HỌC VIỆN AN NINH NHÂN DÂN KHOA -AN NINH THÔNG - TIN  BÀI BÁO CÁO MÔN AN TỒN MẠNG MÁY TÍNH CHỦ ĐỀ : Social Engineering tool: SET (SEToolkit) HỌC PHẦN: AN TỒN MẠNG MÁY TÍNH LỚP: D51-ATTT NHÓM BÁO CÁO: PHÙNG NGỌC MINH HÀ NỘI, 2022 MỤC LỤC LỜI MỞ ĐẦU PHẦN I TỔNG QUAN VỀ SOCIAL ENGINEERING .3 Social engineering gì? .4 Các hình thức công Social Engineering ph ổ bi ến Các bước công Social Engineering Các rủi ro thường gặp bị công Social Engineering Cách thức phịng chống cơng Social Engineering PHẦN II GIỚI THIỆU CÔNG CỤ SOCIAL ENGINEERING TOOLKIT Giới thiệu SEToolkit: .8 Một số tính .chính SEToolkit: Cài đặt SEToolkit PHẦN III KHAI THÁC MỘT SỐ TÍNH NĂNG TRÊN CƠNG CỤ SETOOLKIT 11 11 Tính Social-Engineering Attacks 16 Tính Mass Mailer Attack: 22 PHẦN IV KẾT LUẬN 23 NGUỒN THAM KHẢO Sự phá t triể n củ#a cô%ng nghệ% , LỜIđặ) cMỞbiệ% tĐẦUlà,Internet đã.giú p cuộ % c số0ng củ#a ngườ,i trở#nê%n thuậ% n tiệ% n và,dễ4dà,ng Tuy nhiê%n ké o theo là,sự gia tă)ng nhiề8u hì,nh thứ c lừ,a đ ả#o cô%ng ngh ệ% cao nh ằ:m chi ế0m đo t thô%ng tin, tà,i sả#n cá nhâ%n Cá c hì,nh th ứ c l ừ,a đ ả#o nà,y đ ượ c bi ế0t đ ế0n nh là,cá c biể u hiệ% n c củ#a phương thứ c tấ0n cô%ng Social Engineering Đâ%y là,1 phương phá p đượ c hacker mũ.đen rấ0t thí ch sử# dụ ng vì,nó khơ%ng c ầ8n q nhi ề8u kỹ.thuậ% t mà,bằ:ng cá ch thao thao tú ng lị,ng tin; đá nh m nh và,o tâ%m lí , c ả#m tí nh củ#a ngườ,i Con ngườ,i là,nguồ8n lự c tố0t nhấ0t và,là,điể m cuố0i c ủ#a cá c l ỗ4h ổ ng bả#o mậ% t từ,trướ c đế0n Khơ%ng có hệ% th ố0ng nà,o là,an tồ,n b ở#i vì,h ệ% thố0ng đượ c tạ o bở#i ngườ,i Chí nh vì,lí trê%n, em xin chọ n chủ# đề8nghiê%n u về8“ ” để tì,m hiể u thê%m về8kỹ.thuậ% t tấ0n Socialcơ %ngEngineeringmà,hacker có tool:thể SETsử#dụ ng(SEToolkit)và,từ,đó có phương phá p phị,ng chố0ng tố0t nhấ0t PHẦN I TỔNG QUAN VỀ SOCIAL ENGINEERING Social1.SocialEngineeringengineeringlà,kế0tlà hợ pgì? giữ.a từ,Social (xã.hộ% i) và,Engineering (kỹ.thuậ% t), thể hiệ% n bả#n chấ0t củ#a kiể u t ấ0n cơ%ng nà,y: cá c má nh khó e, kỹ.thuậ% t tấ0n cơ%ng nh ắDm và,o bả#n tí nh xã.h ộ% i c ủ#a ng ườ,i, thứ mà,khô%ng hề8tồ8n tạ i má y mó c Social Engineering Attack cị,n đ ượ c biế0t đế0n vớ i cá i tê%n Tấ0n cô%ng phi kỹ.thuậ% t Social Engineering là,thu ậ% t ng ữ phổ biế0n lĩ.nh vự c bả#o mậ% t thô%ng tin, mô%tả#kiể u tấ0n cô%ng sử# dụ ng cá c hì,nh thứ c thao tú ng hà,nh vi củ#a ngườ,i thay vì,t ậ% p trung khai thá c cá c lỗ4hổ ng bả#o mậ% t củ#a má y mó c, thiế0t bị Qua , k ẻ#t ấ0n cơ%ng có