Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao. Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật lừa đảo. Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008
http://www.fiercegovernmentit.com
Các chủ đề trình bày
Social Engineering through Impersonation Social Engineering là gì
trên miền mạng Social Tại sao Social Engineering lại hiệu quả
Các giai đoạn trong một cuộc tấn công
Ảnh hưởng của mạng Xã hội tới mạng
doanh nghiệp Social Engineering
Ăn cắp ID Các mục tiêu phổ biến của Social
Thế nào là Steal Indentity Engineering
Biện pháp đối phó Social Enginneering Các kiểu Social Engineering
Thử nghiệm Social Engineering Các chiến thuật xâm nhập phổ biến và
chiến lược phòng chống
Khái niệm Social Engineering
Kỹ thuật Social Engineering
Mạo danh trên mạng xã hội
Ăn cắp ID
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Không có bất kz bản vá lỗi nào đối với một con người ngu ngốc
Social Engineering là gì
Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật
Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về
chúng và bất cẩn trong việc bảo vệ nó
Thông tin bí mật
Chi tiết truy cập
Chi tiết việc uỷ quyền
Các hành vi dễ bị tấn công
Sự tin tưởng là nền tảng cơ bản của tấn công Social Engineering
Sự thiếu hiểu biết về Social Engineering và các hiệu ứng của nó trong đội ngũ nhân viên khiến cho các tổ chức là một mục tiêu dễ dàng Socal Engineers có thể đe doạ nghiêm trong đến việc mất mát trong trường hợp không tuân thủ những yêu cầu của họ (tổ chức)
Social Engineers thu hút các mục tiêu tiết lộ thông tin bởi một cái gì đó đầy hứa hẹn
Các mục tiêu sẽ được hỏi để trợ giúp và họ tuân theo những quy định mang tính nghĩa vụ được đưa ra
Những yếu tố làm doanh nghiệp dễ bị tấn công
Đào tạo an ninh còn thiếu
Dễ dàng truy cập thông tin
Thiếu những chính sách an ninh
Nhiều các đơn vị tổ chức
Tại sao Social Engineering Lại Hiệu Quả
Chính sách bảo mật mạnh cũng sẽ là liên kết yếu nhất và con người là yếu tố nhạy cảm nhất
Không có một phần mêm hay phần cứng nào có thể chống lại một cuộc tấn công Social Engineering
Rất khó để phát hiện ra Social Engineering
Không có một phương pháp chắc chắn nào để đảm bảo an ninh một cách đầy đủ từ các cuộc tấn công Social Engineering
Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng
Không cung cấp số gọi lại
cho thấy sự vội vàng và vô tình để lại tên
Yêu cầu phi chính thức
Bất ngờ được khen tặng hoặc ca ngợi
Thấy khó chịu khi đặt câu hỏi Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp thông tin
Các giai đoạn của một cuộc tấn công Social Engineering
Lựa trọn nạn nhân
Nghiên cứu công ty mục tiêu
Xác định những nhân viên không hài lòng về chính sách trong công ty mục tiêu
Durmpster diving, trang web, nhân sự, lịch trình, vv
Phát triển
Khai thác
Nghiên cứu
Khai thác mối quan hệ
Phát triển mối quan hệ
Phát triển mối quan hệ với những nhân viên đã được lựa chọn
Tập hợp thông tin tài khoản nhạy cảm, thông tin tài chính, và công nghệ hiện tại
Những ảnh hưởng lên tổ chức
Những mất mát về kinh tế
Tổn hại uy tín chính sách khủng bố
Mất sự riêng tư
Tạm thời hoặc vĩnh viễn đóng cửa
Các vụ kiện và các thủ tục
Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết phục họ cung cấp những thông tin thông qua một User đáng tin cậy
Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối tượng “Rebecca” và “Jessica” là hai nạn nhân của kỹ thuật Social Engineering Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty
Ví dụ
•
“có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin
về cô ta”
•
“Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”
•
“Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”
Những mục tiêu chung của Social Engineering
Nhân viên tiếp tân và nhân viên hỗ trợ
User và Client
Giám đốc hỗ trợ kỹ thuật
Người bán hàng của tổ chức mục tiêu
Người quản trị hệ thống
Những mục tiêu chung của Social Engineering: Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo
mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và hệ thống chống virut, thì bạn vẫn bị tấn công bởi những lỗ hổng bảo mật
kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu nhạy cảm như: • Những chính sách bảo mật • Những tài liệu nhạy cảm • Cấu trúc mạng văn phòng Những mật khẩu •
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Ăn cắp Identity
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Các kiểu Social Engineering
Human-based Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ
Computer-based Social Engineering được thực hiện bởi sự giúp đỡ của máy tính
Giả như một User quan trọng giả như một người sử dụng đầu cuối hợp pháp
Nhận dạng và yêu cầu thông tin nhạy cảm “chào ! Đây là John, từ bộ phận X, tôi đã quên password của tôi. Bạn có thể lấy lại nó dùm tôi được chứ ?”
Giả làm một VIP của một công tư, khách hàng quan trọng, ….. “ chào tôi là kevin, thư kí giám đốc kinh doanh. Tôi đang làm một dự án cấp bách và bị mất mật khẩu hệ thống của mình. Bạn có thể giúp tôi được chứ?”
giả làm nhân viên hỗ trợ kỹ thuật nói như mộtnhân viên hỗ trợ kỹ thuật và yêu cầu ID và Password cho việc khôi phục dữ liệu “ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ thuật, công ty X, tối qua chúng rôi có một hệ thống bị sập ở đây, và chúng tôi đến để kiểm tra có bị mất dữ liệu hay không. Ngài có thể lấy cho tôi ID và Password không”
Ví dụ về việc hỗ trợ kỹ thuật
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc. Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra một lối vào mạng bên trong của công ty”
Ví dụ về việc giả mạo cơ quan hỗ trợ
“chào, tôi là John Brown. Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson. Chúng tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm họa xảy ra từ bạn Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một website sau khi bị tai nạn ”
Ví dụ về việc giả mạo cơ quan hỗ trợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta. họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng k{ họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua. Dường như đã có một số người sâm nhập vào trong website, đó là l{ do mà họ quan tâm đến công ty của chúng tôi ”
ví dụ cơ quan hỗ trợ
“chào, tôi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phòng máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ” sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được quyền truy cập vào tài nguyên mục tiêu.
Eavesdropping
Shoulder Surfing
Nghe lén hoặc nghe trái phép
các cuộc hội thoại hoặc đọc tin nhắn
Shoulder Surfing là tên cho quy trình mà kẻ trộm sử dụng để tìm ra mật khẩu, số chứng minh nhân dân, số tài khoản, vv ….. Chặn lại bất kz các hình thức như âm thanh, video hoạc văn bản. Kẻ trộm nhìn qua vai của
Eavesdropping cũng sử dụng với những kênh truyền thông khác như đường dây điện thoại, email, tin nhắn tức thời, vv… bạn hoặc thậm chí quan sát từ một khoảng cách xa bằng cách sử dụng ống nhòm, để có được một chút thông tin.
Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác
thùng giác
Hóa đơn điện thoại Thông tin liên lạc
n
ư h t p ộ h
i y á m g n ù h T
Thông tin tài chính Thông tin các hoạt động
ghi chú
In Person
Khảo sát một công ty để thu thập những thông tin vể: - công nghệ hiện tại - Thông tin liên lạc
Tailgating Một người trái phép, deo một thẻ id giả đi vào một khu vực được dảm bảo chặt chẽ, đó là một người có thẩm quyền thông qua cách cửa yêu cầu truy cập
Bên ủy quyền thứ ba Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin: “Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính. Vui lòng bạn có thể cúng cấp cho tôi chứ”
Piggybacking Tôi quên thẻ ID ở nhà. Vui lòng hãy giúp tôi
Reverse Social Engineering
Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được mở
Điều này là khi kẻ tấn công đóng giả một người người đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho anh ta các thông tin mà không cần các cách khác.
