CH
NG 4: SOCIAL
ƯƠ ENGINEERING
ươ ặ
ỹ i dùng c a h th ng, ho c thuy t ph c h ệ ố ặ ườ ừ ụ ế
ấ ể
ế ố ể ọ ở
ấ ng pháp này có th s ươ
i d ng t n công vào y u t i. Ph c ho c trong cu c t n công. ạ ng pháp phi k thu t đ t nh p vào h th ng ho c m ng Social engineering là ph ậ ộ ậ ọ công ty. Đó là quá trình đánh l a ng ệ ố ủ cung c p thông tin có th giúp chúng ta đánh b i b ph n an ninh. Social engineering ậ ạ ộ con là r t quan tr ng đ tìm hi u, b i vì hacker có th l ể ợ ụ ấ ể i và phá v h th ng k thu t an ninh hi n t ng ể ử ệ ạ ỹ ườ ỡ ệ ố d ng đ thu th p thông tin tr ộ ấ ướ ậ ụ ậ ặ ể
ế ể ự ả ừ
ưở ợ ự ộ ấ ụ ặ
ộ ệ ự
ng pháp social engineering) th ằ
ườ ử ụ ặ ể
ể ụ ỗ ườ ệ
ệ ố ề
1. Social engineering là gì? ườ i ng và s thuy t ph c đ đánh l a ng ụ ử ụ i cho cu c t n công ho c thuy t ph c n n ạ ế i th c hi n công vi c ệ ệ ặ ng s d ng đi n tho i ho c ạ ệ ườ ể thông tin nh y c m ho c đ có đ c h có th ượ ọ ạ ả ch c. B ng i các chính sách an ninh c a t ằ ộ ủ ổ ứ ạ ủ nhiên c a ng pháp này, Social engineer ti n hành khai thác các thói quen t ự ế i dùng, h n là tìm các l h ng b o m t c a h th ng. Đi u này có nghĩa là ả i dùng v i ki n th c b o m t kém cõi s là c h i cho k thu t t n công này ứ ả
ậ ủ ẽ ỗ ổ ậ ươ ườ ườ ơ ớ ậ ấ ơ ộ ế ỹ
Social engineering s d ng s nh h dùng nh m khai thác các thông tin có l ằ nhân th c hi n m t hành đ ng nào đó. Social engineer (ng ộ ự t n công b ng ph ươ ấ i dùng ti internet đ d d ng t l ế ộ làm m t chuy n gì đó đ ch ng l ố ể ph ng ng hành đ ng.ộ
ộ ượ ậ ấ
i, hi n ông này đang là m t chuyên gia an ninh t ạ ệ ệ ụ ề ỹ ộ
ộ ướ c đó: “M t bu i sàng vài năm tr ổ c Kapil Raina k ẩ ướ
i l i m t công ty khác tr c vào công ty v i t ệ ạ b ườ ạ ướ
ớ ư ộ
ệ ọ ề
ấ ằ ộ ệ ố ỏ
c. Ti p theo h giã v làm m t chìa khóa đ vào c a tr ể ề ướ ướ ế ấ
ậ ừ ộ ố ứ ổ ể ấ ẻ ọ ọ
ộ ụ ườ ở ử ệ
ả ộ ữ
t tr ế ườ ể ừ ệ ố ọ ấ ậ
ọ ụ ủ ế
ứ ọ
ộ ể ộ ố ể i khác. Đi m quan tr ng cu i cùng mà h đã s ể Sau đây là m t ví d v k thu t t n công social engineering đ i Verisign, câu chuy n x y ra khi l ạ c, m t ộ ông đang làm vi c t ộ cách là nhân viên c a m t công ty v n nhóm ng ậ ủ ộ ề c ra v i quy n chuy n mà công ty này đang có h p đ ng làm vi c chung. Và h b ớ ọ ướ ợ ể truy c p vào toàn b h th ng m ng công ty. H đã làm đi u đó b ng cách nào?. ằ ạ ậ B ng cách l y m t l m t s nhân viên khác nhau trong ng nh thông tin truy c p t ộ ượ công ty. Đ u tiên h đã ti n hành m t nghiên c u t ng th v công ty t hai ngày ừ ộ ọ ầ ế c, và m t nhân viên tr ộ ử ọ ờ c. Sau đó, h làm m t th an ninh đ vào c ng công ty, công ty đã giúp h tìm l i đ ổ ể ạ ượ ướ i thân thi n, nhân viên b o v đã m c a cho h vào. Tr c và ch b ng m t n c ọ ệ ỉ ằ ủ ng phòng tài chính v a có cu c công ta xa, và nh ng thông tin c a đó h đã bi ọ ông này có th giúp h t n công h th ng. Do đó h đã đ t nh p văn phòng c a giám ủ ọ ệ ữ đ c tài chính này. H l c tung các thùng rác c a công ty đ tìm ki m các tài li u h u ố ích. Thông qua lao công c a công ty, h có thêm m t s đi m ch a tài li u quan ệ ử tr ng cho h mà là rác c a ng ọ ủ ủ ườ ể ọ ọ ọ ố
ọ ặ ủ ị
ố ả ủ ủ ị
ố ắ ố thùng rác đã giúp cho h t o s tin t ậ ưở
ọ ộ ộ ấ ữ ọ ạ ự ệ ớ
ễ ẽ ấ ầ
ớ ế ọ
ậ ấ ỹ ậ ấ ể
ề ầ ẩ
ộ ấ ử ỹ ẽ
ạ ệ
con ng ẽ ấ ể ậ
ế gi ng nói c a v giám đ c v n m t này. Có thành qu đó là do h đã ti n d ng là gi ả ọ ụ hành nghiên c u gi ng nói c a v giám đ c. Và nh ng thông tin c a ông giám đ c mà ứ ọ h thu th p đ ng tuy t đ i v i nhân c t ệ ố ớ ượ ừ ọ viên. M t cu c t n công đã di n ra, khi h đã g i đi n cho phòng IT v i vai trò giám ọ ọ đ c phòng tài chính, làm ra v mình b m t pasword, và r t c n password m i. H ố ị ấ ti p t c s d ng các thông tin khác và nhi u k thu t t n công đã giúp h chi m lĩnh ế ụ ử ụ ề ỹ toàn b h th ng m ng”. Nguy hi m nh t c a k thu t t n công này là quy trình ấ ủ ạ ộ ệ ố ng l a, m ng riêng o, ph n m m giám th m đ nh thông tin cá nhân. Thông qua t ườ ả ị ạ sát m ng...s giúp r ng cu c t n công, b i vì k thu t t n công này không s d ng ử ụ ở ộ ậ ấ ự ơ là các bi n pháp tr c ti p. Thay vào đó y u t i r t quan tr ng. Chính s l ọ ế ố ự ế ườ ấ c a nhân viên trong công ty trên đã đ cho k t n công thu th p đ c thông tin quan ượ ủ tr ng.ọ
ệ
2. Ngh thu t c a s thao túng ậ ủ ự ạ ượ
ồ ữ ậ
ằ ộ ố ệ ố ế
ệ ớ ấ ự ườ ộ
i, ch ng h n nh mong mu n tr thành ng c nh ng thông tin m t hay truy c p trái ậ i. K t qu c a social ả ủ ẩ i nào đó cung c p thông tin có giá tr . Nó tác đ ng lên ph m ộ i có ích, tin ườ ố ườ ị ở ấ ố ư
ạ i và s nh ng r c r i. Social Engineering bao g m vi c đ t đ phép, b ng cách xây d ng m i quan h v i m t s ng engineer là l a m t ng ừ ch t v n có c a con ng t ưở ườ ợ ữ ẳ ắ ố ng m i ng ọ ủ ườ
ậ ủ ữ ườ ậ
ỹ ố ộ ả
ể ườ
cách đ o đ c thông th t quá t ườ ư
ng. Và trên h t, nó không d ế ng pháp mà h u h t Attackers dùng đ ế ệ ầ
i nào đó Social engineering v n d ng nh ng th thu t và k thu t làm cho m t ng ậ ụ ề đ ng ý làm theo nh ng gì mà Social engineer mu n. Nó không ph i là cách đi u ữ ồ i nào khi n suy nghĩ ng i khác, và nó không cho phép Social engineer làm cho ng ườ ễ đó làm nh ng vi c v ạ ứ ệ ượ ữ th c hi n chút nào. Tuy nhiên, đó là m t ph ể ươ ộ ự t n công vào công ty. Có 2 lo i r t thông d ng : ụ ấ ạ ấ
• Social engineering là vi c l y đ c thông tin c n thi m t ng t t i nào đó ệ ấ ượ ầ ể ừ ộ ườ
h n là phá h y h th ng. ơ ủ ệ ố
ụ ủ
ộ ỹ ề ậ ơ
ữ ẩ ố ị
ứ ạ ậ ng s d ng trong quân đ i. • Psychological subversion: m c đích c a hacker hay attacker khi s d ng ử ụ PsychSub (m t k thu t thiên v tâm lý) thì ph c t p h n và bao g m s ự ồ chu n b , phân tích tình hu ng, và suy nghĩ c n th n, chính xác nh ng t ừ ử s d ng và gi ng đi u khi nói, và nó th ườ ệ ụ ẩ ử ụ ọ ộ
ấ ố ộ
ể ọ ỏ ộ ạ ườ ế ế ạ ồ
ng t Sau đây là m t tình hu ng mà m t Attacker đã đánh c p password c a m t khách ộ ủ i dùng thì hàng. N u b n có ý đ làm hacker thì có th h c h i, còn n u b n là ng hãy c n th n khi g p tình hu ng t ươ . ự ẩ ậ ặ ố
Vào m t bu i sáng, cô Alice đang ăn sáng thì nh n đ c cu c g i. ậ ượ ổ ộ ộ ọ
ệ ố ớ
Attacker : “ Chào bà, tôi là Bob, tôi mu n nói chuy n v i cô Alice”
Alice: “ Xin chào, tôi là Alice”.
