CH NG 4: SOCIALƯƠ
ENGINEERING
Social engineering ph ng pháp phi k thu t đ t nh p vào h th ng ho c m ngươ
ng ty. Đó quá trình đánh l a ng i dùng c a h th ng, ho c thuy t ph c h ườ ế
cung c p thông tin có th giúp chúng ta đánh b i b ph n an ninh. Social engineering
là r t quan tr ng đ tìm hi u, b i vì hacker có th l i d ng t n công vào y u t con ế
ng i phá v h th ng k thu t an ninh hi n t i. Ph ng pháp y th sườ ươ
d ng đ thu th p thông tin tr c ho c trong cu c t n công. ướ
1. Social engineering là gì?
Social engineering s d ng s nh h ng s thuy t ph c đ đánh l a ng i ưở ế ườ
ng nh m khai thác các thông tin l i cho cu c t n công ho c thuy t ph c n n ế
nhân th c hi n m t hành đ ng nào đó. Social engineer (ng i th c hi n công vi c ườ
t n công b ng ph ng pháp social engineering) th ng s d ng đi n tho i ho c ươ ườ
internet đ d d ng i dùng ti t l thông tin nh y c m ho c đ có đ c h có th ườ ế ượ
làm m t chuy n đó đ ch ng l i các chính ch an ninh c a t ch c. B ng
ph ng pháp y, Social engineer ti n nh khai thác các thói quen t nhiên c aươ ế
ng i dùng, h n m các l h ng b o m t c a h th ng. Đi u này nghĩa ườ ơ
ng i dùng v i ki n th c b o m t kém cõi s c h i cho k thu t t n công nàyườ ế ơ
nh đ ng.
Sau đây m t d v k thu t t n công social engineering đ c Kapil Raina k ượ
l i, hi n ông này đang là m t chuyên gia an ninh t i Verisign, câu chuy n x y ra khi
ông đang làm vi c t i m t công ty khác tr c đó: “M t bu i sàng vài năm tr c, m t ướ ướ
nhóm ng i l b c vào công ty v i t cách nhân viên c a m t công ty v nườ ướ ư
chuy n mà ng ty này đangh p đ ng làm vi c chung. Và h b c ra v i quy n ướ
truy c p vào toàn b h th ng m ng công ty. H đã làm đi u đó b ng cách o?.
B ng cách l y m t l ng nh thông tin truy c p t m t s nhân viên khác nhau trong ượ
ng ty. Đ u tiên h đã ti n nh m t nghiên c u t ng th v công ty t hai ngày ế
tr c. Ti p theo h giã v làm m t chìa khóa đ vào c a tr c, m t nhân viênướ ế ư
ng ty đã giúp h m l i đ c. Sau đó, h làm m t th an ninh đ vào c ng công ty, ượ
và ch b ng m t n c i thân thi n, nhân viên b o v đã m c a cho h vào. Tr c ườ ướ
đó h đã bi t tr ng phòng tài chính v a có cu c công ta xa, và nh ng thông tin c a ế ườ
ôngy có th giúp h t n công h th ng. Do đó h đã đ t nh p văn phòng c a gm
đ c tài chính này. H l c tung các thùng rác c a công ty đ tìm ki m các tài li u h u ế
ích. Thông qua lao công c a ng ty, h thêm m t s đi m ch a tài li u quan
tr ng cho h c c a ng i khác. Đi m quan tr ng cu i cùng h đã s ườ
d ng là gi gi ng nói c a v giám đ c v n m t này. Có thành qu đó là do h đã ti n ế
nh nghiên c u gi ng nói c a v giám đ c. Và nh ng thông tin c a ông giám đ c mà
h thu th p đ c t thùng rác đã giúp cho h t o s tin t ng tuy t đ i v i nhân ượ ưở
viên. M t cu c t n công đã di n ra, khi h đã g i đi n cho phòng IT v i vai trò giám
đ c phòng i chính, làm ra v nh b m t pasword, r t c n password m i. H
ti p t c s d ng các thông tin khác và nhi u k thu t t n công đã giúp h chi m lĩnhế ế
toàn b h th ng m ng”. Nguy hi m nh t c a k thu t t n công này quy trình
th m đ nh thông tin nhân. Thông qua t ng l a, m ng riêng o, ph n m m giám ườ
sát m ng...s giúp r ng cu c t n công, b i k thu t t n công y không s d ng
các bi n pháp tr c ti p. Thay vào đó y u t con ng i r t quan tr ng. Chính s l ế ế ườ ơ
c a nhân viên trong công ty trên đã đ cho k t n công thu th p đ c thông tin quan ượ
tr ng.
