HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO SOCIAL ENGINEERING TEST Giảng viên Học viên thực hiện Nhóm Lớp TS Đặng Minh Tuấn MỤC LỤC I DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT IV DANH MỤC HÌNH VẼ V MỞ ĐẦU VIII CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1 1.1. Khái niệm về Social Engineering 1 1.2. Thủ thuật sử dụng 4 1.3. Điểm yếu của con người 5 1.4. Tầm ảnh hưởng của Social Engineering 6 CHƯƠNG 2: TẤN CÔNG SOCIAL ENGINEERING 10 2.1. Phân loại Social Engineering 10 2.1.1. HumanBased Social Engineering 10 2.1.2. ComputerBased Social Engineering 11 2.2. Các bước tấn công trong Social Engineering 12 2.2.1. Thu thập thông tin 12 2.2.2. Chọn mục tiêu 13 2.2.3. Tấn công 14 2.3. Các kiểu tấn công phổ biến 15 2.3.1. Insider Attacks 15 2.3.2. Identity Theft 16 2.3.3. Phishing Attacks 16 2.3.4. Online Scams 16 2.3.5. URL Obfuscation 17 2.4. Các mối đe dọa từ Social Engineering 17 2.4.1. Online Threats 17 2.4.2. TelephoneBased Threats 20 2.4.3. Waste Management Threats 21 2.4.4. Personal Approaches 22 2.4.5. Reverse Social Engineering 22 CHƯƠNG 3: CÔNG CỤ SOCIALENGINEER 24 3.1. SocialEngineer Toolkit: 24 Các bước thực hiện: 24 3.2. Công cụ HiddenEye 35 3.2.1. Chức năng của HiddenEye 36 3.2.2. Các bước thực hiện 36 3.3. Framework OSINT 3 41 3.4. Kết luận 44 CHƯƠNG 4: PHÒNG CHỐNG CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 45 4.1. Các khuyến cáo chống lại tấn công Social Engineering 45 4.1.1. Với cá nhân 47 4.1.2. Với doanh nghiệp, tổ chức nói chung: 48 4.2. Thiết kế phòng chống 49 4.2.1. Xây dựng một framework quản lý an ninh 49 4.2.2. Đánh giá rủi ro 50 4.2.3. Social Engineering trong chính sách an ninh 51 4.3. Thực thi phòng chống 51 4.3.1. Sự nhận thức 51 4.3.2. Quản lý sự cố 52 4.3.3. Xem xét sự thực thi 53 4.3.4. Social Engineering và mô hình phân lớp phòng thủ chiều sâu 53 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO SOCIAL ENGINEERING TEST Giảng viên: TS Đặng Minh Tuấn Học viên thực hiện: KS Cao Hoàng Bảo KS Nguyễn Tiến Dũng KS Trần Đức Hạnh KS Nguyễn Văn Mạnh KS Nguyễn Long Hải KS Đặng Hồng Hạnh KS Nguyễn Trung Nghĩa Nhóm: 01 Lớp: CHAT8 Hà Nội, tháng năm 2022 MỤC LỤC DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT Từ viết tắt Tiếng Anh || Hoặc & Và Admin Administrator CNC Command And Control DDoS Distributed Denial of Service IP Internet Protocol IoT Internet of Things OSINT Open Source Intelligency LAN Local Area Metwork NII National Information Infrastructure NSF National Science Foundation SET Social-Engineer Toolkit TCP/IP Transmission Control Protocol/Internet Protocol URL Uniform Resource Locator DANH MỤC HÌNH VẼ MỞ ĐẦU Trong thời đại nay, với phát triển mạnh mẽ công nghệ thông tin gia tăng nhanh chóng số lượng tội phạm an ninh mạng Vấn đề an tồn thơng tin khơng cịn nỗi lo nước phát triển mà trở thành nỗi lo chung toàn cầu Vào kỷ 21, sức mạnh phần cứng kỹ thuật phần mềm phát triển vượt bậc không đủ bảo vệ khỏi việc rị rỉ thơng tin Vậy đâu ngun nhân? Đó người, lẽ khơng có phần cứng hay phần mềm khắc phục điểm yếu yếu tố người Và lý khiến cho kỹ thuật Social Engineering - kỹ thuật công vào yếu tố người - ngày trở nên phổ biến tinh vi Trên giới, nói vấn đề bảo mật thơng tin, người ta khơng thể khơng nói đến Social Engineering - kỹ thuật khai thác thơng tin nguy hiểm, khó phát hiện, phòng chống gây thiệt