ữ ọ ệ
ọ ỗ ớ ừ ế Attacker: ” Chào cô Alice, tôi g i t trung tâm d li u, ệ xin l i vì tôi g i đi n cho cô s m Th này…”
ữ ệ ư
Alice: ” Trung tâm d li u à, tôi đang ăn sáng, nh ng không sao đâu.”
ữ ệ ọ
ủ ề ế ấ ạ Attacker: ” Tôi g i đi n cho cô vì nh ng thông tin cá nhân c a cô trong phi u thông tin t o account có v n đ .”
ủ Alice: ” C a tôi à..à vâng.”
ừ ớ
ậ ụ ạ ồ ề ố ệ ắ
ở ị ệ ử
ườ ướ Attacker: ” Tôi thông báo v i cô v vi c server mail v a b ố s p t i qua, và chúng tôi đang c g ng ph c h i l i h ụ ử ố th ng mail. i s d ng xa nên chúng tôi x ợ ườ c tiên.” lý tr Vì cô là ng ủ ng h p c a cô tr
ị ấ ủ ậ Alice: ”V y mail c a tôi có b m t không?”
ụ ể ạ
ư ồ ữ ệ
ượ ệ ố
ệ ủ ế
ể ượ c Attacker: “Không đâu, chúng tôi có th ph c h i l i đ mà. Nh ng vì chúng tôi là nhân viên phòng d li u, và ủ chúng tôi không đ c phép can thi p vào h th ng mail c a ầ văn phòng, nên chúng tôi c n có password c a cô, n u không ượ chúng tôi không th làm gì đ c.”
ủ Alice: ”Password c a tôi à?uhm..”
ả
ượ ượ ư ỏ c h i v v n đ này, nh ng nó đ
ế
ở ỗ ự ấ ưở ự ể Attacker: ”Vâng, chúng tôi hi u, trong b n đăng kí ghi rõ ề ề ấ c vi t chúng tôi không đ ậ ả ả ậ b i văn phòng lu t, nên t t c ph i làm đúng theo lu t.” ( ừ ạ ng t n n nhân) n l c làm tăng s tin t
ả ủ
ố ệ ư ệ ạ ố
ọ ư ư
ủ
ậ ệ ữ ư
ượ ả ở ủ ụ ầ ả ạ ồ
ủ ả ả ậ ớ
ử ụ ủ ứ ụ ấ ủ ẽ
Attacker: ” Username c a cô là AliceDxb ph i không? Phòng h th ng đ a cho chúng tôi username và s đi n tho i c a cô, nh ng h không đ a password cho chúng tôi. Không có ể password thì không ai có th truy c p vào mail c a cô đ c, cho dù chúng tôi phòng d li u. Nh ng chúng tôi ph i ph c h i l i mail c a cô, và chúng tôi c n ph i truy c p vào mail c a cô. Chúng tôi đ m b o v i cô chúng tôi s không s d ng password c a cô vào b t c m c đích nào khác.”
ư ắ
ủ Alice: ” uhm, pass này cũng không riêng t l m đâu, pass c a tôi là 123456”
ự ợ ủ ẽ ơ ụ
ữ ủ ạ ồ Attacker: ” Cám n s h p tác c a cô. Chúng tôi s ph c h i l i mail c a cô trong vài phút n a.”
ị ấ ắ Alice: ” Có ch c là mail không b m t không?”
ư ắ ấ ồ
ườ ế ắ ờ ợ ặ ệ
ắ ạ ở ể Attacker: ” T t nhiên là không r i. Ch c cô ch a g p ng h p này bao gi , n u có th c m c gì thì hãy liên h tr ố ớ v i chúng tôi. Cô có th tìm s liên l c trên Internet.”
ả ơ Alice: ” C m n.”
Attacker: ” Chào cô.”
ọ
i th ng m c ph i nhi u đi m y u trong các v n đ b o m t. Đ đ ườ ườ
ể ả
ề ả ự ệ ấ
ệ ố
i.
i 3. Đi m y u c a m i ng ườ ế ủ ể ề M i ng ấ ề ả ế ể ắ ọ ậ t và hu n luy n nhân phòng thành công thì chúng ta ph i d a vào các chính sách t ố viên th c hi n t ng pháp khó phòng t các chính sách đó. Social engineering là ph ươ ự ch ng nh t vì nó không th dùng ph n c ng hay ph n m m đ ch ng l ể ố
ầ ứ ể ề ạ ầ ấ ố
ủ ệ ố
ậ ể ộ ở ấ ứ ầ ạ ớ
ươ ậ
i không n m trong chính sách b o m t cũng có th phá h y h ả ườ ủ ể ằ
ậ ả ả ậ ằ ậ ấ ậ
ườ
ợ ủ ệ ấ ệ ố ử ụ ả
ế ị ậ t b v t M t ng i nào đó khi truy c p vào b t c ph n nào c a h th ng thì các thi ườ ộ ậ ượ c lý và v n đ c p đi n có th là m t tr ng i l n. B t c thông tin nào thu th p đ ấ ứ ề ấ ệ ấ ng pháp Social engineering đ thu th p thêm thông tin. Có đ u có th dùng ph ể ể ề ệ nghĩa là m t ng ộ th ng b o m t. Các chuyên gia b o m t cho r ng cách b o m t gi u đi thông tin là ả ố ng h p c a Social engineering, hoàn toàn không có s b o m t r t y u. Trong tr ậ ự ả ẩ ế ưở ng nào vì không th che gi u vi c ai đang s d ng h th ng và kh năng nh h ả ể c a h t i h th ng. ủ ọ ớ ệ ố
ể ề ụ ả ấ ầ ơ
ư ặ
ấ t chính xác h c n gì. i đó bi ự Có nhi u cách đ hoàn thành m c tiêu đ ra. Cách đ n gi n nh t là yêu c u tr c ề ti p, đó là đ t câu h i tr c ti p. M c dù cách này r t khó thành công, nh ng đây là ế ph ườ ươ ỏ ự ng pháp d nh t, đ n gi n nh t. Ng ơ ễ ấ ặ ấ ọ ầ ế ả ế
ố ộ ế ớ
ầ ượ ế
ể ạ ụ ầ ể ạ ễ ữ ườ ế ơ
ấ ườ ỗ ự
ố ẩ c yêu c u xem xét, làm th nào đ n n nhân d dàng dính b y i bình ượ c ố . Càng gi ng ự ế ự ề
Cách th hai, t o ra m t tình hu ng mà n n nhân có liên quan đ n. V i các nhân t ạ ạ ứ khác nhau c n đ nh t, b i vì attacker có th t o ra nh ng lý do thuy t ph c h n nh ng ng ữ ở ng. Attacker càng n l c thì kh năng thành công càng cao, thông tin thu đ th ả càng nhi u. Không có nghĩa là các tình hu ng này không d a trên th c t ố s th t thì kh năng thành công càng cao. ự ậ ả
ộ ượ ử ụ ụ
c s d ng trong Social engineering là m t ộ ổ ộ t đ thu th p các s ki n. Đó là đi u mà các hacker và sysadmin n i tr i ề ậ
M t trong nh ng công c quan tr ng đ ữ trí nh t ớ ố ể h n, đ c bi ệ ặ ơ ọ ự ệ ấ ữ t khi nói đ n nh ng v n đ liên quan đ n lĩnh v c c a h . ự ủ ọ ế ề ế
ậ ấ
ạ ỹ Social engineering có th đ ể ượ
4. Phân lo i k thu t t n công Social engineering ổ ế c chia thành hai lo i ph bi n:
ạ
ự ươ
ng tác gi a con ữ ế ả ọ c thông tin mong mu n. Ví d nh chúng ta ph i g i ậ ỹ i đ thu đ ườ ể ụ ư ượ
Human-based: K thu t Social engineering liên quan đ n s t ng ố ườ ớ đi n tho i đ n phòng Help Desk đ truy tìm m t kh u. ẩ ệ i v i con ng ạ ế ể ậ
ỹ ệ ử ụ ế ề
ầ t. Ví d b n g i email và yêu c u ng ườ ậ ầ ầ
ể ố i dùng nh p ậ ừ c g i là Phishing (l a ụ ạ ử ậ ậ ẩ ượ ậ ậ ọ ỹ
Computer-based: K thu t này liên quan đ n vi c s d ng các ph n m m đ c g ng thu th p thông tin c n thi ắ ế i m t kh u đăng nh p vào website. K thu t này còn đ l ạ đ o).ả
4.1. Human-Based Social Engineering
K thu t Human Based có th chia thành các lo i nh sau: ể ư ạ ậ ỹ
ặ ườ
d ng thành nhân viên công ty ho c ng ặ
ậ c a h ợ ệ ủ ể ộ ườ ố
c bên trong, chúng ti n hành thu th p các thông tin t ượ ế ậ ộ
ể ặ ặ ỏ
. Trong k thu t này, i dùng h p l Impersonation: M o danh là nhân viên ho c ng ỹ ợ ệ ạ ệ i dùng h p l k t n công s gi ườ ẽ ấ ẽ ả ạ i gác công, nhân viên, đ i tác, đ đ p nh p ậ th ng. Hacker m o danh mình là ng ạ ố ừ công ty. M t khi đã vào đ thùng rác, máy tính đ bàn, ho c các h th ng máy tính, ho c là h i thăm nh ng ữ ệ ố ng i đ ng nghi p. ườ ồ ệ
ủ ộ ọ
ườ ữ
i s d ng quan tr ng nh ư i c n tr giúp ngay l p t c, ậ ứ ệ ườ ử ụ ợ ườ ầ ẩ ậ ậ
Posing as Important User: Trong vai trò c a m t ng ng phòng, ho c nh ng ng ng i quan lý c p cao, tr ặ ưở ấ i dùng cung c p cho chúng m t kh u truy c p vào h hacker có th d d ng ấ ườ ể ụ ỗ th ng.ố
c s cho phép c a m t ng ượ ự ấ
ể ậ i nào ủ ườ ộ ề ủ c s y quy n c a ượ ự ủ
Third-person Authorization: L y danh nghĩa đ đó đ truy c p vào h th ng. Ví d m t tên hacker nói anh đ ệ ố giám đ c dùng tài kho n c a giám đ c đ truy c p vào h th ng. ệ ố ả ủ ụ ộ ố ể ậ ố
ư ấ ế ậ ọ ỹ
ổ ể ủ ỹ ệ ậ ấ
c l p ra đ giúp cho ng ộ v n k thu t là m t ạ ng pháp c đi n c a k thu t t n công Social engineering. Help-desk và phòng i dùng, đó cũng là con m i ngon cho ườ ậ ượ ậ ể ồ
Calling Technical Support: G i đi n tho i đ n phòng t ph ươ h tr k thu t đ ổ ợ ỹ hacker.
