intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

ĐỒ ÁN MÔN HỌC:Social Engineering

Chia sẻ: Hoang Thuy | Ngày: | Loại File: PDF | Số trang:33

Thêm vào BST
Báo xấu
218
lượt xem 61
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

ĐỒ ÁN MÔN HỌC: SOCIAL ENGINEERING

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: ĐỒ ÁN MÔN HỌC:Social Engineering

  1. HỌC VIỆN CÔNG NGHỆ B ƯU CHÍNH VI ỄN THÔNG CƠ SỞ TPHCM ĐỒ ÁN MÔN HỌC: SOCIAL ENGINEERING GVHD: Ths. Lê Phúc SVTH: Hồ Ngọc Thiện Trần Thị Th ùy Mai TP.Hồ Chí Minh, 4/ 2009 Social Engineering 1
  2. MỤC LỤC Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G 1.1 Khái niệm về Social Engineering 1.2 Thủ thuật 1.3 Điểm yếu của con ng ười Chương 2: PHÂN LO ẠI 2.1 Human – based 2.1.1 Impersonation 2.1.2 Important User 2.1.3 Third-party Aut horization 2.1.4 Technical Support 2.1.5 In Person 2.2 Computer – based 2.2.1 Phising 2.2.2 Vishing 2.2.3 Pop-up Windows 2.2.4 Mail attachments 2.2.5 Websites 2.2.6 Interesting Software Chương 3: CÁC BƯ ỚC TẤN CÔNG TRONG SOCIAL ENGINEERING 3.1 Thu thập thông tin 3.2 Chọn mục ti êu 3.3 Tấn công Chương 4: CÁC M ỐI ĐE DỌA TỪ SOCIAL ENGINEERING 4.1 Các mối đe dọa trực tuyến (Online Threats) 4.1.1 Các mối đe dọa từ E -mail (E-mail Threats) 4.1.2 Các ứng dụng pop -up và hộp hội thoại( Pop -Up Applicatio ns and Dialog Boxes) 4.1.3 Instant Mesaging 4.2 Telephone -Based Threats 4.2.1 Private Branch Exchange 4.2.2 Service Desk 4.3 Waste Management Threats 4.4 Personal Approaches 4.4.1 Virtual Approaches 4.4.2 Physical Approaches 4.5 Reverse Socia l Engineering Chương 5: THIẾT KẾ SỰ PH ÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 5.1 Xây dựng một framework quản lý an ninh 5.2 Đánh giá r ủi ro 5.3 Social engineering trong chính sách an ninh Social Engineering 2
  3. Chương 6: THỰC THI SỰ PH ÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL ENGINEERING 6.1 Sự nhận thức 6.2 Quản lý sự cố 6.3 Xem xét s ự thực thi 6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâu Social Engineering 3
  4. Social Engineering 4
  5. 1.1 Khái ni ệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email ho ặc trả lời điện thoại của một người mà họ không quen bi ết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy tr ên cả những li ên kết yếu nhất. Social Engineering l à lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, m ạng riêng ảo VPN và các phần mềm giám sát mạng. Không c ó thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay tr ả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang v ề dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong vi ệc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering v à có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong c ông ty, nh ưng họ vẫn có thể bị hại do hacker l ợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. H ọ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngo ài để phán đoán. Ví dụ, khi nh ìn thấy một ng ười mặc đồng phục m àu nâu và mang theo nhi ều hộp c ơm, mọi người sẽ mở cửa v ì họ nghĩ đây l à người giao h àng. Một số công ty liệt k ê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email tr ên Website c ủa công ty. Ngo ài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong c ơ sở dữ liệu Oracle hay UNIX servers. Đây l à một số ít thông tin giúp cho atta cker biết được loại hệ thống m à họ đang định xâm nhập. 1.2 Thủ thuật: Social Engineering bao g ồm việc đạt đ ược những thông tin mật hay truy cập trái phép, bằng cách xây d ựng mối quan hệ với một số ng ười. Kết quả của social engineer l à lừa một ng ười nào đó cung c ấp thông tin có giá trị hay sử dụng thông tin đó. Nó tác đ ộng lên phẩm chất vốn có của con ng ười, chẳng hạn nh ư mong mu ốn trở th ành người có ích, tin t ưởng mọi ng ười và sợ những rắc rối. Social engineering là th ủ thuật và kỹ thuật l àm cho m ột người nào đó đồng ý làm theo những gì mà attacker mu ốn. Nó không phải l à cách điều khiển suy nghĩ ng ười khác, v à nó Social Engineering 5
