MỤC LỤC
Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G
1.1 Khái niệm về Social Engineering
1.2 Thủ thuật
1.3 Điểm yếu của con ng ười
Chương 2: PHÂN LOẠI
2.1 Human –based
2.1.1 Impersonation
2.1.2 Important User
2.1.3 Third-party Authorization
2.1.4 Technical Support
2.1.5 In Person
2.2 Computer –based
2.2.1 Phising
2.2.2 Vishing
2.2.3 Pop-up Windows
2.2.4 Mail attachments
2.2.5 Websites
2.2.6 Interesting Software
Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING
3.1 Thu thập thông tin
3.2 Chọn mục tiêu
3.3 Tấn công
Chương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING
4.1 Các mối đe dọa trực tuyến (Online Threats)
4.1.1 Các mối đe dọa từ E -mail (E-mail Threats)
4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop -Up Applications and Dialog Boxes)
4.1.3 Instant Mesaging
4.2 Telephone-Based Threats
4.2.1 Private Branch Exchange
4.2.2 Service Desk
4.3 Waste Management Threats
4.4 Personal Approaches
4.4.1 Virtual Approaches
4.4.2 Physical Approaches
4.5 Reverse Social Engineering
Chương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL
ENGINEERING
5.1 Xây dựng một framework quản lý an ninh
5.2 Đánh giá rủi ro
5.3 Social engineering trong chính sách an ninh
Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL
ENGINEERING
6.1 Sự nhận thức
6.2 Quản lý sự cố
6.3 Xem xét sự thực thi
6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâu
33 trang |
Chia sẻ: maiphuongdc | Lượt xem: 3809 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Social engineering, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
luôn luôn ẩn trong một file đính k èm trong
email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví
dụ virus IloveYou, sâu Anna Kournikova( trong tr ường hợp này file đính
kèm tên là AnnaKournikova.jpg.vbs. N ếu tên file đó bị cắt bớt thì nó sẽ
giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng
có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp
pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách
báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một
bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một
hiệu ứng gọi là hiệu ứng quả cầu tuyết.
2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy
cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một
website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email
và password. Password điền vào có thể tương tự với password được sử dụng
cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với
password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp
lệ và password để truy xuất vào hệ thống mạng tổ chức.
Social Engineering 12
2.2.6 Interesting Software : Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất
của CPU, RAM, hoặc các tiện ích hệ thống hoặc nh ư một crack để sử dụng
các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn nh ư
Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang
dưới một chương trình hợp pháp.
Social Engineering 13
3.1 Thu thập thông tin: Một trong những chìa khóa thành công của Social Engineering là
thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên
trong tổ chức đó. Các tổ chức có khuynh h ướng đưa quá nhiều thông tin lên website của họ như
là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối
như là các nhà cung cấp có thể ký kết; danh sách điện thoai v à email; và chỉ ra có chi nhánh hay
không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm
năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ
chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể
khám phá hóa đơn, thư từ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan
trọng. Mục đích của kẻ tấn công trong b ước này là hiểu càng nhiều thông tin càng tốt để làm ra
vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
3.2 Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm
điểm yếu đáng chú ý trong nhân vi ên của tổ chức đó. Mục tiêu thông thường là nhân viên hỗ
trợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại
tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí
trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì
chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là
mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông
thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện
các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản
của người quản lý.
3.3 Tấn công: Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự
lường gạt”. Gồm có 3 loại chính:
o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc
điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như
thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ
tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn
công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang
làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra
điều này chỉ sau một cuộc nói chuyện ngắn.
o Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là
nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc
Social Engineering 14
đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề
thực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi
kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằn g cách dùng các từ chuyên ngành
thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và
phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ
username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản.
Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ
được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một
nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc cho
đến khi hắn nhận ra là tổ chức nghi ngờ.
o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào
nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý
do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi t ài khoản, truy xuất
đến hệ thống, hoặc thông tin nhạy cảm .
Social Engineering 15
Social Engineering 16
Có 5 nhân tố tấn công chính mà một hacker social engineering sử dụng:
4.1 Các mối đe dọa trực tuyến (Online Threats): trong thế giới kinh doanh được
kết nối ngày càng tăng của chúng ta, nhân viên thường sử dụng và đáp ứng các yêu cầu và
thông tin đến một cách tự động từ cả inside v à outside công ty. Sự kết nối này giúp hacker có
thể tiếp cận được với các nhân viên. Các tấn công trực tuyến như e-mal, pop-up application, và
instant message sử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tài
nguyên máy tính. Hacker social engineering thuyết phục nhân viên cung cấp thông tin thông
qua mưu mẹo tin được, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp.
Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malware
sau đó, nhưng kết quả không là chức năng của social engineering. V ì thế, phải có lời khuyên
cho nhân viên làm thế nào để nhận diện và tránh các cuộc tấn công social engineering trực
tuyến.
4.1.1 Các mối đe dọa từ E-mail (E-mail Threats): Nhiều nhân viên nhận hàng
chục hoặc hàng trăm e-mail mỗi ngày, từ cả kinh doanh và từ hệ thống e-mail riêng.
Khối lượng e-mail có thể làm cho nó trở thành khó khăn để gây sự chú ý cho mỗi
bài viết. Điều này thì rất hữu ích với hacker. Hầu hết người dùng e-mail cảm thấy tốt
khi họ giải quyết với một mẩu thư. Nếu hacker có thể làm một yêu cầu đơn giản mà
dễ dàng giải quyết, thì sau đó mục tiêu sẽ đồng ý mà không nghĩ là anh ấy hoặc cô
ấy đang làm chuyện gì.
Một ví dụ của tấn công kiểu này là gởi e-mail đến nhân viên nói rằng ông chủ
muốn tất cả lịch nghỉ gởi cho cuộc họp và tất cả mọi người trong danh sách được sao
chép vào trong e-mail. Chỉ đơn giản là trich tên ở ngoài từ danh sách sao chép và
đánh lừa tên người gởi để mail xuất hiện bắt đầu từ nguồn b ên trong. Việc đánh lừa
này đặc biệt đơn giản nếu một hacker đạt quyền truy xuất đến một hệ thống máy tính
công ty, bởi vì không cần phải phá vỡ thông qua phạm vi t ường lửa. Sự hiểu biết về
lịch trình kỳ nghỉ có thể không là mối đe dọa bảo mật, nhưng nó có nghĩa là một
hacker biết khi nào nhân viên vắng mặt. Hacker sau đó có thể giả mạo ng ười này với
khả năng bị khám phá ra giảm đi. Sử dụng e-mail như là một công cụ social
engineering đã trở nên phổ biến qua hơn một thập kỷ qua. Phising được mô tả là sử
dụng e-mail để nhận dạng cá nhân hoặc thông tin giới hạn từ một user. Hacker có
thể gởi e-mail mà có vẻ đến từ tổ chức hợp lệ, chẳng hạn ngân h àng hoặc các công
ty đối tác. Minh họa dưới đây chỉ ra một link hợp lệ bề ngoài đến từ trang quản lý tài
khoản Contoso.
Social Engineering 17
Tuy nhiên, nếu nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt:
Dòng chữ trong dòng link trên chỉ ra là trang web này bảo mật, sử dụng
https, mặc dù link thật sự của trang web sử dụng http
Tên công ty trong mail là “Contoso”, nhưng link th ật sự thì tên công ty gọi là
“Comtoso”
Như thuật ngữ phising ngụ ý, sự tiếp cận có tính lý thuyết, với một y êu cầu chung
cho thông tin khách hàng. Sự ngụy trang thực tế được dùng trong những thông báo
thư điện tử, với những biểu tượng công ty, phông, và thậm chí những số điện thoại
hỗ trợ tự do rõ ràng hợp lệ, làm thư điện tử có vẻ có thể tin được hơn. Trong mỗi e-
mail phising là một yêu cầu cho thông tin user, thường làm thuận tiện cho việc nâng
cấp hay thêm vào dịch vụ. E-mail có thể chứa hyperlink có thể xúi giục nhân vi ên
phá vỡ tính bảo mật của công ty. Có một loạt các lựa chọn khác nhau cho hacker sử
dụng trong phising, bao gồm các h ình ảnh có hyperlink mà tải xuống là malware,
chẳng hạn virus hoặc spyware, hoặc văn bản đ ược thể hiện trong một tấm ảnh, đề
vượt qua bộ lọc bảo mật hyperlink. Hầu hết các biện pháp bảo mật làm cho các user
không có chứng thực ở ngoài. Một hacker có thể vượt qua nhiều sự phòng thủ nếu
hắn có thể lừa một user đưa vào trojan, worm, hoặc virus vào công ty thông qua
đường link. Một hyperlink có thể dẫn một user đến một tr ang web mà sử dụng ứng
dụng pop-up để yêu cầu cung cấp thông tin hoặc đưa ra sự giúp đỡ.