ậ ằ ậ ỹ
ệ c ghi ườ ậ ậ
i có th giúp ích nhi u cho hacker. i, thông tin ghi l Shoulder Surfing là k thu t thu th p thông tin b ng cách xem file ghi nh t ký h th ng. Thông th ố nh n l ậ ạ ậ ng khi đăng nh p vào h th ng, quá trình đăng nh p đ ượ ệ ố ề ể ạ
ẽ ậ
ỹ ủ ư ể ế ạ ả ộ
ệ Dumpster Diving là k thu t thu th p thông tin trong thùng rác. Nghe có v “đê ti n” ậ i ta ra đ tìm ki m thông tin, nh ng vì đ i cu c ph i vì ph i lôi thùng rác c a ng ả ườ ớ ch p nh n hi sinh. Nói vui v y, thu th p thông tin trong thùng rác c a các công ty l n, ậ ủ ậ ấ ậ
ể ặ
ậ ủ ị
ầ ụ ế ề
ườ ề ợ ố ớ
ữ thông tin mà chúng ta c n thu có th là password, username, filename ho c nh ng ừ thông tin m t khác. Ví d : Tháng 6 năm 2000, Larry Ellison, ch t ch Oracle, th a nh n là Oracle đã dùng đ n dumpster diving đ c g ng tìm ra thông tin v Microsoft ể ố ắ ậ ạ “larrygate”, không là m i trong ho t trong tr ng h p ch ng đ c quy n. Danh t ừ ộ đ ng tình báo doanh nghi p. ộ ệ
ạ ể
ậ ể ạ ệ ể ạ
ạ ề ể
ụ ễ
ố ạ ủ ẻ ấ ể ể ệ ị
ổ ớ ổ ứ
ự ệ ậ ả ệ ố ủ ữ ệ ạ ả ị ặ ả ả
i: (1).Sách niên giám đi n tho i công ty – M t s th mà dumpster có th mang l ộ ố ứ c đ u tiên đ đ t quy n truy xu t ấ bi t ai g i sau đó dùng đ m o nh n là nh ng b ướ ầ ữ ọ ế ẻ c tên và t i các d li u nh y c m. Nó giúp có đ t cách chính xác đ làm có v ư ả ượ ạ ữ ệ ớ . Tìm các s đã g i là m t nhi m v d dàng khi k t n công nh là nhân viên h p l ệ ộ ọ ợ ệ ư ồ ổ sách niên giám. (2).Các bi u đ t có th xác đ nh t ng đài đi n tho i c a công ty t ừ ỉ ổ ch c; b n ghi nh ; s tay chính sách công ty; l ch h i h p, s ki n, và các kỳ ngh ; s ộ ọ tay h th ng; b n in c a d li u nh y c m ho c tên đăng nh p và password; b n ghi source code; băng và đĩa; các đĩa c ng h t h n. ế ạ ứ
ơ ươ ậ
ậ ở ỹ
ề ấ ờ
ng pháp nâng cao h n trong k thu t Social engineering là Reverse Social ườ i chính là i dùng b m t password, và yêu c u nhân viên ạ ị ấ ườ ầ
Ph ỹ Engineering (Social engineering ng c). Trong k thu t này, hacker tr thành ng ượ cung c p thông tin. Đi u đó không có gì là ng c nhiên, khi hacker bây gi nhân viên phòng help desk. Ng helpdesk cung c p l i. ấ ạ
4.2.
c thông tin mong mu n. Có
Computer-Based Social Engineering ề
ượ ầ ể ấ ố
Computer Based: là s d ng các ph n m m đ l y đ ử ụ th chia thành các lo i nh sau: ư ạ ể
ậ ụ ữ ệ ấ
ặ
ế ả ọ
ế
m t công ty kinh Phising: Thu t ng này áp d ng cho m t email xu t hi n đ n t ế ừ ộ ộ doanh, ngân hàng ho c th tín d ng yêu c u ch ng th c thông tin và c nh báo s x y ẽ ả ả ứ ầ ụ ẻ ự ộ ng ch a m t ra h u qu nghiêm tr ng n u vi c này không đ c làm. Lá th th ứ ư ườ ượ ệ ậ đ ộ m o trông h p pháp v i logo c a công ty và n i ng link đ n m t trang web gi ủ ớ ợ ả ạ ộ ườ dung có ch a form đ yêu c u username, password, s th tín d ng ho c s pin. ặ ố ố ẻ ứ ụ ể ầ
ậ ủ ự ế ợ
ậ ữ ẻ ấ ẽ ư ườ ử ụ ẽ ự ế c m t thông đi p t ộ
ọ ệ ệ ự ộ ệ ạ ớ ộ ướ ẫ
ọ ố ệ ả ọ ầ ẻ
ẻ ớ
ộ ạ Vishing: Thu t ng là s k t h p c a “voice” và phishing. Đây cũng là m t d ng phising, nh ng k t n công s tr c ti p g i đi n cho n n nhân thay vì g i email. ở i s d ng s nh n đ ấ đ ng v i n i dung c nh báo v n Ng ả ượ ng d n h g i đ n m t đ liên quan đ n tài kho n ngân hàng. Thông đi p này h ộ ế ọ ọ ế ả ề ườ s đi n tho i đ kh c ph c v n đ . Sau khi g i, s đi n tho i này s k t n i ng i ẽ ế ố ạ ề ạ ể ắ ụ ấ ố ệ , yêu c u h ph i nh p mã th tín d ng. Và i m t h th ng h tr gi đ ộ ệ ố ụ ậ ỗ ợ ả ượ Voip ti p tay đ c l c thêm cho d ng t n công m i này vì giá r và khó giám sát m t ộ ấ ạ ắ ự cu c g i b ng Voip. c g i t ọ ớ ế ộ ọ ằ
ấ
i username và password. M t ch
c đó b i k xâm nh p sau đó s email thông tin đ n m t website ng trình đã đ xa. Pop-up Windows: M t c a s s xu t hi n trên màn hình nói v i user là anh ta đã ộ ử ổ ẽ ệ m t k t n i và c n ph i nh p l ượ c ầ ậ ạ ả cài đ t tr ậ ở ẻ ấ ế ố ặ ướ ớ ươ ộ ộ ế ẽ ở
ầ ứ ể ượ ử ụ
ộ ng có th đ ườ ộ ớ
ạ ộ ụ ở
ườ
ẩ ờ ẽ ợ ẽ ố ệ ẽ ở ự ộ
ượ ậ ẽ ể
ườ
ậ ể ạ ề
