Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 07: Các công cụ phân tích an ninh mạng

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

Institute of Network Security – www.istudy.vn

NỘI DUNG

• Module 01: Tổng quan An ninh mạng • MMoodduullee 0022:: KKỹỹ tthhuuậậtt ttấấnn ccôônngg • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa

Institute of Network Security – www.istudy.vn

Module 02: KỸ THUẬT TẤN CÔNG

• Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow

Institute of Network Security – www.istudy.vn

Social Engineering

Institute of Network Security – www.istudy.vn

Nội dung

• Khái niệm Social Engineering • Tác động của Social Engineering • Phân loại Social Engineering • Social Engineering trong mạng xã hội • Trộm cắp tài khoản • Phòng chống Social Engineering • Thực nghiệm

Institute of Network Security – www.istudy.vn

Không cách nào có thể sửa chữa cho sự ngây thơ của con người

Institute of Network Security – www.istudy.vn

Social Engineering là gì?

• Social engineering nghệ thuật thuyết phục người khác

tiết lộ thông tin bí mật.

• Thực tế một người bị tấn công không hề biết là thông tin

cần được bảo mật.

Confidential Information

Gather Information

Access Details Authorization Details

Institute of Network Security – www.istudy.vn

Tính cách con người là điểm dễ bị tấn công

Các doanh nghiệp dễ bị tấn công nếu bỏ qua Social Engineering và tác động của nó Nền tảng của Social Engineering là bản năng tin tưởng của con người Social Engineering có thể gây ra thiệt hại nghiêm trọng nếu không sớm phát hiện

Nạn nhân được yêu cầu giúp đỡ và họ thực hiện dựa trên đạo đức con người Attacker làm cho nạn nhân tiết lộ thông tin bằng cách hứa hẹn những điều không có thực

Institute of Network Security – www.istudy.vn

Các yếu tố làm tổ chức dễ bị tấn công

Thiếu sót trong đào tạo bảo mật

Lỗ hổng chính sách bảo mật Dễ dàng truy cập tài nguyên

Nhiều đơn vị trong tổ chức

Institute of Network Security – www.istudy.vn

Tại sao Social Engineering lại có tác động rất lớn?

Chính sách bảo mật mạnh mẽ, nhưng con người lại là yếu tố nhạy cảm nhất

Rất khó để phát hiện tấn công Social Engineering

Không có phần cứng hoặc phần mềm đặc trưng chống lại Social Engineering

Không có phương pháp nào đảm bảo hoàn toàn chống lại Social Engineering

Institute of Network Security – www.istudy.vn

Các dấu hiệu cảnh báo một cuộc tấn công

• Attacker đóng giả một doanh nhân liên tục tìm cách xâm

nhập đánh cắp thông tin trong hệ thống mạng.

Thái độ vội vàng, lúng túng khi được hỏi tên Cung cấp số điện thoại gọi lại

Thực hiện yêu cầu không thường lệ Khen ngợi hoặc thân thiết bất thường

Tỏ thái độ khó chịu khi được hỏi Yêu cầu bồi thường và đe dọa nếu không cấp thông tin

Institute of Network Security – www.istudy.vn

Các bước trong tấn công Social Engineering

1 2

Lựa chọn nạn nhân Nghiên cứu mục tiêu

nhân

sự, cách hoạt

Tìm kiếm một nhân viên đang thất vọng, bất mãn về công ty Website, phòng ban, động, v..v..

Research Develop Exploit

Phát triển mối quan hệ Khai thác mối quan hệ

Xây dựng mối quan hệ thân thiết với nhân viên được chọn

Thu thập các thông tin nhạy cảm về tài khoản, tài chính và công nghệ sử dụng

Institute of Network Security – www.istudy.vn

Các tác động lên một tổ chức

Thiệt hại Kinh tế

Lợi dụng Thiện chí Nguy cơ Khủng bố

Đánh mất Quyền lợi

Đóng cửa tạm thời hoặc vĩnh viễn

Kiện tụng

Institute of Network Security – www.istudy.vn

Môi trường tấn công

ONLINE

Internet cho phép Attacker tiếp cận nhân viên công ty từ một nguồn khó xác định, và khuyên họ tiết lộ thông tin bằng việc giả danh một người dùng đáng tin cậy

TELEPHONE

Dò hỏi thông tin từ việc gọi điện thoại, đóng vai trò là người sử dụng thông tin hợp pháp, từ đó xâm nhập vào hệ thống máy tính

Personal Approaches Attacker lấy thông tin bằng cách tiếp cận, hỏi trực tiếp vào thông tin đó

Institute of Network Security – www.istudy.vn

Mục tiêu phổ biến của Social Engineering

User và Client Giám đốc hỗ trợ Kỹ thuật

Tiếp tân và Help desk

Các nhà cung cấp của tổ chức System Admin

Institute of Network Security – www.istudy.vn

Mục tiêu phổ biến của Social Engineering: Officer Wokers

Mặc dù có Firewall tốt nhất, IPS/IDS và các hệ thống AntiVirus, bạn vẫn có thể bị tấn công bằng những lỗ hổng bảo mật khó lường

