ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NGHIÊN
CỨU KHOA HỌC
Đề tài:
Social Engineering - Phương Pháp Tấn Công
Nguy Hiểm Trong Công Tác Bảo Mật Thông Tin
Vẫn Còn Bị Chúng Ta Xem Nhẹ

Giảng viên hướng dẫn : GS.TSKH Hoàng Văn Kiếm
Học viên thực hiện : Đào Trọng Nghĩa
MSHV: 12 12 025 Lớp: Cao học K22-2012 TP Hồ Chí Minh, tháng 11 năm 20122

Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác
Bảo Mật Thông Tin Vẫn Còn Bị Chúng Ta Xem NhẹĐào Trọng Nghĩa
Khoa Công Nghệ Thông Tin,

thác thông tin rất nguy hiểm, khó phát
hiện, phòng chống và gây thiệt hại to lớn
cho công tác bảomật thông tin. Ngày nay,
công nghệ thông tin đóng vai trò chủ chốt
trong nhiều lĩnh vực quan trọng của xã hội
như kinh tế, giáo dục, chính trị và quân sự
- những lĩnh vực trong đó sự lỏng lẻo về
công tác bảo mật thông tin sẽ khiến chúng
ta phải trả giá đắt. Chính vì thế, Social
Engineering nhận được nhiều sự quan tâm
toàn cầu, đặc biệt là trong lĩnh vực công
nghệ thông tin.
Social Engineering là một thuật ngữ liên
quan đến các ngành khoa học xã hội, tuy
nhiên chúng ta thường xuyên sử dụng và
bắt gặp nó trong ngành công nghệ thông
tin. Social Engineering được hiểu đơngiản
là một kĩ thuật tác động đến con người
nhằm mục đích lấy được một thông tin
hoặc đạt được một hành động mong muốn.
Những kĩ thuật trên dựa vào nền tảng là
những điểm yếu tâm lý, những nhận thức
sai lầm của con người về việc bảo mật
thông tin.Mục đích của các cuộc tấn công
Social Engineering có rất nhiều, chúng ta
có thể kể đến như: các lợi ích về tài chính,
tạo ra những điều có lợi cho mình, trả thù
… hoặc do áp lực bên ngoài gây ra.
Vấn đề Social Engineering đã được
quan tâm rất nhiều trên thế giới, tuy nhiên

NGƯỜI
Chúng ta biết rằng phần mềm và phần
cứng của máy tính là những thứ vô cùng
phức tạp. Tuy nhiên, con người, kẻ đã tạo
ra chúng lại phức tạp hơn gấp nhiều lần.
Bởi vì con người có nhân cách, có tâm lý,
tình cảm là những thứ mà các vật nhân tạo
chưa thể có được. Đây chính là điểm vô
cùng mạnh đã giúp con người thành công
như ngày hôm nay, nhưng cũng là một
điểm yếu của con người. Và Social
Engineering chính là phương pháp tấn
công vô cùng nguy hiểm dựa trên những
điểm yếu này.
Chúng ta sẽ đặt câu hỏi, tại sao phương
pháp Social Engineering dựa vào tâm lý
con người lại nguy hiểm? Để trả lời câu
hỏi này, chúng ta hãy đi vào phân tích một
số tâm lý của con người thường xuyên bị
Social Engineering lợi dụng:
 Luôn mong muốn điều có lợi cho
mình và tránh khỏi các phiền hà, rắc
rối: Chúng ta có thể thấy điều này qua
ví dụ sau. Trong trường hợp một nhân
viên chăm sóc khác hàng của một
công ty dịch vụ. Chúng ta biết rằng,
họ luôn được yêu cầu rằng phải làm
cho khách hàng hài lòng nhất có thể.
Từ đó, họ sẽ được những phản hồi tốt
về chất lượng dịch vụ, được tính điểm