  6. không cho phép attacker làm cho ngư ời nào đó làm nh ững việc v ượt quá t ư cách đ ạo đức thông thư ờng. Và trên hết, nó không dễ thực hiện chút n ào. Tuy nhiên, đó là m ột phương pháp mà h ầu hết Attackers d ùng để tấn công v ào công ty. Có 2 lo ại rất thông dụng : Social engineering là vi ệc lấy đ ược thông tin cần thiểt từ một ng ười nào đó hơn là phá hủy hệ thống. Psychological subversion : mục đích của hacker hay attacker khi s ử dụng PsychSub thì phức tạp h ơn và bao g ồm sự chuẩn bị, phân tích t ình huống, và suy ngh ĩ cẩn thận về chính xác nh ững từ sử dụng v à giọng điệu khi nói, v à nó thư ờng sử dụng trong quân đội. Xem xét tình hu ống sau đây: Attacker : “ Chào bà, tôi là Bob, tôi mu ốn nói chuyện với cô Alice” Alice: “ Xin chào, tôi là Alice”. Attacker: ” Chào cô Alice, tôi g ọi từ trung tâm dữ liệu, xin lỗi v ì tôi gọi điện cho cô sớm thế này…” Alice: ” Trung tâm d ữ liệu à, tôi đang ăn sáng, nhưng không sao đ âu.” Attacker: ” Tôi g ọi điện cho cô v ì những thông tin cá nhân của cô trong phiếu thông tin tạo account có v ấn đề.” Alice: ” C ủa tôi à..à vâng.” Attacker: ” Tôi thông báo v ới cô về việc server mail vừa bị sập tối qua, v à chúng tôi đang cố gắng phục hồi l ại hệ thống mail. V ì cô là người sử dụng ở xa n ên chúng tôi x ử lý trường hợp của cô tr ước tiên.” Alice: ”Vậy mail của tôi có bị mất không?” Attacker: “Không đâu, chúng tôi có th ể phục hồi lại đ ược mà. Nhưng v ì chúng tôi là nhân viên phòng d ữ liệu, và chúng tôi không đư ợc phép can thiệp v ào hệ thống mail của văn phòng, nên chúng tôi c ần có password của cô, nếu không chúng tôi không thể l àm gì được.” Alice: ”Password c ủa tôi à?uhm..” Attacker: ”Vâng, chúng tôi hi ểu, trong bản đăng kí ghi r õ chúng tôi không được hỏi về vấn đề này, nhưng nó đư ợc viết bởi văn ph òng luật, nên tất cả phải l àm đúng theo lu ật.” ( nỗ lực làm tăng s ự tin tưởng từ nạn nhân) Attacker: ” Username c ủa cô là AliceDxb ph ải không? Ph òng hệ thống đ ưa cho chúng tôi username và s ố điện thoại c ủa cô, nh ưng họ không đ ưa password cho chúng tôi. Không có password thì không ai có th ể truy cập v ào mail c ủa cô được, cho d ù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi ph ải phục hồi lại mail của cô, v à chúng tôi c ần phải truy cập v ào mail của cô. Chúng tô i đảm bảo với cô chúng tôi sẽ không sử dụng password của cô v ào bất cứ mục đích n ào khác.” Alice: ” uhm, pass này c ũng không ri êng tư l ắm đâu, pass của tôi l à 123456” Attacker: ” Cám ơn s ự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong v ài phút nữa.” Alice: ” Có ch ắc là mail không b ị mất không?” Attacker: ” T ất nhiên là không r ồi. Chắc cô ch ưa gặp trường hợp n ày bao gi ờ, nếu có thắc mắc gì thì hãy liên h ệ với chúng tôi. Cô có thể t ìm số liên lạc ở trên Internet.” Alice: ” C ảm ơn.” Attacker: ” Chào cô.” 1.3 Điểm yếu của mọi ng ười: Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Social Engineering 6
  7. Để đề phòng thành công thì chúng ta ph ải dựa vào các chính sách t ốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là p hương pháp khó phòng chống nhất vì nó không th ể dùng phần cứng hay phần mềm để chống lại. Chú ý: Social engineering t ập trung v ào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống đ ược bảo mật tốt nhất chỉ khi nó bị ngắt điện . Một người nào đó khi truy c ập vào bất cứ phần n ào của hệ thống th ì các thi ết bị vật lý v à vấn đề cấp điện có thể l à một trở ngại lớn. Bất cứ thông tin n ào thu thập được đều có thể dùng phương pháp Social engineering đ ể thu thập th êm thông tin. Có ngh ĩa là một người không n ằm trong chính sách b ảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuy ên gia bảo mật cho rằng cách bảo mật giấu đi thông tin th ì rẩt yếu. Trong tr ường hợp của Social engineering, hoàn toàn không có s ự bảo mật n ào vì không th ể che giấu việ c ai đang s ử dụng hệ thống và khả năng ảnh h ưởng của họ tới hệ thống. Có nhiều cách để ho àn thành m ục tiêu đề ra. Cách đ ơn giản nhất là yêu c ầu trực tiếp, đó l à đặt câu hỏi trực tiếp. Mặc d ù cách này r ất khó th ành công, nhưng đây là phương pháp d ễ nhất, đơn giản nhất. Ng ười đó biết chính xác họ cần g ì. Cách th ứ hai, tạo ra một t ình huống mà nạn nhân có li ên quan đ ến. Với các nhân tố khác h ơn chỉ là việc yêu cầu xem xét, điều mà cá nhân h ọ quan tâm l à nạn nhân có thể bị thuyết phục đến mức n ào, bởi vì attacker có thể tạo ra những lý do thuyết phục h ơn những người bình thường. Attacker c àng nỗ lực thì khả năng th ành công càng cao, thông tin thu đư ợc càng nhi ều. Không có nghĩa l à các tình huống này không d ựa trên thực tế. C àng giống sự thật th ì khả năng th ành công càng cao. Một trong những công cụ quan trọng đ ược sử dụng trong Social engineering l à một trí nhớ tốt để thu thập các sự kiện. Đó l à điều mà các hacker và sysadmin n ổi trội h ơn, đặc biệt khi nói đến những vấn đề li ên quan đ ến lĩnh vực của họ. Social Engineering 7