Attacker tập trung vào những người làm văn phòng, thu thập các dữ liệu nhạy cảm, bao gồm:  Chính sách bảo mật  Tài liệu nhạy cảm  Sơ đồ hạ tầng mạng  Mật khẩu

Institute of Network Security – www.istudy.vn

Module Flow

Social Engineering Concepts

Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Institute of Network Security – www.istudy.vn

Kỹ thuật Social Engineering

Social Engineering Concepts

Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Institute of Network Security – www.istudy.vn

Kỹ thuật Social Engineering

1

Human-Based • Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc • Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và

Computer-Based • Social Engineering được

bản năng tự nhiên giúp đỡ người khác

2

thực hiện bằng sự giúp đỡ của máy tính

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering

Giả mạo User hợp pháp Giả mạo User quan trọng Giả mạo Hỗ trợ kỹ thuật

Giới thiệu bản thân như một nhân viên của công ty và yêu cầu các dữ liệu nhạy cảm

Giới thiệu bản thân như một VIP ảnh có hưởng lớn tới các hoạt động của công ty để yêu cầu thông tin Giới thiệu bản thân trong bộ phận hỗ trợ kỹ thuật, yêu cầu ID và Password để lấy dữ liệu cần xử lý

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering

Nhìn lén

• Một

cách để

lấy

Nghe lén trộm cuộc đàm tin nhắn, hoặc

trộm Password,

• Nghe thoại audio, video,v..v...

Account, thông tin cá nhân..v..v...

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering: Dumpster Diving

• Những thông tin hữu ích có thể tìm ra từ thùng rác và

hòm thư của nạn nhân.

Hóa đơn điện thoại Thông tin liên lạc

Thông tin điều hành Thông tin tài chính

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering: Piggybacking

Tôi để quên thẻ từ ra vào cửa ở nhà, anh có thể cho tôi theo vào phía sau không?

Vâng, xin mời theo tôi, tôi sẽ giúp anh!

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering: Third-party Authorization

Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không?

Vâng, anh cứ hỏi!

Institute of Network Security – www.istudy.vn

Human-Based Social Engineering: Phòng chống

Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không?

Anh thuộc đối tác vàng nào? Đã ký với chúng tôi hợp đồng số hiệu bao nhiêu? Đã cùng chúng tôi làm những gì?

Institute of Network Security – www.istudy.vn

Computer-Based Social Engineering

Mail báo về một Virus, Trojan, Worm mới có thể gây hại cho máy tính Thu thập thông tin như ngày sinh, bệt danh thông qua Nick chat Online

Hoax Letters

Chain Letters

Spam Email

Pop-up Windows

Instant Chat Message

thông tin

Window đột nhiên xuất hiện những Pop-up yêu trang nhập đăng cầu hoặc điền thông tin Mail thông báo về những món quà hoặc phền mềm miễn phí với điều kiện người đọc mail phải chuyển tiếp cho một số lượng người kế tiếp Những Email không thu mong muốn thập tài chính, thông tin cá nhân..v..v…

Institute of Network Security – www.istudy.vn

Computer-Based Social Engineering

Pop-up

• Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm theo Link, chuyển hướng User tới một Website giả yêu cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan, Spyware

Phishing (Lừa đảo)

• Attacker gửi một Email hợp lệ vào hòm thư User yêu cầu

cập nhật lại thông tin hoặc thông tin tài khoản

• Cả Pop-up và Phishing đều chuyển hướng User tới những

trang Web giả

Institute of Network Security – www.istudy.vn

Computer-Based Social Enginnering

SMS Text Message

SMS từ Chứng khoán Đông Á: Tài khoản của quí khách không đủ thông tin cho phiên giao dịch, xin vui lòng gọi 08.xxxx001 để bổ sung thông tin

Gọi 08.xxxx001: Xin chào, tôi là ABC, tôi xin bổ sung số tài là 207-231-5782, mật khoản khẩu giao dịch là “P@ssw0rd”

Institute of Network Security – www.istudy.vn

Human & Computer-Based Social Engineering

Spying (Gián điệp)

• Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của bạn, họ có thể cài người vào xin việc rồi lấy các thông tin nhạy cảm gửi ra bên ngoài

Revenge (Tư thù)

• Nhân viên làm việc bất mãn với các chính sách, đãi ngộ, nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra bên ngoài cho các đối tượng cần chúng như đối thủ, khủng bố, tống tiền…

Institute of Network Security – www.istudy.vn

Human & Computer-Based Social Engineering

Phân công công việc cụ thể

Phân loại dữ liệu Ưu tiên quyền hạn

Quản lý nhập xuất Chính sách luật pháp

Ghi nhận thao tác

Institute of Network Security – www.istudy.vn

Human & Computer-Based Social Engineering

Đối tượng

Xu hướng tấn công

Biện pháp phòng chống

Phone

Mạo danh và thuyết phục

Đào tạo cho các nhân viên không chia sẻ thông tin mật qua điện thoại

Lối vào trụ sở

Thâm nhập bất hợp pháp

Thực hiển chứng thực tại lối vào: Thẻ từ, vân tay…

Văn phòng

Nhìn lén

Không sử dụng Password nếu có người lạ hiện diện

Phone (Help desk)

