CHƯƠNG 4: SOCIAL
ENGINEERING
Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng
công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung
cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất
quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và
phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập
thông tin trước hoặc trong cuộc tấn công.
1. Social engineering là gì?
Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng
nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực
hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng
phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ
người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì
đó để chống lại các chính sách an ninh của tổ chức. Bằng phương pháp này, Social
engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ
hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật
kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.
Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại,
hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông
đang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một
nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển
mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập
vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy
một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu
tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo
họ giã vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ
tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ
cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường
phòng tài chính vừa có cuộc công ta xa, và những thông tin của ông này có thể giúp
họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ

bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và
giọng điệu khi nói, và nó thường sử dụng trong quân đội.
Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách
hàng. Nếu bạn có ý đồ làm hacker thì có thể học hỏi, còn nếu bạn là người dùng thì
hãy cẩn thận khi gặp tình huống tương tự.
Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi.
Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với
cô Alice”
Alice: “ Xin chào, tôi là Alice”.
Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu,
xin lỗi vì tôi gọi điện cho cô sớm Thế này…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng
không sao đâu.”
Attacker: ” Tôi gọi điện cho cô vì những thông tin cá
nhân của cô trong phiếu thông tin tạo account có vấn đề.”
Alice: ” Của tôi à à vâng.”
Attacker: ” Tôi thông báo với cô về việc server mail vừa
bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ
thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử
lý trường hợp của cô trước tiên.”
Alice: ”Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được
mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và
chúng tôi không được phép can thiệp vào hệ thống mail của
văn phòng, nên chúng tôi cần có password của cô, nếu
không chúng tôi không thể làm gì được.”
Alice: ”Password của tôi à?uhm ”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ
chúng tôi không được hỏi về vấn đề này, nhưng nó được
viết bởi văn phòng luật, nên tất cả phải làm đúng theo

mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong
trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể
che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp,
đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương
pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố
khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất,
bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường.
Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng
nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự
thật thì khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí
nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn,
đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
4. Phân loại kỹ thuật tấn công Social engineering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con
người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi
điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng
thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật
khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
4.1. Human-Based Social Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này,
kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống.
Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty.
Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác,
máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng

Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người
cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là
nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên
helpdesk cung cấp lại.
4.2. Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể
chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh
doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy
ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một
đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội
dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng
phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người
sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan
đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để
khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ
thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm
cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã
mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài
đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.
Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã
độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là
một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna
Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu
tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở
rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user
để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng
cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản

đáng chú ý trong nhân viên của tổ chức đó.
Mục tiêu thông thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa sự giúp đỡ
và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của
hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ
tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có
thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.
Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với
các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp
cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà
các công việc này yêu cầu đặc quyền tài khoản của người quản lý.
5.3. Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”.
Gồm có 3 loại chính:
1. Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài
đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông
minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh
công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn
nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị
đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của
họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói
chuyện ngắn.
2. Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả
vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà
cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó
xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ
tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích
hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận
và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn
không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn

Làm thế nào để nhân viên không phản bội lại mình, điều này thiên về nghệ thuật ứng
xử.
Thường thì một tổ chức thuê nhân viên an ninh, và đặt ra những chính sách để chống
cuộc tấn công từ bên ngoài, mà ít khi đề phòng đến nội bộ bên trong. Với các hệ thống
phát hiện xâm nhập (intrusion detection systems - IDS), hầu hết chúng được thiết kế
và triển khai để phát hiện các mối đe dọa từ bên ngoài. Tuy nhiên, điều đó không phải
là tất cả, IDS cũng có giá trị trong việc phát hiện các cuộc tấn công nội bộ, nếu như
nhân viên an ninh biết cách khai thác.
6.2. Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để
thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật Dumpster
Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các
hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ thống mà không bị
phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity Theft)
6.3. Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng,
hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân
hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin
mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ,
làm sao cho hacker không thể giả mạo.
6.4. Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu
hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để
đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử dụng tên người
dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể
là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm là những

Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng chục
hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email riêng.
Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn hơn, và
mức độ cảnh giác đối với email mạo danh cũng giãm đi. Đó chính là cơ hội cho
hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những
thông tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ông chủ
muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc hợp. Chỉ đơn giản là làm cho
email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không thận trọng nên
đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình
nghỉ của nhân viên có thể không là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với
hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân
viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng,
hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân
hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho
mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn
công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin
mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ,
làm sao cho hacker không thể giả mạo.
Một ví dụ lừa đảo nữa của kỹ thuật này là email sau đây:
Nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link trên
chỉ ra là trang web này bảo mật, sử dụng https, mặc dù link thật sự của trang web sử
dụng http. Tên công ty trong mail là “Contoso”, nhưng link thật sự thì tên công ty gọi
là “Comtoso”
Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes):
Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích làm việc của
công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như mua sắm
hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân của nhân viên hệ thống

phục họ cung cấp thông tin bằng một kịch bản tình huống giả được các hacker viết
trước, đó là chính mối đe dọa lớn nhất của kỹ thuật tấn công Social engineering sử
dụng điện thoại.
Không dừng lại ở đó, VoIP đang dần dần phát triển, ngày càng có nhiều doanh nghiệp
sử dụng VoIP. Việc tấn công vào mạng VoIP để nghe lén cuộc gọi là điều mà các
hacker đang tiến tới. Việc nghe lén cuộc gói trước đây chỉ phục vụ cho tổ chức an
ninh, phòng chống tội phạm. Nhưng nó đã bị các hacker lợi dụng để nghe lén những
thông tin bàn thảo của các vị giám đốc.
7.3. Waste Management Threats
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa
thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản
bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại. Các
loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta
có vẻ đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công ty,
không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư
thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn
sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương tiện
lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở
hữu nó có thể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không
được coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải đưa ra lời khuyên về xử lý
rác thải.
• Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương
tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt vào máy hủy,
chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng
của user để hủy nó, thì phải phát triển một giao thức cho việc vứt bỏ.
• Nên đặt các thùng rác ở trong vùng an toàn mà không tiếp cận với công cộng.
Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải bên trong. Chính
sách bảo mật thường không chú ý vấn đề này, bởi vì nó thường được giả định rằng bất

đó đã được cấp cho anh ta, thường là do social engineering bình thường tiến hành.
Tấn công RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự giúp đỡ.
Sau khi đạt quyền truy xuất bằng các phương tiện khác, hacker phá hoại workstation
bằng cách làm hư station, hoặc làm cho nó có vẻ là hư hỏng. Với sự phong phú các
thông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo có thể thực
hiện việc phá hoại. Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự giúp đỡ.
Để là người được user gọi tới, kẻ tấn công phải quảng bá là hắn ta có khả năng sửa
được lỗi. Sự quảng bá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung quanh các
văn phòng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo lỗi.
8. Biện pháp đối phó Social Engineering
Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng
trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến vấn đề về xã hội nên
việc phòng chống nó có chút rắc rối về cách tư cách của con người. Có một số cách để
làm điều này.
Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống.
Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công
ty.
Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết. Khi nhân viên của bạn
hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của phòng
an ninh.
Vấn đề về con người cũng không kém quan trọng. Vì kỹ thuật tấn công này chủ yếu
liên quan đến tư tưởng con người. Sự lơ là của nhân viên, sự mất lòng tin của nhân
viên cũng là nguy cơ mất an toàn cho hệ thống.
Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích của an
ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho việc
phân phối những mục đích này.
Đánh giá rủi ro: Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các công
ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa social engineering và hợp lý
hóa mối nguy hiểm trong tổ chức.
Social engineering trong chính sách an ninh: Phát triển một văn bản thiết lập các chính