c s d ng. Đ u tiên là Mail attachments: Có 2 hình th c thông th ụ mã đ c h i. Mã này s luôn luôn n trong m t file đính kèm trong email. V i m c ẽ đích là m t user không nghi ng s click hay m file đó, ví d virus IloveYou, sâu ng h p này file đính kèm tên là AnnaKournikova.jpg.vbs. Anna Kournikova( trong tr N u tên file đó b c t b t thì nó s gi ng nh file jpg và user s không chú ý ph n ầ ư ị ắ ớ ế ừ ng t , bao g m g i m t file đánh l a m r ng .vbs). Th hai cũng có hi u qu t ồ ả ươ ứ ở ộ c l p k ho ch đ làm t c ngh n h th ng h i user đ xóa file h p pháp. Chúng đ ệ ố ế ắ ể ạ ợ ỏ i nh n chuy n mail b ng cách báo cáo m t s đe d a không t n t ể i và yêu c u ng ồ ạ ầ ọ ộ ự ằ ộ t c b n và đ ng nghi p c a h . Đi u này có th t o ra m t ti p m t b n sao đ n t ệ ủ ọ ế ấ ả ạ ộ ả hi u ng g i là hi u ng qu c u tuy t. ệ ứ ọ ế ệ ứ ả ầ ồ ế
ẹ ể ộ ữ ệ ạ
ẳ ạ ộ ư ệ
ộ ộ
c s d ng cá nhân t ng t ể ươ ự ớ ề
v i password đ ố ẽ ề ề
ọ ử ụ và password đ truy xu t vào h ể ị ỉ ượ ử ụ ớ ợ ệ
ả ra d li u nh y c m, Websites: M t m u m o đ làm cho user không chú ý đ l ể ư ể ạ i n i làm vi c. Ví d , m t website có th t o ch ng h n nh password h s d ng t ọ ử ụ ụ ộ ạ ơ ra m t cu c thi h c u, đòi h i user đi n vào đ a ch email và password. Password ề ỏ ư ấ ệ i n i làm vi c. đi n vào có th t ạ ơ i n i làm Nhi u nhân viên s đi n vào password gi ng v i password h s d ng t ạ ơ vi c, vì th social engineer có username h p l ệ ấ ế th ng m ng t ch c. ổ ứ ệ ố ạ
ợ ạ ượ
ặ ng h p này n n nhân đ ư ả c thuy t ph c t ế ệ ệ
ụ ặ
ụ ả ề ấ ủ ầ ề ẽ ượ ặ ề ạ
ể ử ụ ư i m t ch ộ ướ ng trình đ c h i ng y trang d ạ ươ ươ ộ
Interesting Software: Trong tr i v và ườ ng trình hay ng d ng h u ích nh c i thi n hi u su t c a CPU, cài đ t các ch ữ ứ ươ RAM, ho c các ti n ích h th ng ho c nh m t crack đ s d ng các ph n m m có ư ộ ệ ệ ố c cài b n quy n. Và m t Spyware hay Malware ( ch ng h n nh Keylogger) s đ ẳ ộ ả ợ ng trình h p đ t thông qua m t ch ụ ộ ặ pháp.
5. Các b
c t n công trong Social
ướ
ấ
Engineering
ậ
5.1. ộ
Thu th p thông tin ủ ữ
ầ ễ ủ
ủ ậ ch c có khuynh h ch c và nhân viên trong t ứ ng đ a quá nhi u thông tin lên website c a h ướ ư
c kinh doanh. Thông tin này th ứ ư ế ượ ả ộ
ng mô t ườ ệ ổ ứ ầ ủ ư ầ ấ ố
ấ ả ế
M t trong nh ng chìa khóa thành công c a Social Engineering là thông tin. Đáng ng c ạ ổ nhiên là d dàng thu th p đ y đ thông tin c a m t t ộ ổ ủ ọ ch c đó. Các t ề nh là m t ph n c a chi n l hay đ a ra ư các đ u m i nh là các nhà cung c p có th ký k t; danh sách đi n thoai và email; và ế ể đâu. T t c thông tin này có th là ch ra có chi nhánh hay không n u có thì chúng ể ở ỉ ấ ti m năng, nh ng nó cũng có th b s d ng trong t n h u ích v i các nhà đ u t ể ị ử ụ ữ ầ ư ề ư ớ
ữ ứ ể ổ
ồ ơ ứ ế ể
ẻ ấ ượ ể ế
ch c ném đi có th là ngu n tài ư ụ c các thông tin quan tr ng. M c ọ t đ làm ra ố ể ủ ẻ ấ ướ
,… công Social Engineering. Nh ng th mà các t nguyên thông tin quan tr ng. Tìm ki m trong thùng rác có th khám phá hóa đ n, th ọ t , s tay,.. có th giúp cho k t n công ki m đ ừ ổ đích c a k t n công trong b ể v là nhân viên, nhà cung c p, đ i tác chi n l ấ ẻ c này là hi u càng nhi u thông tin càng t ề c h p l ế ượ ợ ệ ố
ọ
ố ượ ượ ậ ế c t p h p, k t n công tìm ki m đi m y u ẻ ấ ể ế ợ
ch c đó.
5.2. Ch n m c tiêu ụ ng thông tin phù h p đã đ Khi kh i l ợ đáng chú ý trong nhân viên c a t ủ ổ ứ
ệ ậ
ng là nhân viên h tr k thu t, đ ườ ổ ể ư ự ụ ổ ợ ỹ ả
ể ế ẻ ấ ạ ợ ạ ấ
ượ ậ ạ ạ ả ậ ẻ ấ ể ậ ậ ộ
M c tiêu thông th c t p luy n đ đ a s giúp ụ đ và có th thay đ i password, t o tài kho n, kích ho t l i tài kho n,… M c đích ỡ ệ c a h u h t k t n công là t p h p thông tin nh y c m và l y m t v trí trong h ậ ủ ầ th ng. K t n công nh n ra là khi chúng có th truy c p, th m chí là c p đ khách, ố thì chúng có th nâng quy n lên, b t đ u t n công phá ho i và che gi u v t. ắ ầ ấ ả ộ ị ấ ế ề ể ấ ạ
ợ ụ
ữ ệ ữ ể ả
ề ả ợ
Tr lý administrator là m c tiêu k ti p. Đó là vì các cá nhân này có th ti p c n v i ớ ể ế ậ các d li u nh y c m thông th ị c l u chuy n gi a các thành viên qu n tr ả ượ ư ạ ủ ọ c p cao. Nhi u các tr lý này th c hi n các công vi c hàng ngày cho qu n lý c a h ấ mà các công vi c này yêu c u đ c quy n tài kho n c a ng ế ế ng đ ệ ề ệ ả ủ ườ ự ặ i qu n lý. ả ườ ệ ầ
5.3.
ng d a trên cái mà chúng ta g i đó là “s l ườ ự ườ ự ọ ạ ng g t”.
