TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTTKT VÀ THƯƠNG MẠI ĐIỆN TỬ -🙞🕮🙜 - BÀI THẢO LUẬN HỌC PHẦN AN TOÀN VÀ BẢO MẬT THƠNG TIN Đề tài: “Trình bày khái niệm, đặc điểm, phân loại cách phòng chống công dựa kỹ nghệ xã hội (Social engineering)” Giảng viên hướng dẫn : ThS Trần Thị Nhung Nhóm thảo luận : 08 Mã LHP : 2241eCIT0921 Hà Nội, tháng 11 năm 2022 h DANH SÁCH THÀNH VIÊN NHĨM STT THÀNH VIÊN 35 Khuất Hồng Nam (Thư ký) NHẬN XÉT NHIỆM VỤ Phần 1.1, Mở đầu, Kết Tinh thần đội nhóm tốt, có trách luận, Tổng hợp Word nhiệm với cơng việc chung Tích cực đóng góp, bổ sung, hồn thiện thảo luận nhóm 58 Nguyễn Thị Hồng Trang Tinh thần đội nhóm tốt, có trách Phần nhiệm với cơng việc chung 60 Vũ Thị Huyền Trang Tinh thần đội nhóm tốt, có trách Phần nhiệm với công việc chung 61 63 Phan Đức Trọng Giao nhiệm vụ, Thuyết Chủ động cơng việc chung, tích (Nhóm trưởng) trình Nguyễn Đình Tuấn Phần 1.2 cực đóng góp, bổ sung, hồn thiện thảo luận nhóm Tinh thần đội nhóm tốt, có trách nhiệm với công việc chung 65 Phan Thanh Tùng Tinh thần đội nhóm tốt, có trách Phần nhiệm công việc 66 Phạm Thị Uyên Tinh thần đội nhóm tốt, có trách Phần nhiệm cơng việc BS Đồn Duy Anh Tinh thần đội nhóm tốt, có trách Phần nhiệm công việc BS Nguyễn Quang Huy Hồn thành deadline, tinh thần đội nhóm tích cực, sáng tạo Powerpoint h Cộng hòa xã hội chủ nghĩa Việt Nam Độc lập – Tự – Hạnh phúc * * * BIÊN BẢN HỌP NHÓM (Lần 1) Học phần: An tồn bảo mật thơng tin Mã học phần: 2241eCIT0921 Giảng viên hướng dẫn: ThS Trần Thị Nhung Thời gian: 21h, ngày 21/10/2022 Địa điểm: Họp online phần mềm trực tuyến Google Meet Thành viên tham gia: o Tham gia đủ 09/09 thành viên o Hoạt động sơi nổi, tích cực đóng góp ý kiến xây dựng thảo luận Nội dung: Thảo luận đưa đề cương đề tài Nhóm trưởng Thư ký Trọng Nam Phan Đức Trọng Khuất Hoàng Nam Cộng hòa xã hội chủ nghĩa Việt Nam h Độc lập – Tự – Hạnh phúc * * * BIÊN BẢN HỌP NHÓM (Lần 2) Học phần: An tồn bảo mật thơng tin Mã học phần: 2241eCIT0921 Giảng viên hướng dẫn: ThS Trần Thị Nhung Thời gian: 22h, ngày 25/10/2022 Địa điểm: Họp online phần mềm trực tuyến Google Meet Thành viên tham gia: o Tham gia đủ 09/09 thành viên o Hoạt động sôi nổi, tích cực đóng góp ý kiến xây dựng thảo luận Nội dung: o Tổng hợp lại tài liệu tham khảo o Phân công nhiệm vụ cụ thể cho thành viên Nhóm trưởng Thư ký Trọng Nam Phan Đức Trọng Khuất Hoàng Nam MỤC LỤC DANH SÁCH THÀNH VIÊN NHÓM h BIÊN BẢN HỌP NHÓM MỤC LỤC MỞ ĐẦU PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Tổng quan social engineering 1.1.1 Khái niệm Social Engineering 1.1.2 Thủ thuật 1.1.3 Điểm yếu người 10 1.2 Phân loại 11 1.2.1 Human – based 11 1.2.2 Computer – based 13 PHẦN II: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TRONG SOCIAL ENGINEERING 16 2.1 Các bước công social engineering 16 2.1.1 Thu thập thông tin 16 2.1.2 Chọn mục tiêu 16 2.1.3 Tấn công 16 2.2 Các mối đe dọa từ social engineering 17 2.2.1 Các mối đe dọa trực tuyến 17 2.2.2 Telephone-Based Threat 21 2.2.3 Waste Management Threat 21 2.2.4 Personal Approaches 22 PHẦN III: THIẾT KẾ VÀ THỰC THI PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 24 3.1 Thiết kế phòng vệ chống lại mối đe dọa từ social engineering 24 3.1.1 Xây dựng framework quản lý an ninh 24 3.1.2 Đánh giá rủi ro 27 3.1.3 Social engineering sách an ninh 31 3.2 Thực thi phòng vệ chống lại mối đe dọa từ social engineering 33 h 3.2.1 Sự nhận thức 33 3.2.2 Quản lý cố 33 3.2.3 Xem xét thực thi 35 3.3.4 Social Engineering mơ hình phân lớp phòng thủ chiều sâu 35 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 38 h MỞ ĐẦU Các cơng dựa máy tính truyền thống thường phụ thuộc vào việc tìm kiếm lỗ hổng mã máy tính Ví dụ, bạn sử dụng phiên outof-date Adobe Flash - hoặc, God forbid, Java, nguyên nhân 91% cơng vào năm 2013 theo Cisco - bạn truy cập vào trang web độc hại trang web khai thác lỗ hổng phần mềm bạn để truy cập vào máy tính bạn Kẻ công khai thác lỗi phần mềm để truy cập thu thập thơng tin cá nhân, từ keylogger họ cài đặt Thủ đoạn Social engineer khác nhau, chúng liên quan đến thao tác tâm lý Nói cách khác, chúng khai thác người khơng phải nhắm đến mục tiêu phần mềm họ Có thể bạn nghe nói lừa đảo (Phishing) hình thức Social engineer Bạn nhận email tự xưng từ ngân hàng, công ty the tín dụng bạn, doanh nghiệp đáng tin cậy Họ hướng dẫn bạn đến trang web giả mạo cải trang trông giống thực yêu cầu hạn tải cài đặt chưa trình dồn hai Theo thấy rõ thủ đoạn Social engineer khơng có liên quan đến trang web giả mạo phần mềm độc hại Email lừa đảo đơn giản yêu cầu bạn gửi email trả lời với thông tin cá nhân Thay cố gắng khai thác lỗi phần mềm, họ cố gắng khai thác tương tác người bình thường Spear Phishing cịn nguy hiểm hơn, hình thức lừa đảo trực tuyến thiết kế để nhắm mục tiêu cá nhân cụ thể Để giúp người trở thành người có kiến thức thơng thái cố cơng kĩ nghệ, nhóm xin trình bày qua đề tài: “Trình bày khái niệm, đặc điểm, phân loại cách phòng chống công dựa kỹ nghệ xã hội (social engineering)” Tuy nhiên, thời gian có hạn khả cịn nhiều hạn chế nên đề tài nhóm chúng em làm chắn khơng thể tránh sai sót chưa hoàn thiện Chúng em mong nhận dẫn thêm từ giảng viên Nhóm xin chân thành cảm ơn! h PHẦN I: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Tổng quan social engineering 1.1.1 Khái niệm Social Engineering Social engineering lợi dụng ảnh hưởng niềm tin để lừa người nhằm mục đích lấy cắp thơng tin thuyết phục nạn nhân để thực việc Các cơng ty với phương pháp xác thực, firewalls, mạng riêng ảo VPN, phần mềm giám sát mạng có nhiều khả bị cơng Một nhân viên vơ tình để lộ thông tin key email trả lời điện thoại người mà họ không quen biết chí nói đề án họ với đồng nghiệp hàng liền quán rượu Bảo mật xem tốt phát huy liên kết yếu Social Engineering lợi dụng ảnh hưởng niềm tin để lừa người nhằm mục đích lấy cắp thơng tin thuyết phục nạn nhân để thực việc Và khơng có vấn đề cơng ty đầu tư cho hệ thống chất lượng cao giải pháp bảo mật chẳng hạn phương pháp xác thực đơn giản, firewalls, mạng riêng ảo VPN phần mềm giám sát mạng Không có thiết bị hay giới hạn bảo mật hiệu nhân viên vơ tình để lộ thơng tin key email, hay trả lời điện thoại người lạ người quen chí khoe khoang dự án họ với đồng nghiệp hàng liền quán rượu Thông thường, người không nhận thấy sai sót họ việc bảo mật, họ không cố ý Những người công đặc biệt thích phát triển kĩ Social Engineering thành thạo đến mức nạn nhân họ bị lừa Mặc dù có nhiều sách bảo mật cơng ty, họ bị hại hacker lợi dụng lòng tốt giúp đỡ người Những kẻ cơng ln tìm cách để lấy thông tin Họ chắn họ nắm rõ vành đai bảo vệ người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân nhân viên phận hỗ trợ – để lợi dụng sơ hở họ Thường người dựa vào vẻ bề ngồi để phán đốn Ví dụ, nhìn thấy người mặc đồng phục màu nâu mang theo nhiều hộp cơm, người mở cửa họ nghĩ người giao hàng h Một số công ty liệt kê danh sách nhân viên công ty kèm theo số điện thọai, email Website cơng ty Ngồi ra, cơng ty thêm danh sách nhân viên chuyên nghiệp đào tạo sở liệu Oracle hay UNIX servers Đây số thơng tin giúp cho attacker biết loại hệ thống mà họ định xâm nhập 1.1.2 Thủ thuật Social Engineering bao gồm việc đạt thông tin mật hay truy cập trái phép, cách xây dựng mối quan hệ với số người Kết social engineer lừa người cung cấp thơng tin có giá trị hay sử dụng thơng tin Nó tác động lên phẩm chất vốn có người, chẳng hạn mong muốn trở thành người có ích, tin tưởng người sợ rắc rối Social engineering thủ thuật kỹ thuật làm cho người đồng ý làm theo mà attacker muốn Nó khơng phải cách điều khiển suy nghĩ người khác, khơng cho phép attacker làm cho người làm việc vượt tư cách đạo đức thơng thường Và hết, khơng dễ thực chút Tuy nhiên, phương pháp mà hầu hết Attackers dùng để công vào cơng ty Có loại thơng dụng : Social engineering việc lấy thông tin cần thiểt từ người phá hủy hệ thống Psychological subversion: mục đích hacker hay attacker sử dụng PsychSub phức tạp bao gồm chuẩn bị, phân tích tình huống, suy nghĩ cẩn thận xác từ sử dụng giọng điệu nói, thường sử dụng quân đội Xem xét tình sau đây: Trích dẫn:Attacker : “ Chào bà, tơi Bob, tơi muốn nói chuyện với cô Alice” Alice: “ Xin chào, Alice” Attacker: ” Chào cô Alice, gọi từ trung tâm liệu, xin lỗi tơi gọi điện cho sớm này…” Alice: ” Trung tâm liệu à, ăn sáng, không đâu.” h Attacker: ” Tơi gọi điện cho thơng tin cá nhân cô phiếu thông tin tạo account có vấn đề.” Alice: ” Của tơi à vâng.” Attacker: ” Tôi thông báo với cô việc server mail vừa bị sập tối qua, cố gắng phục hồi lại hệ thống mail Vì cô người sử dụng xa nên xử lý trường hợp cô trước tiên.” Alice: ”Vậy mail tơi có bị khơng?” Attacker: “Khơng đâu, chúng tơi phục hồi lại mà Nhưng chúng tơi nhân viên phịng liệu, không phép can thiệp vào hệ thống mail văn phịng, nên chúng tơi cần có password cơ, khơng chúng tơi khơng thể làm được.” Alice: ”Password à?uhm ” Attacker: ”Vâng, chúng tơi hiểu, đăng kí ghi rõ chúng tơi khơng hỏi vấn đề này, viết văn phòng luật, nên tất phải làm theo luật.” ( nỗ lực làm tăng tin tưởng từ nạn nhân) Attacker: ” Username cô AliceDxb phải khơng? Phịng hệ thống đưa cho chúng tơi username số điện thoại cô, họ không đưa password cho chúng tơi Khơng có password khơng truy cập vào mail được, cho dù chúng tơi phịng liệu Nhưng phải phục hồi lại mail cô, cần phải truy cập vào mail cô Chúng đảm bảo với cô không sử dụng password vào mục đích khác.” Alice: ” uhm, pass không riêng tư đâu, pass 123456” Attacker: ” Cám ơn hợp tác cô Chúng phục hồi lại mail cô vài phút nữa.” Alice: ” Có mail khơng bị khơng?” Attacker: ” Tất nhiên không Chắc cô chưa gặp trường hợp bao giờ, có thắc mắc liên hệ với chúng tơi Cơ tìm số liên lạc Internet.” Alice: ” Cảm ơn.” h PHẦN III: THIẾT KẾ VÀ THỰC THI PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 3.1 Thiết kế phòng vệ chống lại mối đe dọa từ social engineering Sau hiểu phạm vi rộng lớn mối đe dọa, có ba bước cần thiết để thiết kế phòng vệ chống lại mối đe dọa từ social