Social engineering hay còn gọi là kỹ thuật xã hội là một hình thức tấn công vào tâm lý, thói quen, nhận thức sai lầm hoặc sự thiếu kiến thức của con người nhằm để đánh cắp thông tin hoặc
Trang 1TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC
TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN MÔN NHẬP MÔN BẢO MẬT MÁY TÍNH
TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI
Người hướng dẫn: THẦY HỒ VĂN THÁI
Người thực hiện: LÊ QUỐC TRUNG - 51900842
Lớp : 19050401
Khoá : 23
THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021
Trang 2TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC
TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN MÔN NHẬP MÔN BẢO MẬT MÁY TÍNH
TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI
Người hướng dẫn: THẦY HỒ VĂN THÁI
Người thực hiện: LÊ QUỐC TRUNG - 51900842
Lớp : 19050401
Khoá : 23
THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021
Trang 3LỜI CẢM ƠN
Để hoàn thành bài báo cáo ngày hôm nay, em xin trân trọng bày tỏ lòng biết ơn sâu sắc đến thầy Hồ Văn Thái – trực tiếp giảng dạy thực hành môn Nhập môn Bảo mật máy tính Nhờ sự tận tình hướng dẫn trong suốt quá trình học tại trường cũng như học online mà em đã có đủ kiến thức để hoàn thành bài báo cáo này Lời cuối em xin một lần nữa cám ơn thầy/cô và chúc thầy/cô dồi dào sức khoẻ để truyền đạt kiến thức cho các lứa học sinh sinh viên Do kiến thức còn chưa vững nên trong bài báo cáo có sai sót gì mong thầy góp ý để em có được nhiều kinh nghiệm hơn
Em xin chân thành cảm
Trang 4ĐỒ ÁN ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
Tôi xin cam đoan đây là sản phẩm đồ án của riêng chúng tôi và được sự hướng dẫn của thầy Hồ Văn Thái; Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công bố dưới bất kỳ hình thức nào trước đây Những số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo
Ngoài ra, trong đồ án còn sử dụng một số nhận xét, đánh giá cũng như số liệu của các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn gốc
Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm về nội dung đồ án của mình Trường đại học Tôn Đức Thắng không liên
quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện (nếu có)
TP Hồ Chí Minh, ngày 12 tháng 11 năm 2021
Tác giả (ký tên và ghi rõ họ tên)
Lê Quốc Trung
Trang 5PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN
Phần xác nhận của GV hướng dẫn
_
Tp Hồ Chí Minh, ngày tháng năm
(kí và ghi họ tên)
Phần đánh giá của GV chấm bài
_
Tp Hồ Chí Minh, ngày tháng năm
(kí và ghi họ tên)
Trang 6MỤC LỤC
LỜI CẢM ƠN 1
PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN 3
MỤC LỤC 4
CHƯƠNG 1 – LÍ DO CHỌN ĐỀ TÀI VÀ TÓM TẮT 5
CHƯƠNG 2 – TỔNG QUAN VỀ SOCIAL ENGINEERING 5
2.1 Social engineering là gì? 5
2.2 Về tác phẩm The art of deception 6
CHƯƠNG 3 – CÁC HÌNH THỨC TẤN CÔNG SOCIAL ENGINEERING 6
3.1 Tấn công dựa trên yếu tố con người 7
3.1.1 Pretexting 7
3.1.2 Tailgating (Piggybacking) 8
3.1.3 Something for Something (Quid Pro Quo) 9
3.1.4 Honey trap 10
3.2 Tấn công dựa trên yếu tố kỹ thuật 10
3.2.1 Phishing 10
3.2.2 Baiting 11
3.2.3 Vishing 11
CHƯƠNG 4 – TỔNG KẾT 12
Trang 7CHƯƠNG 1 – LÍ DO CHỌN ĐỀ TÀI VÀ TÓM TẮT
Trong xã hội nói chung và lĩnh vực công nghệ thông tin nói riêng, từ công ty,
tổ chức, quốc gia, hệ thống, hay thậm chí là mỗi cá nhân chúng ta đều có thông tin riêng tư cần được bảo mật Để bảo vệ được thông tin là cả một nghệ thuật, một chuỗi các yếu tố tác động và liên kết chặt chẽ với nhau Trong đó, yếu tố con người trong bảo mật là một mắt xích được xem là yếu nhất, chỉ cần mắt xích này bị phá vỡ thì cả hệ thống bảo mật có nguy cơ sụp đổ
Để hiểu sâu hơn về vấn đề trên, em đã đọc tác phẩm The art of deception – một tác phẩm kinh điển với các câu chuyện được kể lại qua lời văn của tác giả là Kevin Mitnick Ông được biết đến với vai trò là một “hacker mũ trắng” đã giúp đỡ các tổ chức, chính phủ, và những người dùng phổ thông chống lại sự tấn công của các hacker
Sau khi đọc tác phẩm trên, em quyết định thực hiện bài báo cáo này với chủ
đề “Tìm hiểu các kỹ thuật xã hội” nhằm truyền tải đến cho nhiều người khác kiến thức được đề cập trong tác phẩm và kiến thức khác về kỹ thuật xã hội và cách phòng chống
CHƯƠNG 2 – TỔNG QUAN VỀ SOCIAL ENGINEERING
2.1 Social engineering là gì?
Social engineering hay còn gọi là kỹ thuật xã hội là một hình thức tấn công vào tâm lý, thói quen, nhận thức sai lầm hoặc sự thiếu kiến thức của con người nhằm để đánh cắp thông tin hoặc đạt một mục đích nào đó Nếu như ở các kỹ thuật tấn công khác, hacker tập trung vào khai thác lỗ hổng bảo mật của hệ thống, thì ở social engineering, các hacker lại tập trung vào khai thác thói quen tự nhiên của con người và điểm yếu trong tâm lý của con mồi Đó là lý do kỹ thuật này được gọi là
kỹ thuật xã hội
Trang 82.2 Về tác phẩm The art of deception
Ở tác phẩm này, Kevin Mitnick tập trung chủ yếu về mặt xã hội qua các câu chuyện Điển hình như một social engineer đã truy cập được vào hệ thống của một công
ty được bảo mật bằng mật khẩu đổi hàng ngày Anh ta đã chờ đến mùa tuyết và gọi điện cho công ty đóng giả làm một nhân viên công ty bị mắc kẹt ở nhà do tuyết và xin người điều hành mật khẩu công ty ngày hôm đó để được làm việc từ xa
Hay một câu chuyện khác kể về một kẻ cắp thông tin đã giả danh làm bạn thân và là đối tác làm ăn với CEO công ty để yêu cầu thông tin vào lúc CEO đi vắng khỏi công ty
Hay là một câu chuyện có vẻ gần gũi hơn với chúng ta, đó là một tên trộm đã thực hiện dàn cảnh nhắm vào đối tượng là một người phụ nữ ở một quán café, 2 tên đồng bọn của hắn đã giả vờ nhờ người phụ nữ chụp ảnh giúp trong khi tên trộm nhanh tay lấy cắp chiếc túi xách Sau khi người phụ nữ phát hiện và tỏ vẻ lúng túng thì hắn đến để giả vờ làm người trấn an Lợi dụng sự hoang mang mà hắn đã thành công lừa gạt người phụ nữ để moi được thông tin thẻ tín dụng
Các câu chuyện đề cập trong tác phẩm hầu hết đều gần gũi và đánh vào tâm
lý chủ quan của con người Từ đó tác giả đã thành công truyền cho mọi người một nhận thức mới về sự lừa đảo Ngoài ra tác giả cũng có phân tích thêm một chút về tâm lý, thành phần dễ bị tấn công, và một số thông tin khác về kỹ thuật này Bên cạnh đó còn cung cấp một số kiến thức về an toàn thông tin và các chính sách bảo mật cho cá nhân cũng như doanh nghiệp
CHƯƠNG 3 – CÁC HÌNH THỨC TẤN CÔNG
SOCIAL ENGINEERING
Như đã nói trên thì kỹ thuật xã hội chủ yếu tập trung vào tâm lý con người, tấn công vào con người Tuy nhiên, ở thời đại công nghệ như hiện nay thì các social engineer đã nâng cao khả năng Bằng sự kết hợp giữa kỹ thuật xã hội và công nghệ Social engineering có thể được chia làm 2 loại: Tấn công dựa trên yếu tố con người
và tấn công dựa trên yếu tố kỹ thuật
Trang 93.1 Tấn công dựa trên yếu tố con người
3.1.1 Pretexting
Pretexting là một hình thức mà kẻ tấn công sẽ tự tạo ra một kịch bản hoặc một cái cớ hợp lí để yêu cầu người dùng cung cấp thông tin cá nhân với mục đích định danh Một số biến thể lớn hơn của pretexting sẽ cố gắng thao túng mục tiêu để khai thác thông tin, điểm yếu của tổ chức hay công ty của nạn nhân Các kẻ tấn công thường mạo danh là những nhân vật thường truy hỏi thông tin người khác như cảnh sát hay phóng viên, những thông tin được lấy cấp có thể bao gồm cả quan trọng và không quan trọng