Tấn công Reverse Social Engineering liên quan đến sự phá hoại, tiếp thị, và hỗ trợ công nghệ
Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình hoạt động đã thu về hơn một triệu đô la bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ thông tin bí mật
Những lá thư Hoax là những email cảnh báo các vấn đề cho người dùng về virut, Troijan, sâu có thể làm tổn hại đến hệ thống máy tính người sử dụng Thu thập thông tin cá nhân bằng cách nói chuyện với người dùng trực tuyến đã được lựa chọn để lấy thông tin như ngày sinh hoặc tên thời con gaí
Một cửa sổ window tự động bật lên khi lướt web và yêu cầu thông tin của người dùng để đăng nhập hoặc đăng k{
Không liên quan, không mong muốn và những email không được yêu cầu này dùng để thu thập thông tin tài chính, các số an ninh, và thông tin mạng. Chain Letters là những lá thư cung cấp quà tặng miễn phí như tiền hay phần mềm kèm theo điều kiện là người dùng phải chuyển tiếp thư này đến một số người khác.
Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp
Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng
Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ
Social Engineering sử dụng SMS
Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM. Trong đó nói có việc khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình
Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit
Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra
Social Engineering bằng “Face SMS Spying Tool”
Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắn SMS của người khác
Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe
Tấn công Insider
Nếu đối thủ cạnh tranh muốn gây ra thiệt hại cho tổ chức của bạn, ăn cắp các bí mật quan trọng, hoặc đưa bạn ra khỏi doanh, họ chỉ cần tìm ra một công việc chuẩn bị đưa ai đó vượt qua vòng phỏng vấn, và họ đã có người của họ trong tổ chức của bạn.
-
60 % các cuộc tấn công xảy ra phía sau tường lửa
- Một cuộc tấn công bên trong sẽ dễ
dàng khởi động Phòng chống là rất khó khăn
việc trả thù chỉ cần có người bất mãn để trả thù và công ty của bạn sẽ bị tổ hại
- - Những kẻ tấn công bên trong có
thể dễ dàng thành công
Nhân viên bất mãn
Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng đối phó với căng thẳng hay xung đột, và cảm thấy thất vọng với công việc của mình, chính trị văn phòng, và thiếu tôn trọng hoặc đề xuất …
Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủ cạnh tranh
Ngăn chặn mối đe dọa bên trong nội bộ
Tách biệt và luân phiên nhiệm vụ
Tối thiểu đặc quyền
Lưu trữ dữ liệu quan trọng
Kiểm soát truy cập
Pháp l{ những chính sách
Đăng nhập và kiểm toán
Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ
Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống
Chiến thuật của kẻ tấn công
Lĩnh vực rủi ro
Mạo danh hoặc thuyết phục Điện thoại ( bàn trợ giúp)
Chiến lược phòng chống Đào tạo nhân viên bàn trợ giúp không được tiết lộ mật khẩu cũng như các thông tin khác thông qua đường điện thoại
Không được phép truy cập vật l{ Lối ra vào
Văn phòng
Shoulder surfing
Mạo danh các cuộc gọi trợ giúp
