Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩ các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên. Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có tiền nhiều hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho các công ty khác.
18 trang |
Chia sẻ: maiphuongdc | Lượt xem: 3472 | Lượt tải: 5
Bạn đang xem nội dung tài liệu Bài giảng Social Engineering, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
được.”
Alice: ”Password của tôi à?uhm..”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”
Điểm yếu của mọi người
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.
Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.
Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao.
Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
Phân loại kỹ thuật tấn công Social engineering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
Human-Based Social Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên helpdesk cung cấp lại.
Computer-Based Social Engineering
Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau:
Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.
Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.
Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.
Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết.
Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.
Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.
Các bước tấn công trong Social Engineering
Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
Chọn mục tiêu
Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó.
Mục tiêu thông thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.
Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.
Tấn công
Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”. Gồm có 3 loại chính:
Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ.
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ.
Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.
Các kiểu tấn công phổ biến
Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩ các thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên. Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có tiền nhiều hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán cho các công ty khác.
Bảo vệ, chống lại sự tấn công nội bộ
Phòng chống kiểu tấn công này thật sự rất khó. Vì nó không có liên quan đến hệ thống máy móc, phần mềm, mà liên quan đến vấn đề tâm lý con người. Chúng ta không thể đoán biết được khi nào nhân viên phản bội, hay là anh ấy bị mua chuộc, ép buộc phải tham gia vào cuộc tấn công. Để phòng chống kiểu này, đòi hỏi cả tập thể công ty có tinh thần đoàn kết cao, vị giám đốc, nhà lãnh đạo phải thấu hiểu tâm lý của nhân viên. Làm thế nào để nhân viên không phản bội lại mình, điều này thiên về nghệ thuật ứng xử.
Thường thì một tổ chức thuê nhân viên an ninh, và đặt ra những chính sách để chống cuộc tấn công từ bên ngoài, mà ít khi đề phòng đến nội bộ bên trong. Với các hệ thống phát hiện xâm nhập (intrusion detection systems - IDS), hầu hết chúng được thiết kế và triển khai để phát hiện các mối đe dọa từ bên ngoài. Tuy nhiên, điều đó không phải là tất cả, IDS cũng có giá trị trong việc phát hiện các cuộc tấn công nội bộ, nếu như nhân viên an ninh biết cách khai thác.
Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các hacker xâm nhập vào tổ chức. Việc tạo tài khoản xâm nhập vào hệ thống mà không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp (Identity Theft)
Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử dụng tên người dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm là những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file. Trong ví dụ dưới đây mà một email bất chính, dùng để dụ nạn nhân mở một liên kết không an toàn.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn phí. Vì nhẹ dạ mà nạn nhân vô tình cài vào một mã độc hại.
URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các thanh địa chỉ một cách hợp pháp. Ví dụ địa chỉ có thể xuất hiện là địa chỉ hợp pháp cho ngân hành Citibank, tuy nhiên thực tế thì không. URL Obfuscation sử dụng để làm cho cuộc tấn công và lừa đảo trục tuyến trở nên hợp pháp hơn. Một trang web xem qua thì hợp pháp với hình ảnh, tên tủi của công ty, nhưng những liên kết trong đó sẽ dẫn đến những trang web của hacker.
Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ bạn vào trang web và thực hiện giao dịch bình thường. Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là https://ebay.com Khác biệt là ở chổ giao thức http và https
Các mối đe dọa Social Engineering
Online Threats
Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho công việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối này là cơ hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, pop-up windows, instant message sử dụng trojan, worm, virus...gây thiệt hại và phá hủy tài nguyên máy tính. Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp. Một cuộc tấn công Social engineering có thể giúp cho hacker thu thập được những thông tin cần thiết, chuẩn bị cho một cuộc tấn công mạnh mẽ khác sau đó. Vì thế, phải có lời khuyên và những khuyến cáo cho nhân viên, là làm thế nào để nhận diện và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn hơn, và mức độ cảnh giác đối với email mạo danh cũng giãm đi. Đó chính là cơ hội cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những thông tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ông chủ muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc hợp. Chỉ đơn giản là làm cho email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không thận trọng nên đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình nghỉ của nhân viên có thể không là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
Một ví dụ lừa đảo nữa của kỹ thuật này là email sau đây:
Nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link trên chỉ ra là trang web này bảo mật, sử dụng https, mặc dù link thật sự của trang web sử dụng http. Tên công ty trong mail là “Contoso”, nhưng link thật sự thì tên công ty gọi là “Comtoso”
Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích làm việc của công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như mua sắm hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân của nhân viên hệ thống máy tính công ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc dù điều này có thể không là mục tiêu cụ thể của hacker, họ sẽ sử dụng các nhân viên trong một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục đích phổ biến là nhúng một mail engine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising hoặc các tấn công khác vào email của cá nhân hay của công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân viên có kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa bịp này. Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể đe dọa và lừa được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ không nên bấm vào cửa sổ pop-up, trước khi có sự ý kiển của nhân viên phòng IT.
Instant Mesaging Có một số mối đe dọa tiềm tàng của IM khi nó được hacker nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, kèm theo đó là lựa chọn cho mình một cái tên giả mạo (nickname), nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đã quen biết. Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM:
Hacker (màu đỏ) giả mạo user đã biết và gởi một bản tin e-mail hay IM mà người nhận sẽ cho rằng nó đến từ một người mà họ đã biết. Sự quen biết làm giảm nhẹ sự phòng thủ của user, vì thế họ có nhiều khả năng click vào một liên kết hoặc mở tập tin đính kèm từ một ai đó mà họ biết – hoặc họ nghĩ là họ biết.
Telephone-Based Threats
Điện thoại là môi trường mà người ta ít quan tâm đến việc bảo mật, cũng ít có hacker tấn công phá hổng hệ thống điện thoại. Nhưng sử dụng điện thoại để phục vụ cho mục đích tấn công mạng khác thì không phải không có. Gọi điện thoại đến nạn, thuyết phục họ cung cấp thông tin bằng một kịch bản tình huống giả được các hacker viết trước, đó là chính mối đe dọa lớn nhất của kỹ thuật tấn công Social engineering sử dụng điện thoại.
Không dừng lại ở đó, VoIP đang dần dần phát triển, ngày càng có nhiều doanh nghiệp sử dụng VoIP. Việc tấn công vào mạng VoIP để nghe lén cuộc gọi là điều mà các hacker đang tiến tới. Việc nghe lén cuộc gói trước đây chỉ phục vụ cho tổ chức an ninh, phòng chống tội phạm. Nhưng nó đã bị các hacker lợi dụng để nghe lén những thông tin bàn thảo của các vị giám đốc.
Waste Management Threats
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại. Các loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương tiện lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty
Các file đính kèm theo tài liệu này:
- module_social_engineering.doc