Xây dựng hệ thống mô phỏng các cuộc tấn công Phishing

Khoá học nhân thức an toàn thông tin cho người dùng cuối của Robusta...161.2.4.Khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin của Udemy ..... 1.1.4.Giải pháp Do tấn công sử dụ

Trang 1

Đề tài: “Xây dựng hệ thống mô phỏng các

cuộc tấn công Phishing”

Giảng viên hướng dẫn: TS Ngô Quốc Dũng

Sinh viên thực hiện: Nguyễn Thị Mai

MSSV: BI7DCAT122

Lớp: D17CQAT02-B

Hệ: Đại học chính quy

HÀ NỘI - 2022

Trang 2

HỌC VIEN CONG NGHỆ BƯU CHÍNH VIỄN THONG

ĐÔ ÁN

TÓT NGHIỆP ĐẠI HỌC

Dé tài: “Xây dựng hệ thống mô phỏng các cuộc tan công Phishing”

Giảng viên hướng dẫn: TS Ngô Quốc Dũng

Sinh viên thực hiện: Nguyễn Thị Mai

MSSV: BI7DCATTI22

Lớp: DI7CQAT02-B

Hệ: Đại học chính quy

Trang 3

NHAN XÉT

(Của giảng viên phản biện)

Hà Nội, 1/2022 Giảng viên phản biện

SV Nguyễn Thị Mai - DI7CQAT02-B

Trang 4

NHAN XÉT

(Của giảng viên hướng dẫn)

Hà Nội, 1/2022

Giảng viên hướng dẫn

Trang 5

LỜI CẢM ƠN

Em xin chân thành cảm ơn Khoa Công nghệ Thông tin 1, Học viện Công nghệ

Bưu chính Viễn thông đã tạo điều kiện tốt cho em thực hiện đề tài này.

Em xin chân thành cảm ơn Thầy Ngô Quốc Dũng, là người đã tận tình hướngdẫn em, giúp em giải quyết các vấn đề, chỉ bảo em trong suốt thời gian thực hiện đề

xe

tal.

Em cũng xin gửi lời cảm ơn sâu sắc đến quý Thay Cô trong Khoa Công nghệThông tin 1 đã tận tình giảng dạy, trang bi cho em những kiến thức quí báu trong

những năm học vừa qua.

Em xin gửi lòng biết ơn sâu sắc đến Bố, Mẹ, các anh chị và bạn bè đã ủng hộ,giúp đỡ và động viên em trong những lúc khó khăn cũng như trong suốt thời gian học

tập và nghiên cứu.

Mặc dù em đã cô gắng hoàn thành luận văn trong phạm vi và khả năng chophép, nhưng chắc chắn sẽ không tránh khỏi những thiếu sót, kính mong sự cảm thông

và tận tình chỉ bảo của quý Thầy Cô và các bạn

Sinh viên thực hiện

Nguyễn Thị Mai

Trang 6

MỤC LỤC

Iu0ñe v09 iDANH MỤC CAC KI HIỆU VÀ CHU VIET TẮT ¿-©+c++vcxererrverrre viDANH MỤC CAC BANG eesssssssseesssssessssneesssneeessnecesnneeessneecssneeessnneeessnneessnesesneseesaey 7DANH MỤC CAC HINH VE cesssssssssssssseeessseeessnecessneeessneeessneessnneessaneessneessnneeesaey 8ÿ/I90.100001 10CHƯƠNG 1: TONG QUAN BÀI TOÁN - + S++Ek‡E‡E2EEEEEEerkerkerkeree 11

1.1 Thực trang an toàn thông tin hiỆn nay 00 eee eeceeeeenececeeeeeeeeeaeeeeeeeeeeeeneeaees 11

1.1.1 Khái niệm an toàn thông tine eee eeseeceseeesseeeseeeseeeeneeesaeeeeaeceseeeeseeesaes 11

1.1.2 Tình hình an toàn thông tin tại Việt Nam và trên thé giới - - 111.1.3 Các nguyên nhân và hậu quả của việc mat an toàn thông tin - 12