  8. Social Engineering 8
  9. Social engineering có th ể chia l àm 2 loại: human based v à computer based. 2.1 Human-based Social engineering : là việc trao đổi giữa ng ười với ng ười để lấy đ ược thông tin mong mu ốn. Các kỹ thuật social engineering dựa v ào con ngư ời có thể đại khái chia thành: 2.1.1 Impersonation : với kiểu tấn công social engineering n ày, hacker gi ả làm một nhân vi ên hay ngư ời sử dụng hợp lệ trong hệ thống để đạt đ ược quyền truy xuất. Ví dụ, hacker có t hể làm quen với một nhân vi ên công ty , t ừ đó thu thập một số th ông tin có liên quan đ ến công ty đó . Có một quy luật đ ược thừa nhận trong giao tiếp x ã hội là khi nhận được sự giúp đỡ từ một ng ười nào đó, th ì họ sẵn sàng giúp đ ỡ lại m à không c ần điều kiện hay yêu cầu gì cả. Có thể xem nó nh ư là một sự biết ơn. Sự biết ơn luôn th ấy trong môi tr ường hợp tác. Một nhân vi ên sẽ sẵn sàng giúp đỡ người khá c với mong muốn là sau này có th ể người ta sẽ giúp lại họ . Social engineers c ố gắng tận dụng đặc điểm xã hội này khi mạo nhận ng ười khác. Những m ưu mẹo này đã được sử dụng trong quá khứ cũng nh ư một sự ngụy trang để đạt đ ược sự truy xuất vật lý. Nhiều thông tin có thể đ ược lượm lặt từ b àn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên ở cửa. 2.1.2 Posing as Important User : Sự mạo nhận đạt tới một mức độ cao h ơn bằng cách nắm lấy đặc điểm của một nhân vi ên quan trọng lời nói của họ có giá trị và thông thư ờng đáng tin cậy h ơn. Yếu tố biết ơn đóng vai tr ò để nhân vi ên vị trí thấp hơn sẽ tìm cách giúp đỡ nhân vi ên vị trí cao h ơn để nhận lấy sự quý mến của anh ta. Kẻ tấn công giả dạng nh ư một user quan trọng có thể lôi kéo dễ dàng một nhân vi ên người mà không có s ự đề phòng trước. Social engineer s ử dụng quyền lực để hăm dọa thậ m chí là đe d ọa báo cáo nhân vi ên với người giám sát nhân vi ên đó nếu họ không cung cấp thông tin theo y êu cầu. 2.1.3 Third-person Authorization : Một kỹ thuật social engineering phổ biến khác là kẻ tấn công b ày tỏ là nguồn tài nguyên này anh ta đ ã được chấp nhận của sự ủy quyền chỉ định. Chẳng hạn một ng ười chịu trách nhiệm cho phép truy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta và lợi dụng sự vắng mặt của anh ta nh ư là lợi thế để truy xuất t ài nguyên. K ẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc ng ười khác và tuyên b ố là anh ta đã được chấp nhận để truy xuất thông tin. Đây có thể l à hiệu quả đặc biệt nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngo ài - nơi mà s ự xác minh không th ể ngay lập tức. Ng ười ta có khuynh h ướng làm theo sự giao phó ở nơi làm vi ệc, thậm chí họ nghi ngờ rằng những y êu cầu có thể không hợp pháp. Ng ười ta có khuynh h ướng tin rằng những ng ười khác đang thể hiện những quan điểm đúng của họ khi họ tuy ên bố. Trừ khi có bằng chứng mạnh mẽ trái ng ược lại, khô ng thì người ta sẽ tin rằng ng ười mà họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần. Social Engineering 9
  10. 2.1.4 Technical Support : một chiến thuật th ường hay đ ược sử dụng, đặc biệt khi nạn nhân không phải l à chuyên gia v ề kỹ thuật. Kẻ tấn công có thể giả l àm một người bán phần cứng hoặc kỹ thuật vi ên hoặc một nh à cung c ấp liên quan máy tính và ti ếp cận với nạn nhân. 2.1.5 In Person : Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục ti êu và quan sát tình hình cho thông tin. H ắn ta có thể cải trang chính anh ta th ành người phân phối th ư, người lao công hoặc thậm chí rong ch ơi như m ột vị khách ở hành lang. Anh ấy có thể giả l àm nhà kinh doanh, khách ho ặc kỹ thuật viên. Khi ở bên trong, anh ta có th ể nhìn password trên màn hình, tìm dữ liệu quan trọng nằm tr ên bàn ho ặc nghe trộm các cuộc nói chuyện bí mật. Có 2 kỹ thuật đ ược sử dụng bởi attacker. Đó l à: 2.1.5.1 Dumpster Diving : tìm kiếm trong th ùng rác, thông tin đư ợc viết trên mảnh giấy hoặc bản in máy tính. Hacker có thể t ìm thấy password, filename, ho ặc những mẩu thông tin bí mật. 2.1.5.2 Shoulder Surfing : là một kỹ thuật thu thập password bằng cách xem qua vai ngư ời khác khi họ đăng nhập v ào hệ thống. Hacker có thể xem người sử dụng hợp lệ đăng nhập v à sau đó s ử dụng password đó đề giành được quyền truy xuất đến hệ thống. Khi ở bên trong, kẻ xâm nhập có cả một menu các sách l ược để chọn, bao gồm đi lang thang những h ành lang