hại to lớn cho công tác bảomật thông tin Ngày nay, công nghệ thơng tin đóng vai trị chủ chốt nhiều lĩnh vực quan trọng xã hội kinh tế, giáo dục, trị quân - lĩnh vực lỏng lẻo cơng tác bảo mật thông tin khiến phải trả giá đắt Chính thế, Social Engineering nhận nhiều quan tâm tồn cầu, đặc biệt lĩnh vực cơng nghệ thông tin Social Engineering thuật ngữ liên quan đến ngành khoa học xã hội, nhiên thường xuyên sử dụng bắt gặp ngành công nghệ thông tin Social Engineering hiểu đơngiản kĩ thuật tác động đến người nhằm mục đích lấy thơng tin đạt hành động mong muốn Những kĩ thuật dựa vào tảng điểm yếu tâm lý, nhận thức sai lầm người việc bảo mật thơng tin Mục đích cơng Social Engineering có nhiều, kể đến như: lợi ích tài chính, tạo điều có lợi cho mình, trả thù… áp lực bên gây Vấn đề Social Engineering quan tâm nhiều giới, nhiên Việt Nam chúng ta, đặc biệt giới sinh viên tầm hiểu biết mối quan tâm vấn đề ỏi Mục đích chuyên đề này, sâu vào việc phân tích kiểm thử Social Engineering gì, hoạt động sao, tảng Qua cho người biết phương thức kiểm tra Social Engineering mong muốn người nâng cao nhận thức vấn đề trang bị số kiến thức để phòng tránh cách hiệu CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Khái niệm Social Engineering Bên cạnh biện pháp công kỹ thuật sử dụng chương trình cơng hacker thường vận dụng kết hợp với phương pháp phi kỹ thuật, tận dụng kiến thức kỹ xã hội để đạt kết nhanh chóng hiệu Và phương pháp cơng không dựa kỹ thuật hay công cụ túy gọi Social Engineering, đời thực dạng cơng xem kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt mục tiêu Hình Social Engineering Social Engineering [1] phương pháp công, đột nhập vào hệ thống tổ chức, công ty, doanh nghiệp Kỹ thuật công Social Engineering trình đánh lừa người dùng hệ thống, thuyết phục họ cung cấp thơng tin giúp đánh bại phận an ninh, lấy cắp liệu tống tiền Nói cách khác, Social Engineering trò lừa đảo tinh vi thực qua mạng internet, tỉ lệ thành cơng hình thức cao, hacker lợi dụng cơng vào yếu tố người phá vỡ hệ thống kỹ thuật an ninh Phương pháp sử dụng để thu thập thông tin trước công Social Engineering sử dụng ảnh hưởng thuyết phục để đánh lừa người dùng nhằm khai thác thơng tin có lợi cho cơng thuyết phục nạn nhân thực hành động Social engineer (người thực cơng việc cơng phương pháp Social Engineering) thường sử dụng điện thoại internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm để có họ làm chuyện để chống lại sách an ninh tổ chức Bằng phương pháp này, Social engineer tiến hành khai thác thói quen tự nhiên người dùng, tìm lỗ hổng bảo mật hệ thống Điều có nghĩa người dùng với kiến thức bảo mật cõi hội cho kỹ thuật công hành động Các hacker tiến hành công Social Engineering thường tận dụng mối quan hệ thân thiết, tin cậy mà môi trường thông tin gọi “trust relationship” để tiến hành khai thác mục tiêu Điển vụ Tiến Sĩ Lê Đăng Doanh bị hacker đắnh cắp hộp thư gởi mail cho tất đồng nghiệp, bạn bè danh bạ để hỏi mượn tiền bị kẹt nước ngoài, thường xuyên nhận tin nhắn từ số máy lạ để yêu cầu mua giùm thẻ điện thoại gởi mã số đến số hacker Việc cơng hiệu đánh vào điểm yếu quy trình an tồn thơng tin chúng ta, hiểu biết người dùng Chính để phịng chống dạng cơng doanh nghiệp cần có chương trình đào tạo nhăm nâng cao nhận thức an tồn thơng tin cho nhân viên Và khơng có vấn đề cơng ty đầu tư cho hệ thống