2. Ngh thu t c a s thao túng
Social Engineering bao g m vi c đ t đ c nh ng thông tin m t hay truy c p trái ượ
phép, b ng cách xây d ng m i quan h v i m t s ng i. K t qu c a social ườ ế
engineer là l a m t ng i nào đó cung c p thông tin có giá tr . Nó tác đ ng lên ph m ườ
ch t v n c a con ng i, ch ng h n nh mong mu n tr thành ng i ích, tin ườ ư ườ
t ng m i ng i và s nh ng r c r i.ưở ườ
Social engineering v n d ng nh ng th thu t và k thu t làm cho m t ng i nào đó ườ
đ ng ý làm theo nh ng Social engineer mu n. không ph i ch đi u
khi n suy ng ng i khác, không cho phép Social engineer làm cho ng i o ườ ườ
đó làm nh ng vi c v t quá t ch đ o đ c thông th ng. Và trên h t, nó không d ượ ư ườ ế
th c hi n chút nào. Tuy nhiên, đó là m t ph ng pháp mà h u h t Attackers dùng đ ươ ế
t n công vào công ty. Có 2 lo i r t thông d ng :
Social engineering vi c l y đ c thông tin c n thi t t m t ng i nào đó ượ ườ
h n là phá h y h th ng.ơ
Psychological subversion: m c đích c a hacker hay attacker khi s d ng
PsychSub (m t k thu t thiên v tâm lý) thì ph c t p h n bao g m s ơ
chu n b , phân tích tình hu ng, suy ng c n th n, chính c nh ng t s
d ng và gi ng đi u khi nói, và nó th ng s d ng trong quân đ i. ườ
Sau đây m t tình hu ng m t Attacker đã đánh c p password c a m t khách
ng. N u b n có ý đ làm hacker thì có th h c h i, còn n u b n là ng i ng thìế ế ườ
y c n th n khi g p tình hu ng t ng t . ươ
Vào m t bu i sáng, cô Alice đang ăn sáng thì nh n đ c cu c g i. ượ
Attacker : Chào bà, tôi Bob, tôi mu n nói chuy n v i
Alice”
Alice:Xin chào,i là Alice”.
Attacker: Chào Alice, i g i t trung tâm d li u,
xin l i tôi g i đi n cho s m Th này…” ế
Alice: Trung tâm d li u à, tôi đang ăn sáng, nh ng ư
không sao đâu.”
Attacker: ” Tôi g i đi n cho cô vì nh ng thông tin cá nhân
c a cô trong phi u thông tin t o account v n đ .” ế
Alice:C a tôi à. vâng.”
Attacker: ” Tôi thông báo v i cô v vi c server mail v a b
s p t i qua, chúng tôi đang c g ng ph c h i l i h
th ng mail. ng i s d ng xa nên chúng tôi xườ
tr ng h p c a tr c tiên.”ườ ướ
Alice: ”V y mail c a tôi có b m t không?”
Attacker: “Không đâu, chúng tôi th ph c h i l i đ c ượ
mà. Nh ng chúng tôi nhân viên phòng d li u, ư
chúng tôi không đ c phép can thi p vào h th ng mail c aượ
văn phòng, nên chúng tôi c n có password c a cô, n u không ế
chúngi không th làmđ c.” ượ
Alice: ”Password c a tôi à?uhm..”
Attacker: ”Vâng, chúng tôi hi u, trong b n đăng ghi
chúng tôi không đ c h i v v n đ này, nh ng nó đ c vi tượ ư ượ ế
b i văn phòng lu t, nên t t c ph i làm đúng theo lu t.” (
n l c làm tăng s tin t ng t n n nhân) ưở
Attacker: Username c a AliceDxb ph i không? Phòng
h th ng đ a cho chúng tôi username s đi n tho i c a ư
cô, nh ng h không đ a password cho chúng tôi. Không ư ư
password thì không ai th truy c p vào mail c a
đ c, cho chúng tôi phòng d li u. Nh ng chúng iượ ư
ph i ph c h i l i mail c a cô, chúng tôi c n ph i truy
c p vào mail c a cô. Chúng tôi đ m b o v i cô chúng tôi s
không s d ng password c a vào b t c m c đích nào
khác.”
Alice: uhm, pass này cũng không riêng t l m đâu, passư
c a tôi là 123456”
Attacker: Cám n s h p tác c a cô. Chúng tôi s ph cơ
h i l i mail c a cô trongi phút n a.”
Alice:ch c mail không b m t không?”
Attacker: T t nhiên không r i. Ch c ch a g p ư
tr ng h p này bao gi , n u có th c m c gì thì hãy liên hườ ế
v i chúng tôi. Cô th tìm s liên l c trên Internet.”
Alice:C m n. ơ
Attacker: ” Chào cô.
3. Đi m y u c a m i ng i ế ườ
M i ng i th ng m c ph i nhi u đi m y u trong c v n đ b o m t. Đ đ ườ ườ ế
phòng thành công thì chúng ta ph i d a vào các chính sách t t hu n luy n nhân
viên th c hi n t t các chính sách đó. Social engineering ph ng pháp khó phòng ươ
ch ng nh t vì nó không th dùng ph n c ng hay ph n m m đ ch ng l i.