c ủa tòa nhà để tìm kiếm các văn phòng trống với t ên đăng nh ập mà mật khẩu của nhân vi ên đính trên pc c ủa họ; đi vào phòng mail để chèn các b ản ghi nhớ giả mạo v ào hệ thống mail server công ty; c ố gắng đạt quyền truy xuất đến ph òng server hay phòng điện thoại để lấy nhiều thông tin h ơn từ hệ thống đang vận h ành; đặt bộ phân tích protocol trong wiring closet đ ể bắt gói dữ liệu, username, v à password hay chỉ đơn giản đánh cắp thông tin nhằm đến. Ví dụ: Một người gọi cho nhân vi ên hỗ trợ và nói là anh ta quên m ất password. Trong s ự hoảng sợ, anh ta c òn nói thêm là n ếu anh ta nhỡ hạn cuối của một dự án quảng cáo th ì ông ch ủ có thể đuổi việc anh ta. Ng ười nhân viên hỗ trợ cảm thấy thông cảm cho anh ta v à nhanh chóng kh ởi động lại password, vi ệc làm này giúp cho hacker xâm nh ập vào hệ thống mạng của công ty. Ví dụ: Tháng 6 năm 2000, Larry Ellison, ch ủ tịch Oracle, thừa nhận là Oracle đ ã dùng đến dumpster diving để cố gắng t ìm ra thông tin v ề Microsoft trong trư ờng hợp chống độc quyền. Danh từ “larrygate”, không l à mới trong hoạt động t ình báo doanh nghi ệp. Một số thứ m à dumpster có th ể mang lại: Sách niên giám đi ện thoại công ty – biết ai gọi sau đó d ùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có đ ược tên và tư cách chính xác để làm có vẻ như là nhân viên h ợp lệ. T ìm các s ố đã gọi là một nhiệm vụ dễ d àng khi k ẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sác h niên giám. Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, v à các kỳ nghỉ; sổ tay hệ thống; bản in Social Engineering 10
  11. của dữ liệu nhạy cảm hoặc t ên đăng nh ập và password; b ản ghi source code; băng và đ ĩa; các đĩa cứng hết hạn. 2.2 Computer -based Social engineering : là sử dụng các phần mềm để lấy đ ược thông tin mong muốn. Có thể chia thành các loại như sau: 2.2.1 Phising: Thuật ngữ n ày áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng ho ặc thẻ tín dụng y êu cầu chứng thực thô ng tin và c ảnh báo sẽ xảy ra hậu quả nghi êm trọng nếu việc n ày không đư ợc làm. Lá thư thư ờng chứa một đ ường link đến một trang web giả mạo trông hợp pháp với logo của công ty v à nội dung có chứa form để yêu cầu username, password, s ố thẻ tín dụng hoặc số p in. 2.2.2 Vishing: Thuật ngữ l à sự kết hợp của “voice” v à phishing. Đây cũng là một dạng phising, nh ưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Ng ười sử dụng sẽ nhận đ ược một thông điệp tự động với nội dung c ảnh báo vấn đề li ên quan đến tài khoản ngân h àng. Thông đi ệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại n ày sẽ kết nối ng ười được gọi tới một hệ thống hỗ trợ giả, y êu cầu họ phải nhập m ã thẻ tín dụng. Và Voip ti ếp tay đắc lực th êm cho dạng tấn công m ới này vì giá r ẻ và khó giám sát m ột cuộc gọi bằng Voip. 2.2.3 Pop-up Windows : Một cửa sổ sẽ xuất hiện tr ên màn hình nói v ới user l à anh ta đã mất kết nối v à cần phải nhập lại username v à password. M ột chương tr ình đã được cài đặt trước đó bởi kẻ xâm nh ập sau đó sẽ email thông tin đến một website ở xa. 2.2.4 Mail attachments : Có 2 hình th ức thông th ường có thể đ ược sử dụng. Đầu tiên là mã độc hại. Mã này s ẽ luôn luôn ẩn trong một file đính k èm trong email. V ới mục đích l à một user không nghi ngờ sẽ cli ck hay m ở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong tr ường hợp n ày file đính kèm tên là AnnaKournikova.jpg.vbs. N ếu tên file đó b ị cắt bớt th ì nó sẽ giống như file jpg và user s ẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả t ương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng đư ợc lập kế hoạch để l àm tắc nghẽn hệ thống mail bằng cách báo cáo m ột sự đe dọa không tồn tại v à yêu c ầu người nhận chuyển tiếp một bản sao đến tất cả bạn v à đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi l à hiệu ứng quả cầu tuyết. 2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn nh ư password h ọ sử dụng tại n ơi làm vi ệc. Ví dụ, một website có th ể tạo ra một cuộc thi h ư cấu, đòi hỏi user điền vào địa chỉ email và password. Password đi ền vào có th ể tương tự với password đ ược sử dụng cá nhân t ại nơi làm vi ệc. Nhiều nhân vi ên sẽ điền vào password gi ống với password h ọ sử dụng tại n ơi làm vi ệc, vì thế social engineer có username hợp lệ và password đ ể truy xuất v ào hệ thống mạng tổ chức. Social Engineering 11
