trang 2chính trị và quân sự - những lĩnh vực mà sự “lỏng lẻo” về công tác bảo mật thông tin sẽ khiến chúng ta phải trả giá đắt Chính vì thế Social Engineering nhận được sự quan tâm trên toàn cầu và đặc biệt là trong lĩnh vực công nghệ thông tin
C NỘI DUNG
1 Tổng quan về Social Engineering
1.1 Khái niệm
Trên thế giới, khi nói về vấn đề bảo mật thông tin người ta không thể không nói đến Social Engineering – một kỹ thuật khai thác thông tin rất nguy hiểm, khó phát hiện, phòng chống
và gây thiệt hại to lớn cho công tác bảo mật thông tin Ngày nay, công nghệ thông tin đang đóng vai trò chủ chốt trong nhiều lĩnh vực quan trọng của xã hội như: kinh tế, giáo dục, chính trị và quân sự - những lĩnh vực mà sự “lỏng lẻo” về công tác bảo mật thông tin sẽ khiến chúng ta phải trả giá đắt Chính vì thế Social Engineering nhận được sự quan tâm trên toàn cầu và đặc biệt là trong lĩnh vực công nghệ thông tin
Social Engineering là một thuật ngữ liên quan đến các ngành khoa học xã hội, tuy nhiên chúng ta thường xuyên sử dụng bắt gặp nó trong lĩnh vực công nghệ thông tin
Social Engineering được hiểu đơn giản là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn Kỹ thuật này dựa trên nền tảng là những điểm yếu tâm lý, những nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó Với phương pháp này, người tấn công tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống
Social Engineer là phương pháp tấn công đơn giản nhưng lại vô cùng hiệu quả vì nó tấn công trực tiếp vào sự thiếu hiểu biết của người dùng.Phương pháp này kể từ khi ra đời đến nay vẫn là phương pháp cực kỳ hiệu quả do không có một dạng cố định, có thể tùy biến tùy vào kẻ tấn công và khả năng phòng thủ là vô cùng khó khăn
Trang 31.2 Ví dụ
Một số ví dụ về kỹ thuật tấn công Social Engineering:
Ví dụ 1, tin tặc có thể lợi dụng niềm tin của nạn nhân, sau đó mạo danh một người thân
trong gia đình của nạn nhân, sau đó gửi tệp email đính kèm mã độc Lúc này, tin tặc sẽ lợi dụng mối quan hệ có sẵn để yêu cầu nạn nhân nhấp vào liên kết, xác minh thông tin Nhưng sau khi click, thiết bị của nạn nhân lập tức bị nhiễm mã độc
Ví dụ 2, Hacker có thể mạo danh là đại diện công ty Coca Cola rồi gửi tin nhắn bạn đã
trúng thưởng X tỷ đồng trong tin nhắn Facebook Sau khi bạn click vào đường dẫn, xác minh thông tin cá nhân, rất có thể bạn đã trở thành con mồi béo bở để Hacker tống tiền hoặc rút tiền trong tài khoản (nếu hacker yêu cầu bạn điền thông tin tài khoản ngân hàng)
Tại sao các vụ tấn công liên quan tới Social Engineering đều rất nguy hiểm?