th ể đ t đượ c cá c mụ c đí ch củ#a mì,nh xâ%m nhậ% p và,o h ệ% th ố0ng, truy c ậ% p thô %ng tin quan trọ ng,… mà, khô%ng cầ8n phả#i thự c hi ệ% n nh ữ.ng kỹ.thu ậ% t t ấ0n cô %ng phứ c tạ p Bằ:ng cá ch tá c độ% ng trự c tiế0p đế0n tâ%m lý ng ườ,i, xâ%y d ự ng cá c mố0i quan hệ% có chủ# đí ch, Social Engineering khai thá c cá c thô%ng tin và,dù,ng nhữ.ng thơ%ng tin và,o mụ c đí ch riê%ng (t ố0ng ti ề8n, tr ộ% m c ắDp tà,i s ả#n, đe dọ a, phá hủ#y cá nhâ%n/ tổ c,…) Khi p d ụ ng Social Engineering, t ộ% i ph m thườ,ng che giấ0u danh tí nh và,độ% ng thự c s ự bằ:ng m ộ% t v ẻ#ngoà,i đá ng tin c ậ % y khiế0n cho đố0i phương mấ0t cả#nh giá c, từ,đó dễ4dà,ng xâ%m nh ậ% p cá c s hở# Social Engineering khô%ng trự c tiế0p sử#dụ ng cá c phương thứ c kỹ.thu ậ % t (phá hủ#y hệ% thố0ng, tin tặ) c) sẽ.dù,ng cá c cá ch th ứ c tinh vi để dẫ4n đế0n tấ0n cơ%ng bằ:ng kỹ.thuậ% t Ta hì,nh dung rõ.hơn về8Social Engineering qua cá c tì,nh huố0ng quen thuộ% c như: chó só i độ% i lố0t cừ,u để ă)n thị t bầ8y cừ,u Mộ% t ngà,y đẹ p trờ,i bạ n nhậ% n đượ c tin nhắDn trú ng thưở#ng kè,m theo yê%u cầ8u gử#i thê%m mộ% t khoả#n tiề8n thuế0/ đả#m bả#o/ vậ% n chuyể n… Hoặ) c hà,ng xó m củ#a bạ n bị mộ %t đố0i tượ ng giả#danh ngườ,i thâ%n để chiế0m đoạ t tà,i s ả#n Nhâ%n viê%n củ#a bạ n vơ% tì,nh tả#i xuố0ng mộ% t phầ8n mề8m ch ứ a virus và,gâ%y nhiễ4m độ% c toà,n bộ% hệ% thố0ng má y tí nh, sau c quan b n b ị lộ% cá c thô%ng tin quan trọ ng số0tà,i kho ả#n, m ậ% t kh ẩ u, đ ơn hà,ng, … Tộ% i2.Cácphạ mhìnhSocialthứcEngineeringtấncơngSocó ialthể Engitấ0neeringcô %ngbằ:ngphổ việ% cbiếngiao tiế0p trự c tiế0p vớ i ngườ,i hoặ) c giao ti ế0p giá n ti ế0p v i ngườ,i thô%ng qua cá c thiế0t bị kỹ.thuậ% t, điệ% n t ử# Cà,ng ngà,y ng cà,ng s ử#d ụ ng má nh khó e tinh vi Sau đâ%y là,mộ% t và,i phương thứ c phổ biế0n mà,chú ng thườ,ng dù,ng: Phishiingnglà,hì,nh thứ c Social Engineering phổ biế0n nhấ0t mà,kẻ#tấ0n cô%ng tạ o cá c email/ trang web mạ o danh cá c cô%ng ty, t ổ c (ngâ%n hà,ng, bộ% cô%ng thương, )/ trang mạ ng xã.hộ% i nổ i tiế0ng (Facebook, Twitter,…) hoặ) c ứ ng dụ ng để ngườ,i dù,ng nhậ% p thô %ng tin cầ8n thiế0t, thự c hiệ% n cá c lệ% nh chuyể n tiề8n… Đâ%yBaitinglà,hì,nh thứ c tấ0n cơ%ng phi kỹ.thuậ% t thườ,ng xả#y giữ.a nhữ.ng ngườ,i có mố0i liê%n hệ% xã.hộ% i, ngườ,i quen Khi có đượ c tí n nhiệ% m củ#a nạ n nhâ%n, kẻ#tấ0n cô%ng tiế0n hà,nh gử#i/ mượ n usb hoặ) c cá c thiế0t bị cơ%ng nghệ% có ch ứ a mã.