engineering nhân viên cơng ty Sự phịng vệ hiệu chức lập kế hoạch Thường phòng vệ phản ứng lại – bạn khám phá công thành công dựng lên hàng rào để đảm bảo vấn đề không xảy lần Mặc dù tiếp cận minh chứng mức độ nhận thức, giải pháp đến trễ vấn đề lớn tốn Để chặn trước kịch thế, có ba bước tiến hành sau: Xây dựng framework quản lý an ninh Phải xác định tập hợp mục đích an ninh social engineering đội ngũ nhân viên người chịu trách nhiệm cho việc phân phối mục đích Đánh giá thực quản lý rủi ro Các mối đe dọa mức độ rủi ro cho công ty khác Ta phải xem xét lại mối đe dọa social engineering hợp lý hóa mối nguy hiểm tổ chức Thực thi phịng vệ social engineering sách bảo mật Phát triển văn thiết lập sách thủ tục quy định nhân viên xử trí tình mà cơng social engineering Bước giả định sách bảo mật có, bên ngồi mối đe dọa social engineering Nếu khơng có sách bảo mật, cần phải phát triển chúng 3.1.1 Xây dựng framework quản lý an ninh Một khung quản lý an ninh xác định nhìn tổng quan mối đe dọa xảy tổ chức từ social engineering cấp phát tên cơng việc có vai trị chịu trách nhiệm cho việc xây dựng sách thủ tục để làm giảm bớt mối đe dọa Cách tiếp cận khơng có nghĩa bạn phải sử dụng nhân viên có chức đảm bảo an ninh tài sản công ty Security sponsor: Quản lý cấp cao, người cung cấp chứng thực cần thiết để đảm bảo tất nhân viên tham gia nghiêm chỉnh bảo mật cho công ty 24 h Security manager: Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí phát triển bảo dưỡng sách bảo mật IT security officer: Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho phát triển sở hạ tầng thực thi sách thủ tục bảo mật Facilities security officer: Một thành viên đội thiết bị chịu trách nhiệm cho phát triển vùng thực thi sách thủ tục bảo mật Security awareness officer: Một thành viên đội ngũ quản lý nhân viên – thường từ phận phát triển nhân hay nguồn nhân lực – người chịu trách nhiệm cho phát triển thực thi chiến dịch nâng cao nhận thức an ninh Security Steering Committee – đại diện cho ban cố vấn công ty: Như ứng viên lựa chọn cho hệ thống an ninh, Security Steering Committee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh Nếu khơng có tập định nghĩa mục tiêu, khó để khuyến khích tham gia nhân viên đo mức độ thành công dự án Nhiệm vụ ban đầu Security Steering Committee xác định rủi ro social engineering tồn công ty Security Steering Committee cần phải xác định vùng tồn nguy với cơng ty Q trình bao gồm yếu tố cơng xác định Ví dụ: Company Social Engineering Attack Vector Vulnerabilities (lỗ hổng công kỹ nghệ xã hội công ty) Attack vector Describr company usage Comments Online E-mail All users Outlook® computers have on Microsoft desktop 25 h Internet Mobile users have Outlook Web Access (OWA) in addition to Outlook client access Pop-up applications Instant Messaging There is currently no technological barrier implemented against pop-ups The company allows unmanaged use of a variety of IM products Telephone PBX Service Desk Currently the “Service Desk” is We need to extend support a casual support function provisions beyond the IT area provided by the IT department Waste management Internal All departments manage their own waste disposal External Dumpsters are placed outside We not currently have any the company site Garbage space for dumpsters within the