- Tất cả mọi người đều có thể là mục tiêu
Ngay cả một chuyên gia về an ninh mạng cũng có thể trở thành đối tượng tấn công của Hacker bởi kỹ thuật Social Engineering Đặc biệt các kỹ thuật, chiến lược và thủ thuật tấn công Social engineering ngày càng phức tạp
- Lợi dụng lòng tin con người
Những kẻ tấn công sẽ đóng vai như một bạn bè, người thân, đối tác của bạn Sau đó chúng
sẽ lợi dụng lòng tin để tỏ ra mình muốn giúp đỡ, tin tưởng, quan tâm tới nạn nhân Đằng sau nghệ thuật này lại ít người nhận ra rằng mình đang bị lừa đảo
- Tấn công bằng kỹ thuật Social Engineering không nhất thiết phải dùng công cụ
Social Engineering có thể dùng thủ thuật, sự lừa đảo đơn giản trong cuộc sống thường ngày Hacker có thể áp dụng kỹ thuật Social Engineering thực hiện hành vi gian dối ở khắp mọi nơi, tại bất kỳ thời điểm nào
2 Phân loại các kỹ thuật tấn công
2.1 Tấn công dựa trên yếu tố con người
Kỹ thuật Social Engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu
Trang 42.1.1 Direct approach (tiếp cận trực tiếp)
Hỏi trực tiếp đối tượng để khai thác thông tin Đây là phương pháp đơn giản nhất nhưng vẫn có kết quả không ngờ đối với một số người có thái độ về bảo mật thông tin kém
Cách tiếp cận này có vẻ thô lỗ và rõ ràng, nhưng nó là nền tảng của các thủ đoạn đánh lừa
bí mật Có 4 cách tiếp cận chính minh chứng thành công của Social Engineer:
- Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm quyền để
ép buộc mục tiêu làm theo yêu cầu
- Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng
- Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí, thông tin từ mục tiêu
- Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu Sự trợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker đánh cắp nhận dạng của mục tiêu
2.1.2 Dumpster Diving and Shoulder Surfing (bới rác và nhìn trộm)
Đây là hai trong những hình thức được sử dụng sớm nhất của Social Engineering
Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại Các loại thông tin này là vô giá đối với hacker Social Engineering, bởi vì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker Nếu một công ty, không
có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng
Shoulder Surfing là cách nhìn trộm mật khẩu hoặc mã PIN Mọi người có chắc chắn rằng khi mình đánh mật khẩu tại một nơi công cộng sẽ không có ai nhìn thấy không?
Trang 52.1.3 Impersonation and Important User (Giả danh và Người dùng quan trọng)
Kẻ tấn công sẽ giả mạo một người quan trọng, chức vụ cao, có uy tín trong tổ chức Hoặc chúng làm ra vẻ ngu ngơ, ngốc nghếch tưởng chừng như vô hại Từ đó họ yêu cầu giúp đỡ, lợi dụng lòng tốt và sử dụng danh nghĩa của người khác Họ không có những thứ cần thiết
để khai thác hệ thống nên sẽ lợi dụng những người có thông tin mà không cần phải trải qua bất cứ sự xác nhận, kiểm tra nào
2.1.4 Third-Party Authorization (Quyền bên thứ ba)
Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống Ví dụ:
“Ông A đã nói là đồng ý” hoặc là “Trước khi đi nghỉ mát, giám đốc đã nói rằng tôi có thể liên lạc với cậu để lấy thông tin”
2.1.5 Pretexting
Với cách này, kẻ tấn công sẽ xây dựng một kịch bản chi tiết trước để khai thác nạn nhân:
họ sẽ làm tăng độ tin tưởng của nạn nhân vào mình, từ đó sẽ làm nạn nhân vô ý hoặc có chủ ý tiết lộ thông tin hoặc thực hiện một hành động có lợi cho mình
2.2 Dựa vào yếu tố kỹ thuật
Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết
2.2.1 Phishing:
Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin
2.2.2 Pop-Up Windows
Chúng ta rất dễ gặp hình thức này khi đang sử dụng trình duyệt web Popup Windows thường có cửa số xuất hiện trên màn hình,người dùng click vào Popup đó sẽ bị chuyển đến trang web của tin tặc Sau đó, tin tặc sẽ yêu cầu bạn đăng nhập thông tin hoặc tải phền mềm chứa mã độc về máy
Trang 6Nội dung các Pop- Up này thường là thông báo chúng ta nhận được một món tiền, giải thưởng nào đó Đồng thời, chuyển hướng người dùng tới một website giả yêu cầu điền thông tin hoặc kích hoạt Virus, Trojan, Spyware…
2.2.3 Vishing
Thuật ngữ là sự kết hợp của “voice” và phishing Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề Sau khi gọi,
số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ
và khó giám sát một cuộc gọi bằng Voip
Thư thông báo về một Virus, Trojan, Worm mới có thể gây hại cho máy tính
2.2.4 Mail attachments
Có 2 hình thức thông thường có thể được sử dụng
Đầu tiên là mã độc hại Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs)
Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự
đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết
2.2.5 Interesting Software
Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp
Trang 73 Các bước tấn công