Để có thể chống lại các cuộc tấn công của hacker social engineering bằng cách tiếp
cận với chủ nghĩa hoài nghi bất cứ thứ gì không ngờ trong Inbox. Để hỗ trợ phương
pháp tiếp cận này trong một tổ chức, nên bao gồm trong các chính sách an ninh cụ
thể e-mail hướng dẫn cách sử dụng đó bao gồm:
Đính kèm trong tài liệu
Hyperlink trong tài liệu
Yêu cầu thông tin cá nhân hay công ty từ b ên trong công ty.
Yêu cầu thông tin cá nhân hay công ty từ bên ngoài công ty.
4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes)
Không thực tế khi cho rằng các nhân viên không sử dụng Internet trong công
ty truy xuất cho các hoạt động không phải là công việc. Hầu hết nhân viên duyệt
Web cho các lý do cá nhân, chẳng hạn như mua sắm hoặc nghiên cứu trực tuyến.
Trình duyệt cá nhân có thể làm cho nhân viên, và vì thế hệ thống máy tính công ty,
tiếp xúc với các social engineer. Mặc dù điều này có thể không là mục tiêu cụ thể
của công ty, họ sẽ sử dụng các nhân vi ên trong một nỗ lực để đạt được quyền truy
xuất vào tài nguyên công ty. Một trong những mục đích phổ biến l à nhúng một mail
engine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising
hoặc các tấn công khác vào email của cá nhân hay của công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên
trong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị
Social Engineering 18
một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch
vụ - ví dụ, một download miễn phí làm cho máy tính của user nhanh hơn. Với các
user IT và Web có kinh nghiệm, những phương pháp này dường như là các mánh
khóe lừa bịp dễ thấy. Nhưng với các user thiếu kinh nghiệm th ì các phương thức này
có thể đe dọa và lừa được họ.
Bảo vệ user từ các ứng dụng pop -up social engineering phần lớn là một chức
năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu h ình trình duyệt
mặc định sẽ ngăn chặn pop -up và download tự động, nhưng một vài pop-up có thể
vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được
rằng họ không nên bấm vào cửa sổ pop-up, trừ khi họ kiểm tra với nhân viên hỗ trợ.
4.1.3 Instant Mesaging:
Có một số mối đe dọa tiềm tàng của IM khi nó được hacker nhắm đến. Đầu tiên là
tính chất không chính thức của IM. Tính tán gẫu của IM, k èm theo đó là lựa chọn cho mình
một cái tên giả mạo, nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với một
người mà bạn tin rằng bạn đang nói đến.
Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM:
Hacker (màu đỏ) giả mạo user đã biết và gởi một bản tin e-mail hay IM mà người
nhận sẽ cho rằng nó đến từ một người mà họ đã biết. Sự quen biết làm giảm nhẹ sự phòng
thủ của user, vì thế họ có nhiều khả năng click vào một liên kết hoặc mở tập tin đính kèm từ
một ai đó mà họ biết – hoặc họ nghĩ là họ biết. Hầu hết các nhà cung cấp IM cho phép xác
nhận user dựa trên địa chỉ e-mail, điều này có thể giúp cho hacker người mà đã được xác
nhận với một địa chỉ theo tiêu chuẩn trong công ty để gởi lời mời đến những ng ười khác
trong tổ chức. Tính năng này hiện không chứa một mối đe dọa, nh ưng nó có nghĩa là số
lượng các mục tiêu bên trong công ty được tăng lên rất nhiều.
4.2 Telephone-Based Threats:
Nó là một môi trường truyền thông quen thuộc, nhưng nó cũng không ám chỉ ai, bởi v ì mục
tiêu không thể thấy được hacker. Các tùy chọn thông tin liên lạc cho hầu hết các hệ thống máy tính
Social Engineering 19
cũng có thể làm Private Branch Exchange (PBX) m ột mục tiêu hấp dẫn. Thêm nữa, có lẽ rất thô lỗ,
tấn công là để ăn cắp thẻ tín dụng hoặc thẻ điện thoại tại các buồng điện thoại. Hầu hết các cuộc tấn
công này là một hành vi trộm cắp thông thường là từ một cá nhân. Hầu hết mọi ng ười ý thức được
rằng họ nên thận trọng với những đôi mắt tò mò khi sử dụng ATM, nhưng đa số ít thận trọng hơn
khi sử dụng mã PIN tại buồng điện thoại.
Voip là một thị trường đang phát triển mà cung cấp lợi ích về chi phí cho công ty. Hiện nay,
do sự giới hạn tương đối số lượng các bản cài đặt, VoIP hacking không được xem là mối đe dọa
chính. Tuy nhiên, càng nhiều doanh nghiệp sử dụng công nghệ n ày, VoIP spoofing để trở nên lan
rộng như e-mail và IM spoofing.
4.2.1 Private Branch Exchange:
Hacker có 3 mục đích chính đề tấn công một PBX:
o Yêu cầu thông tin, thường là thông qua việc giả dạng một người sử dụng hợp pháp,
hoặc để truy cập vào các hệ thống điện thoại hoặc truy cập từ xa vào hệ thống máy
tính
o Đạt quyền truy xuất để sử dụng miễn phí điện thoại
o Đạt quyền truy xuất để giao tiếp với hệ thống mạng
Mỗi mục đích này là một biến thể của cùng một chủ đề, với các hacker gọi điện
thoại cho công ty và cố gắng để có được số điện thoại để cung cấp truy cập trực tiếp hoặc
thông qua một PBX đến mạng điện thoại công cộng. Thuật ngữ hacker gọi là phreaking.
Cách tiếp cận thông thường nhất là hacker giả vờ là một kỹ sư điện thoại, yêu cầu một
đường dây bên ngoài hoặc password để phân tích và giải quyết các vấn đề được báo cáo
trong hệ thống điện thoại nội bộ, như mình minh họa bên dưới:
Yêu cầu về thông tin hoặc truy cập qua điện thoại là một tương đối rủi ro dưới hình
thức tấn công. Nếu mục tiêu trở nên đáng ngờ hoặc từ chối tuân thủ yêu cầu, các hacker có
thể chỉ cần gác máy. Tuy nhiên, nhận thấy là các cuộc tấn công có nhiều phức tạp h ơn một
hacker chỉ cần gọi điện thoại một công ty và các yêu cầu cho một người sử dụng ID và mật
khẩu. Các hacker thường trình bày một kịch bản, yêu cầu hoặc cung cấp trợ giúp, trước khi
Social Engineering 20
yêu cầu thông tin xảy ra cho cá nhân hoặc doanh nghiệp , gần như là một sự suy nghĩ sau khi
hành động.
Hầu hết các user không có bất kỳ kiến thức về hệ thống điện thoại nội bộ, ngoài các
số điện thoại riêng của mình. Đây là một phần của việc phòng thủ quan trọng nhất mà bạn
có thể đưa vào chính sách bảo mật. Thật là hiếm khi hacker tiếp cận user thô ng thường theo
cách này. Các mục tiêu thông thường hầu hết là nhân viên tiếp tân hay tổng đài. Bạn phải
chỉ rõ rằng chỉ có bàn dịch vụ có chứng thực để cung cấp sự trợ giúp đến nhà cung cấp điện
thoại. Bằng cách này, tất cả các cá nhân có thẩm quyền đối vớ i tất cả các cuộc gọi hỗ trợ kỹ
thuật. Cách tiếp cận này cho phép nhân viên mục tiêu định hướng lại như các truy vấn có
hiệu quả và nhanh chóng tới một thành viên đủ điều kiện.
4.2.2 Service Desk:
Bàn cung cấp dịch vụ - hoặc bàn trợ giúp – là một trong những phòng thủ trụ cột
chống lại hacker, nhưng ngược lại nó cũng là mục tiêu cho các hacker social engineering.
Mặc dù nhân viên hỗ trợ thường nhận thấy được mối đe dọa của hacking, họ cũng đào tạo
để giúp đỡ và hỗ trợ người gọi, cung cấp cho họ tư vấn và giải quyết các vấn đề của họ. Đôi
khi sự nhiệt tình chứng tỏ bởi nhân viên hỗ trợ kỹ thuật cung cấp một giải pháp l àm mất
hiệu lực sự cam kết của họ tuân thủ các thủ tục bảo mật v à đưa nhân viên cung cấp giải
pháp vào một tình thế khó xử: nếu họ thực thi nghiêm ngặt các tiêu chuẩn bảo mật, yêu cầu
xác nhận tính hợp lệ là các yêu cầu hoặc câu hỏi đến từ một ủy quyền ng ười sử dụng, thì
điều này có thể không có tác dụng và làm cản trở. Nhân viên tiếp thị, bán hàng và sản xuất
cảm thấy rằng là các bộ phận IT không cung cấp dịch vụ tức thời mà họ yêu cầu thì có
khuynh hướng than phiền, và những người quản lý cấp cao nhất được yêu cầu chứng minh
nhận dạng của họ thường ít thông cảm với tính cẩn thận của nhân vi ên hỗ trợ.