M t ng i nào đó khi truy c p vào b t c ph n nào c a h th ng thì các thi t b v t ườ ế
và v n đ c p đi n có th m t tr ng i l n. B t c thông tin nào thu th p đ c ượ
đ u th dùng ph ng pháp Social engineering đ thu th p thêm thông tin. ươ
nghĩa m t ng i không n m trong chính sách b o m t cũng th phá h y h ườ
th ng b o m t. c chuyên gia b o m t cho r ng ch b o m t gi u đi thông tin
r t y u. Trong tr ng h p c a Social engineering, hoàn toàn không s b o m t ế ườ
o không th che gi u vi c ai đang s d ng h th ng kh năng nh h ng ưở
c a h t i h th ng.
nhi u cách đ hoàn thành m c tiêu đ ra. Cách đ n gi n nh t yêu c u tr c ơ
ti p, đó đ t câu h i tr c ti p. M c cách này r t khó thành công, nh ng đây ế ế ư
ph ng pháp d nh t, đ n gi n nh t. Ng i đó bi t chính xác h c n gì. ươ ơ ườ ế
ch th hai, t o ra m t nh hu ng n n nhân liên quan đ n. V i c nhân t ế
khác nhau c n đ c yêu c u xem xét, làm th nào đ n n nhân d ng dính b y ượ ế
nh t, b i attacker th t o ra nh ng do thuy t ph c h n nh ng ng i bình ế ơ ườ
th ng. Attacker càng n l c thì kh năng thành công càng cao, thông tin thu đ cườ ượ
càng nhi u. Không có nghĩa là các tình hu ng này không d a trên th c t . Càng gi ng ế
s th t thì kh năng thành côngng cao.
M t trong nh ng ng c quan tr ng đ c s d ng trong Social engineering m t ượ
trí nh t t đ thu th p c s ki n. Đó đi u c hacker sysadmin n i tr i
h n, đ c bi t khi nói đ n nh ng v n đ liên quan đ n lĩnh v c c a h .ơ ế ế
4. Phân lo i k thu t t n công Social engineering
Social engineering có th đ c chia thành hai lo i ph bi n: ượ ế
Human-based: K thu t Social engineering liên quan đ n s t ng tác gi a con ế ươ
ng i v i con ng i đ thu đ c thông tin mong mu n. Ví d nh chúng ta ph i g iườ ườ ượ ư
đi n tho i đ n phòng Help Desk đ truy tìm m t kh u. ế
Computer-based: K thu t y liên quan đ n vi c s d ng c ph n m m đ c ế
g ng thu th p thông tin c n thi t. Ví d b n g i email và yêu c u ng i dùng nh p ế ườ
l i m t kh u đăng nh p vào website. K thu t này n đ c g i Phishing (l a ượ
đ o).
4.1. Human-Based Social Engineering
K thu t Human Based có th chia thành các lo i nh sau: ư
Impersonation: M o danh là nhân viên ho c ng i dùng h p l . Trong k thu t này, ườ
k t n công s gi d ng thành nhân viên công ty ho c ng i ng h p l c a h ườ
th ng. Hacker m o danh mình ng i c công, nhân viên, đ i tác, đ đ p nh p ườ
ng ty. M t khi đã vào đ c bên trong, chúng ti n hành thu th p các thông tin t ượ ế
thùng rác, máy tính đ bàn, ho c các h th ng y tính, ho c h i thăm nh ng
ng i đ ng nghi p.ườ
Posing as Important User: Trong vai trò c a m t ng i s d ng quan tr ng nh ườ ư
ng i quan c p cao, tr ng phòng, ho c nh ng ng i c n tr giúp ngay l p t c,ườ ưở ườ
hacker th d d ng i ng cung c p cho chúng m t kh u truy c p vào h ườ
th ng.
Third-person Authorization: L y danh nghĩa đ c s cho phép c a m t ng i nào ượ ườ
đó đ truy c p vào h th ng. d m t tên hacker nói anh đ c s y quy n c a ượ
giám đ c dùng tài kho n c a giám đ c đ truy c p vào h th ng.
Calling Technical Support: G i đi n tho i đ n phòng t v n k thu t m t ế ư
ph ng pháp c đi n c a k thu t t n công Social engineering. Help-desk phòngươ
h tr k thu t đ c l p ra đ giúp cho ng i ng, đó cũng con m i ngon cho ượ ườ
hacker.
Shoulder Surfing k thu t thu th p thông tin b ng ch xem file ghi nh t h
th ng. Thông th ng khi đăng nh p vào h th ng, quá trình đăng nh p đ c ghi ườ ượ
nh n l i, thông tin ghi l i có th giúp ích nhi u cho hacker.
Dumpster Diving là k thu t thu th p thông tin trong thùng rác. Nghe có v “đê ti n”
ph i lôi thùng c c a ng i ta ra đ tìm ki m thông tin, nh ng đ i cu c ph i ườ ế ư
ch p nh n hi sinh. Nói vui v y, thu th p thông tin trong thùng rác c a các công ty l n,