1.1.4.Gial Phap ee 13

1.2 Đặt vấn 46 oes eeccceescsssseecssseecessnecessnseessnnecessnseessnsecssnseeesnneeessneessneecesnneeesnneesnneses 141.2.1 Mô hình khoá đào tạo An toàn thông tin cho người dùng của SmartPro 14

1.2.2 Mô hình khoá học nhận thức bao mật thông tin của trung tâm Masterskills15

1.2.3 Khoá học nhân thức an toàn thông tin cho người dùng cuối của Robusta 161.2.4.Khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin của Udemy L71.2.5 Chương trình đào tạo nâng cao nhận thức về bao mật KnowBe4 181.3 Tan công Social engineering và Eishing 2-2-5 2+£+EzEezxerxerxerxerxee 191.3.1 Dinh 62.105 191.3.2 Các phương thức tấn công -:- ¿+ +++k+Ek+EEtEEE2EEEEEEEEEEEEEEEEkrrkerreee 201.3.3 Các phương pháp phòng chống 2-2 ¿+ ©E+SE+EE+EE+EE2E£EeEEerkerxerxee 231.3.4 Một vài công cụ hỗ trợ tấn 200117 231.3.4.1 Giới thiệu về công cụ hỗ trỢ -¿-©2¿©2x+22++£x2EkSExrrkrerkeerkerrrees 231.3.4.2 Công cụ rà quét lỗ hồng bảo mật hệ thống - 2 2 s2 s2 ©5z+‡ 241.3.4.3 Công cụ rà quét lỗ hổng ứng dụng Web -: ¿©+csz+cx+cxees 241.3.4.4 Công cụ quét công dịch vụ - 2¿52¿+2++2x++£x+2ExSrxerkrerkrsrkrrrres 24

1.3.4.5 COng cu nghe trOM na 24 1.3.4.6 Công cụ ghi phím gỐ 6 1v TH HH Hàn Hưng nh ngư 25

1.3.5 Pháp luật và chính sách an toàn thông tin ¿5 «+55 <<+c<cese 25

1.3.5.1 Giới thiệu về pháp luật và chính sách -¿+z+s+cxzseez 25

ii

SV Nguyễn Thi Mai - DI7CQAT02-B

Trang 7

1.3.5.2 Một số luật quốc tế về an toàn thông tin - 2 2+2 s+cxz£sz£szzs 261.3.5.3 Một số luật Việt Nam về an toàn thông tin -¿-sz-z 26CHƯƠNG 2: PHAN TÍCH VÀ THIET KE HỆ THÓNG - -:-:: 282.1 Giới thiệu hệ thỐng -¿- 2-2 2 £+ESE£EE9EE£EEEEE2EEEEEEEEEEEEEEEEEEEEE11E11 11T, 282.2 Các chức năng chính của ứng dụng - ¿5 St *+* 3+ Eerveerseerssrrrsrrreree 28 P0 ii Jeár 0i 086 28 2.2.2 Dang Mhap tr rttTaiiiẢẲ34ẢỐœÖ5 , 28

2.2.3 s0 2 Ầ 28 2.2.4 Chỉnh sửa bài HOC LH HH HH TT TH HH HH HH nh 29 P596 vn 29 2.2.6 Thêm mới nội dung bài hỌC + + + E1 E391 E91 vn re 29

2.2.7 Thêm mới nội dung bài học từ re 29

2.2.8 Chỉnh sửa nội dung bai hoc - - c5 233111331911 919 1 9 vn vn rưy 30

2.2.9 Xóa/ xóa tất cả nội dung bài HOC - - + xxx H ggrre 30

2.2.10 GU EMail - 2G G1 HT HH ng ng TH HH HH Hư ch nà 30

2.2.11 Theo dõi kết quả tấn công - 2-2 5¿©2+2+++EE2EEt2EEEEEEEEEEEkrrrrerkrervee 302.2.12 Theo dõi lịch sử tắn công 2¿- 5¿©2++2E+2EE+2EE2EEEEEEEEECSEkrrrrerkrervee 302.3 Sơ đồ usecase tổng quát :-©2¿-©+¿+2+22E12212221211271127112112112711221 21 cre 30