T n công ấ S t n công th c t thông th ự ế G m có 3 lo i chính:
ự ấ ồ ạ
ự ẻ ấ ộ
ể ườ ạ ấ ủ ề
ư ế ặ ặ
ẻ ấ
ấ ả ế ẽ ử ụ ườ ề ọ ủ
v trí mà d
ể ề ọ
1. Ego attack: trong lo i t n công đ u tiên này, k t n công d a vào m t vài ầ i. T t c chúng ta thích nói v chúng ta đ c đi m c b n c a con ng ơ ả ặ ệ t ho c chúng ta đang làm ho c hi u thông minh nh th nào và chúng ta bi ch nh công ty ra sao. K t n công s s d ng đi u này đ trích ra thông tin ỉ ể ườ ả i c m ng ch n n n nhân là ng n n nhân c a chúng. K t n công th t ạ ẻ ấ ừ ạ i tài th y b đánh giá không đúng m c và đang làm vi c ướ ệ ở ị ứ ấ năng c a h . K t n công th ng có th phán đoán ra đi u này ch sau ỉ ườ m t cu c nói chuy n ng n. ẻ ấ ệ ị ủ ộ ắ ộ
ạ ấ ẻ ấ
ả ờ 2. Sympathy attacks: Trong lo i t n công th hai này, k t n công th ớ ủ ậ ự ộ ứ ặ
ặ ố ả
ng ườ v là nhân viên t p s , m t nhà th u, ho c m t nhân viên m i c a m t ộ ộ ầ ố c, nh ng ng i này x y ra tình hu ng ườ ữ ế ượ ệ ệ gi nhà cung c p ho c đ i tác chi n l khó x và c n s giúp đ đ th c hi n xong nhi m v . ụ ỡ ề ự ấ ầ ự ử
ủ ướ c thu th p tr nên rõ ràng ở đây, khi k t n công s ẻ ấ ậ ở
ừ
S quan tr ng c a b ọ ự t o ra s tin c y v i n n nhân b ng cách dùng các t ằ ạ h p ho c th hi n ki n th c v t ứ ề ổ ứ ợ ớ ạ ế ậ ể ệ ẽ chuyên ngành thích v là h n đang ắ ch c. K t n công gi ẻ ấ ự ặ ả ờ
ộ ả ầ ụ
ớ ể
ớ ả ng h p yêu c u s đ ị ườ ậ ợ
ấ
ặ ấ ườ
ư b n và ph i hoàn thành m t vài nhi m v mà yêu c u truy xu t, nh ng ấ ệ ậ h n không th nh username và password,… M t c m giác kh n c p luôn ẩ ấ ộ ả ắ i là thông c m nên luôn là ph n trong k ch b n. V i b n tính con ng ả ả ầ ườ ẻ ấ c ch p nh n. N u k t n trong h u h t các tr ế ấ ầ ẽ ượ ế ầ ắ ẽ công th t b i khi l y truy xu t ho c thông tin t m t nhân viên, h n s ừ ộ ấ ấ ạ ti p t c c g ng cho đ n khi tìm th y ng i thông c m, ho c cho đ n khi ế ụ ố ắ ế ặ ả ế h n nh n ra là t ậ ắ ch c nghi ng . ờ ổ ứ
ứ
ề ư
3. Intimidation attacks: V i lo i th ba, k t n công gi ẻ ấ ớ ng trong t ưở ộ ị ạ ườ ị ủ ạ
ằ ẻ ấ ậ ư ầ ạ ộ
ấ ế ệ ố ặ ả ổ
v là là m t nhân ả ờ ộ ch c. K t n công i có nh h v t có quy n, nh là m t ng ẻ ấ ổ ứ ả ậ s nh m vào n n nhân có v trí th p h n v trí c a nhân v t mà h n gi ả ấ ắ ơ ẽ i v . K t n công t o m t lý do h p lý cho các yêu c u nh thi ế ậ ạ t l p l ợ ờ ạ password, thay đ i tài kho n, truy xu t đ n h th ng, ho c thông tin nh y c m.ả
6. Các ki u t n công ph bi n
ể ấ
ổ ế
Insider Attacks
ượ c cách nào đ t n công vào t ể ấ
ch c, s l a ch n t ự ự ộ ổ ứ ế
6.1. ộ ế ấ ế ấ
ể ể ộ ấ ặ ầ
ế ấ ớ ế ạ ữ ộ
ượ ự ể ậ
i Vi ạ
ọ ố t N u m t hacker không tìm đ nh t ti p theo đ xâm nh p là thuê m t nhân viên, ho c tìm ki m m t nhân viên ậ t. Đó chính là Insider đang b t mãn, đ làm n i gián, cung c p các thông tin c n thi ệ Attack – t n công n i b . Insider Attack có m t th m nh r t l n, vì nh ng gián đi p ấ này đ do trong c phép truy c p v t lý vào h th ng công ty, và di chuy n ra vào t ệ ố t Nam, đó chính là v t n công vào Vietnamnet công ty. M t ví d đi n hình t ụ ấ ệ ộ (năm 2010) đ ượ c cho r ng có liên quan đ n s rò rĩ các thông tin n i b . ộ ộ ế ự ộ ộ ộ ậ ụ ể ằ
ộ ể ộ ộ ự ủ
ng th p kém, và anh ta mu n có m c l ứ ươ ứ ươ ấ ố
ể
ề ề ợ ố
M t ki u khác c a t n công n i b , là chính s phá đám c a các nhân viên. Nh ng ữ ơ ng cao h n. nhân viên làm vi c v i m c l ứ ươ B ng cách xâm nh p vào CSDL nhân s công ty, anh ta có th thay đ i m c l ng ổ ự ằ c a mình. Ho c m t tr ng h p khác, nhân viên mu n có ti n nhi u h n, b ng cách ằ ơ ủ đánh c p các b ng k ho ch kinh doanh mang bán cho các công ty khác. ủ ấ ệ ớ ậ ộ ườ ế ạ ặ ả ấ
ộ ộ
ạ ự ấ
ả ệ ố
ố ườ ế ấ
ố ể ấ ầ t đ ế ượ
ả ấ
ộ ố ộ
ả ầ ố ị
ể ấ ạ i mình, đi u này thiên v ề ộ ạ ế ả
i s t n công n i b B o v , ch ng l ệ Phòng ch ng ki u t n công này th t s r t khó. Vì nó không có liên quan đ n h ế ậ ự ấ i. Chúng ta th ng máy móc, ph n m m, mà liên quan đ n v n đ tâm lý con ng ề ề c khi nào nhân viên ph n b i, hay là anh y b mua chu c, ép không th đoán bi ộ ị ể ể bu c ph i tham gia vào cu c t n công. Đ phòng ch ng ki u này, đòi h i c t p th ỏ ả ậ ộ ấ ể ả công ty có tinh th n đoàn k t cao, v giám đ c, nhà lãnh đ o ph i th u hi u tâm lý ể ế ề c a nhân viên. Làm th nào đ nhân viên không ph n b i l ể ủ ngh thu t ng x . ử ậ ứ
ệ
ộ ổ ứ
ữ ộ ộ ớ
ầ
t k và tri n khai đ phát hi n các m i đe d a t ậ ể ệ ố
ộ ấ ệ ả ị
ể ố ch c thuê nhân viên an ninh, và đ t ra nh ng chính sách đ ch ng ặ ệ bên ngoài, mà ít khi đ phòng đ n n i b bên trong. V i các h ế ượ c ế bên ngoài. Tuy nhiên, đi u đó ọ ừ ộ t c , IDS cũng có giá tr trong vi c phát hi n các cu c t n công n i ệ t cách khai thác. ng thì m t t Th ườ cu c t n công t ộ ấ ề ừ th ng phát hi n xâm nh p (intrusion detection systems - IDS), h u h t chúng đ ố ệ thi ề ể ế ế không ph i là t ấ ả b , n u nh nhân viên an ninh bi ộ ế ư ế
Identity Theft
ặ ộ
ệ ố ủ ỹ ậ
ế ợ ể
ệ ố ệ ạ ả ậ
6.2. M t hacker có th gi ể ả ộ đ thâm nh p vào h th ng. Thông tin đ ượ ể Diving ho c Shoulder Surfing k t h p v i vi c t o ID gi ớ ặ hacker xâm nh p vào t ổ ứ ậ b ph n đ i gì h t nh th đ ư ế ượ ố ị ả
danh m t nhân viên ho c ăn c p danh tính c a m t nhân viên ộ ấ c thu th p thông qua k thu t Dumpster ậ ậ (fake ID) có th giúp các ệ ạ ch c. Vi c t o tài kho n xâm nh p vào h th ng mà không ả ộ c ví von là ăn tr m h p pháp (Identity Theft) ợ ế
ế ụ
Phishing Attacks ườ
ẻ
ườ ậ
ố
ượ ế ắ
ộ ấ ụ ị
ỉ ế ườ ồ
ng, h ch bi ọ ố ữ ầ
6.3. ụ ng m c tiêu là ngân hàng, công ty th tín d ng, V l a đ o liên quan đ n email, th ụ ừ ả i nh n xác nh n thông tin ngân ch c liên quan tài chính. Email yêu c u ng ho c t ầ ậ ặ ổ ứ ng link trong i dùng click vào m t đ i email, mã s PIN. Ng hàng, ho c đ t l ộ ườ ườ ặ ạ ặ i m o. Hacker n m b t thông tin có l email, và đ ợ c d n đ n m t trang web gi ộ ắ ả ạ ẫ cho m c đích tài chính ho c chu n b cho m t cu c t n công khác. Trong các cu c ộ ẩ ộ ặ ữ t cung c p nh ng i dùng bình th t n công, con m i là nh ng ng ấ ườ ấ thông tin mà hacker yêu c u. Vì v y, phía c n phòng ch ng là các công ty cung c p ấ ầ ậ ể ả ạ m o. d ch v , làm sao cho hacker không th gi ị
ụ
6.4. Online Scams ộ ố
ấ ứ ể ặ ả ặ
ậ
ộ ạ ậ ể ử ụ ệ ố ủ
, khi n n nhân nh p vào các thông tin trên website. t vài th gì đó, có th thu M t s trang web cung c p mi n phí ho c gi m giá đ c bi ễ ệ ể ng dùng h ng ngày đ hút m t n n nhân đăng nh p b ng username và password th ằ ườ ằ đăng nh p vào h th ng máy tính c a công ty. Các hacker có th s d ng tên ng ườ i dùng và m t kh u h p l ậ ợ ệ ậ ẩ ạ
ữ ữ ứ ạ
ạ ng trình keylogger đ ch p l ươ ạ ể ử ụ ạ ộ ể ậ ẩ
c đính kèm vào email đ d d ng ể ụ ỗ ườ
ộ ứ ụ ướ ể ượ ộ ể ụ ạ ế ấ
Đình kèm vào email nh ng đo n mã đ c h i đ g i cho n n nhân, nh ng th đó có i m t kh u. Virus, trojan, worm là th là m t ch ể i dùng m file. Trong nh ng th khác có th đ ở ữ ví d d i đây mà m t email b t chính, dùng đ d n n nhân m m t liên k t không ở ộ an toàn.