thông báo, một khẳng định, một lời
khuyên mới nào đó… chúng ta đều tin
nó là có thật. Việc này sẽ kéo dài cho
đến khi chúng ta phát hiện nó là
không thật. Quãng thời gian này có
thể không dài, tuy nhiên sẽ không
ngắn để thực hiện một số mục đích.
 Lười…muốn làm nhanh một việc, cắt
bỏ giai đoạn:Vấn đề này vô cùng
nguy hiểm tuy nhiên lại xảy ra vô
cùng phổ biến trong chúng ta. Chúng
ta thường xuyên thực hiện công việc
với tâm lý như thế, tuy nhiên lại
không nhận thức được hậu quả của
việc đó. Có khi nào bạn ghi mật khẩu
của mình lên một tờ giấy, lên một
note trên máy tính chưa? Có khi nào
bạn đọc password của mình qua điện
thoại chưa?
 Thái độ của một người đối với việc
bảo vệ thông tin cá nhân của mình
không cao: Đây là một tâm lý vô cùng
quan trọng và nguy hiểm để kẻ xấu
dựa vào đó có thể thực hiện mọi mưu
đồ của mình. Người ta luôn nghĩ rằng
thông tin cá nhân của mình không
quan trọng! Ai biết thì đã sao?Họ làm
được gì chứ? Nó chẳng ảnh hưởng gì
đến những thứ xung quanh mình cả…
Người ta luôn nghĩ như vậy, tuy nhiên

TẤN

CÔNG
Phía trên là một số những điểm yếu tâm
lý mà con người thường bị những kẻ sử
dụng Social Engineering lợi dụng. Và còn
hơn thế nữa, Social Engineering là một
quy trình có hệ thống, có thứ tự và có sự
đầu tư kỹ lưỡng, công phu. Mục tiêu của
nó có thể từ những thứ vô cùng bé, đơn
giản đến việc thực hiện những mục tiêu
cao hơn, tinh vi hơn. Chính vì vậy, một hệ
thống xác định các phương pháp tấn công 5

Social Engineering sẽ cho chúng ta dễ
dàng hình dung Social Engineering thực
hiện như thế nào? Nó dựa vào các “lỗ
hổng” về tâm lý như thế nào? Qua tiếp xúc
với một số phương pháp tấn công dưới đây
mọi người có thể thực hiện điều đó.
Về cơ bản, các phương pháp tấn công
Social Engineering nằm trong một trong
hai hình thức chính: dựa vào con người và
dựa vào kĩ thuật.Mọi người lưu ý trong
cách phân chia, con người và máy móc là
công cụ, là đối tượng tấn công chứ không
phải là cách tấn công vào con người hay

 DumpsterDiving and Shoulder
Surfing: Đây là hai trong những hình
thức được sử dụng sớm nhất của
Social Engineering. Dumpster diving
có nghĩa là sẵn sàng thu thập những
thứ dơ bẩn, đã bị vứt bỏ đi để lấy
thông tin họ cần, điển hình chúng ta
có thể thấy ở đây ra rác. Rác chứa
thông tin quan trọng của chúng ta như
thế nào? Trước khi là rác, thì nó chính
là những thông tin, tài liệu chúng ta
sử dụng. Khi chúng ta không cần
dùng nữa, chúng ta sẽ vứt đi, tuy
nhiên chúng ta lại không xử lý chúng
hoặc xử lý không cẩn thận thì các
thông tin này có thể rơi vào tay những
kẻ có ý đồ xấu. Còn về Shoulder
Surfing, đó là cách nhìn trộm mật
khẩu hoặc mã pin. Mọi người có chắc
chắn rằng khi mình đánh mật khẩu tại
một nơi công cộng sẽ không có ai
nhìn thấy không? Thậm chí bạn có
đánh nhanh đến đâu, nếu người ta
quay phim về rồi phân tích thì sao. 6

 Impersonation and Important User:
Phương pháp nàynhững kẻ tấn công

thực hiện một hành động có lợi cho
mình.
IV.
TẦM

ẢNH

HƯỞNG

CỦA

SOCIAL

ENGINEERING
Social Engineering có thực sự là nguy
hiểm, đáng quan tâm và mức độ nguy hiểm
của nó đến mức nào.Chúng ta sẽ tham
khảo một khảo sát để biết được tình hình.
Báo cáo“The risk of social engineering
on information security: A survey of IT
Professionals” Đây là là một cuộc khảo sát
được thực hiện bởi Dimensional Research
và được bảo đảm bởi tổ chức Check
Point
1
, thực hiện với 853 chuyên gia IT ở
nhiều nước có ngành công nghệ thông tin
phát triển hàng đầu thế giới: Mỹ, Anh,
Canada, Úc, New Zealand và Đức trong
khoảng tháng 7 và tháng 8 năm 2011. Mục

 Có 43% số người được phỏng vấn cho
biết rằng họ đã là đối tượng bị khai
thác bởi Social Engineering. Chỉ có
16% có thể khẳng định rằng họ không
phải là đối tượng của Social
Engineering, trong khi 41% không
nhận thức được rằng họ đã bị tấn công
hay chưa.