collection is on Thursday site 26 h Personal approaches Physical Security Office security All offices remain unlocked 25 percent of staff works from throughout the day home We have no written standards for home worker security Home workers We have no protocols of home worker onsite maintenance Other/Companyspecific In-house franchisees All catering is managed through We not know anything about a franchise these staff, and there is no security policy for them 3.1.2 Đánh giá rủi ro Tất yêu cầu an ninh để đánh giá mức độ rủi ro mà công tiến hành công ty Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, khơng phải cần tiêu tốn nhiều thời gian Dựa công việc làm xác định yếu tố cốt lõi khung quản lý an ninh Security Steering Committee, bạn phân loại ưu tiên rủi ro Phân loại rủi ro bao gồm: 27 h • Bí mật thơng tin • Sự tín nhiệm kinh doanh • Sự sẵn sàng kinh doanh • Tài ngun • Chi phí Có thể thiết lập ưu tiên cách xác định rủi ro tính tốn chi phí để làm giảm bớt rủi ro – giảm bớt rủi ro tốn nhiều chi phí xảy rủi ro, không hợp lý Giai đoạn đánh giá rủi ro hữu í ch phát triển sau sách an ninh Ví dụ: Steering Committee Security Requirement and Risk Matrix Attack vector Possible Policy Requirement Risk Type Risk Level Confidential High = information Low = Business credibility Action Business availability Resources Money Written set of social engineering security policies Changes to make policy compliance part of the standard employee contract Online Changes to make policy compliance part of the standard contractor contract 28 h E-mail Policy on types of attachments and how to manage them Internet Internet usage policy Pop-up applications Policy for Internet usage, with specific focus on what to with unexpected dialog boxes Instant Messaging Policy on supported and allowable IM clients Telephone PBX Policy for management PBX support Service Policy for the provision of data Desk access Waste management Paper Policy for management waste paper 29 h Dumpster management guidelines Electronic Policy for the management of electronic media waste materials Personal Approaches Physical Policy for visitor management Security Office security Policy for user ID and password management – no writing passwords on a sticky note and attaching it to a screen, for example Home workers Policy for the use of mobile computers outside the company Other/ CompanySpecific In-house franchisees Policy for screening in-house franchise employees 30 h 3.1.3 Social engineering sách an ninh Một cá nhân IT quản lý công ty phải phát triển giúp đỡ thực thi sách an ninh có hiệu tổ chức Đơi khi, trọng tâm sách an ninh điều khiển cơng nghệ giúp bảo vệ chống lại mối đe dọa công nghệ, chẳng hạn virus worm Điều khiển công nghệ giúp bảo vệ công nghệ, chẳng hạn tập tin liệu, tập tin chương trình, hệ điều hành Security Steering Committee có vùng an ninh cốt lõi đánh giá rủi ro mà phải ủy quyền phát triển tài liệu kinh doanh, tiến trình, thủ tục Ví dụ: Steering Committee Procedure and Document Requirements Policy requirement Procedure/document requirement Action on/date Written set of social engineering None security policies Changes to make policy compliance Wording for new contract part of the standard employee contract requirements (Legal) New format for contractor contracts