"on 31 2.4.1 Đăng ký tài khoản c1 1n TH TH TH HH 31 2.4.2 Dang MNP ee 32 2.4.3 Tao 0o 33 2.4.4 Chinh stra bai HOC cccecccccccssssscccccesssseeeeceeesssseeecceeesssesecceseeseeececeesnseeeeeees 33 2.4.5 Xa 6o on 34 2.4.6 Thêm mới nội dung bài hỌC << + 2* E33 E*EESeeEseerseeeereeeereere 35

2.4.7 Thêm mới nội dung bài học từ IHẪU (S333 EEEEEEEEEEEEEEEEEEEEkrkrkrrree 36

2.4.8 Chỉnh sửa nội dung bài hoc - c1 3113911 91113 111k errvre 37 2.4.9 Xóa nội dung bài hỌC < 1 1301191119111 911 11 11111 ng ng ng kg 38 2A1O Go nh 39

2.4.11 Theo dối lịch sử bài hỌC - 6 c2 1123 9191191 0v ng ng ngư402.4.12 Theo dõi kết quả bài học - 2 5¿©2+2+++EE2EEt2EEEEEESEESExerrrerkeervee 402.5 Sơ đồ hoạt động - 2 5¿©2+2 12211 2211221221122112712112112111211211 11111211 cre.41

iii

Trang 8

2.5.1 Module “Sinh viên đăng ký tài khoảñ”” - ccsS<s+ksseeeeeeersrs 41 2.5.2 Module “Giang viên đăng nhap” - - - 5 s1 He, 41 2.5.3 Module “Giảng viên tạo bài hỌC”” - c1 S1 HH TH ng ng 41 2.5.4 Module “Giảng viên chỉnh sửa bai HOC” eeseesceeteceseeceseeeeeeeeaeensneeaes 42

2.5.5 Module “Giảng viên xóa bài hỌC”” -. -c + 1211 11 1111 xe rey 42 2.5.6 Module “Giảng viên thêm mới nội dung bài hoc” - ‹ s++<s+++ 42

2.5.7 Module “Giảng viên thêm mới nội dung bài học từ mẫu” - 42

2.5.8 Module “Giang viên chỉnh sửa nội dung bài học ” - «<+-<«s+ 43

2.5.9 Module “Giảng viên xóa nội dung bài họC”” -++scsssssesserssreeres 43 2.5.10 Module “Giảng viên gtri eimalÏ”” -. + c + x + vs vekrrrerrrrsrrerreree 43

2.5.11 Module “Giảng viên theo dõi lich sử bài học ” -cx+scxssssexes 44

2.5.12 Module “Giảng viên theo dõi kết quả bài học”” -¿-s s+csecsze: 442.6 Kay dung $0 46 8n ẽ ẽaa , Ô 442.7 Thiết kế cơ sở dữ TOU seeeccsseeesecsssseceessneceessnsesesssneceesnnneecesnneeseesnneseesnneeeesens 442.8 Sơ đồ tuần tự -ccccnHnHHHH HH HH gưệu 452.8.1 Module “Sinh viên đăng ky tài khoản” - sen 45

2.8.2 Module “Giảng viên đăng nhập” - - - 5 ng HH gi, 45 2.8.3 Module “Giảng viên tạo bài HOC” uo eee eceseeeeeseeeeceeeeeeeeseeececeeesseceaeeeeeeaees 46 2.8.4 Module “Giang viên sửa bài hỌC”” - -.- + c 1+ 139 3 net 46 2.8.5 Module “Giang viên xóa bài hỌC” + - 13x19 ve 47 2.8.6 Module “Giảng viên thêm mới nội dung bài học” - «<< «++ 47

2.8.7 Module “Giảng viên thêm mới bài học từ MAU” ¿ - - ss+s+sz=s 48

2.8.8 Module “Giảng viên chỉnh sửa nội dung bài học” -«<+s<«s+ 48

2.8.9 Module “Giảng viên xóa nội dung bài học ”” - csccsssssesserssreeres 49 2.8.10 Module “Giảng viên gtri €imallÏ”” + c t3 3 vekerreerrssrrrrereeree 49