  12. 2.2.6 Interesting Software : Trong trư ờng hợp n ày nạn nhân đ ược thuyết phục tải về và cài đặt các chương tr ình hay ứng dụng hữu ích nh ư cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc nh ư một crack để sử dụng các phần mềm có bản quyền. V à một Spyware hay Malware ( chẳng hạn nh ư Keylogger) s ẽ được cài đặt thông qua một ch ương trình độc hại ngụy trang dưới một ch ương trình hợp pháp. Social Engineering 12
  13. 3.1 Thu th ập thông tin: Một trong những chìa khóa thành công c ủa Social Engineering l à thông tin. Đáng n gạc nhiên là dễ dàng thu th ập đầy đủ thông ti n của một tổ chức v à nhân viên trong tổ chức đó. Các tổ chức có khuynh h ướng đ ưa quá nhi ều thông tin l ên website c ủa họ nh ư là một phần của chiến lược kinh doanh. Thông tin n ày thường mô tả hay đ ưa ra các đ ầu mối như là các nhà cung c ấp có thể ký kết; danh sách điện thoai v à email; và ch ỉ ra có chi nhánh hay không n ếu có th ì chúng ở đâu. Tất cả thông tin n ày có th ể là hữu ích với các nh à đầu tư tiềm năng, nhưng nó c ũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ m à các tổ chức ném đi có thể l à nguồn tài nguyên thông tin quan tr ọng. Tìm kiếm trong th ùng rác có th ể khám phá hóa đơn, thư t ừ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong b ước này là hi ểu càng nhi ều thông tin c àng tốt để làm ra vẻ là nhân viên, nhà cung c ấp, đối tác chiến l ược hợp lệ,… 3.2 Chọn mục ti êu: Khi khối lượng thông tin ph ù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân vi ên của tổ chức đó. Mục tiêu thông thư ờng là nhân viên h ỗ trợ, được tập luyện để đ ưa sự giúp đỡ v à có thể thay đổi password, tạo t ài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công l à tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra l à khi chúng có th ể truy cập, thậm chí l à cấp độ khách, th ì chúng có th ể nâng quyền l ên, bắt đầu tấn công phá hoại và che gi ấu vết.Trợ lý administrator l à mục tiêu kế tiếp. Đó là vì các cá nhân này có th ể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các th ành viên qu ản trị cấp cao. Nhiều các trợ lý n ày thực hiện các công vi ệc hàng ngày cho qu ản lý của họ m à các công vi ệc này yêu c ầu đặc quyền t ài khoản của người quản lý. 3.3 Tấn công: Sự tấn công thực tế thông th ường dựa tr ên cái mà chúng ta g ọi đó là “sự lường gạt”. Gồm có 3 loại chính: o Ego attack: trong loại tấn công đầu ti ên này, k ẻ tấn công dựa v ào một vài đặc điểm cơ bản của con ng ười. Tất cả chúng ta thích nói về ch úng ta thông minh như thế nào và chúng ta bi ết hoặc chúng ta đang l àm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều n ày để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thư ờng chọn nạn nhân l à người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí m à dưới tài năng c ủa họ. Kẻ tấn công th ường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn. o Sympathy attacks: Trong lo ại tấn công thứ hai n ày, kẻ tấn công th ường giả vờ là nhân viên t ập sự, một nh à thầu, hoặc một nhân viên m ới của một nh à cung c ấp hoặc Social Engineering 13
  14. đối tác chiến l ược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ. Sự quan trọng của b ước thu thập trở n ên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằn g cách dùng các t ừ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ l à hắn đang bận v à phải hoàn thành m ột vài nhiệm vụ m à yêu c ầu truy xuất, nhưng h ắn không thể nhớ username và pa ssword,… M ột cảm giác khẩn cấp l uôn luôn là ph ần trong k ịch bản. Với bản tính con ng ười là thông c ảm nên trong h ầu hết các tr ường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, h ắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra l à tổ chức nghi ngờ. o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật có quyền, như là một người có ảnh h ưởng trong tổ chức. Kẻ tấn công sẽ nhằm v ào nạn nhân có vị trí thấp h ơn vị trí của nhân vật m à hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các y êu cầu như thiết lập lại password, thay đổi t ài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm . Social Engineering 14
  15. Social Engineering 15