chất lượng cao giải pháp bảo mật chẳng hạn phương pháp xác thực đơn giản, firewalls, mạng riêng ảo VPN phần mềm giám sát mạng Khơng có thiết bị hay giới hạn bảo mật hiệu nhân viên vơ tình để lộ thơng tin key email, hay trả lời điện thoại người lạ người quen chí khoe khoang dự án họ với đồng nghiệp hàng liền quán rượu Thông thường, người không nhận thấy sai sót họ việc bảo mật, họ không cố ý Những người công đặc biệt thích phát triển kĩ Social Engineering thành thạo đến mức nạn nhân họ bị lừa Mặc dù có nhiều sách bảo mật cơng ty, họ bị hại hacker lợi dụng lòng tốt giúp đỡ người Những kẻ cơng ln tìm cách để lấy thông tin Họ chắn họ nắm rõ vành đai bảo vệ người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân nhân viên phận hỗ trợ - để lợi dụng sơ hở họ Thường người dựa vào vẻ bề ngồi để phán đốn Ví dụ, nhìn thấy người mặc đồng phục màu nâu mang theo nhiều hộp cơm, người mở cửa họ nghĩ người giao hàng Một số công ty liệt kê danh sách nhân viên công ty kèm theo số điện thọai, email Website cơng ty Ngồi ra, cơng ty cịn thêm danh sách nhân viên chuyên nghiệp đào tạo sở liệu Oracle hay UNIX servers Đây số thơng tin giúp cho attacker biết loại hệ thống mà họ định xâm nhập Sau ví dụ kỹ thuật công Social Engineering Kapil Raina kể lại, ông chuyên gia an ninh Verisign, câu chuyện xẩy ông làm việc cơng ty khác trước đó: “Một buổi sàng vài năm trước, nhóm người lạ bước vào cơng ty với tư cách nhân viên công ty vận chuyển mà cơng ty có hợp động làm việc chung Và họ bước với quyền truy cập vào tồn hệ thống mạng cơng ty Họ làm điều cách nào? Bằng cách lấy lượng nhỏ thông tin truy cập từ số nhân viên khác công ty Đầu tiên họ tiến hành nghiên cứu tổng thể công ty từ hai ngày trước Tiếp theo họ giã vờ làm chìa khóa để vào cửa trước, nhân viên cơng ty giúp họ tìm lại Sau đó, họ làm thẻ an ninh để vào cổng công ty, nụ cười thân thiện, nhân viên bảo vệ mở cửa cho họ vào Trước họ biết trường phịng tài vừa có cơng ta xa, thơng tin ơng giúp họ cơng hệ thống Do họ đột nhập văn phịng giám đốc tài Họ lục tung thùng rác cơng ty để tìm kiếm tài liệu hữu ích Thơng qua lao cơng cơng ty, họ có thêm số điểm chứa tài liệu quan trọng cho họ mà rác người khác Điểm quan trọng cuối mà họ sử dụng giả giọng nói vị giám đốc vắn mặt Có thành họ tiến hành nghiên cứu giọng nói vị giám đốc Và thông tin ông giám đốc mà họ thu thập từ thùng rác giúp cho họ tạo tin tưởng tuyệt nhân viên Một công diễn ra, họ gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm vẽ bị pasword, cần password Họ tiếp tục sử dụng thông tin khác nhiều kỹ thuật công giúp họ chiếm lĩnh toàn hệ thống mạng” Nguy hiểm kỹ thuật cơng quy trình thẩm định thông tin cá nhân Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng giúp rộng cơng, kỹ thuật cơng không sử dụng biện pháp trực tiếp Thay vào yếu tố người quan trọng Chính lơ nhân viên công ty kẽ công thu thập thông tin quan trọng 1.2 Thủ thuật sử dụng Social Engineering bao gồm việc đạt thông tin mật hay truy cập trái phép, cách xây dựng mối quan hệ với số người Kết social engineer lừa người cung cấp thơng tin có giá trị Nó tác động lên phẩm chất vốn có người, chẳng hạn mong muốn trở thành người có ích, tin tưởng người sợ rắc rối Social Engineering vận dụng thủ thuật kỹ thuật làm cho người đồng ý làm theo mà Social engineer muốn Nó cách điều khiển suy nghĩ người khác, khơng cho phép