đ ộ% c khiế0n ngườ,i dù,ng sử#dụ ng thiế0t bị để đă)ng nhậ% p và,o h ệ% thố0ng cơ%ng ty Vishinging là,hì,nh thứ c lừ,a đả#o mạ o danh thô%ng qua ệ% n tho i Trong hì,nh thứ c nà,y, kẻ#tấ0n cơ%ng gọ i điệ% n cho m ồ8i, ng giả#là,m mộ% t thự c thể uy tí n để chi ế0m đo t lò,ng tin B ằ:ng cá ch , ngườ,i bị lừ,a sẽ.khơ%ng mả#y may nghi ngờ,và,cung c ấ0p cho ng cá c thô %ng tin nhạ y cả#m số0tà,i khoả#n ngâ%n hà,ng, mậ% t khẩ u quan tr ọ ng… Piggybackingbackinglà,hì,nh thứ c Social Engineering mà,kẻ#tấ0n cơ%ng lừ,a ngườ,i có thẩ m quyề8n để độ% t nhậ% p và,o cô%ng ty Trong hì,nh th ứ c nà,y, k ẻ#t ấ0n cơ%ng ng giả#là,nhâ%n viê%n chí nh thứ c/ ngườ,i thâ%n/ thợ sử#a chữ.a/ ng ườ,i có th ẩ m quyề8n, yê%u cầ8u thô%ng tin quan trọ ng hoặ) c cá c thô%ng tin cầ8n thiế0t đ ể xâ%m nhậ% p hệ% thố0ng, gắDn cá c thiế0t bị theo dõ.i ho ặ) c tr ự c ti ế0p t ấ0n cô%ng hệ% thố0ng/ chiế0m đoạ t tà,i sả#n TrongNghetrộm/mộ% tvà,icameratrườ,ngẩnhợ p, kẻ#xấ0u nghe trộ% m cuộ% c gọ i, cuộ% c số0ng sinh hoạ t hà,ng ngà,y b ằ:ng cá ch cà,i trộ% m cá c thiế0t bị tinh vi camera hay micro ẩ n và,o đ ố0i t ượ ng b ị theo dõ.i Đâ%yTheolà,dõihì,nhrácthứ cthảimà,hàngcá c nhâ%ngày viê%n mậ % t vụ sử#dụ ng để tì,m cá c thô%ng tin, dấ0u vế0t về8mộ% t đ ố0i t ượ ng Họ thườ,ng lụ c thù,ng rá c để tì,m kiế0m thơ%ng tin, thó i quen,… Vớ iPop-hì,nhupwindowthứ cnà,y, hacker tạ o cá c cử#a sổ Pop- up hiệ% n lê%n má y tí nh lừ,a ngườ,i dù,ng bấ0m và,o link, đ ổ i h ướ ng trang web, yê%u c ầ8u ngườ,i dù,ng nhậ% p thô%ng tin cá nhâ%n hoặ) c tả#i ph ầ8n m ề8m ch ứ a mã.đ ộ% c Các bước công Social Engineering Để 3.1.bắDtKhaiđầ8uthácmộ% tthôngcuộ% c tấ0ntin cơ%ngvàphânSocialtíchEngineering,hàhvi tin tặ) c sẽ.nghiê%n u và,khả#o sá t về8mụ c tiê%u Ví dụ : Nế0u mụ c tiê%u tấ0n cô%ng là,doanh nghiệ% p, tin tặ) c sẽ.khai thá c tì,nh hì,nh kinh doanh, tì,m hiể u sơ lượ c về8bộ% má y nhâ%n Nhữ.ng mắDt xí ch yế0u nhấ0t sẽ.là,yế0u tố0chú ng nhắDm và,o để tấ0n cô%ng Nế0u mụ c tiê%u tấ0n cô%ng là,cá nhâ%n, tin tặ) c sẽ.phả#i tì,m cá ch xâ%y dự ng mố0i quan hệ% vớ i ngườ,i hoặ) c tì,m nhữ.ng ngườ,i họ tin tưở#ng Tiế0p theo, tin tặ) c sẽ.xá c đị nh rõ.rà,ng mụ c tiê%u tấ0n cơ%ng củ#a mì,nh (SĐT, đị a chỉ#, hay tà,i khoả#n ngâ%n hà,ng…) Ở 2bướ c.Xâythứ dựnghai,côngtintặ) ccụsẽtấn.xâ%ycôngdự ng cô %ng cụ tấ0n cô%ng tù,y theo mụ c tiê%u tấ0n cơ%ng Ví dụ : Mộ% t số0điệ% n thoạ i đã.đượ c đă)ng kí tê%n hiể n thị là,ngâ%n hà,ng mà,ngườ,i dù,ng sử#dụ ng, mộ% t tà,i khoả#n Facebook giả#danh ngườ,i thâ%n củ#a ngườ,i bị tấ0n cô%ng,… 3.3 Tấn công