2.8.11 Module “Giảng viên theo dõi lich sử bài học ” -<cx+sxssessexes 50

2.8.12 Module “Giảng viên theo dõi kết quả bài học” ¿5z scsscsscsee 50CHƯƠNG 3: XÂY DỰNG HE THÓNG -c5ccccvercrrkrrrrrrrrrrrrrrrrre 5I3.1 Kiến trúc tong quan của hệ thống và công nghệ sử dụng - 51

3.1.1 Mô hình MVC - Gà HH ng nga 51 3.1.2 ReactJS FraIneWOYK «ch HH TH HT HH ưn 52 3.1.3 NodeJS Framework 0 eee eeccceseesseeeseeeesceceseeesaeeesaeeeseesseecseeesaeeesaeeeeeeeaes 52

iv

Trang 9

c9 53

3.1.5 Kiến trúc tong quan của hệ thong 2- 22 5¿©2+£+++£x++zxvzxeerxesrxez 54

3.2 Môi trường cài đặt và các công cụ SỬ Ụng 5c c + sssksesrreeerersre 55

3.3 Giao diện một số chức năng của hệ thống ¬— 55.4000/)00207 66DANH MỤC TÀI LIEU THAM KHẢO -cc¿-c5cccccvererrkerrrrrkrrrrrrrrrre 67

v

Trang 10

DANH MỤC CÁC Ki HIỆU VÀ CHU VIET TAT

CNTT Công nghệ thông tin

CSDL Co sở dit liệu

ATTT An toàn thông tin

NCSC Trung tâm Giám sát an toàn không gian mạng quốc gia

URL Uniform Resource Locator

HTML HyperText Markup Language

USA The United States of America

CFA Computer Fraud and Abuse

HIPAA Health Insurance Portability and Accountability

Trang 11

DANH MỤC CAC BANG

Bang 2.1 Kịch bản đăng ký tài khoản - 5 + 31v HH HH ngư, 32 Bảng 2.2 Kịch bản đăng nhậtp - - - G2 1211311191119 11191111 1111 HH ng 33 Bảng 2.3 Kịch bản tạo bài hỌC c1 1221112119 111111 H1 1H ng kg 33 Bảng 2.4 Kịch bản chỉnh sửa bài HQC - - óc 1132119119111 1 1 1H ng net 34 Bảng 2.5 Kịch bản xóa bài hỌC - c1 22111121113 1119111 911101 11v HH ng 35 Bảng 2.6 Kịch bản thêm mới nội dung bài hỌc 55 << + * + *++se+eeexseesessrs 36

Bảng 2.7 Kịch bản thêm mới bài học từ IHẪU G33 SE SEEEEEEEESEEEEESEEErrrrerererxex 37

Bang 2.8 Kịch bản chỉnh sửa nội dung bài học - 55-5 + + *+ssssexeereeersseresrs 38 Bang 2.9 Kịch bản xóa nội dung bài hỌc - - 5 5c 3< E323 xvEsrererrrrrererrrerrree 39

Bảng 2.10 Kịch bản gửi email - c Sc 33+ 3211333125 EEEEEESrkrEkrrerrkrrrerree 40

Bảng 2.11 Kịch ban theo dõi lịch sử bài hỌC -.- <5 + + + skeeeeeesererrere 40

Bang 2.12 Kịch bản theo dõi kết quả bài học - ¿5-2 2 2+££+E£2Ec£Eezxerxerxsreee 41

Trang 12

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mẫu chứng nhận hoàn thành khoá học của MasterskIlls - - 15