Quản l{ thẻ an ninh chặt chẽ, đào tạo nhân viên, và nhân viên an ninh Không nên gõ bất kz mật khẩu nào khi có bất kz người nào đang có mặt tại đó ( nếu phải làm, thì nên nào việc đó rất nhanh). Gán một mã PIN cho mỗi nhân viên bàn hỗ trợ guiúp đỡ
Điện thoại(bàn trợ giúp)
Hộ tống tất cả các khách
Văn phòng
Lang thang qua các phòng tìm kiếm các phòng đang mở
Mail room Chèn các bản ghi nhớ giả mạo
Khóa và theo dõi Mail Room
Giữ phòng điện thoại riêng, phòng server, vv. Đều được khóa và kiểm kê cập nhật thiết bị
Cố gắn truy cập, loại bỏ thiết bị, hoặc đính kèm một số giao thức để lấy dữ liệu mật
Ăn cắp số điện thoại để truy cập
Phòng máy / phòng điện thoại riêng Điện thoại và hệ thống PBX
Kiểm soát các cuộc gọi ở nước ngoài và các cuộc gọi đường dài, dấu viết cuộc gọi, và từ chối chuyển cuộc gọi
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Ăn cắp Identity
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Social Engineering thông qua mạo danh trên các mạng xã hội
chi tiết về tổ chức
Mạo danh có nghĩa là bắt chước hoặc sao chép các hành vi hoặc hành động của người khác Mã độc hại được sử dụng để thu thập thông tin bí mật từ các trang mạng xã hội và tạo ra các tài khoản với những tên khác nhau
chi tiết cá nhân
Chi tiết nghề nghiệp
Địa chỉ liên lạc và kết nối
Kẻ tấn công cũng có thể sử dụng thông tin thu thập được để tiến hành các hình thức tấn công Social Engineering khác
Kẻ tấn công sử dụng những hồ sơ khác nhau để tạo ra các mạng lớn những người bạn và triết xuất thông tin để sử dụng tấn công Social Engineering
Kẻ tấn công tạo ra một nhóm người sử dụng giả mạo trên facebook là “ nhân viên “ của công ty
sử dụng identity giả , kẻ tấn công sau đó sẽ tiến tới “ làm bạn”, hoặc mời, nhóm nhân viên giả mạo, nhóm nhân viên giả mạo này giả mạo là nhân viên của công ty khi người sử dụng tham gia vào nhóm và họ sẽ cung cấp những thông tin về họ như ngày sinh, trường lớp, nguồn gốc, việc làm vợ chồng, tên, vv…
bằng cách sử dụng những chi tiết của một nhân viên bất kz nào đó, một kẻ tấn công có thể thỏa hiệp với một cơ sở nào đó để đảm bảo được truy cập vào tòa nhà
Rủi ro của mạng xã hội với các mạng cộng ty
Một trang trang web mạng xã hội là một cơ sở dữ liệu khổng lồ được truy cập bởi nhiều cá nhân, tăng nguy cơ khai thác thông tin
Ăn cắp dữ liệu
Trong trường hợp không có chính sách mạnh mẽ, nhân viên có thể vô tình gửi dữ liệu nhạy cảm về công ty của họ lên trên mạng xã hội Không cố { làm rò rỉ thông tin
Các thông tin trên các trang web sử dụng để thăm dò sơ bộ trong một cuộc tấn công mục tiêu
Tấn công mục tiêu
Tất cả các trang mạng xã hội có thể để sai sót và lỗi và lộ có thể dẫn đến lỗ hổng trong mạng của công ty lỗ hổng hệ thống mạng
Khái niệm Social Engineering
Kỹ thuật Social Engineering
Mạo danh trên miền mạng Social
Ăn cắp Identity
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Ăn cắp Identity
Số liệu thống kê tình trạng ăn cắp Identity
số lượng người trưởng thành là nạn nhân của việc ăn cắp Identity
các cuộc tấn công lừa đảo trên tài khoản thẻ tín dụng hiện nay
tổng số tiền gian lận
Nạn nhân được mình đã bị mất cắp
phần trăm số lượng nạn nhân bị lừa đảo Identity
Ăn cắp Identify
Bị mất những con số an ninh xã hội
Mắt cắp thông tin cá nhân