Bàn cung cấp dịch vụ cần phải cân bằng tính bả o mật với hiệu quả kinh doanh,
chẳng hạn như các thủ tục và chính sách bảo mật phải hỗ trợ họ. Thật khó hơn để bảo vệ
cho nhân viên phân tích bàn d ịch vụ chống lại hacker bên trong hay làm hợp đồng. Chẳng
hạn hacker đã có sự hiểu biết về các thủ tục bên trong và có đủ thời gian để đảm bảo rằng
họ có tất cả các thông tin cần thiết, trước khi họ tiến hành một cuộc gọi cho bàn dịch vụ.
4.3 Waste Management Threats:
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa
thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi,
hoặc có thể phục vụ như là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại. Các
loại thông tin này là vô giá đối với hacker social engineering, bởi v ì nó làm cho hắn ta có vẻ
đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công ty,
không có các quy tắc quản lý chất thải bao gồm sử dụng các ph ương tiện thông tin dư thừa, thì
có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc ph ương tiện
lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở hữu nó có
thể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không đ ược coi là bất hợp
pháp trong mọi hoàn cảnh, vì thế phải chắc chắn rằng đưa ra lời khuyên như thế nào để giải
quyết với những vật liệu thải. Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy
các phương tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt v ào máy hủy, chẳng
hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy nó, th ì
Social Engineering 21
phải phát triển một giao thức cho việc vứt bỏ. N ên đặt các thùng rác ở trong vùng an toàn mà
không tiếp cận với công cộng.
Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải b ên trong. Chính
sách bảo mật thường không chú ý vấn đề này, bởi vì nó thường được giả định rằng bất cứ ai cho
phép truy cập vào các công ty phải là đáng tin cậy. Rõ ràng, điều này không phải lúc nào cũng
đúng. Một trong những biện pháp có hiệu quả nhất để quản lý giấy thải l à đặc tả của việc phân
loại dữ liệu. Bạn xác định loại giấy khác nhau dựa tr ên các thông tin và ch ỉ định cách thức nhân
viên quản lý sự vứt bỏ của họ. Ví dụ có thể phân thành các loại:
o Bí mật công ty. Cắt nhỏ tất cả các tài liệu bí mật bỏ đi trước khi bỏ vào thùng rác
o Riêng tư. Cắt nhỏ tất cả tài liệu riêng tư bỏ đi trước khi bỏ vào thùng rác
o Văn phòng. Cắt nhỏ tất cả tài liệu văn phòng bỏ đi trước khi bỏ vào thùng rác.
o Công cộng. Vứt bỏ tài liệu công cộng vào bất kỳ thùng rác nào hoặc tái chế
chúng làm giấy thải.
4.4 Personal Approaches
Cách rẻ nhất và đơn giản nhất cho hacker lấy thông tin l à hỏi trực tiếp. Cách t iếp cận
này có vẻ thô lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật ở giai đoạn đầu
tiên. Có 4 cách tiếp cận chính minh chứng thành công của social engineer:
o Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm
quyền để ép buộc mục tiêu làm theo yêu cầu.
o Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót
hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng.
o Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp
dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí,
thông tin từ mục tiêu.
o Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sự
trợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker
đánh cắp nhận dạng của mục tiêu.
Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Việc bảo vệ
chống lại tấn công đe dọa là phát triển một nền văn hóa không sợ hãi trong kinh doanh. Nếu
cách cư xử thông thường là lịch sự, thì sự thành công của sự đe dọa bị giảm xuống, bởi vì
các cá nhân riêng lẻ thích để leo thang vị trí đối đầu. Một thái độ hỗ trợ trong quản lý và vai
trò giám sát về phía sự leo thang của vấn đề và ra quyết định là thứ tệ nhất mà có thể xảy ra
với hacker social engineering. Mục đích của họ là khuyến khích mục tiêu ra quyết định
nhanh hơn. Với vấn đề này để chuyển cấp có thẩm quyền cao h ơn, thì cũng ít có khả năng
để đạt được mục tiêu này.