Hình thức tấn công này có điểm mạnh là khai thác được thông tin chính xác
và nhiều thông tin nhạy cảm do chính chủ thể cung cấp hoặc thậm chí thao túng chủ thể tự cài hay thực hiện các hành động hỗ trợ cho việc tấn công Tuy nhiên bên cạnh
đó cũng có điểm yếu là người tấn công phải nắm rõ thông tin cá nhân liên quan đến chủ thể để có thể hoàn thành vai diễn, lấy được trọn vẹn lòng tin của nạn nhân Nếu chỉ một sơ suất gây nghi ngờ thì cuộc tấn công có thể thất bại
Cách thức để tránh trở thành nạn nhân của pretexting là phải luôn đảm bảo không công khai các thông tin nhạy cảm, giữ vững tâm lý, tìm hiểu thật kĩ trước khi cung cấp thông tin cho một cá nhân hay tổ chức nào đó Luôn sử dụng các công cụ bảo mật tránh lộ thông tin cá nhân lên internet như tường lửa, diệt virus,…
Ví dụ gần gũi nhất là hiện tượng đóng giả làm nhân viên công ty điện để yêu cầu người dùng cung cấp thông tin cá nhân đặc biệt là số căn cước để gia hạn hợp đồng tiêu thụ điện
Trang 103.1.2 Tailgating (Piggybacking)
Tailgating hay còn được biết đến với tên gọi là Piggybacking là một hình thức người không có thẩm quyền nhờ (hoặc cố tình theo dõi, theo sau) người có thẩm quyền để đột nhập vào một hệ thống hoặc một khu vực nào đó có bảo mật Từ
đó người đột nhập có khả năng thu thập thông tin hoặc cài thiết bị, phần mềm có chức năng thu thập thông tin
Nghe qua về định nghĩa thì ta có thể thấy hình thức đột nhập này khá đơn giản hơn so với pretexting khi không cần phải tìm hiểu thông tin hay suy nghĩ kịch bản rườm rà Tuy nhiên kỹ thuật này có thể dễ dàng bị khắc phục nếu quy trình ra vào khu vực bảo mật được kiểm soát kĩ Khu vực bảo mật có lắp đặt camera, khâu bảo vệ không lơ là Tức là kỹ thuật này dễ sử dụng nhưng đồng thời cũng dễ khắc phục bằng cách nhân viên luôn được trang bị kiến thức kĩ, đồng thời mỗi cá nhân đều phải có ý thức tự bảo vệ khả năng truy cập của mình
Ví dụ: một người đóng giả nhân viên sửa điện yêu cầu bảo vệ cho vào toà nhà Từ đó nhân viên này có thể tự do thu thập thông tin bên trong toà nhà đó Hay một ví dụ khác là nhân viên bước ra khỏi khu vực làm việc nhưng không khoá máy,
Trang 11dẫn đến kẻ đột nhập có quyền truy cập được hệ thống đã được mở khoá bởi nhân viên trước đó
3.1.3 Something for Something (Quid Pro Quo)
Quid pro quo là một kỹ thuật tấn công dựa trên nhu cầu hoặc lòng tham của con người Kỹ thuật này sẽ giả vờ cung cấp một thứ gì đó để đổi lại thông tin hoặc
sự hỗ trợ của mục tiêu
Để dễ hiểu hơn thì người tấn công thường sẽ đóng giả làm nhân viên kỹ thuật gọi điện và yêu cầu mục tiêu thao tác trên máy tính hệ thống (tắt tường lửa hoặc cài phần mềm) nhằm hỗ trợ cho việc tấn công diễn ra trơn tru và không gặp khó khăn
gì Hoặc là một số trường hợp lợi dụng lòng tham của người khác Người tấn công
sẽ tạo tin nhắn thông báo trúng thưởng và yêu cầu người dùng cung cấp thông tin cá nhân để nhận thưởng
Trang 123.1.4 Honey trap
Trong kỹ thuật honey trap, tin tặc sẽ đóng giả thành một người “hấp dẫn” để tiếp cận và tương tác với mục tiêu nhằm thu thập thông tin Kỹ thuật này dễ hiểu nhất là các cô gái quyến rũ, tiếp cận những người quan trọng trong tổ chức để đào thông tin một cách trực tiếp