  16. Có 5 nhân t ố tấn công chính m à một hacker social engineering s ử dụng: 4.1 Các mối đe dọa trực tuyến (Online Threats): trong thế giới kinh doanh đ ược kết nối ngày càng tăng c ủa chúng ta, nhân viên thư ờng sử dụng v à đáp ứng các yêu cầu và thông tin đến một cách tự động từ cả inside v à outside công ty. Sự kết nối n ày giúp hacker có thể tiếp cận đ ược với các nhân vi ên. Các tấn công trực tuyến nh ư e-mal, pop -up application, và instant message s ử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tài nguyên máy tính. Hacker soc ial engineering thuy ết phục nhân vi ên cung c ấp thông tin thông qua mưu m ẹo tin đ ược, hơn là làm nhi ễm malware cho máy tính thông qua tấn công trực tiếp. Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malware sau đó, nhưn g kết quả không l à chức năng của social engineering. V ì thế, phải có lời khuy ên cho nhân viên làm th ế nào để nhận diện v à tránh các cu ộc tấn công social engineering trực tuyến. 4.1.1 Các mối đe dọa từ E -mail (E -mail Threats): Nhiều nhân vi ên nhận hàng chục hoặc hàng trăm e -mail mỗi ngày, từ cả kinh doanh v à từ hệ thống e -mail riêng. Khối lượng e-mail có thể làm cho nó tr ở thành khó khăn đ ể gây sự chú ý cho mỗi bài viết. Điều này thì rất hữu ích với hacker. Hầu hết ng ười dùng e-mail cảm thấy tốt khi họ giải quyết với một mẩu th ư. Nếu hacker có thể l àm một yêu cầu đơn giản mà dễ dàng giải quyết, th ì sau đó mục tiêu sẽ đồng ý m à không ngh ĩ là anh ấy hoặc cô ấy đang l àm chuyện gì. Một ví dụ của tấn công kiểu n ày là gởi e-mail đến nhân vi ên nói rằng ông chủ muốn tất cả lịch nghỉ gởi cho cuộc họp v à tất cả mọi người trong danh sách đ ược sao chép vào trong e -mail. Chỉ đơn giản là trich tên ở ngoài từ danh sách sao chép v à đánh lừa tên người gởi để mail xuất hiện bắt đầu từ nguồn b ên trong. Việc đánh lừa này đặc biệt đ ơn giản nếu một hacker đạt quyền truy xuất đến một hệ thống máy tính công ty, bởi vì không c ần phải phá vỡ thông qua phạm vi t ường lửa. Sự hiểu biết về lịch trình kỳ nghỉ có thể không l à mối đe dọa bảo mật, nh ưng nó có ngh ĩa là một hacker biết khi nào nhân viên vắng mặt. Hacker sau đó có thể giả mạo ng ười này với khả năng bị khám phá ra giảm đi. Sử dụng e -mail như là m ột công cụ social engineering đ ã trở nên phổ biến qua h ơn một thập kỷ qua. Phising đư ợc mô tả l à sử dụng e-mail để nhận dạng cá nhân hoặc thông tin giới hạn từ một user. Hacker có thể gởi e -mail mà có vẻ đến từ tổ chức hợp lệ, chẳng hạn ngân h àng hoặc các công ty đối tác. Minh họa dưới đây chỉ ra một link hợp lệ bề ngoài đ ến từ trang qu ản lý tài khoản Contoso. Social Engineering 16
  17. Tuy nhiên, n ếu nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng ch ữ trong d òng link trên ch ỉ ra là trang web này b ảo mật, sử dụng https, m ặc dù link th ật sự của trang web sử dụng http Tên công ty trong mail là “Contoso”, nhưng link th ật sự th ì tên công ty g ọi là “Comtoso” Như thuật ngữ phising ngụ ý, sự tiếp cận có tính lý thuyết, với một y êu cầu chung cho thông tin khách hàng. S ự ngụy trang thực tế đ ược dùng trong nh ững thông báo thư điện tử, với những biểu t ượng công ty, phông, v à thậm chí những số điện thoại hỗ trợ tự do r õ ràng hợp lệ, l àm thư đi ện tử có vẻ có thể tin đ ược hơn. Trong m ỗi e- mail phising là m ột yêu cầu cho thông tin user, th ường làm thuận tiện cho việc nâng cấp hay th êm vào d ịch vụ. E -mail có thể chứa hyperlink có thể xúi giục nhân vi ên phá vỡ tính bảo mật của công ty. Có một loạt các lựa chọn khác nhau cho hacker sử dụng trong phising, bao gồm các h ình ảnh có hyperlink m à tải xuống l à malware, chẳng hạn virus hoặc spyware, hoặc văn bản đ ược thể hiện trong một tấm ảnh, đề vượt qua bộ lọc bảo mật hyperlink. Hầu hết các biện pháp bảo mật l àm cho các user không có ch ứng thực ở ngo ài. Một hacker có thể v ượt qua nhiều sự ph òng thủ nếu hắn có thể lừa một user đ ưa vào trojan, worm, ho ặc virus vào công ty thông qua đường link. Một hyperlink có thể dẫn một user đến một tr ang web mà s ử dụng ứng dụng pop -up để yêu cầu cung cấp thông tin hoặc đ ưa ra sự giúp đỡ. Để có thể chống lại các cuộc tấn công của hacker social engineering bằng cách tiếp cận với chủ nghĩa ho ài nghi b ất cứ thứ g ì không ng ờ trong Inbox. Để hỗ trợ ph ương pháp tiếp cận n ày trong m ột tổ chức, nên bao gồm trong các chính sách an ninh cụ thể e-mail hư ớng dẫn cách sử dụng đó bao gồm: Đính kèm trong tài li ệu Hyperlink trong tài li ệu Yêu cầu thông tin cá nhân hay công ty từ b ên trong công ty. Yêu cầu thông tin cá nhân hay công ty t ừ bên ngoài công ty. 4.1.2 Các ứng dụng pop -up và hộp hội thoại( Pop -Up Applications and Dialog Boxes) Không th ực tế khi cho rằng các nhân vi ên không s ử dụng Internet trong công ty truy xu ất cho các hoạt động không ph ải