ng t ậ ươ ộ ỹ ự
ộ ử ổ ẹ i m i ng ờ ễ ộ
Pop-up windows cũng là m t k thu t t pop-up s m ra v i l ớ ờ ẽ ở ộ ạ d mà n n nhân vô tình cài vào m t mã đ c h i. ạ ạ . Trong cách th c này, m t c a s ứ i dùng cài vào máy tính m t ph n mi n phí. Vì nh ầ ườ ộ
6.5. URL Obfuscation ượ ử ụ
ị ườ ệ ể
ỉ ủ ặ ả ạ ậ ệ
ẩ ụ ị
ị ệ ng đ ụ ể ỉ ộ ị ấ
ỉ ợ ử ụ ể
ộ ấ ợ ộ ơ ớ
ộ c s d ng trong thanh đ a ch c a trình duy t đ truy c p vào m t URL th m o URL xu t hi n trên các trang web c th . URL Obfuscation là làm n ho c gi ấ ỉ http://204.13.144.2/Citibanj có thể thanh đ a ch m t cách h p pháp. Ví d đ a ch ợ thì không. xu t hi n là đ a ch h p pháp cho ngân hành Citibank, tuy nhiên th c t ự ế URL Obfuscation s d ng đ làm cho cu c t n công và l a đ o tr c tuy n tr nên ở ế ụ h p pháp h n. M t trang web xem qua thì h p pháp v i hình nh, tên t i c a công ty, ợ ủ ủ nh ng nh ng liên k t trong đó s d n đ n nh ng trang web c a hacker. ẽ ẫ ư ừ ả ả ủ ữ ữ ế ế
ể ả ạ ữ ấ ẩ
ế ệ ị ườ
https://ebay.com Khác bi t là ch ủ i d ng b t c n. Ví d b n vào trang ụ ạ ng. Tuy nhiên, b n đã vào trang ạ ổ ệ ở
Vi c gi m o có th nh m đ n nh ng ng ườ ụ ắ ệ web http://ebay.com và th c hi n giao d ch bình th ự gi m o c a hacker, vì trang web c a ebay là giao th c http và https ả ạ ủ ứ
7. Các m i đe d a Social Engineering
ọ
ố
7.1. Online Threats
ạ ế ố
ụ ụ ể ự ế ố ể ứ ự ộ ả
S phát tri n m nh m c a internet, nhu c u k t n i máy tính đ ph c v cho công ự ầ vi c, đáp ng các yêu c u thông tin t ơ ệ h i giúp các hacker ti p c n v i nhân viên. Các ho t đ ng t n công nh email, pop- ộ đ ng c outsite và inside. S k t n i này là c ấ ẽ ủ ầ ế ậ ạ ộ ư ớ
ủ
ụ ọ ớ
ữ ư ễ
ộ c nh ng thông tin c n thi t, chu n b cho m t cu c t n công m nh m ể ộ ấ ượ ế ạ ị
ẩ ữ ế ả ờ
up windows, instant message s d ng trojan, worm, virus...gây thi t h i và phá h y tài ệ ạ ử ụ ấ nguyên máy tính. Social engineer ti p c n v i nhân viên và thuy t ph c h cung c p ế ế ậ thông tin, thông qua nh ng m u m o, h n là làm nhi m malware cho máy tính thông ơ ẹ qua t n công tr c ti p. M t cu c t n công Social engineering có th giúp cho hacker ấ ộ ấ ẽ thu th p đ ầ ậ ộ khác sau đó. Vì th , ph i có l i khuyên và nh ng khuy n cáo cho nhân viên, là làm th nào đ nh n di n và tránh các cu c t n công Social engineering tr c tuy n. ộ ấ ự ế ữ ế ệ ể ậ ự ế ế
Email (Email Threats): Nhi u nhân viên nh n đ ố ề
ậ c các ho t đ ng kinh doanh, và t ượ ừ ệ ố ạ ộ
ể ể
ừ ả ề ạ ố ớ i g i là m t ng ườ ố ượ ứ ộ ả ạ ể ụ ỗ ạ ộ
ụ c hàng ch c Các m i đe d a t ọ ừ h th ng email hàng trăm mail m i ngày, t ỗ ng email nhi u có th làm cho vi c ki m tra email tr nên khó khăn riêng. Kh i l ở ệ h n, và m c đ c nh giác đ i v i email m o danh cũng giãm đi. Đó chính là c h i ơ ộ ơ ấ i quen đ d d n n nhân cung c p cho hacker m o danh ng ườ ử t. nh ng thông tin c n thi ế ữ ầ
ể ế ằ
ỉ ủ ộ ợ ỉ ơ ả
ử ế ộ ủ ắ
ạ ầ ọ
ự ể ậ ỉ ủ ể ế ả ố
ọ c khi nào nhân viên v ng m t. Hacker sau đó có th gi ắ
ủ M t ví d c a t n công ki u này là g i email đ n các nhân viên nói r ng ông ch ử ụ ủ ấ ộ ch c m t cu c h p. Ch đ n gi n là làm t c l ch ngh c a nhân viên đ t mu n t ể ổ ứ ố ấ ả ị ông ch . Các nhân viên vì không th n ậ cho email g i đ n nhân viên b t ngu n t ồ ừ ế ề t v tr ng nên đã cung c p thông tin yêu c u m t cách không ng n ng i. S hi u bi ộ ầ ấ l ch trình ngh c a nhân viên có th không là m i đe d a gì đ n b o m t, nh ng nó ư ị có ý nghĩ v i hacker, bi ể ả ớ d ng nhân viên v ng m t, và có th gi m thi u kh năng b phát hi n. ạ t đ ế ượ ặ ể ả ắ ả ể ệ ắ ị
ế ụ ườ ẻ
ườ ậ
ố
ượ ế ắ
ộ ấ ụ ị
ỉ ế ườ ồ
ng, h ch bi ọ ố ữ ầ
ụ ng m c tiêu là ngân hàng, công ty th tín d ng, V l a đ o liên quan đ n email, th ụ ừ ả i nh n xác nh n thông tin ngân ho c t ch c liên quan tài chính. Email yêu c u ng ậ ầ ặ ổ ứ ng link trong i dùng click vào m t đ hàng, ho c đ t l i email, mã s PIN. Ng ườ ặ ạ ộ ườ ặ i m o. Hacker n m b t thông tin có l email, và đ ợ c d n đ n m t trang web gi ộ ắ ả ạ ẫ ộ cho m c đích tài chính ho c chu n b cho m t cu c t n công khác. Trong các cu c ẩ ộ ặ t cung c p nh ng i dùng bình th t n công, con m i là nh ng ng ữ ấ ườ ấ thông tin mà hacker yêu c u. Vì v y, phía c n phòng ch ng là các công ty cung c p ấ ầ ậ ể ả ạ m o. d ch v , làm sao cho hacker không th gi ị ụ
M t ví d l a đ o n a c a k thu t này là email sau đây: ụ ừ ả ữ ủ ỹ ậ ộ
ể ỹ ơ ữ ự ệ ậ
ấ ậ ử ụ
ậ ự ủ ậ ự
t: Dòng ch trong dòng link trên Nhìn k h n chúng ta có th nh n th y 2 s khác bi ử ch ra là trang web này b o m t, s d ng https, m c dù link th t s c a trang web s ặ ả ỉ d ng http. Tên công ty trong mail là “Contoso”, nh ng link th t s thì tên công ty g i ọ ư ụ là “Comtoso”
ạ
ỉ ụ
ộ ộ ử ụ ệ ạ ẳ
ặ ứ ự ủ
ệ ạ ộ ủ
ọ ẽ ử ụ ể ề
ề ấ ộ
ộ ỗ ự ụ ườ ữ ộ
ể ắ ầ ủ ặ ấ
Các ng d ng pop-up và h p h i tho i( Pop-Up Applications and Dialog Boxes): ụ ứ ệ ủ các nhân viên s d ng internet không ch cho m c đích làm vi c c a Không th c t ự ế công ty. H u h t nhân viên duy t Web cho các lý do cá nhân, ch ng h n nh mua ư ế ầ ệ s m ho c nghiên c u tr c tuy n. Thông qua trình duy t cá nhân c a nhân viên h ế ắ ặ th ng máy tính công ty có th ti p xúc v i các ho t đ ng c a Social Engineer. M c ể ế ớ ố dù đi u này có th không là m c tiêu c th c a hacker, h s s d ng các nhân viên ụ ể ủ ụ trong m t n l c đ đ t đ c quy n truy xu t vào tài nguyên công ty. M t trong ể ạ ượ ng máy tính công ty nh ng m c đích ph bi n là nhúng m t mail engine vào môi tr ổ ế thông qua đó hacker có th b t đ u phising ho c các t n công khác vào email c a cá nhân hay c a công ty. ủ
ể ứ
ạ ng th c thông th ư ấ ư ể ộ ạ ề
ụ ị ộ ụ ẳ ị ấ ị
ề ố ữ ễ ớ
ườ ộ ả ặ ệ ố ứ ẳ ở ị
ễ ị ắ ừ ươ ể ừ ể ằ ụ ạ ệ ư ứ ọ
ộ Hai ph ng đ lôi kéo user click vào m t nút b m bên trong m t ươ h p h i tho i là đ a ra m t c nh báo c a v n đ , ch ng h n nh hi n th m t thông ủ ấ ộ ộ ụ i ng d ng ho c h th ng, b ng cách đ ngh cung c p thêm d ch v - ví d , báo l ỗ ứ m t download mi n phí các ng d ng tăng t c máy tính. V i nh ng nhân viên có ộ kinh nghi m (nhân viên IT ch ng h n) không d b m c l a b i ki u l a b p này. ệ ừ Nh ng v i các user thi u kinh nghi m thì các ph ng th c này có th đe d a và l a ế ớ ượ ọ c h . đ
ừ ứ ộ
ể ề
ể ặ ự ộ
ể ả
các ng d ng pop-up Social Engineering ph n l n là m t ch c năng ứ t l p c u hình trình duy t m c ặ ệ ể ượ t ứ ượ c c khi có s ý ki n c a nhân viên ể ầ ớ ấ đ ng, nh ng m t vài pop-up có th v ộ i dùng nh n th c đ ậ ườ ủ ự t l p này. S hi u qu h n đ đ m b o r ng ng ả ơ ử ổ ế ậ ư ả ằ ướ
B o v user t ụ ệ ả c a s ý th c. Đ tránh v n đ này, b n có th thi ủ ự ạ ấ ứ đ nh s ngăn ch n pop-up và download t ẽ ị qua thi ẽ ệ ế ậ r ng h không nên b m vào c a s pop-up, tr ấ ọ ằ phòng IT.