3.2 Tấn công dựa trên yếu tố kỹ thuật
3.2.1 Phishing
Phishing là một kỹ thuật tấn công gần như phổ biến nhất và được sử dụng nhiều nhất hiện nay Người tấn công sẽ tạo ra một email hay một trang web giả mạo Đồng thời kỹ thuật này cũng đánh vào tâm lý gấp gáp, sợ hãi của người dùng
để khiến mục tiêu quyết định một cách gấp gáp việc cung cấp thông tin
Kỹ thuật này cần một sự chuẩn bị quy mô và chỉn chu để đánh lừa được con mồi Ngoài ra kỹ thuật này còn đánh lừa người dùng click vào link lạ để tự động tải hay cài phần mềm độc hại lên máy tính cá nhân
Một trò lừa đảo gần đây nhất ở Việt Nam là khi mục tiêu truy cập vào các trang web cờ bạc hoặc web đen, pop-up sẽ nhảy lên với màn hình giả danh là bộ phận An Ninh Mạng cùng với huy hiệu bộ công an Pop-up này doạ rằng mục tiêu
đã vi phạm pháp luật, yêu cầu nộp phạt để mở khoá máy tính
Ngoài ra một loại hình tấn công nữa đó là Spear phishing, kỹ thuật này tương
tự như phishing tuy nhiên, được thiết kế nhằm đến một tổ chức, cá nhân cụ thể
Trang 133.2.2 Baiting
Baiting là một kỹ thuật lây nhiễm phần mềm độc hại cho người khác thông qua “mồi câu” trung gian Cách thức này lợi dụng sự tò mò của người dùng Thông thường hacker sẽ cài virus vào usb, ổ cứng và để ở nơi dễ tìm thấy để người dùng tự
sử dụng và tự lây virus cho bản thân Ngoài ra còn một số cách khác như các file cài đặt miễn phí
3.2.3 Vishing
Vishing nói dễ hiểu tức là một hình thức kết hợp “lừa đảo” và “giọng nói”
Nó tương tự như phishing tuy nhiên thay vì thông qua email thì lại sử dụng giọng nói hay cụ thể hơn là các cuộc gọi Ở hình thức này, người thực hiện vishing (visher) có được quyền truy cập danh sách các số điện thoại, hắn sẽ gọi hàng loạt và tìm ra mục tiêu tiềm năng để tiến hành lừa đảo Visher sẽ ăn tiền, thông tin hoặc cả hai
Ví dụ gần đây có rất nhiều cuộc gọi giả ngân hàng, báo tài khoản đã bị khoá, yêu cầu mục tiêu gọi cho một số hotline nào đó để đổi mật khẩu Hoặc một vài vụ tinh vi hơn là bên visher còn cung cấp thông tin cá nhân để khiến người dùng tin tưởng hơn và dễ mắc bẫy
Để phòng tránh các trường hợp này, chúng ta nên dứt khoát gác máy nếu có
số lạ gọi và yêu cầu thông tin Sau đó là thực hiện tra soát lại, tránh để bị lừa Ngoài
ra cần củng cố kiến thức, hiểu cách bọn trộm hoạt động chúng ta sẽ khó bị lừa hơn
Trang 14CHƯƠNG 4 – TỔNG KẾT
Qua một số ví dụ và các hình thức social engineering phổ biến nêu trên, chúng ta đã có thể hiểu sơ qua về cách một cuộc tấn công social engineering hoạt động: Khai thác thông tin và hành vi, xây dựng kế hoạch và công cụ, tấn công Tuy nhiên, mỗi hình thức đều có ưu và khuyết điểm riêng, nhưng đa phần đều có chung một mục tiêu hướng tới đó là tâm lý con người Để phòng tránh được kỹ thuật tấn công này, mỗi cá nhân cần phải học hỏi để có kiến thức về các kỹ thuật, bởi chỉ có hiểu rõ về cách hoạt động ta mới có thể phòng tránh tốt nhất Ngoài ra cần có một cái đầu lạnh để giữ bình tĩnh tránh bị các social engineer “chơi đùa cảm xúc”
