Link tải luận văn miễn phí cho ae Kết nối

Lời nói đầu
Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm
kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một
phiên bản out-of-date Adobe Flash - hoặc, God forbid, Java, đó là nguyên nhân
của 91% các cuộc tấn công vào năm 2013 theo Cisco - bạn có thể truy cập vào
một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của
bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm
để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ
cài đặt.
Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm
lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến
mục tiêu phần mềm của họ.
Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social
engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ
tín dụng của bạn, hay một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn
đến một trang web giả mạo và cải trang trông giống như một thực hay yêu cầu
bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn
của Social engineer không có liên quan đến các trang web giả mạo hay phần
mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả
lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm,
họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 4
thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế
để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả
năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể
tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn
thêm từ thầy giáo .
1. Kỹ nghệ xã hội (Social engineerin) :
Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó
nhằm mục đích lấy cắp TT hay thuyết phục nạn nhân để thực hiện việc gì.
Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo
VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công.
Một nhân viên có thể vô tình để lộ thông tin key trong email hay trả lời điện
thoại của một người mà họ không quen biết hay thậm chí nói về đề án của họ
với đồng nghiệp hàng giờ liền ở quán rượu.
Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu
nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người
nào đó nhằm mục đích lấy cắp TT hay thuyết phục nạn nhân để thực hiện việc
gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao
và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các
firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết
bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin
key trong email, hay trả lời điện thoại của người lạ hay một người mới quen
thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán
rượu.
Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật,
mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ
năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của
không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong
Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 5



0Ozpf8csVOKwe4E

---