Ăn cắp identity xảy ra khi một người nào đó bị ăn cắp tên của bạn và các thông tin cá nhân khác cho các mục đích gian lận
Bẵng những phương pháp đơn giản
Làm thế nào để ăn cắp Identity
Identity gốc – Steven Charles Địa chỉ: San Diego CA 92130
BƯỚC 1
Steven’s được gửi hóa đơn điện thoại, hóa đơn nước hoặc hóa đơn điện sư dụng Dumpster Diving, Sotolen Email, hoặc ăn chộm tại chỗ
BƯỚC 2
Đến sở giao thông và nói rằng bạn bị mất bằng lái xe
Họ sẽ yêu cầu bạn cho bằng chứng của Identity như hóa đơn nước và hóa đơn điện
Cho họ xem những hóa đơn bị mất cắp
Nói cho họ biết bạn đã di chuyển từ địa điểm ban đầu nào
Nhân viên các bộ phận sẽ yêu cầu bạn hoàn thành hai việc cho việc thay đổi bằng lái xe và việc thứ hai cho sự thay đổi trên địa chỉ
Bạn sẽ cần một hình ảnh để cấp giấy phép lái xe
Giấy phép lái xe thay thế của bạn sẽ được cấp với địa chỉ mới của nhà bạn
Bây giời bạn đã sẵn sàng với một số thú vui nguy hiểm
So sánh
Ban đầu
Tên tương tự : Steven Charles Ăn cắp Identity
Bước 3
Steven giả đã sẵn sàng: Thực hiện mua những mặt
Đi đến một ngân hàng trong đó đã có tài khoản của Steven Charles và cho họ biết bạn muốn áp dụng cho một thẻ tín dụng mới hàng giá trị với hàng ngàn đô la
Áp dụng cho vay tiền mua xe Áp dụng cho một hộ chiếu mới Áp dụng cho một tài khoản
ngân hàng
Nói cho họ biết bạn không nhớ số tài khoản và yêu cầu họ tìm nó bằng cách sử dụng địa chỉ và tên của Steven’s Đóng các dịch vụ tiện ích của bạn
Ngân hàng xẽ yêu cầu id của bạn: cho họ thấy số id trên bằng lái xe, và nếu như họ chấp nhận, thẻ tín dụng của bạn sẽ được phát hành và sẵn sàng sử dụng
Bây giờ bạn đã sẵn sàng đi shopping
thực sự Steven nhận được bản báo cáo sử dụng thẻ tín dụng với số tiền lớn
Kẻ nào đó đã lấy cắp số chứng minh của tôi !
Lấy cắp Identity – vấn đề nghiêm trọng
Lấy cắp Identity là một vấn đề nghiêm trọng
Số lượng và các hành vi vi phạm đã tăng lên
Đảm bảo thông tin cá nhân tại nơi làm việc và tại nhà nhìn qua các báo cáo thẻ tín dụng chỉ là một trong vài cách để giảm thiểu nguy ơ mất cắp indentity
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Ăn cắp Id
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Biện Pháp Đối Phó với Social Engineering: Chính Sách
Những chính sách tốt và thủ tục sẽ không hiệu quả nếu như họ không được giảng dạy và tăng cường cho các nhân viên
Sau khi được đào tạo, nhân viên phải k{ một tuyên bó thừa nhận rằng họ hiểu các chính sách
Các chính sách an ninh vật l{
Các chính sách về mật khẩu Thay đổi mật khẩu định kz
Nhận diện của nhân viên bằng cách phát thẻ id, đồng phục
Tránh mật khẩu đoán được
Hộ tống những khách mời
Tài khoản cần đươc năng chặn sau khi cố gắn đăng nhập thât bại
Hạn chế các khu vụ truy cập
Băm nhỏ những tài liệu vô dụng
Mật khẩu phải có độ dài và tính phức tạp
Giữ bí mật mật khẩu
Tuyển dụng nhân viên an ninh
Biện pháp đối phó Social Engineering
Đào tạo
Một chương tình đào tạo hiệu quả nên bao gồm tất cả những chính sách bảo mật và phương pháp để nâng cao nhận thức về Social Engineering
Nguyên tắc hoạt động
Đảm bảo an ninh thông tin nhạy cảm và ủy quền sử dụng tài nguyên
Biện pháp đối phó Social Engineering
đặc quyền truy cập
phân loại thông tin