là công vi ệc. Hầu hết n hân viên duy ệt Web cho các lý do cá nhân, ch ẳng hạn nh ư mua s ắm hoặc nghi ên cứu trực tuyến. Trình duyệt cá nhân có thể làm cho nhân viên, và vì th ế hệ thống máy tính công ty, tiếp xúc với các social engineer. Mặc dù điều này có thể không l à mục tiêu cụ thể của công ty, họ sẽ sử dụng các nhân vi ên trong m ột nỗ lực để đạt đ ược quyền truy xuất vào tài nguyên công ty. Một trong những mục đích phổ biến l à nhúng m ột mail engine vào môi trư ờng máy tính công ty thông qua đó hacker có thể bắt đầu phising hoặc các tấ n công khác vào email c ủa cá nhân hay của công ty. Hai phương th ức thông th ường để lôi kéo user click v ào một nút bấm b ên trong m ột hộp hội thoại l à đưa ra m ột cảnh báo của vấn đề, chẳng hạn nh ư hiển thị Social Engineering 17
  18. một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp th êm dịch vụ - ví dụ, một download miễn phí l àm cho máy tính c ủa user nhanh h ơn. Với các user IT và Web có kinh nghi ệm, những ph ương pháp này dư ờng như là các mánh khóe lừa bịp dễ thấy. Nh ưng với các user thiếu kinh nghiệm th ì các phương thức này có thể đe dọa và lừa được họ. Bảo vệ user từ các ứng dụng pop -up social engineering ph ần lớn là một chức năng c ủa sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu h ình trình duy ệt mặc định sẽ ngăn chặn pop -up và download t ự động, nhưng m ột vài pop -up có th ể vượt qua thiết lập n ày. Sẽ hiệu quả h ơn để đảm bảo rằng ng ười dùng nhận thức đ ược rằng họ không n ên bấm vào cửa sổ pop -up, trừ khi họ kiểm tra với nhân vi ên hỗ trợ. 4.1.3 Instant Mesaging : Có một số mối đe dọa tiềm t àng của IM khi nó đ ược hacker nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, k èm theo đó là l ựa chọn cho m ình một cái t ên giả mạo, nghĩa l à sẽ không ho àn toàn rõ ràng khi b ạn đang nói chuyện với một người mà bạn tin rằng bạn đang nói đến. Hình minh h ọa dưới đây chỉ ra spoofing l àm việc như thế nào, cho c ả e-mail và IM : Hacker (màu đ ỏ) giả mạo user đ ã biết và gởi một bản tin e -mail hay IM mà ngư ời nhận sẽ cho rằng nó đến từ một ng ười mà họ đã biết. Sự quen biết l àm giảm nhẹ sự ph òng thủ của user, vì thế họ có nhiều khả năng click v ào một liên kết hoặc mở tập tin đính k èm từ một ai đó m à họ biết – hoặc họ nghĩ l à họ biết. Hầu hết các nh à cung c ấp IM cho phép xác nhận user d ựa trên địa chỉ e -mail, điều này có thể giúp cho hacker ng ười mà đã được xác nhận với một địa chỉ theo ti êu chuẩn trong công ty để gởi lời mời đến những ng ười khác trong tổ chức. Tính năng n ày hiện không chứa một mối đe dọa, nh ưng nó có ngh ĩa là số lượng các mục ti êu bên trong công ty đư ợc tăng l ên rất nhiều. 4.2 Telephone -Based Threats : Nó là m ột môi tr ường truyền thông quen thuộc, nh ưng nó c ũng không ám chỉ ai, bởi v ì mục tiêu không th ể thấy đ ược hacker. Các t ùy chọn thông tin li ên lạc cho hầu hết các hệ thống máy tính Social Engineering 18
  19. cũng có thể l àm Private Branch Exchange (PBX) m ột mục ti êu hấp dẫn. Thêm n ữa, có lẽ rất thô lỗ, tấn công l à để ăn cắp thẻ tín dụng hoặc thẻ điện thoại tại các buồng điện thoại. Hầu hết các cuộc tấn công này là m ột hành vi trộm cắp thông th ường l à từ một cá nhân. Hầu hết mọi ng ười ý thức đ ược rằng họ n ên thận trọng với nh ững đôi mắt t ò mò khi s ử dụng ATM, nh ưng đa s ố ít thận trọng h ơn khi sử dụng m ã PIN tại buồng điện thoại. Voip là m ột thị trường đang phát triển m à cung c ấp lợi ích về chi phí cho công ty. Hiện nay, do sự giới hạn t ương đối số lượng các bản c ài đặt, VoIP h acking không đư ợc xem là mối đe dọa chính. Tuy nhiên, càng nhi ều doanh nghiệp sử dụng công nghệ n ày, VoIP spoofing đ ể trở nên lan rộng nh ư e-mail và IM spoofing. 4.2.1 Private Branch Exchange : Hacker có 3 m ục đích chính đề tấn công một PBX: o Yêu cầu thông tin , thường là thông qua vi ệc giả dạng một ng ười sử dụng hợp pháp, hoặc để truy cập v ào các hệ thống điện thoại hoặc truy cập từ xa vào hệ thống máy tính o Đạt quyền truy xuất để sử dụng miễn phí điện thoại o Đạt quyền truy xuất để giao tiếp với hệ thống mạng Mỗi mục đích n ày là một biến thể của c ùng một chủ đề, với các hacker gọi điện thoại cho công ty v à cố gắng để có đ ược số điện thoại để cung cấp truy cập trực tiếp hoặc thông qua m ột PBX đến mạng điện thoại công cộng. Thuật ngữ hacker gọi l à phreaking. Cách tiếp cận thông th ường nhất là hacker gi ả vờ là một kỹ sư điện thoại, y êu cầu một đường dây b ên ngoài ho ặc password để phân tích v à giải quyết các vấn đề đ ược báo cáo trong hệ thống điện thoại nội bộ, nh ư mình minh h ọa bên dưới: Yêu cầu về thông tin hoặ c truy c ập qua điện thoại l à một tương đối rủi ro d ưới hình thức tấn công. Nếu mục ti êu trở nên đáng ng ờ hoặc từ chối tuân thủ y êu cầu, các hacker có thể chỉ cần gác máy. Tuy nhiên, nh ận thấy l à các cuộc tấn công có nhiều phức tạp h ơn một hacker ch ỉ cần gọ i điện thoại một công ty v à các yêu c ầu cho một ng ười sử dụng ID v à mật khẩu. Các hacker th ường trình bày m ột kịch bản, y êu cầu hoặc cung cấp trợ giúp, tr ước khi Social Engineering 19