Social engineer làm cho người làm việc vượt tư cách đạo đức thơng thường Và hết, khơng dễ thực chút Tuy nhiên, phương pháp mà hầu hết Attackers dùng để công vào công ty Có loại thơng dụng : Social Engineering việc lấy thông tin cần thiểt từ người phá hủy hệ thống [2] 10 Các sách mật khẩu: - Thay đổi mật định kỳ - Tránh mật đoán - Tài khoản cần ngăn chặn sau cố gắng đăng nhập thất bại - Mật phải có độ dài tính phức tạp - Giữ bí mật mật Các sách an ninh vật lý: - Nhận diện nhân viên cách phát thẻ id, đồng phục - Hộ tống khách mời vào công ty - Hạn chế khu vực truy cập - Băm nhỏ tài liệu khơng cịn sử dụng - Tuyển dụng nhân viên an ninh Huấn luyện tốt cho nhân viên an ninh điều cần thiết Khi nhân viên bạn hiểu vấn đề an ninh, họ tự tránh rủi ro trước có can thiệt phịng an ninh Vấn đề người khơng quan trọng Vì kỹ thuật công chủ yếu liên quan đến tư tưởng người Sự lơ nhân viên, lòng tin nhân viên nguy an toàn cho hệ thống Xây dựng framework quản lý an ninh: Phải xác định tập hợp mục đích an ninh social engineering đội ngũ nhân viên người chịu trách nhiệm cho việc phân phối mục đích Đánh giá rủi ro: Các mối đe dọa mức độ rủi ro cho công ty khác Ta phải xem xét lại mối đe dọa social engineering hợp lý hóa mối nguy hiểm tổ chức Social engineering sách an ninh: Phát triển văn thiết lập sách thủ tục quy định nhân viên xử trí tình mà 54 cơng social engineering Bước giả định sách bảo mật có, bên mối đe dọa social engineering Nếu khơng có sách bảo mật, cần phải phát triển chúng 3.1.1 Với cá nhân - Tuyệt đối không click vào đường link lạ mạng xã hội - Khi nhận tin nhắn Facebook tin nhắn Email người lạ có file đính kèm dàn zip, dll, exe vội click Nếu click vào tệp đó, thiết bị bạn bị nhiễm mã độc - Không nên chia sẻ thông tin, tài liệu công ty doanh nghiệp lên mạng sã hội chưa phép - Không click vào cửa sổ Pop-up trúng thưởng - Khi bạn lỡ truy cập vào trang web giả mạo với trang web gốc bị điều hướng tới trang web giả mạo không nên điền thông tin tài khoản ngân hàng, số chứng minh thư hay thông tin mật cá nhân khác - Sử dụng số công cụ chống lừa đảo : Netcraft, PhishTank để phát trang web lừa đảo 55 Hình 45 Sử dụng NetCraft Hình 46 PhishTank 3.1.2 Với doanh nghiệp, tổ chức nói chung: Do hình thức cơng Social Engineering dựa mạng xã hội trở nên bùng nổ, công ty cá nhân có thời gian để tự thực hành chống lại SEA Các khảo sát thực vài năm trước nhiều tổ chức, cơng ty 56 chí cịn khơng có sách liên quan đến công SEA dựa mạng xã hội Cho đến thời gian gần đây, người ta dần nhận tầm quan trọng Các sách cơng ty nên phù hợp với việc sử dụng mạng xã hội làm việc Các chuyên gia bảo mật khuyên người sử dụng cơng ty áp dụng sách nhằm đảm bảo họ không bị công kỹ thuật Social Engineering: - Khuyến nghị phân chia tài khoản mạng xã hội rạch rịi cuốc sống cơng việc Mặc dù điều loại trừ hết nguy thơng tin, hiệu phần - Luôn phải xác nhận liên lạc, không liên lạc với người lạ Đây vấn nạn phổ biến mạng xã hội hầu hết người dùng thường chấp nhận lời mời kiện lời mời kết bạn từ người lạ không quen biết - Tránh sử dụng mật cho nhiều tài khoản mạng xã hội khác nhằm tránh nguy lộ thông tin hàng loạt - Hạn chế đăng thứ lên mạng xã hội thơng tin đăng kẻ cơng tìm thấy, kể sau thời gian dài - Hạn chế đăng thông tin đặc điểm cá nhân để tránh khả người dùng bị kẻ cơng mạo danh Cịn với cơng ty, tổ chức lớn cần có sách cụ thể để ngăn ngừa khả bị khai thác công Social Engineering: - Giáo dục nhân viên hạn chế đăng ký để lộ thông tin cá nhân, nhận dạng mạng, thông tin quan trọng số điện thoại, hình ảnh nhà cửa, gia đình, địa nhà, thơng tin tận dụng để mạo danh - Khuyến khích nhân viên sử dụng hai tài khoản cá nhân công việc trang mạng xã hội - Đào tạo nhân viên sử dụng mật phức tạp, độ bảo mật cao 57 - Đào tạo nhân viên cho thấy tầm quan trọng thông tin cá nhân trang mạng xã hội Facebook - Đào tạo, dẫn nhân viên mối quan hệ nguy hiểm công Phishing mạng xã hội cách phịng tránh 3.2 Thiết kế phịng chống 3.2.1 Xây dựng framework quản lý an ninh Một khung quản lý an ninh xác định nhìn tổng quan mối đe dọa xảy tổ chức từ Social Engineering cấp phát tên cơng việc có vai trị chịu trách nhiệm cho việc xây dựng sách thủ tục để làm giảm bớt mối đe dọa Cách tiếp cận khơng có nghĩa phải sử dụng nhân viên có chức đảm bảo an ninh tài sản công ty Security sponsor Quản lý cấp cao, người cung cấp chứng thực cần thiết để đảm bảo tất nhân viên tham gia nghiêm chỉnh bảo mật cho công ty Security manager Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí phát triển bảo dưỡng sách bảo mật IT security officer Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho phát triển sở hạ tầng thực thi sách thủ tục bảo mật Facilities security officer Một thành viên đội thiết bị chịu trách nhiệm cho phát triển vùng thực thi sách thủ tục bảo mật Security awareness officer Một thành viên đội ngũ quản lý nhân viên – thường từ phận phát triển nhân hay nguồn nhân lực – người chịu trách nhiệm cho phát triển thực thi chiến dịch nâng cao nhận thức an ninh Security Steering Committee Đại diện cho ban cố vấn công ty Như ứng viên lựa chọn cho hệ thống an ninh, Security Steering Committee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh Nếu tập định nghĩa mục tiêu, khó để khuyến khích tham gia nhân viên đo mức độ thành công dự án Nhiệm vụ ban đầu Security Steering 58 Committee xác định rủi ro Social Engineering tồn công ty Security Steering Committee cần phải xác định vùng tồn nguy với cơng ty Q trình bao gồm yếu tố công xác định giấy tờ yếu tố riêng biệt công ty, chẳng hạn sử dụng terminal công cộng hay thủ tục quản lý văn phòng 3.2.2 Đánh giá rủi ro Tất yêu cầu an ninh để đánh giá mức độ rủi ro mà công tiến hành công ty Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, khơng phải cần tiêu tốn nhiều thời gian Dựa công việc làm xác định yếu tố cốt lõi khung quản lý an ninh Security Steering Committee, phân loại ưu tiên rủi ro Phân loại rủi ro bao gồm: - Bí mật thơng tin - Sự tín nhiệm kinh doanh - Sự sẵn sàng kinh doanh - Tài ngun - Chi phí Có thể thiết lập ưu tiên cách xác định rủi ro tính tốn chi phí để làm giảm bớt rủi ro – giảm bớt rủi ro tốn nhiều chi phí xảy rủi ro, khơng hợp lý Giai đoạn đánh giá rủi ro hữu ích phát triển sau sách an ninh 3.2.3 Social Engineering sách an ninh Một cá nhân IT quản lý công ty phải phát triển giúp đỡ thực thi sách an ninh có hiệu tổ chức Đôi khi, trọng tâm sách an ninh điều khiển cơng nghệ giúp bảo vệ chống lại mối đe dọa công nghệ, chẳng hạn virus worm Điều khiển công nghệ giúp bảo vệ công nghệ, chẳng hạn tập tin liệu, tập tin chương trình, hệ điều hành Security 59 Steering Committee có vùng an ninh cốt lõi đánh giá rủi ro mà phải ủy quyền phát triển tài liệu kinh doanh, tiến trình, thủ tục 3.3 Thực thi phịng chống Sau viết đồng ý với sách an ninh, bạn phải thực sách dành cho nhân viên b họ tuân theo Mặc dù b ạn thực thi điều khiển kỹ thuật mà không cần hiểu biết nhân viên, bạn phải có hỗ trợ họ bạn muốn thực thi phịng vệ thành cơng 3.3.1 Sự nhận thức Khơng có thay cho vận động nhận thức tốt bạn thực thi yếu tố Social Engineering sách an ninh Phải đào tạo nhân viên đề họ hiểu sách, hiểu phải có nó, biết làm để phản ứng lại công nghi ngờ Yếu tố then chốt công Social Engineering tin tưởng – mục tiêu tin tưởng hacker Để chống lại hình thức cơng này, phải kích thích chủ nghĩa hồi nghi lành mạnh nhân viên điều ngồi việc bình thường gây tin tưởng họ với sở hạ tầng IT hỗ trợ công ty Các yếu tố vận động nhận thức phụ thuộc vào cách bạn trao đổi thông tin cho nhân viên cơng ty Bạn chọn cấu đào tạo, họp không quan trọng, poster, kiện khác để công bố sách an ninh Càng tăng cường nội dung sách, thành cơng thực thi Mặc dù khởi đầu nhận thức an ninh với kiện lớn, điều quan trọng giữ an tồn bật chương trình nghị quản lý nhân viên 3.3.2 Quản lý cố Khi công Social Engineering xảy ra, chắn nhân viên service desk biết làm cách để xử lý cố Các giao thức phản ứng lại nên tồn thủ tục liên quan đến sách an ninh, quản lý cố nghĩa sử dụng công để khởi đầu cho việc xem xét lại an ninh Bảo mật hành 60 trình khơng phải điểm đến yếu tố cơng ln thay đổi Mỗi cố cung cấp đầu vào cho xem xét liên tục bảo mật mơ hình hồi đáp cố, hình minh họa đây: Hình 47 Mơ hình hồi đáp cố Khi cố xảy ra, Security Steering Committee xem xét tương ứng rủi ro hay thay đổi công ty tạo hay làm sách thủ tục dựa kết thu thập Tất sửa đổi cần tuân thủ sách an ninh cho cơng ty thay đổi theo tiêu chuẩn quản lý Để quản lý cố, nhân viên service desk phải có quy trình báo cáo cố linh hoạt mà ghi lại thông tin đây: - Tên mục tiêu - Khu vực mục tiêu - Ngày - Yếu tố công - Mô tả công - Kết công - Hiệu công - Các kiến nghị 61 Bằng cách ghi lại cố, xác định mẫu ngăn chặn công sau 3.3.3 Xem xét thực thi Khi xem xét lại mặt an ninh, trở nên nhạy cảm vô số mối đe dọa tiềm tàng Chính sách an ninh phải trì đánh giá doanh nghiệp làm kinh doanh Nếu đề xuất bảo mật có ảnh hưởng xấu đến lợi nhuận hay linh động thương mại tổ chức, cần phải đánh giá lại rủi ro Bạn phải đạt cân bảo mật tính khả dụng thực thi Đó điều quan trọng để đánh giá danh tiếng cơng ty có ý thức bảo mật có lợi ích thương mại Nó khơng ngăn cản hacker, mà cịn cải thiện profile kinh doanh cơng ty với khách hàng đối tác 3.3.4 Social Engineering mơ hình phân lớp phịng thủ chiều sâu Mơ hình phân lớp phòng thủ chiều sâu phân loại giải pháp bảo mật chống yếu tố công – vùng điểm yếu – mà hacker sử dụng để đe dọa mơi trường máy tính Các yếu tố cơng bao gồm: - Chính sách, thủ tục, nhận thức: văn quy định bạn phát triển để quản lý tất lĩnh vực bảo mật, chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, thực thi quy định - Bảo mật vật lý: rào cản mà quản lý truy cập đến tài sản tài nguyên Điều quan trọng để nhớ yếu tố sau cùng; ví dụ, bạn đặt giỏ rác bên ngồi cơng ty, sau chúng bên ngồi bảo mật vật lý công ty - Dữ liệu: thông tin kinh doanh – tài khoản, e-mail, … xem xét mối đe dọa, phải bao gồm hard soft copy tài liệu kế hoạch bảo mật liệu - Ứng dụng: chương trình chạy user Phải đánh giá hacker Social Engineering phá vỡ chương trình nào, chẳng hạn email IM - Host: máy tính server client sử dụng tổ chức Sự trợ giúp 62 đảm bảo bạn bảo vệ user chống lại công trực tiếp vào máy tính cách xác định chặt chẽ nguyên tắc đạo phần mềm để sử dụng máy tính làm quản lý thiết bị bảo mật, chẳng hạn user ID password - Mạng nội bộ: hệ thống mạng mà hệ thống máy tính cơng ty truyền thơng Nó local, wireless, WAN Các mạng nội trở nên “nội bộ” vài năm qua, với hoạt động nhà di động phổ biến Vì phải làm cho chắn user hiểu họ phải làm việc bảo mật tất môi trường nối mạng - Chu vi: điểm tiếp xúc mạng nội mạng bên ngoài, chẳng hạn Internet hay hệ thống mạng phụ thuộc vào đối tác kinh doanh, phần extranet Các công Social Engineering thường cố gắng xuyên thủng chu vi để khởi đầu công vào liệu, ứng dụng, host xuyên qua hệ thống mạng nội Hình 48 Mơ hình phịng vệ chiều sâu Khi thiết kế phịng vệ, mơ hình phịng vệ chiều sâu giúp hình dung lĩnh vực kinh doanh bị đe dọa Mơ hình khơng đặc tả mối đe dọa Social Engineering, lớp phải nên có phịng vệ 63 Tóm lại để xác định phương pháp đối phó với Social Engineering điều quan trọng kỹ thuật phịng thủ cơng Nó có liên quan đến vấn đề xã hội nên việc phịng chống có chút rắc rối cách tư cách người Có số cách để làm điều Chính sách (policy) an ninh công ty định vấn đề an toàn hệ thống Bạn cần đặt quy định, giới hạn quyền truy cập cho nhân viên công ty Huấn luyện tốt cho nhân viên an ninh điều cần thiết Khi nhân viên bạn hiểu vấn đề an ninh, họ tự trách rủi ro trước có can thiệt phịng an ninh Vấn đề người khơng quan trọng Vì kỹ thuật công chủ yếu liên quan đến tư tưởng người Sự lơ nhân viên, lòng tin nhân viên nguy an toàn cho hệ thống Xây dựng framework quản lý an ninh: Phải xác định tập hợp mục đích an ninh Social Engineering đội ngũ nhân viên người chịu trách nhiệm cho việc phân phối mục đích Đánh giá rủi ro: Các mối đe dọa mức độ rủi ro cho công ty khác Ta phải xem xét lại mối đe dọa Social Engineering hợp lý hóa mối nguy hiểm tổ chức Social Engineering sách an ninh: Phát triển văn thiết lập sách thủ tục quy định nhân viên xử trí tình mà công Social Engineering Bước giả định sách bảo mật có, bên ngồi mối đe dọa Social Engineering Nếu sách bảo mật, cần phải phát triển chúng Tóm lại, thơng qua vấn đề nêu tóm gọn sau: - Social engineering kỹ thuật xã hội, dùng mối quan hệ người để thu thập tin cần thiết phục vụ cho cơng phía sau - Quan trọng kỹ thuật dựa vào điểm yếu người 64 - Các bước thực công Social engineering là: Thu thập thông tin, chọn mục tiêu, công - Các kiểu công phổ biến kể đến như: Insider Attack, Indentify Theft, Online Scam, Phising… - Và cuối để phịng chống lại kiểu cơng này, khơng có cách hiểu cách giáo dục cho nhân viên bạn thù đoạn lừa đảo để họ tự cảnh giác 65 KẾT LUẬN Đề tài “Socical engineering test” đề tài tìm hiểu phương pháp kiểm thử công lợi dụng vào điểm yếu hệ thống người Phương pháp cơng cơng thành cơng hệ thống có phần cứng phần mềm với bảo mật kiên cố Đây kỹ thuật khai thác thông tin nguy hiểm khó phát hiện, khó phịng chống gây thiệt hại to lớn cho công tác bảo mật thông tin coi phương pháp cơng vào hệ thống an tồn mạng phổ biến sử dụng nhiều không cần sử dụng nhiều kỹ thuật tin học Để đón đầu xu hướng công nghệ bảo mật hệ thống thơng tin tài ngun mạng máy tính Việc tìm hiểu hồn thiện phương pháp kiểm thử loại công cần thiết, đồng thời nên xây dựng thực nghiệm nhiều phương pháp công công Socical