Kiểm tra nhân viên và sử l{ đình chỉ đúng đắn
tần xuất phản hồi thích hợp
cần phải có quản trị viên, người sử dụng các tài khoản phải được ủy quyền thích hợp
Phân loại các thông tin tối mật, độc quyền, sử dụng nội bộ, sử dụng công cộng
cần có những phản ứng thích hợp cho những trường hợp cố gắng sử dụng Social Engineering Trong nội bộ các tiềm tàng về hình sự và nhân viên bị thôi việc rất rễ dàng cho việc mua thông tin
Biện pháp đối phó Social Engineering
Xác thực hai thành phần
Thay vì mật khẩu cố định, sử dụng xác thực hai thành phần cho những dịch vụ mạng có nguy cơ cao như VPN và Modem Pool
Phòng thủ Anti-Virus/Anti-Phishing
sử dụng nhiều lớp để phòng chống virus như người dùng đầu cuối và mail gateway để giảm thiểu các cuộc tấn công Social Engineering
Thay Đổi Công tác quản l{
việc thay đổi quy trình quản l{ tài liệu sẽ bảo mật hơn quá trình ad-hoc
Làm thế nào để phát hiện các Email giả mạo
Nó bao gồm các liên kết dẫn đến các trang web giả mạo yêu càu nhập thông tin cá nhân khi click
Email lừa đảo có vẻ đến từ một ngân hàng, tổ chức tài chính, công ty hoặc một mạng xã hội
Giống như đến từ một người trong danh sách điện chỉ email của bạn
Chỉ đạo để gọi một cuộc điện thoại để cung cấp số tài khoản số điện thoại cá nhân, mật khẩu hoặc các thông tin bí mật
Nó bao gồm logo của các viên chức và các thông tin khác được lấy trực tiếp từ các trang web hợp pháp thuyết phục bạn tiết lộ chi tiết cá nhân của bạn
Thanh công cụ chống lừa đảo: Netcraft
Thanh công cụ chống lừa đảo: PhishTank
Biện pháp đối phó việc đánh cắp Identity
bảo đảm hoặc xé nhỏ tất cả các tài liệu có chứa thông tin cá nhân
Luôn giữ cho hồm thư của bạn được an toàn, làm sạch chúng một cách nhanh chóng
Đảm bảo rằng tên của bạn khong xuất hiện trong các danh sách của người tiếp thị
Nghi nghờ và xác minh lại tất cả những yêu cầu cho dữ liệu cá nhân
Xem xét các báo cáo thẻ tính dụng của bạn một cách thường xuyên
Không bao giời để thẻ tín dụng của bạn trong tầm nhìn của bạn
Bảo vệ thông tin cá nhân của bạn khi được công bố công khai
Không bao giờ đưa ra bất cứ thông tin cá nhân nào trên điện thoại
Không hiển thị số tài khoản hoặc số liên lạc trừ khi bắt buộc
Khái niệm Social Engineering
Kỹ thuật Social Engineering
Mạo danh trên mạng xã hội
Ăn cắp Identity
Biện pháp đối phó Social Engineering
Thử nghiệm xâm nhập
Thử nghiệm Social Engineering
Mục tiêu của thử nghiệm Social Engineering là để thử nghiệm sức mạnh của yếu tố con người trong một chuỗi bảo mật trong tổ chức
Thử nghiệm Social Engineering thường được sử dụng để nâng cao trình độ nhận thức bảo mật giữa các nhân viên
người thử nghiệm phải chứng tỏ sự cẩn thận và chuyên nghiệp khi tử nghiệm Social Engineering vì nó có liên quan đến vấn đề pháp l{ vi phạm quyền riêng tư và có thể dẫn đến các tình huống lúng túng cho chức
Kỹ năng làm việc tốt giữa các cá nhân
Kỹ năng giao tiếp tốt
Sáng tạo
Trò chuyện và thân thiện một cách tự nhiên
Thử nghiệm Social Engineering
có dược sự ủy quyền
thu thập các email và địa chỉ liên lạc chi tiết của các nhân viên trong tổ chức mục tiêu