ủ
ộ ố ố ấ ứ ủ
ầ ự ượ ẫ ủ ẽ ọ ộ
ệ ớ
ắ c hacker nh m Instant Mesaging Có m t s m i đe d a ti m tàng c a IM khi nó đ ọ ề đ n. Đ u tiên là tính ch t không chính th c c a IM. Tính tán g u c a IM, kèm theo ế m o (nickname), nghĩa là s không hoàn toàn đó là l a ch n cho mình m t cái tên gi ả ạ ế t. rõ ràng khi b n đang nói chuy n v i m t ng ằ ộ Hình minh h a d i mà b n tin r ng b n đã quen bi i đây ch ra spoofing làm vi c nh th nào, cho c e-mail và IM: ạ ọ ướ ạ ư ế ườ ệ ạ ả ỉ
ả ạ ở
t. S quen bi ậ ẽ ộ ả ế ế ườ ế ả
m o user đã bi m t ng ế ừ ộ ế ọ ườ i ẹ ở ế ặ
m t ai đó mà h bi Hacker (màu đ ) gi t và g i m t b n tin e-mail hay IM mà ng ỏ i mà h đã bi nh n s cho r ng nó đ n t t làm gi m nh ằ ự ọ s phòng th c a user, vì th h có nhi u kh năng click vào m t liên k t ho c m ả ề ủ ủ ự t – ho c h nghĩ là h bi t p tin đính kèm t ặ ọ ậ ộ t. ọ ế ừ ộ ọ ế
Telephone-Based Threats
7.2. ệ
ườ ế ậ ả
ấ ườ ổ ạ ể ệ ạ
ng mà ng ệ ố ạ
ấ ụ ọ đ ả ượ ả ấ
ụ ế t tr ế ướ ệ ọ ố ậ ấ ấ ủ ố ỹ
i ta ít quan tâm đ n vi c b o m t, cũng ít có Đi n tho i là môi tr ệ ạ hacker t n công phá h ng h th ng đi n tho i. Nh ng s d ng đi n tho i đ ph c ụ ư ử ụ ạ ế v cho m c đích t n công m ng khác thì không ph i không có. G i đi n tho i đ n ả ệ ụ c các n n, thuy t ph c h cung c p thông tin b ng m t k ch b n tình hu ng gi ộ ị ằ ạ hacker vi c, đó là chính m i đe d a l n nh t c a k thu t t n công Social ọ ớ engineering s d ng đi n tho i. ử ụ ệ ạ
ầ i ạ ở ể
ệ ấ ề ọ ạ
ộ c đây ch ph c v cho t ụ ể ướ
ộ i ph m. Nh ng nó đã b các hacker l ệ ạ ị
đó, VoIP đang d n d n phát tri n, ngày càng có nhi u doanh Không d ng l ầ ừ nghi p s d ng VoIP. Vi c t n công vào m ng VoIP đ nghe lén cu c g i là đi u ề ệ ử ụ ổ i. Vi c nghe lén cu c gói tr mà các hacker đang ti n t ế ớ ụ ỉ ch c an ninh, phòng ch ng t i d ng đ nghe lén ể ợ ụ ư ộ ố nh ng thông tin bàn th o c a các v giám đ c. ả ủ ứ ữ ố ị
ị
ấ ờ ứ ư i l ạ ợ ạ
v t đi có th ch a ể ứ ộ ả i ích t c th i cho hacker, ch ng h n nh user ID và s tài kho n ố ch c và danh sách đi n tho i. Các
7.3. Waste Management Threats Dumpster diving là m t ho t đ ng có giá tr cho hacker. Gi y t ạ ộ thông tin mang l ờ ứ ho cặ các thông tin n n nh các bi u đ t b đi,ỏ ư ề
ẳ ồ ổ ứ ể ệ ạ
ạ ắ ở
lo i thông tin này là vô giá đ i v i hacker social engineering, b i vì nó làm cho h n ta có v đáng tin khi b t đ u cu c t n công. ố ớ ộ ấ ắ ầ ẻ
ươ ữ ộ
ươ ệ ả ồ
th m chí còn h u ích h n cho hacker. N u m t công ty, ế ng ti n thông tin đĩa c ng, CD, DVD không ơ ử ụ t c các lo i thông tin trên ể ạ ổ
Ph ng ti n l u gi đi n t ữ ệ ử ậ ệ ư không có các quy t c qu n lý ch t th i bao g m s d ng các ph ả ấ ắ d th a, thì có th tìm th y t ứ ấ ấ ả ư ừ còn s d ng. ử ụ
ể ượ ầ ủ ự ủ ệ ấ ả ặ ộ
ể ả
ữ ệ ử ể ở
c coi là b t h p pháp trong m i hoàn c nh, vì th ph i đ a ra l ể i khuyên v x ả ư ấ ợ ọ ờ
ươ ng c đ y đ s tác đ ng c a vi c ném gi y th i ho c ph Nhân viên ph i ả hi u đ vào thùng rác. Sau khi di chuy n rác th i ra ngoài công ty, thì tính ti n l u tr đi n t ệ ư s h u nó có th tr thành không rõ ràng v pháp lu t. Dumpster diving có th không ậ ề ở ữ đ ề ử ế ả ượ lý rác th i.ả
• Luôn luôn c t thành mi ng nh gi y v n và xóa đi ho c phá h y các ph ắ ế ủ ụ ặ
ỏ ấ ấ ế ặ ạ
ng ươ ủ tính. N u có lo i ch t th i quá l n ho c khó đ đ t vào máy h y, ớ t quá kh năng ể ặ ậ ượ ả
ti n có t ừ ệ ả ch ng h n nh niên giám đi n tho i, ho c nó có k thu t v ạ ệ ạ ẳ c a user đ h y nó, thì ph i phát tri n m t giao th c cho vi c v t b . ệ ứ ỏ ể ủ ư ể ủ ỹ ứ ặ ộ ả
• Nên đ t các thùng rác trong vùng an toàn mà không ti p c n v i công c ng. ặ ở ế ậ ớ ộ
ạ ả ả
ả ng không chú ý v n đ này, b i vì nó th c gi ầ ề ả ả ả ị ở
đ ấ ứ ậ ượ ậ
ả ấ ng đ ượ ườ ề ấ ể ệ ệ ả ả ộ
ặ ả ủ ả ấ ạ ạ ấ ị
ữ ạ ữ ệ ứ ệ ị
Bên c nh qu n lý ch t th i bên ngoài cũng c n ph i qu n lý ch t th i bên trong. ấ đ nh Chính sách b o m t th ấ ườ r ng b t c ai c phép vào công ty ph i là đáng tin c y. Rõ ràng, đi u này không ả ằ ph i lúc nào cũng đúng. M t trong nh ng bi n pháp có hi u qu nh t đ qu n lý ự gi y th i là đ c t c a vi c phân lo i d li u. B n xác đ nh lo i gi y khác nhau d a ả trên các thông tin và ch đ nh cách th c nhân viên qu n lý s v t b c a h . Ví d có ụ ả ỉ th phân thành các lo i: Bí m t công ty, riêng t , văn phòng, công c ng... ự ứ ỏ ủ ọ ộ ư ể ạ ậ
7.4. ẻ
Personal Approaches ấ
ả ấ
ế Cách r nh t và đ n gi n nh t cho hacker l y thông tin là h i tr c ti p. Cách ti p ơ và rõ ràng, nh ng nó n n t ng c a các th đo n đánh l a bí c n này có v thô l ậ ấ ề ả ỏ ự ủ ế ạ ư ừ ủ ẻ ỗ
m t. ậ Có 4 cách ti p c n chính minh ch ng thành công c a social ế ậ ủ ứ engineer:
S đe d a: cách ti p c n này có th bao g m s m o danh m t ng ự ạ ự ể ế ậ ọ ộ ồ ườ ẩ i có th m
ầ ộ quyền để ép bu c m c tiêu làm theo yêu c u. ụ
ế ủ ự ứ ụ ế ồ ị
S thuy t ph c: hình th c thông th ng c a s thuy t ph c g m có n nh hót hay ụ ự b ng cách nói r ng mình quen toàn nh ng nhân v t n i ti ng. ằ ậ ổ ế ườ ữ ằ
i c p d ộ ườ ấ ủ ế ộ ơ
ạ ệ ể ấ ậ ự ướ i ừ ệ ậ ộ
