Download miễn phí Bài giảng Social Engineering
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hay tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩ các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên. Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình. hay một trường hợp khác, nhân viên muốn có tiền nhiều hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho các công ty khác.
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-29-bai_giang_social_engineering.ngdcO9pBsy.swf /tai-lieu/de-tai-ung-dung-tren-liketly-57866/Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
được.”
Alice: ”Password của tui à?uhm..”
Attacker: ”Vâng, chúng tui hiểu, trong bản đăng kí ghi rõ chúng tui không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tui username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tui ở phòng dữ liệu. Nhưng chúng tui phải phục hồi lại mail của cô, và chúng tui cần truy cập vào mail của cô. Chúng tui đảm bảo với cô chúng tui sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tui là 123456”
Attacker: ” Thank sự hợp tác của cô. Chúng tui sẽ phục hồi lại mail của cô trong vài phút nữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”
Điểm yếu của mọi người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
Phân loại kỹ thuật tấn công Social engineering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Giúp Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
Human-Based Social Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hay người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hay người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hay các hệ thống máy tính, hay là hỏi thăm những người đồng nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hay những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hay những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hay tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là nhân viên phòng Giúp desk. Người dùng bị mất password, và yêu cầu nhân viên helpdesk cung cấp lại.
Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hay thẻ tín dụng yêu cầu chứng thực thông tin và thông báo sẽ x