Changes to make policy compliance Wording for new contract part requirements (Legal) of the standard contractor contract New format for contractor contracts 31 h Policy for visitor management Procedure for visitor sign in and sign out Procedure for visitor accompaniment Dumpster management guidelines Procedure for waste paper disposal (see Data) Procedure for electronic media disposal (see Data) Policy for the provision of data access Policy for waste paper management Policy for the management of electronic media waste materials Policy for Internet usage, with specific focus on what to with unexpected dialog boxes Policy for user ID and password management – no writing passwords on a sticky note and attaching it to a screen, etc 32 h Policy for the use of mobile computers outside the company Policy for managing issues when connecting to partner applications (banking, financial, buying, stock management) 3.2 Thực thi phòng vệ chống lại mối đe dọa từ social engineering 3.2.1 Sự nhận thức Khơng có thay cho vận động nhận thức tốt bạn thực thi yếu tố social engineering sách an ninh Phải đào tạo nhân viên đề họ hiểu sách, hiểu phải có nó, biết làm để phản ứng lại công nghi ngờ Yếu tố then chốt công social engineering tin tưởng – mục tiêu tin tưởng hacker Để chống lại hình thức cơng này, phải kích thích chủ nghĩa hoài nghi lành mạnh nhân viên điều ngồi việc bình thường gây tin tưởng họ với sở hạ tầng IT hỗ trợ công ty Các yếu tố vận động nhận thức phụ thuộc vào cách bạn trao đổi thông tin cho nhân viên công ty Bạn chọn cấu đào tạo, họp không quan trọng, poster, kiện khác để cơng bố sách an ninh Càng tăng cường nội dung sách, thành cơng thực thi Mặc dù khởi đầu nhận thức an ninh với kiện lớn, điều quan trọng giữ an toàn bật chương trình nghị quản lý nhân viên 3.2.2 Quản lý cố Khi công social engineering xảy ra, chắn nhân viên service desk biết làm cách để xử lý cố Các giao thức phản ứng lại nên tồn thủ tục liên quan đến sách an ninh, quản lý cố nghĩa sử dụng công để khởi đầu cho việc xem xét lại an ninh Bảo mật hành trình khơng phải điểm đến yếu tố công thay đổi 33 h Mỗi cố cung cấp đầu vào cho xem xét liên tục bảo mật mơ hình hồi đáp cố, hình minh họa đây: Khi cố xảy ra, Security Steering Committee xem xét tương ứng rủi ro hay thay đổi cơng ty tạo hay làm sách thủ tục dựa kết thu thập Tất sửa đổi cần tuân thủ sách an ninh cho công ty thay đổi theo tiêu chuẩn quản lý Để quản lý cố, nhân viên service desk phải có quy trình báo cáo cố linh hoạt mà ghi lại thông tin đây: • Tên mục tiêu • Khu vực mục tiêu • Ngày • Yếu tố cơng • Mơ tả cơng • Kết cơng 34 h • Hiệu cơng • Các kiến nghị Bằng cách ghi lại cố, xác định mẫu ngăn chặn cơng sau 3.2.3 Xem xét thực thi Khi xem xét lại mặt an ninh, trở nên nhạy cảm vô số mối đe dọa tiềm tàng Chính sách an ninh phải trì đánh giá doanh nghiệp làm kinh doanh Nếu đề xuất bảo mật có ảnh hưởng xấu đến lợi nhuận hay linh động thương mại tổ chức, cần phải đánh giá lại rủi ro Cần phải đạt cân bảo mật tính khả dụng thực thi Đó điều quan trọng để đánh giá danh tiếng công ty có ý thức bảo mật có lợi ích thương mại Nó khơng ngăn cản hacker, mà cịn cải thiện profile kinh doanh công ty với khách hàng đối tác 3.3.4 Social Engineering mơ hình phân lớp phịng thủ chiều sâu Mơ hình phân lớp phòng thủ chiều sâu phân loại giải