Mức độ nhận biết đã bị tấn công bởi Social
Engineering hay chưa

 Khảo sát về mục đích của các cuộc
tấn công cho thấy: 51% mục đích của
các cuộc tấn công là nhằm vào các lợi
ích về kinh tế và 14% nhằm vào mục
đích là để trả thủ, mâu thuẫn cá nhân.
Qua đây chúng ta có thể thấy được,
mục đích của các cuộc tấn công này là
những mục đích xấu, gây ảnh hưởng
tổn hại đến một tổ chức, một cá nhân
chứ không hề đơn giản.
 Về mật độ xảy ra các vụ tấn công
trên: 32% tổng số người tham gia
cuộc khảo sát nói rằng họ thường
xuyên là đối tượng của Social
Engineering, trong vòng hai năm, họ
đã bị khai thác khoảng 25 lần hoặc
hơn thế.Và 48% các tổ chức được
khảo sát cho biết họ thường xuyên là

của Social Engineering. Cho mọi người
thấy được rằng: trên thế giới, Social
Engineering là một vấn đề rất được quan
tâm, nó xảy ra rất thường xuyên và thiệt
hai của nó gây ra là không hề nhỏ.
V.
THỰC

NGHIỆM
Để kiểm chứng lại mức độ nguy hiểm
của Social Engineering cũng như nhận
thức của mọi người về an toàn thông tin,
chúng tôi làm một cuộc khảo sát. Khi tiến
hành khảo sát, chúng tôi đặt mình vào vị
trí của người thực hiện tấn công đang tiến
hành thu thập dữ liệu phục vụ cho việc tấn
công mục tiêu. Chúng tôi dùng một kỹ
thuật nhỏ trong Social Engineering bằng
cách tiến hành dưới danh nghĩa một cuộc
khảo sát tìm hiểu về thói quen, phong cách
sống của sinh viên trong thời đại công
nghệ thông tin. Trong đó, đó các câu hỏi
mang tính chất khai thác thông tin nhưng
bề ngoài lại hoàn toàn vô hại với người
làm khảo sát.
A.
Dữ liệu thực nghiệm
Đối tượng khảo sát là 142 bạn sinh viên
đến từ nhiều trường khác nhau. Kết cấu
nội dung của cuộc khảo sát được nghiên

nhiều trong việc khai thác đối tượng cũng
như trả lời các câu hỏi bảo mật, truy tìm
các tài khoản, các thông tin liên quan, giả
mạo đối tượng để thu thập thông tin bạn
bè, người thân đối phương Kết quả khảo
sát phản ánh được nhận thức của mọi
người về việc cung cấp các thông tin cá
nhân của mình trên mạng internet và nhận
thức về việc bảo mật thông tin cá nhân.

Tiếp theo vô phần chính là các câu
hỏi đánh vào phần nhận thức của mọi
người.

B.
Kết quả thực nghiệm
Sau khi khảo sát, chúng tôi thu được
142 dòng dữ liệu, kết quả của bảng khảo
sát được chúng tôi chia thành hai nhóm:
Nhóm những người chuyên ngành về Công
Nghệ Thông Tin (55 người), và nhóm
những người không chuyên (87 người).
Kết quả được chúng tôi thống kê như
sau:
1. Câu hỏi: Bạn có tham gia mạng xã hội
hay không?
Mạng xã hội là nguồn khai thác thông
tin ưa thích của các kẻ tấn công, đó là nơi
kẻ tấn công có thể phác thảo bạn một cách
toàn diện nhất về hình dạng cũng như tính

có giá trị khác.

