Download miễn phí Đồ án Social engineering
MỤC LỤC
Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G
1.1 Khái niệm về Social Engineering
1.2 Thủ thuật
1.3 Điểm yếu của con ng ười
Chương 2: PHÂN LOẠI
2.1 Human –based
2.1.1 Impersonation
2.1.2 Important User
2.1.3 Third-party Authorization
2.1.4 Technical Support
2.1.5 In Person
2.2 Computer –based
2.2.1 Phising
2.2.2 Vishing
2.2.3 Pop-up Windows
2.2.4 Mail attachments
2.2.5 Websites
2.2.6 Interesting Software
Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING
3.1 Thu thập thông tin
3.2 Chọn mục tiêu
3.3 Tấn công
Chương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING
4.1 Các mối đe dọa trực tuyến (Online Threats)
4.1.1 Các mối đe dọa từ E -mail (E-mail Threats)
4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop -Up Applications and Dialog Boxes)
4.1.3 Instant Mesaging
4.2 Telephone-Based Threats
4.2.1 Private Branch Exchange
4.2.2 Service Desk
4.3 Waste Management Threats
4.4 Personal Approaches
4.4.1 Virtual Approaches
4.4.2 Physical Approaches
4.5 Reverse Social Engineering
Chương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL
ENGINEERING
5.1 Xây dựng một framework quản lý an ninh
5.2 Đánh giá rủi ro
5.3 Social engineering trong chính sách an ninh
Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL
ENGINEERING
6.1 Sự nhận thức
6.2 Quản lý sự cố
6.3 Xem xét sự thực thi
6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâu
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-02-25-do_an_social_engineering.oo28t6txnK.swf /tai-lieu/de-tai-ung-dung-tren-liketly-59046/Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
luôn luôn ẩn trong một file đính k èm trong
email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví
dụ virus IloveYou, sâu Anna Kournikova( trong tr ường hợp này file đính
kèm tên là AnnaKournikova.jpg.vbs. N ếu tên file đó bị cắt bớt thì nó sẽ
giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng
có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp
pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách
báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một
bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một
hiệu ứng gọi là hiệu ứng quả cầu tuyết.
2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy
cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một
website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email
và password. Password điền vào có thể tương tự với password được sử dụng
cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với
password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp
lệ và password để truy xuất vào hệ thống mạng tổ chức.
Social Engineering 12
2.2.6 Interesting Software : Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất
của CPU, RAM, hay các tiện ích hệ thống hay nh ư một Cr-ack để sử dụng
các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn nh ư
Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang
dưới một chương trình hợp pháp.
Social Engineering 13
3.1 Thu thập thông tin: Một trong những chìa khóa thành công của Social Engineering là
thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên
trong tổ chức đó. Các tổ chức có khuynh h ướng đưa quá nhiều thông tin lên website của họ như
là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối
như là các nhà cung cấp có thể ký kết; danh sách điện thoai v à email; và chỉ ra có chi nhánh hay
không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm
năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ
chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể
khám phá hóa đơn, thư từ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan
trọng. Mục đích của kẻ tấn công trong b ước này là hiểu càng nhiều thông tin càng tốt để làm ra
vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.2 Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm
điểm yếu đáng chú ý trong nhân vi ên của tổ chức đó. Mục tiêu thông thường là nhân viên hỗ
trợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại
tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí
trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì
chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là
mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông
thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện
các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản
của người quản lý.
3.3 Tấn công: Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự
lường gạt”. Gồm có 3 loại chính:
o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc
điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như
thế nào và chúng ta biết hay chúng ta đang làm hay hiệu chỉnh công ty ra sao. Kẻ
tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn
công thường chọn nạn nhân là người cảm giác bị đánh giá không đúng mức và đang
làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra
điều này chỉ sau một cuộc nói chuyện ngắn.
o Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là
nhân viên tập sự, một nhà thầu, hay một nhân viên mới của một nhà cung cấp hoặc
Social Engineering 14
đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề
thực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi
kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằn g cách dùng các từ chuyên ngành
thích hợp hay thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và
phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ
username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản.
Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ
được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hay thông tin từ một
nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hay cho
đến khi hắn nhận ra là tổ chức nghi ngờ.
o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào
nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý
do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi t ài khoản, truy xuất
đến hệ thống, hay thông tin nhạy cảm .
Social Engineering 15
Social Engineering 16
Có 5 nhân tố tấn công chính mà một hacker social engineering sử dụng:
4.1 Các mối đe dọa trực tuyến (Online Threats): trong thế giới kinh doanh được
kết nối ngày càng tăng của chúng ta, nhân viên thường sử dụng và đáp ứng các yêu cầu và
thông tin đến một cách tự động từ cả inside v à outside công ty. Sự kết nối này giúp hacker có
thể tiếp cận được với các nhân viên. Các tấn công trực tuyến như e-mal, pop-up application, và
instant message sử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tài
nguyên máy tính. Hacker social engineering thuyết phục nhân viên cung cấp thông tin thông
qua mưu mẹo tin được, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp.
Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malware
sau đó, nhưng kết quả không là chức năng của social engineering. V ì thế, phải có lời khuyên
cho nhân viên làm thế nào để nhận diện và tránh các cuộc tấn công social engineering trực
tuyến.
4.1.1 Các mối đe dọa từ E-mail (E-mail Threats): Nhiều nhân viên nhận hàng
chục hay hàng trăm e-mail mỗi ngày, từ cả kinh doanh và từ hệ thống e-mail riêng.
Khối lượng e-mail có thể làm cho nó trở thành khó khăn để gây sự chú ý cho mỗi
bài viết. Điều này thì rất hữu ích với hacker. Hầu hết ng
