0 TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTTKT VÀ THƯƠNG MẠI ĐIỆN TỬ
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTTKT VÀ THƯƠNG MẠI ĐIỆN TỬ -🙞🕮🙜 - BÀI THẢO LUẬN HỌC PHẦN AN TOÀN VÀ BẢO MẬT THƠNG TIN Đề tài: “Trình bày khái niệm, đặc điểm, phân loại cách phòng chống công dựa kỹ nghệ xã hội (Social engineering)” Giảng viên hướng dẫn : ThS Trần Thị Nhung Nhóm thảo luận Mã LHP : 08 : 2241eCIT0921 Hà Nội, tháng 11 năm 2022 DANH SÁCH THÀNH VIÊN NHĨM STT THÀNH VIÊN 35 Khuất Hồng Nam (Thư ký) NHIỆM VỤ NHẬN XÉT Phần 1.1, Mở đầu, Kết Tinh thần đội nhóm tốt, có trách luận, Tổng hợp Word nhiệm với cơng việc chung Tích cực đóng góp, bổ sung, hồn thiện thảo luận nhóm 58 Nguyễn Thị Hồng Trang Phần Tinh thần đội nhóm tốt, có trách nhiệm với cơng việc chung 60 Vũ Thị Huyền Trang Phần Tinh thần đội nhóm tốt, có trách nhiệm với cơng việc chung 61 63 Phan Đức Trọng Giao nhiệm vụ, Thuyết Chủ động công việc chung, tích (Nhóm trưởng) trình Nguyễn Đình Tuấn Phần 1.2 cực đóng góp, bổ sung, hồn thiện thảo luận nhóm Tinh thần đội nhóm tốt, có trách nhiệm với công việc chung 65 Phan Thanh Tùng Phần Tinh thần đội nhóm tốt, có trách nhiệm công việc 66 Phạm Thị Uyên Phần Tinh thần đội nhóm tốt, có trách nhiệm cơng việc BS Đồn Duy Anh Phần Tinh thần đội nhóm tốt, có trách nhiệm cơng việc BS Nguyễn Quang Huy Powerpoint Hồn thành deadline, tinh thần đội nhóm tích cực, sáng tạo Cộng hòa xã hội chủ nghĩa Việt Nam Độc lập – Tự – Hạnh phúc * * * BIÊN BẢN HỌP NHÓM (Lần 1) Học phần: An tồn bảo mật thơng tin Mã học phần: 2241eCIT0921 Giảng viên hướng dẫn: ThS Trần Thị Nhung Thời gian: 21h, ngày 21/10/2022 Địa điểm: Họp online phần mềm trực tuyến Google Meet Thành viên tham gia: o Tham gia đủ 09/09 thành viên o Hoạt động sơi nổi, tích cực đóng góp ý kiến xây dựng thảo luận Nội dung: Thảo luận đưa đề cương đề tài Nhóm trưởng Thư ký Trọng Nam Phan Đức Trọng Khuất Hồng Nam Cộng hịa xã hội chủ nghĩa Việt Nam Độc lập – Tự – Hạnh phúc * * * BIÊN BẢN HỌP NHĨM (Lần 2) Học phần: An tồn bảo mật thông tin Mã học phần: 2241eCIT0921 Giảng viên hướng dẫn: ThS Trần Thị Nhung Thời gian: 22h, ngày 25/10/2022 Địa điểm: Họp online phần mềm trực tuyến Google Meet Thành viên tham gia: o Tham gia đủ 09/09 thành viên o Hoạt động sơi nổi, tích cực đóng góp ý kiến xây dựng thảo luận Nội dung: o Tổng hợp lại tài liệu tham khảo o Phân công nhiệm vụ cụ thể cho thành viên Nhóm trưởng Thư ký Trọng Nam Phan Đức Trọng Khuất Hồng Nam MỤC LỤC DANH SÁCH THÀNH VIÊN NHĨM BIÊN BẢN HỌP NHÓM MỤC LỤC MỞ ĐẦU PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Tổng quan social engineering 1.1.1 Khái niệm Social Engineering 1.1.2 Thủ thuật 1.1.3 Điểm yếu người 10 1.2 Phân loại 11 1.2.1 Human – based 11 1.2.2 Computer – based 13 PHẦN II: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TRONG SOCIAL ENGINEERING 16 2.1 Các bước công social engineering 16 2.1.1 Thu thập thông tin 16 2.1.2 Chọn mục tiêu 16 2.1.3 Tấn công 16 2.2 Các mối đe dọa từ social engineering 17 2.2.1 Các mối đe dọa trực tuyến 17 2.2.2 Telephone-Based Threat 21 2.2.3 Waste Management Threat 21 2.2.4 Personal Approaches 22 PHẦN III: THIẾT KẾ VÀ THỰC THI PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 24 3.1 Thiết kế phòng vệ chống lại mối đe dọa từ social engineering 24 3.1.1 Xây dựng framework quản lý an ninh 24 3.1.2 Đánh giá rủi ro 27 3.1.3 Social engineering sách an ninh 31 3.2 Thực thi phòng vệ chống lại mối đe dọa từ social engineering 33 3.2.1 Sự nhận thức 33 3.2.2 Quản lý cố 33 3.2.3 Xem xét thực thi 35 3.3.4 Social Engineering mơ hình phân lớp phịng thủ chiều sâu 35 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 38 MỞ ĐẦU Các công dựa máy tính truyền thống thường phụ thuộc vào việc tìm kiếm lỗ hổng mã máy tính Ví dụ, bạn sử dụng phiên outof-date Adobe Flash - hoặc, God forbid, Java, nguyên nhân 91% công vào năm 2013 theo Cisco - bạn truy cập vào trang web độc hại trang web khai thác lỗ hổng phần mềm bạn để truy cập vào máy tính bạn Kẻ cơng khai thác lỗi phần mềm để truy cập thu thập thông tin cá nhân, từ keylogger họ cài đặt Thủ đoạn Social engineer khác nhau, chúng liên quan đến thao tác tâm lý Nói cách khác, chúng khai thác người nhắm đến mục tiêu phần mềm họ Có thể bạn nghe nói lừa đảo (Phishing) hình thức Social engineer Bạn nhận email tự xưng từ ngân hàng, cơng ty the tín dụng bạn, doanh nghiệp đáng tin cậy Họ hướng dẫn bạn đến trang web giả mạo cải trang trông giống thực yêu cầu hạn tải cài đặt chưa trình dồn hai Theo thấy rõ thủ đoạn Social engineer khơng có liên quan đến trang web giả mạo phần mềm độc hại Email lừa đảo đơn giản yêu cầu bạn gửi email trả lời với thơng tin cá nhân Thay cố gắng khai thác lỗi phần mềm, họ cố gắng khai thác tương tác người bình thường Spear Phishing cịn nguy hiểm hơn, hình thức lừa đảo trực tuyến thiết kế để nhắm mục tiêu cá nhân cụ thể Để giúp người trở thành người có kiến thức thông thái cố công kĩ nghệ, nhóm xin trình bày qua đề tài: “Trình bày khái niệm, đặc điểm, phân loại cách phòng chống công dựa kỹ nghệ xã hội (social engineering)” Tuy nhiên, thời gian có hạn khả nhiều hạn chế nên đề tài nhóm chúng em làm chắn khơng thể tránh sai sót chưa hồn thiện Chúng em mong nhận dẫn thêm từ giảng viên Nhóm xin chân thành cảm ơn! PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Tổng quan social engineering 1.1.1 Khái niệm Social Engineering Social engineering lợi dụng ảnh hưởng niềm tin để lừa người nhằm mục đích lấy cắp thông tin thuyết phục nạn nhân để thực việc Các cơng ty với phương pháp xác thực, firewalls, mạng riêng ảo VPN, phần mềm giám sát mạng có nhiều khả bị cơng Một nhân viên vơ tình để lộ thơng tin key email trả lời điện thoại người mà họ không quen biết chí nói đề án họ với đồng nghiệp hàng liền quán rượu Bảo mật xem tốt phát huy liên kết yếu Social Engineering lợi dụng ảnh hưởng niềm tin để lừa người nhằm mục đích lấy cắp thông tin thuyết phục nạn nhân để thực việc Và khơng có vấn đề công ty đầu tư cho hệ thống chất lượng cao giải pháp bảo mật chẳng hạn phương pháp xác thực đơn giản, firewalls, mạng riêng ảo VPN phần mềm giám sát mạng Khơng có thiết bị hay giới hạn bảo mật hiệu nhân viên vơ tình để lộ thông tin key email, hay trả lời điện thoại người lạ người quen chí khoe khoang dự án họ với đồng nghiệp hàng liền quán rượu Thông thường, người khơng nhận thấy sai sót họ việc bảo mật, họ không cố ý Những người cơng đặc biệt thích phát triển kĩ Social Engineering thành thạo đến mức nạn nhân họ bị lừa Mặc dù có nhiều sách bảo mật cơng ty, họ bị hại hacker lợi dụng lòng tốt giúp đỡ người Những kẻ cơng ln tìm cách để lấy thông tin Họ chắn họ nắm rõ vành đai bảo vệ người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân nhân viên phận hỗ trợ – để lợi dụng sơ hở họ Thường người dựa vào vẻ bề ngồi để phán đốn Ví dụ, nhìn thấy người mặc đồng phục màu nâu mang theo nhiều hộp cơm, người mở cửa họ nghĩ người giao hàng Một số công ty liệt kê danh sách nhân viên công ty kèm theo số điện thọai, email Website cơng ty Ngồi ra, cơng ty cịn thêm danh sách nhân viên chuyên nghiệp đào tạo sở liệu Oracle hay UNIX servers Đây số thông tin giúp cho attacker biết loại hệ thống mà họ định xâm nhập 1.1.2 Thủ thuật Social Engineering bao gồm việc đạt thông tin mật hay truy cập trái phép, cách xây dựng mối quan hệ với số người Kết social engineer lừa người cung cấp thơng tin có giá trị hay sử dụng thơng tin Nó tác động lên phẩm chất vốn có người, chẳng hạn mong muốn trở thành người có ích, tin tưởng người sợ rắc rối Social engineering thủ thuật kỹ thuật làm cho người đồng ý làm theo mà attacker muốn Nó khơng phải cách điều khiển suy nghĩ người khác, khơng cho phép attacker làm cho người làm việc vượt tư cách đạo đức thơng thường Và hết, khơng dễ thực chút Tuy nhiên, phương pháp mà hầu hết Attackers dùng để cơng vào cơng ty Có loại thơng dụng : Social engineering việc lấy thông tin cần thiểt từ người phá hủy hệ thống Psychological subversion: mục đích hacker hay attacker sử dụng PsychSub phức tạp bao gồm chuẩn bị, phân tích tình huống, suy nghĩ cẩn thận xác từ sử dụng giọng điệu nói, thường sử dụng qn đội Xem xét tình sau đây: Trích dẫn:Attacker : “ Chào bà, Bob, muốn nói chuyện với Alice” Alice: “ Xin chào, tơi Alice” Attacker: ” Chào cô Alice, gọi từ trung tâm liệu, xin lỗi tơi gọi điện cho cô sớm này…” Alice: ” Trung tâm liệu à, ăn sáng, không đâu.” Attacker: ” Tơi gọi điện cho thông tin cá nhân cô phiếu thông tin tạo account có vấn đề.” Alice: ” Của tơi à vâng.” Attacker: ” Tôi thông báo với cô việc server mail vừa bị sập tối qua, cố gắng phục hồi lại hệ thống mail Vì người sử dụng xa nên xử lý trường hợp cô trước tiên.” Alice: ”Vậy mail tơi có bị khơng?” Attacker: “Khơng đâu, chúng tơi phục hồi lại mà Nhưng chúng tơi nhân viên phịng liệu, không phép can thiệp vào hệ thống mail văn phịng, nên chúng tơi cần có password cô, không làm được.” Alice: ”Password tơi à?uhm ” Attacker: ”Vâng, chúng tơi hiểu, đăng kí ghi rõ chúng tơi khơng hỏi vấn đề này, viết văn phòng luật, nên tất phải làm theo luật.” ( nỗ lực làm tăng tin tưởng từ nạn nhân) Attacker: ” Username cô AliceDxb phải khơng? Phịng hệ thống đưa cho username số điện thoại cô, họ khơng đưa password cho chúng tơi Khơng có password khơng truy cập vào mail được, cho dù chúng tơi phịng liệu Nhưng phải phục hồi lại mail cô, cần phải truy cập vào mail cô Chúng đảm bảo với cô không sử dụng password vào mục đích khác.” Alice: ” uhm, pass không riêng tư đâu, pass 123456” Attacker: ” Cám ơn hợp tác cô Chúng phục hồi lại mail cô vài phút nữa.” Alice: ” Có mail khơng bị khơng?” Attacker: ” Tất nhiên không Chắc cô chưa gặp trường hợp bao giờ, có thắc mắc liên hệ với chúng tơi Cơ tìm số liên lạc Internet.” Alice: ” Cảm ơn.” ... kiến thức thơng thái cố cơng kĩ nghệ, nhóm xin trình bày qua đề tài: ? ?Trình bày khái niệm, đặc điểm, phân loại cách phịng chống cơng dựa kỹ nghệ xã hội (social engineering) ” Tuy nhiên, thời gian... mà công việc yêu cầu đặc quyền tài khoản người quản lý 2.1.3 Tấn công Sự công thực tế thông thường dựa mà gọi “sự lường gạt” Gồm có loại chính: 16 Ego attack: Trong loại công này, kẻ công dựa vào... 10 1.2 Phân loại 1.2.1 Human – based Là việc trao đổi người với người để lấy thông tin mong muốn Các kỹ thuật social engineering dựa vào người đại khái chia thành: Impersonation: Với kiểu công