3.1 Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering Những thứ
mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.2 Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó
Mục tiêu thông thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa sự giúp đỡ và
có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống Kẻ tấn công nhận
ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết
Trợ lý administrator là mục tiêu kế tiếp Đó là vì các cá nhân này có thể tiếp cận với các
dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý
3.3 Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lừa gạt” Gồm có
3 loại chính:
Trang 83.3.1 Ego attack
Trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn
3.3.2 Sympathy attacks
Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ
3.3.3 Intimidation attacks
Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm
4 Một số biện pháp phòng chống
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật Để phòng chống có hiệu quả, chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó Social Engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại
Trang 94.1 Xây dựng chính sách bảo mật
• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên vi phạm
• Tài liệu hướng dẫn cần viết rõ ràng để tất cả mọi nhân viên đều dễ dàng hiểu được
• Có những chương trình đào tạo thường xuyên cho cán bộ quản lý cũng như toàn thể nhân viên cập nhật kiến thức bảo mật mới
• Sau quá trình đào tạo, đánh giá hiệu quả đào tạo, đồng thời nhân viên nên ký một bản cam kết chịu trách nhiệm bảo đảm thông tin
• Nhân viên làm việc trực tiếp với hệ thống luôn đề cao cảnh giác, đồng thời cập nhật thông tin thường xuyên
• Mật khẩu: Cần đổi định kỳ, phức tạp, khó đoán biết; Tài khoản bị khóa sau một vài lần đăng nhập thất bại; Tuyệt đối không tiết lộ mật khẩu dưới bất kỳ hình thức nào
• Bảo đảm an toàn vật lý: Xác nhận nhân viên ra vào bằng thẻ, đồng phục…; Giám sát khách đi vào; Khu vực cấm có ranh giới rõ ràng; Tiêu hủy tài liệu không còn sử dụng; Thuê bảo vệ
4.2 Phân loại dữ liệu cá nhân, công ty
• Phân loại thông tin: Mật, tuyệt mật, công cộng…
• Phân quyền truy cập rõ ràng cho từng đối tượng
• Thời gian phục hồi dữ liệu: Tính toán trước đề phòng Social Engineering xảy ra
• Kiểm tra thật kỹ hồ sơ nhân viên: Dễ quản lý và loại bỏ các trường hợp nghi ngờ
• Không cung cấp thông tin cá nhân qua điện thoại, không hiển thị tài khoản/số điện thoại nếu không cần thiết
4.3 Nâng cao nhận thức về bảo mật cho nhân viên
Có thể thấy, sự nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin
cá nhân Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng… sẽ giúp mở rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp
Trang 10Thay vào đó yếu tố con người rất quan trọng Chính sự lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng Do đó, để phòng chống kiểu tấn công này một cách hiệu quả nhất, mọi người cần nâng cao nhận thức và trang bị các kiến thức cơ bản nhất cho mình
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương tiện lưu trữ điện tử vào thùng rác Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở hữu nó có thể trở thành không rõ ràng về pháp luật Dumpster diving có thể không được coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải đưa ra lời khuyên về xử lý rác thải
Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương tiện có từ tính Nếu có loại chất thải quá lớn hoặc khó để đặt vào máy hủy, chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy nó, thì phải phát triển một giao thức cho việc vứt bỏ
Một trong những biện pháp có hiệu quả nhất để quản lý giấy thải là đặc tả của việc phân loại dữ liệu Bạn xác định loại giấy khác nhau dựa trên các thông tin và chỉ định cách thức nhân viên quản lý sự vứt bỏ của họ Ví dụ có thể phân thành các loại: Bí mật công ty, riêng
tư, văn phòng, công cộng
5 Cài đặt Kali Linux và thử nghiệm kỹ thuật tấn công Social Engineering
Trong bài báo cáo này, nhóm em sử dụng hệ điều hành KaLi linux phiên bản 2017.1 được cài trên VMware Workstration 12 Pro
5.1 Hệ điều hành KaLi Linux
5.1.1 Sơ lược về hệ điều hành KaLi Linux
Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 với tư cách là một bản dựng lại hoàn chỉnh từ đầu của BackTrack Linux, tôn trọng hoàn toàn các tiêu chuẩn phát triển Debian
Kali Linux là một bản Debian của hệ điều hành mã nguồn mở Linux Kali Linux được thiết kế và tùy biến bởi các chuyên gia về bảo mật Theo đó, nó được tích hợp sẵn một loạt các công cụ dùng cho việc thâm nhập, hacking, phân tích,… tất cả điều được phân loại rất rõ ràng
Do đó, có thể nói “Kali Linux là một OS rất hữu ích đối với những chuyên gia đánh giá bảo mật, một OS tập hợp và phân loại gần như tất cả các công cụ thiết yếu mà bất kỳ