Mạo danh

Thiết lập PIN cho tất cả nhân viên

Văn phòng

Hộ tống tất cả các khách vào công ty

Lang thang tìm kiếm các văn phòng mở

Phòng thư

Chèn hoặc giả mạo nội dung Giám sát cẩn thận

Phòng máy

Thường xuyên cập nhật danh mục thiết bị, khóa cửa cẩn thật

Chiếm quyền điều khiển, di chuyển thiết bị, đặt thiết bị theo dõi

Phone-PBX

Gíam sát tất cả các cuộc gọi

Đánh cắp danh sách số điện thoại, gọi lén

Institute of Network Security – www.istudy.vn

Giả mạo trên Mạng xã hội

Social Engineering Concepts

Giả mạo trên Mạng xã hội Kỹ thuật Social Engineering

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Institute of Network Security – www.istudy.vn

Social Engineering trên Mạng xã hội

Thông tin Tổ chức

Giả mạo tính cách và hành động của người khác thu Giả mạo thập tin thông trên mạng xã hội

Thông tin Cá nhân Thông tin nhạy cảm

Kết nối và Liên lạc

Attacker sử dụng profile của người khác kết bạn và thu thập thông tin

Attacker sử dụng thông tin thu thập được như một dạng của Social Engineering

Institute of Network Security – www.istudy.vn

Social Engineering trên Mạng xã hội

Tumblr

Google Plus

My Space

Facebook

Twitter

Institute of Network Security – www.istudy.vn

Social Engineering trên Mạng xã hội

Đánh cắp dữ liệu

Mạng xã hội là một CSDL khổng lồ truy cập bởi nhiều cá nhân, tăng nguy cơ bị

khai thác thông tin

Nhân viên có thể vô tình mang dữ liệu nhạy

Thông tin nhạy cảm bị rò rỉ

cảm của công ty lên mạng xã hội nếu không

Tấn công nạn nhân

có chính sách mạnh mẽ

Những thông tin trên mạng xã hội có thể được dùng cho việc khảo sát

sơ bộ nạn nhân

Lổng hổng hệ thống mạng

Tất cả các trang mạng xã hội có thể

sai sót dẫn đến tạo ra lỗ hổng trong

hệ hệ thống mạng của công ty

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản

Social Engineering Concepts

Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản

Y tế/Bảo hiểm/Đầu tư

Thẻ tín dụng

20%

24%

Ngân hàng/Vốn vay

13%

Identity Thief 2011

15%

13%

Điện thoại và các tiện ích

15%

Việc làm

Tài liệu chính phủ

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản (Bước 1/3)

• Lấy toàn bộ thông tin trong các hóa đơn nạn nhân

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản (Bước 2/3)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc

GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9

Họ tên:………………iS…TU…D…Y………………......... ……………………………………………………... Sinh ngày:……………14…-1…2-…20…11………………… Nguyên quán:……………TP….H…ồ…Ch…í …Mi…nh……….. ……………………………………………………… Nơi ĐKHK thường trú:…2…40…V…õ V…ă…n N…g…ân……... …- …Ph…ư…ờn…g …Bìn…h…T…họ…, Q…u…ận…9,…T…P.H…C…M…………

Bản gốc

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc

Tạo một giấy CMND giả

GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9

Bản giả

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản (Bước 3/3)

Có tiền là có gần hết mọi thứ!!!

Tới Bank nơi mà nạn nhân đăng ký mở khoản để đăng ký làm lại tài khoản

Nói với họ bạn không nhớ số tài khoản cũ và nhờ họ tìm thông qua số CMND

Bank sẽ yêu cầu bạn xuất trình CMND, đưa ra CMND giả và bạn sẽ được cấp lại tài khoản

Bây giờ, SHOPPING!!!

Institute of Network Security – www.istudy.vn

Trộm cắp tài khoản: Vấn nạn nghiêm trọng

• Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh. • Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời kiểm tra tài khoản thường xuyên góp phần làm giảm vấn nạn này.

Institute of Network Security – www.istudy.vn

Biện pháp phòng chống

Social Engineering Concepts

Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Institute of Network Security – www.istudy.vn

Biện pháp phòng chống: Chính sách

• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên vi phạm mạnh sẽ giúp giảm thiểu Social Engineering. • Sau quá trình đào tạo, nhân viên nên ký một bản cam

kết chịu trách nhiệm bảo đảm thông tin.

Institute of Network Security – www.istudy.vn

Biện pháp phòng chống: Chính sách

Password Policies Physical Security Polocies

24/7

• Đổi Password định kỳ • Đặc Password phức tạp • Account bị khóa sau một vài lần đăng nhập thất bại

• Tuyệt đối không tiết lộ • Xác định nhân viên hợp pháp bằng thẻ ra vào, đồng phục,..v..v… • Giám sát khách đi vào • Định ra khu vực cấm • Tiêu hủy tài liệu không

Password dùng

• Thuê vệ sĩ