S m n m : cách ti p c n này là m t th đo n dài h i, trong đó ng ự ế ho c đ ng nghi p xây d ng m t m i quan h đ l y lòng tin, th m chí, thông tin t ặ ồ ố m c tiêu. ụ
ớ ự ợ ậ ỏ ẵ
t l ế ộ ế ụ ỏ ra s n sàng giúp m c tiêu. S tr giúp ụ ậ ra thông tin cá nhân giúp hacker đánh c p nh n ự ợ ắ
S tr giúp: v i cách ti p c n này, hacker t này cu i cùng đòi h i m c tiêu ti d ng c a m c tiêu. ạ ố ủ ụ
ố ạ ả ệ ữ ế ậ ấ
ề ể ộ
ứ ủ ả ủ ồ
ậ
t nh t giúp h nâng cao nh n th c, ch ng l i ki u t n công này. B o v user ch ng l ạ ủ thu c khá nhi u vào nh n th c c a nhân viên. Vi c phát tri n m t môi tr ộ vi c c ng đ ng tin c y s làm gi m m c đ thành công c a hacker. Th ườ ệ ộ t ch c nh ng ch ổ ứ ấ cách t ố Nó phụ i nh ng lo i c a ti p c n cá nhân thì r t khó khăn. ng làm ậ ườ ệ ng xuyên ậ ẽ ng trình t p hu n v m c đ r i ro c a an ninh cho nhân viên là ươ ọ ứ ộ ề ứ ộ ủ ố ủ ể ấ ữ ấ ứ ạ ậ
7.5. ộ
Reverse Social Engineering ứ
ả ế
ng. Hình th c này có th mô t ườ ứ ể ả ộ
ỏ ườ ự ể ơ ẻ ấ ả
c c p cho anh ta, th đã đ c đó i quy t các khó khăn ph bi n c a ổ ế ủ ủ là m t user h p pháp c a ợ ị c cho là có v i th c s là m c tiêu. Đ th c hi n m t t n công ể ự ộ ấ t v h th ng và luôn luôn ph i có quy n truy ề ườ ng ng là do social engineering bình th ự ự ụ ế ề ệ ố ườ ượ ấ
Là m t hình th c cao h n social engineering, gi ơ social engineering bình th h th ng h i hacker các câu h i cho thông tin. Trong RSE, hacker đ ượ ỏ ệ ố trí cao h n user h p pháp, ng ệ ợ RSE, k t n công ph i có s hi u bi ả xu t tr ấ ướ ti n hành. ế
ồ ự
ấ ạ ể ề ầ ằ ự ươ ạ ự ệ
ẻ
ỗ ọ
c user g i t ạ ế ả
c l ự ả ẻ
ể ạ ấ i đ ườ ượ ẻ ấ i. S qu ng bá có th bao g m đ t các th kinh doanh gi ồ ự ả ấ ặ ố ệ ậ ạ
T n công RSE tiêu bi u bao g m 3 ph n chính: s phá ho i, s qu ng cáo, s giúp ả ấ ng ti n khác, hacker phá ho i đ . Sau khi đ t quy n truy xu t b ng các ph ạ ỡ ớ ự workstation b ng cách làm h station, ho c làm cho nó có v là h h ng. V i s ư ỏ ư ặ ằ ả i, chuy n các tham s /tùy ch n, ho c ch phong phú các thông báo l ng trình gi ặ ươ ố i s d ng th y các tr c tr c và sau đó tìm m o có th th c hi n vi c phá ho i. Ng ặ ụ ườ ử ụ ệ ệ ể ự ắ i, k t n công ph i qu ng bá là h n ki m s giúp đ . Đ là ng ả ọ ớ ể ỡ ta có kh năng s a đ ả ể ử ượ ỗ m o xung quanh các văn phòng hay th m chí cung c p s đi n tho i đ g i đ n ạ ể ọ ế trong thông báo l i. ỗ
ố ố
ệ c ph ượ ỹ
ủ ế ấ
cách c a con ng ủ ề ấ ườ ư
8. Bi n pháp đ i phó Social Engineering ng pháp đ i phó v i Social Engineering là đi u r t quan Đ xác đ nh đ ươ ấ ớ ị ể tr ng trong các k thu t phòng th và t n công. Nó có liên quan đ n v n đ v xã ậ ề ề ọ h i nên vi c phòng ch ng nó có chút r c r i v cách t ộ i. Có m t ắ ố ề ố ộ s cách đ làm đi u này. ố
ệ ể ề
ủ ệ ố ấ
ế ị ề ớ ạ ữ ậ ạ ặ ị
Chính sách (policy) an ninh trong công ty quy t đ nh v n đ an toàn c a h th ng. ề i h n quy n truy c p cho các nhân viên trong B n c n đ t ra nh ng quy đ nh, gi ầ công ty.
trách các r i ro tr ấ ể ủ ạ t. Khi nhân viên c a b n t cho nhân viên v an ninh là đi u r t c n thi ế ệ ủ t c a c khi có s can thi ự ướ ề ấ ầ ủ ề ọ ẽ ự
Hu n luy n t ệ ố hi u ra các v n đ an ninh, h s t ề ấ phòng an ninh.
ấ ỹ
i. S l ườ ế ư ưở ủ ế i cũng không kém quan tr ng. Vì k thu t t n công này ch y u ậ ấ là c a nhân viên, s m t lòng tin c a nhân ng con ng ự ấ ự ơ ườ ủ
V n đ v con ng ọ ề ề liên quan đ n t t ủ viên cũng là nguy c m t an toàn cho h th ng. ơ ấ ệ ố
ộ ự ả ợ ị
ậ ườ ữ ệ ộ ị
ủ Xây d ng m t framework qu n lý an ninh: Ph i xác đ nh t p h p các m c đích c a ụ ả an ninh social engineering và đ i ngũ nhân viên nh ng ng i ch u trách nhi m cho vi c phân ph i nh ng m c đích này. ữ ụ ệ ố
ủ ộ ủ ứ ọ ộ
ể ệ ộ ố ả ọ ố
Đánh giá r i ro: Các m i đe d a không th hi n cùng m t m c đ r i ro cho các ợ i m i m t m i đe d a social engineering và h p công ty khác nhau. Ta ph i xem xét l ỗ ạ ch c. lý hóa m i nguy hi m trong t ể ổ ứ ố
ể ả ộ
ủ ụ ử ể ị
ả ị ướ ả
ệ ạ ế ậ ả
t l p các Social engineering trong chính sách an ninh: Phát tri n m t văn b n thi ế ậ chính sách và th t c quy đ nh nhân viên x trí tình hu ng mà có th là t n công ấ ố ữ đ nh là chính sách b o m t đã có, bên ngoài nh ng social engineering. B c này gi ậ m i đe d a c a social engineering. N u hi n t i không có chính sách b o m t, thì ọ ủ ố c n ph i phát tri n chúng. ầ ể ả
ổ B n c n n m v ng các n i dung sau đây tr
c khi h c ti p ch ng sau:
9. T ng K t ế ọ ế ướ
ạ ầ ữ ắ ộ ươ
• Social engineering là k thu t xã h i, dùng m i quan h con ng i đ thu ệ ậ ộ ố ườ ể
th p tin c n thi t ph c v cho nh ng cu c t n công phía sau. ậ ầ ế ộ ấ ữ ỹ ụ ụ
• Quan tr ng nh t trong k thu t này là d a vào đi m y u c a con ng i. ế ủ ự ể ậ ấ ọ ỹ ườ
• Các b c th c hi n m t cu c t n công Social engineering là: Thu th p thông ộ ộ ấ ệ ậ
ự tin, ch n m c tiêu, t n công. ụ ướ ọ ấ
• Các ki u t n công ph bi n có th k đ n nh : Insider Attack, Indentify ể ể ế ể ấ ư
ổ ế Theft, Online Scam, Phising…
• Và cu i cùng là đ phòng ch ng l ố ể ấ ể ạ ố
ủ ạ ụ
i ki u t n công này, không có cách nào hi u qu b ng cách giáo d c cho nhân viên c a b n nh ng thù đo n l a đ o ạ ừ ả ả ằ ữ ể c nh giác. đ h t ể ọ ự ả
•