Thống kê cách thức cài đặt một chương trình mới
4. Đa phần chúng ta đều gặp khó khăn
trong việc ghi nhớ các password, bạn
thường giải quyết cách này thế nào?
Một thói quen chết người của nhiều
người là “Dùng một password cho nhiều
tài khoản” dẫn đến tình trạng mất thông tin
hàng loạt. Hãy tưởng tượng nếu kẻ tấn
công dụ bạn đăng ký thành viên ở một
website do họ tạo ra?

Thống kê cách thức lưu trữ, ghi nhớ password

5. Bạn sẽ làm gì nếu nhặt được một USB,
việc đầu tiên bạn sẽ làm là?
Lợi dụng sự tò mò của con người , kẻ
tấn công hoàn toàn có thể dàn cảnh bỏ
quên USB ở một nơi mà đối tượng dễ dàng
nhìn thấy và không quên kèm theo một
chút mã độc hại. Vì tò mò, rất nhiều người
rất muốn biết nội dung bên trong USB, con
số 91/142 không phải là con số nhỏ ,trong
đó có ½ là dân công nghệ thông tin. Thống kê cách xử lý khi nhận được một usb

6. Bạn đang ngồi quán trong quán cafe và


8. Người yêu bạn có yêu cầu bạn cho cô
ấy/anh ấy biết password của bạn hay
không?

Thống kê thể hiện độ tin cậy đối với người yêu
Một lần nữa , mục tiêu của kẻ tấn công
cần là thông tin có giá trị đối với hệ thống ,
và thông này không nhất thiết phải khai
thác từ những người quản trị hệ thống -
những người luôn có ý thức cao trong bảo
mật.

C.
Khai thác thông tin
Với các thông tin thu thập trên, chúng
tôi đã tiến hành chọn một số đối tượng làm
nạn nhân và khai thác thông tin. Số lượng
chọn: 15 người (15 dòng dữ liệu). Số
lượng khai thác thành công: 3 người
Chúng tôi đã khai thác được các thông
tin sau: email yahoo, gmail, facebook, ID
đăng nhập web trường, trang thông tin
môn học, các website, diễn đàn trên mạng,
internet. Chúng tôi đã đăng nhập vào nick
yahoo, xem danh sách bạn, lấy được danh
sách bạn bè, log chat của nạn nhân. Đăng
nhập vào email, thu được một số tài liệu
trao đổi với người khác, đăng nhập vào


box, xem các thông tin mà nạn nhân có: tài
liệu, liên kết với website khác (diễn đàn,
mạng xã hội, yahoo, hộp mail khác, …);
vào security của mailbox kiểm tra các tài
khoản đang kết nối.
Sử dụng các thông tin khác từ bài khảo
sát như: “Vấn đề lưu trữ password” được
trả lời là “Dùng chung một password” để
khai thác các thông tin cần thiết.
D.
Kết luận
Rất nhiều người tham gia khảo sát vẫn
chưa có đánh giá đúng về vấn đề bảo mật
thông tin. Đặc biệt trong đó có một số lớn
những người đang có chuyên ngành là
công nghệ thông tin.
VI.
TỔNG KẾT VÀ HƯỚNG PHÁT
TRIỂN
Social Engineering thực sự là một kĩ
thuật tấn công nguy hiểm. Nguy hiểm vì
nó rất khó nhận biết, cách thức sử dụng
của nó rất nhiều, từ đơn giản đến phức tạp.
Nguy hiểm vì nó có thể được sử dụng từ
bất kì ai xung quanh chúng ta. Trên thế
giới và ở Việt Nam ta, ở lĩnh vực chuyên
sâu, cái nhìn về Social Engineering cũng
đã tương đối tốt. Tuy nhiên đối với bộ
phận lớp trẻ, kể cả những người học về
Công nghệ thông tin thì nhận thức vấn đề

[2] Ira S. Winkler, Brian Dealy,“Information
Security Technology? Don’t Rely on ItA
Case Study in Social Engineering”, inScience
Applications International Corporation200
Harry S Truman ParkwayAnnapolis,
Maryland 21401
[3] “The risk of social engineering on information
security: a survey of it professionals” Check
Point.
[4] ThomasR.Peltier,“Social Engineering:
Concepts and Solutions”,in Information
Security and Risk Management
[5] Aaron Dolan,"Social Engineering" in GSEC
Option 1 version 1.4b February 10, 2004