Có được sự ủy quyền quản l{ rõ ràng và chi tiết sẽ giúp cho việc xác định phạm vi kiểm tra, chẳng hạn như danh sách các danh sách các phòng ban, nhân viên cần phải được kiểm tra, hoặc mức độ xâm nhập vật l{
xác dịnh phạm vi thử nghiệm
thu thập thông tin bằng cách sử dụng kỹ thuật footpringting
Thông tin có hợp lệ không
có được danh sách các email và địa chỉ liên lạc của các mục tiêu xác định từ trước
Thu thập địa chỉ email và chi tiết liên lạc của tổ chức mục tiêu và nguồn nhân lực ( nếu không được cung cấp) bằng cách sử dụng cá kỹ thuật như Dumpster diving, đoán email, USENET và các trang web tim kiếm, công cụ bẫy email như Email Extractor Cố gắn triết xuất thông tin càng nhiều càng tốt về các mục tiêu đã xác định bằng cách sử dụng kỹ thuật footprinting Tạo ra một kịch bản dựa trên những thông tin thu thập được xem xet kết quả tích cực và tiêu cực của một cố gắng
Thông tin có hợp lệ không
Tạo ra một kịch bản với bối cảnh cụ thể
Thử nghiệm Social Engineering: Sử Dụng Emails
Tất cả các tài liệu được phục hồi thông tin và tương ứng với từng nạn nhân
thông tin cá nhân được triết xuất
Email các nhân viên yêu cầu thông tin cá nhân
Tất cả các tài liệu của nạn nhân
Tập tin đính kèm được mở ra
Gửi và theo dõi các mail có mã độc hại cho các nạn nhân
Phản hồi nhận được
Tất cả các tài liệu phản hồi lại và tương ứng với các nạn nhân
Gửi các email lừa đảo cho các nạn nhân mục tiêu
Email nhân viên yêu cầu thông tin cá nhân như tên người dùng mật khẩu bằng cách cải trang quản trị mạng, hỗ trợ kỹ thuật, hoặc bất kz ai từ các bộ phận khác nhau lấy l{ do là có một trường hợp khẩn cấp Gửi email tới các mục tiêu có đính kèm file độc hại và theo rõi phản ứng của họ với file đính kèm đó bằng cách sử dụng công cụ như ReadNotify
Gửi một email lừa đảo tới các mục tiêu như thể từ một ngân hàng và yêu cầu thông tin nhạy cảm từ họ (bạn cần phải có sự cho phép cần thiết cho việc này
Thử nghiệm Social Engineering: Sử Dụng Điện Thoại
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như một đồng nghiệp và yêu cầu thông tin nhạy cảm
Gọi đến mục tiêu và cung cấp cho họ những phần thưởng thay thế cho thông tinh cá nhân của họ
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như một user quan trọng
Đe dạo mục tiệu với những hậu quản nghiêm trọng (vd như tài khoản sẽ bị vô hiệu hóa) để có được thông tin
Sử dụng kỹ thuật Reverse Social Engineering sao cho các mục tiêu mang lại lại thông tin
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như nhân viên hỗ trợ kỹ thuật và yêu cầu họ thông tin nhạy cảm
Đề cập đến một người quan trọng trong tổ chức và cố gắng thu thập dữ liệu
Thử nghiệm Social Engineering: In Person
kết bạn với nhân viên trong quán ăn tự phục vụ và cố gắng để lấy thông tin
cố gắng vào cổng sau đeo một thẻ ID giả hoặc piggyback
Thành công của bất kz kỹ thuật Social Engineering đều phục thuộc vào một người thử nghiệm bằng cách nào nó đưa ra một kịch bản thử nghiệm và kĩ năng giao tiếp của mình
cố gắng nghe trộm và nên surfing trên hệ thông và những người sử dụng
cố gắng vào trụ sở giả như một kiểm toán viên bên ngoài
có vô số kỹ thuật Social Engineering dựa trên những thông tin có sẵn và phạm vi thử nghiệm. Luôn luôn xem xét các bước thử nghiệm có vấn đề pháp lý không