  20. yêu cầu thông tin x ảy ra cho cá nhân hoặc doanh nghiệp , gần như là một sự suy nghĩ sau khi hành động. Hầu hết các user không có bất kỳ kiến thức về hệ thống điện thoại nội bộ, ngoài các số điện thoại ri êng của mình. Đây là m ột phần của việc ph òng thủ quan trọng nhất m à bạn có thể đưa vào chính sách b ảo mật. Thật l à hiếm khi hacker tiếp cận user thô ng thường theo cách này. Các m ục tiêu thông thư ờng hầu hết l à nhân viên ti ếp tân hay tổng đ ài. Bạn phải chỉ rõ rằng chỉ có b àn dịch vụ có chứng thực để cung cấp sự trợ giúp đến nhà cung c ấp điện thoại. Bằng cách n ày, tất cả các cá nhân có thẩm quyền đối vớ i tất cả các cuộc gọi hỗ trợ kỹ thuật. Cách tiếp cận n ày cho phép nhân viên m ục tiêu định hướng lại nh ư các truy v ấn có hiệu quả và nhanh chóng t ới một thành viên đ ủ điều kiện. 4.2.2 Service Desk: Bàn cung c ấp dịch vụ - hoặc bàn trợ giúp – là một trong những p hòng thủ trụ cột chống lại hacker, nh ưng ngược lại nó cũng l à mục tiêu cho các hacker social engineering. Mặc dù nhân viên h ỗ trợ th ường nhận thấy đ ược mối đe dọa của hacking, họ cũng đ ào tạo để giúp đỡ v à hỗ trợ người gọi, cung cấp cho họ t ư vấn và giải quyết các vấn đề của họ. Đôi khi sự nhiệt t ình chứng tỏ bởi nhân vi ên hỗ trợ kỹ thuật cung cấp một giải pháp l àm mất hiệu lực sự cam kết của họ tuân thủ các thủ tục bảo mật v à đưa nhân viên cung c ấp giải pháp vào m ột tình thế khó xử: nếu họ thực thi nghi êm ngặt các tiêu chuẩn bảo mật, y êu cầu xác nhận tính hợp lệ l à các yêu c ầu hoặc câu hỏi đến từ một ủy quyền ng ười sử dụng , thì điều này có th ể không có tác dụng v à làm cản trở. Nhân viên ti ếp thị, bán h àng và s ản xuất cảm thấy rằng l à các bộ phận IT không cu ng cấp dịch vụ tức thời m à họ yêu cầu thì có khuynh hư ớng than phiền, v à những người quản lý cấp cao nhất được yêu cầu chứng minh nhận dạng của họ th ường ít thông cảm với tính cẩn thận của nhân vi ên hỗ trợ. Bàn cung c ấp dịch vụ cần phải cân bằng tính bả o mật với hiệu quả kinh doanh, chẳng hạn nh ư các th ủ tục và chính sách b ảo mật phải hỗ trợ họ. Thật khó h ơn để bảo vệ cho nhân viên phân tích bàn d ịch vụ chống lại hacker b ên trong hay làm h ợp đồng. Chẳng hạn hacker đ ã có sự hiểu biết về các thủ tục b ên trong và có đ ủ thời gian để đảm bảo rằng họ có tất cả các thông tin cần thiết, tr ước khi họ tiến h ành một cuộc gọi cho b àn dịch vụ. 4.3 Waste Management Threats: Dumpster diving là m ột hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn nh ư user ID và s ố tài khoản bỏ đi, hoặc có thể phục vụ nh ư là thông tin n ền, như các bi ểu đồ tổ chức v à danh sách đi ện thoại. Các loại thông tin n ày là vô giá đ ối với hacker social engineering, bởi v ì nó làm cho hắn ta có vẻ đáng tin khi b ắt đầu cuộc tấn công. Phương ti ện lưu giữ điện tử thậm chí c òn hữu ích h ơn cho hacker. Nếu một công ty, không có các quy t ắc quản lý chất thải bao gồm sử dụng các ph ương ti ện thông tin d ư thừa, thì có thể tìm thấy tất cả các loạ i thông tin trên ổ đĩa cứng, CD, DVD không c òn sử dụng. Nhân viên ph ải hiểu đ ược đầy đủ sự tác động của việc ném giấy thải hoặc ph ương ti ện lưu trữ điện tử v ào thùng rác. Sau khi di chuy ển rác thải ra ngo ài công ty, thì tính s ở hữu nó có thể trở thành khô ng rõ ràng v ề pháp luật. Dumpster diving có thể không đ ược coi là bất hợp pháp trong m ọi hoàn cảnh, vì thế phải chắc chắn rằng đ ưa ra lời khuyên như th ế nào để giải quyết với những vật liệu thải. Luôn luôn c ắt thành miếng nhỏ giấy vụn v à xóa đi ho ặc phá hủ y các phương ti ện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt v ào máy h ủy, chẳng hạn như niên giám đi ện thoại, hoặc nó có kỹ thuật v ượt quá khả năng của user để hủy nó, th ì Social Engineering 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
54=>0