engineering để tiến hành phân tích đưa phương pháp công cụ phù hợp với loại công Tuy nhiên, hạn chế điều kiện thời gian, tài liệu học tập cịn thiếu, trình độ, kinh nghiệm nghiên cứu chưa cao nên chuyên đề tránh khỏi thiết sót Kính mong đóng góp ý kiến thầy cô bạn để đề tài chúng em hoàn chỉnh 66 TÀI LIỆU THAM KHẢO [1] N Ahmadi, M Jazayeri, F Lelli, S Nesic, “A survey of social software engineering”, 2008 23rd IEEE/ACM International Conference on Automated Software Engineering - Workshops, L’Aquila, Italy, tháng 2008, tr 1–12, doi: 10.1109/ASEW.2008.4686304 [2] A Kumar, M Chaudhary, N Kumar, Social Engineering Threats and Awareness: A Survey 2015 [3] M Glassman M J Kang, “Intelligence in the internet age: The emergence and evolution of Open Source Intelligence (OSINT)”, Computers in Human Behavior, vol 28, số p.h 2, tr 673–682, tháng 2012, doi: 10.1016/j.chb.2011.11.014 [4] R A B Jr, “Open Source Intelligence (OSINT): Issues for Congress”, tr 28 [5] M Huber, S Kowalski, M Nohlberg, S Tjoa, “Towards Automating Social Engineering Using Social Networking Sites”, 2009 International Conference on Computational Science and Engineering, Vancouver, BC, Canada, 2009, tr 117–124, doi: 10.1109/CSE.2009.205 [6] K Krombholz, H Hobel, M Huber, E Weippl, “Advanced social engineering attacks”, Journal of Information Security and Applications, vol 22, tháng 10 2014, doi: 10.1016/j.jisa.2014.09.005 [7] “Social engineering điểm yếu hệ thống thông tin | WhiteHat.vn” https://whitehat.vn/threads/social-engineering-va-diem-yeu- nhat-trong-mot-he-thong-thong-tin.7815/ (truy cập tháng 10 30, 2020) [8] “Social Engineering gì? Những điều bạn cần biết ‘Tấn công phi kỹ thuật’ CyStack Resources” https://resources.cystack.net/social-engineering/ (truy cập tháng 10 30, 2020) [9] “Tài liệu bảo mật thông tin - chương - Social - Trường Đại học Kỹ thuật Hậu cần Công an nhân dân” http://truongt36.tailieu.vn/tailieuvn/doc/tai-lieu67 bao-mat-thong-tin-chuong-4-social-505444.html (truy cập tháng 10 30, 2020) [10] “Social Engineering: Module 09 - Trường Đại học Kỹ thuật - Hậu cần Công an nhân dân” http://truongt36.tailieu.vn/tailieuvn/doc/social-engineering- module-09-2080296.html (truy cập tháng 10 30, 2020) [11] R Matulevicius, “Social_engineering”, tr [12] “Social Engineering Toolkit — A systematic approach to social engineering - IEEE Conference Publication” https://ieeexplore.ieee.org/abstract/document/5967295 (truy cập tháng 10 30, 2020) [13] D Irani, M Balduzzi, D Balzarotti, E Kirda, C Pu, “Reverse Social Engineering Attacks in Online Social Networks”, Detection of Intrusions and Malware, and Vulnerability Assessment, vol 6739, T Holz H Bos, B.t.v Berlin, Heidelberg: Springer Berlin Heidelberg, 2011, tr 55–74 68 ... tra Social Engineering mong muốn người nâng cao nhận thức vấn đề trang bị số kiến thức để phịng tránh cách hiệu CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Khái niệm Social Engineering. .. hưởng Social Engineering Cho người thấy rằng: giới, Social Engineering vấn đề quan tâm, xảy thường xuyên thiệt hai gây khơng nhỏ 16 CHƯƠNG 2: TẤN CƠNG SOCIAL ENGINEERING Phân loại Social Engineering. .. túy gọi Social Engineering, đời thực dạng cơng xem kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt mục tiêu Hình Social Engineering Social Engineering [1] phương pháp công, đột nhập vào hệ