pháp bảo mật chống yếu tố công – vùng điểm yếu mà hacker sử dụng để đe dọa mơi trường máy tính Các yếu tố cơng bao gồm: Chính sách, thủ tục, nhận thức: văn quy định bạn phát triển để quản lý tất lĩnh vực bảo mật, chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, thực thi quy định Bảo mật vật lý: rào cản mà quản lý truy cập đến tài sản tài nguyên Điều quan trọng để nhớ yếu tố sau cùng; ví dụ, bạn đặt giỏ rác bên ngồi cơng ty, sau chúng bên bảo mật vật lý công ty Dữ liệu: thông tin kinh doanh – tài khoản, email, … xem xét mối đe dọa, phải bao gồm hard soft copy tài liệu kế hoạch bảo mật liệu Ứng dụng: chương trình chạy user Phải đánh giá hacker social engineering phá vỡ chương trình nào, chẳng hạn email IM Host: máy tính server client sử dụng tổ chức Sự trợ giúp đảm bảo bạn bảo vệ user chống lại công trực tiếp vào máy tính cách xác định chặt chẽ nguyên tắc đạo phần mềm để Social Engineering 33 sử dụng máy tính làm quản lý thiết bị bảo mật, chẳng hạn user IDs password 35 h Mạng nội bộ: hệ thống mạng mà hệ thống máy tính cơng ty truyền thơng Nó local, wireless, WAN Các mạng nội trở nên “nội bộ” vài năm qua, với hoạt động nhà di động phổ biến Vì phải làm cho chắn user hiểu họ phải làm việc bảo mật tất môi trường nối mạng Chu vi: điểm tiếp xúc mạng nội mạng bên ngoài, chẳng hạn Internet hay hệ thống mạng phụ thuộc vào đối tác kinh doanh, phần extranet Các công social engineering thường cố gắng xuyên thủng chu vi để khởi đầu công vào liệu, ứng dụng, host xuyên qua hệ thống mạng nội Khi thiết kế phịng vệ, mơ hình phịng vệ chiều sâu giúp hình dung lĩnh vực kinh doanh bị đe dọa Mơ hình khơng đặc tả mối đe dọa social engineering, lớp phải nên có phòng vệ 36 h KẾT LUẬN Sự phát triển công nghệ, đặc biệt Internet giúp sống người trở nên thuận tiện dễ dàng Tuy nhiên kéo theo gia tăng nhiều hình thức lừa đảo cơng nghệ cao nhằm chiếm đoạt thơng tin, tài sản cá nhân Các hình thức lừa đảo biết đến biểu khác phương thức công Social Engineering Mặc dù, kỹ thuật công mới, nhiều cá nhân tổ chức trở thành mục tiêu tin tặc Qua thảo luận, thấy vấn đề an toàn bảo mật thông tin từ việc công dựa kỹ nghệ xã hội quan trọng, đặc biệt cá nhân, doanh nghiệp, tổ chức Tuy nhiên, phát phát triển mạng xã hội 4.0 đồng thời xuất mặt trái mặt tiêu cực việc truy cập mạng Vì vấn đề an tồn bảo mật thơng tin người dùng quan trọng Để hạn chế vấn đề lộ thông tin, bị cắp thông tin tránh truy cập trái phép nhóm làm rõ đặc điểm, phương thức nguy công dựa kỹ nghệ xã hội Đề xuất cách phòng chống để hạn chế tối đa tin tặc giả danh, đăng nhập vào tài khoản ăn cắp thông tin Cũng đưa biện pháp khắc phục kịp thời để hạn chế tối đa thiệt hại Do thời gian kinh nghiệm hạn chế, vấn đề lĩnh vực an tồn bảo mật thơng tin phức tạp Chúng em cố gắng hoàn thiện thảo luận cách tốt nhất, song tránh khỏi thiếu sót cần bổ sung Chúng em mong nhận nhận xét góp ý để thảo luận hồn thiện Một lần nữa, nhóm xin chân thành cảm ơn! 37 h TÀI LIỆU THAM KHẢO Social engineering điểm yếu hệ thống thông tin: https://whitehat.vn/threads/social-engineering-va-diem-yeu-nhat-trong-mothe-thong-thong-tin.7815/ Social engineering: 59046/ https://doc.edu.vn/tai-lieu/do-an-social-engineering- Social Engineering gì? Những điều bạn cần biết “Tấn công phi kỹ thuật” https://cystack.net/vi/blog/social-engineering 38 h