Thuyết phục luôn luôn là một phương pháp quan trọng để đạt được mục đích. Bạn
không thể thiết kế điều này ra khỏi lực lượng lao động của bạn, nhưng có thể cung cấp các
hướng dẫn nghiêm ngặt về những gì một cá nhân nên làm và không nên làm. Hacker sẽ luôn
luôn hỏi hoặc đưa ra một kịch bản nơi mà một user đưa ra thông tin giới hạn. Tiếp tục các
chiến dịch nâng cao nhận thức và hướng dẫn cơ bản bao gồm các thiết bị an ninh nh ư các
mật khẩu là sự phòng thủ tốt nhất.
4.4.1 Virtual Approaches
Hacker social engineering cần phải thực hiện liên lạc với mục tiêu đề thực hiện các
cuộc tấn công. Thông thường nhất, điều này sẽ diễn ra thông qua môi trường điện tử, chẳng
Social Engineering 22
hạn như e-mail hay cửa sổ pop-up. Khối lượng spam và junk mail đến ở hầu hết trong hộp
thư cá nhân làm cho phương th ức tấn công này ít thành công hơn, chẳng hạn user trở nên
hoài nghi hơn với hàng loạt lá thư và các yêu cầu bí ẩn tham gia các giao dịch tài chính có
lợi và hợp pháp. Mặc dù vậy, khối lượng mail và sử dụng các trojan có nghĩa là nó vẫn còn
hấp dẫn, dù chỉ với tỷ lệ thành công tối thiểu, đối với một vài hacker. Hầu hết các cuộc tấn
công này là cá nhân và mục địch để khám phá thông tin về mục ti êu. Tuy nhiên, với các
doanh nghiệp, các vi phạm phổ biến rộng r ãi trong các hệ thống kinh doanh , chằng hạn như
truy cập Internet và máy tính, cho cá nhân sử dụng nghĩa là hacker có thể xâm nhập vào hệ
thống mạng.
Điện thoại cung cấp chi tiết cá nhân h ơn, phương pháp tiếp cận này thành công thấp
hơn. Những nguy cơ hạn chế bị bắt giữ nghĩa là các hacker sử dụng điện thoại như là
phương tiện tiếp cận, nhưng cách tiếp cận này chủ yếu cho tấn công PBX và bàn dịch vụ,
hầu hết user sẽ nghi ngờ về một cuộc gọi y êu cầu thông tin từ một ai đó mà họ không biết.
4.4.2 Physical Approaches
Ít phổ biến, nhưng hiệu quả hơn cho hacker, trực tiếp, cá nhân tiếp xúc với mục ti êu.
Chỉ có những nhân viên đáng ngờ nhất sẽ nghi ngờ tính hợp lệ của một ng ười nào đó mà tự
giới thiệu về mình và yêu cầu hay trợ giúp cho hệ thống máy tính. Mặc dù những tiếp cận
này có độ rủi ro lớn hơn cho thủ phạm, các lợi ích vẫn rõ ràng. Hacker có thể được truy xuất
tự do đến hệ thống máy tính trong công ty, bên trong chu vi có sự phòng thủ tồn tại.
Sự phát triển trong việc sử dụng công nghệ mobile, giúp những user kết nối với hệ
thống mạng công ty trong khi đang tr ên đường hay ở nhà của họ, là mối đe dọa chính khác
cho tài nguyên IT công ty. Các cuộc tấn công có thể có được ở đây bao gồm tấn công quan
sát dễ nhất, chẳng hạn một hacker xem qua vai một người sử dụng máy tình di động trên xe
lửa để thấy ID và password, tới những sự tấn công phức tạp h ơn ở chỗ đọc thẻ hay nâng cấp
bộ định tuyến được gởi và cài đặt bởi một kỹ sư dịch vụ người đạt quyền truy xuất đến hệ
thống mạng doanh nghiệp bằng cách hỏi user ID, password.
4.5 Reverse Social Engineering
Là một hình thức cao hơn social engineering mà giải quyết các khó khăn phổ biến của
social engineering bình thường. Hình thức này có thể mô tả là một user hợp pháp của hệ thống
hỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker được cho là có vị trí cao hơn user hợp
pháp, người thực sự là mục tiêu. Để thực hiện một tấn công RSE, kẻ tấn công phải có sự hiểu
biết về hệ thống và luôn luôn phải có quyền truy xuất trước đó mà được cấp cho anh ta, thường
là do social engineering bình thường tiến hành. Ta có sự so sánh SE và RSE:
o Social engineering: hacker tiến hành cuộc
Các file đính kèm theo tài liệu này:
- social_engineering.pdf