Hình 1.2 Nội dung khoá học an toàn thông tin trực tuyến của Udemy 17

Hình 1.3 Tan công Phishingg 2-2 5£ E+EE9EE£EEE2EE2EEEEEEEE2EE2E171711211 212 re 20 Hình 1.4 Tan công giả mạo email -¿- 2© 5£+E++2EE+2EE£EEE+EE+2EEerEeerkesrkrrrrees 22 Hình 2.1 Sơ đồ usecase tong quất +- + + £+E£+E2E£EEEEEEEEEEEEEEEE2121 2121 31 Hình 2.2 Sơ đồ hoạt động của chức năng đăng ký tài khoản 5: 5-55: 41 Hình 2.3 Sơ đồ hoạt động của chức năng đăng nhập - 2 2©2+ce+zx+zxzes 41 Hình 2.4 So đồ hoạt động của chức năng tạo bài HOC - - + + cscrssrseesseree 41 Hình 2.5 So đồ hoạt động của chức năng chỉnh sửa bài học - -. ‹ -<+<<++ 42 Hình 2.6 Sơ đồ hoạt động của chức năng xóa bài hOC - c5 scc+ssssseesseree 42 Hình 2.7 So đồ hoạt động của chức năng thêm mới nội dung bài học 42

Hình 2.8 Sơ đồ hoạt động của chức năng thêm mới nội dung bài học từ mẫu 42

Hình 2.9 Sơ đồ hoạt động của chức năng chỉnh sửa nội dung bài học 43

Hình 2.10 Sơ đồ hoạt động của chức năng xóa nội dung bài học ‹ 43

Hình 2.11 Sơ đồ hoạt động của chức năng gửi email 2-2 2 z+s+zxe£xzzx+xeez 43 Hình 2.12 Sơ đồ hoạt động của chức năng theo dõi lịch sử bài học - 44

Hình 2.13 Sơ đồ hoạt động của chức năng theo dõi kết quả bài học - 44

Hình 2.14 Sơ d6 lớp của hệ thống ¿2 2 S£2S£+SE+EE£EEt2EEEEEEEEEEEEErrkrrkerkrres 44 Hình 2.15 Sơ đồ quan hệ thực thỂ - 2-2 252 E£+E£EE£EE£EEEEEEEEEEEZEEEEEEerkrrkrrree 45 Hình 2.16 Sơ đồ tuần tự của chức năng đăng ký - - 2-2 2 2+ z+xczEe£xerxerxereee 45 Hình 2.17 Sơ đồ tuần tự của chức năng đăng nhập - 2 2 + x2sz+£+zxsrxcres 45 Hình 2.18 Sơ đồ tuần tự của chức năng đăng nhập 2 2s x2Ez+x+zxsrxcres 46 Hình 2.19 Sơ đồ tuần tự của chức năng sửa bài học - ¿2 + x2ce+xe+zxerxcres 46 Hình 2.20 Sơ đồ tuần tự của chức năng xóa bài hỌC - - -5 5s ++++ssexeeeeeesers 47 Hình 2.21 Sơ đồ tuần tự của chức năng thêm mới nội dung bài học - 47

Hình 2.22 Sơ đồ tuần tự của chức năng thêm mới bài học từ mẫu - 48

Hình 2.23 Sơ đồ tuần tự của chức năng chỉnh sửa nội dung bài học 48

Hình 2.24 Sơ đồ tuần tự của chức nang xóa nội dung bài học - -«<+s+ 49 Hình 2.25 Sơ đồ tuần tự của chức năng gửi email - 2 25s x+2x+2ze+zxerxczes 49 Hình 2.26 Sơ đồ tuần tự của chức năng theo dõi lịch sử bài học -‹- 50

Trang 13

Hình 2.27 Sơ đồ tuần tự của chức năng theo dõi kết quả bài học - 50

Hinh 3.1 M6 inh MVC 1 51 Hinh 3.2 Logo ctia ReactsS oo ốốằố 52 Hình 3.3 Cách thức hoạt động của NodeJS 000 ee eecccesecesseeeneeeseeceeeeeeeeeeaeeeseeeneeeeaes 53 Hình 3.4 Logo của MongolDB - -c c1 vn ng TH ng HH ng 54

Hình 3.5 Kiến trúc tổng quan của hệ th6ng cceccececcsseseeseesessessessessesseseesseseeseesesseseeees 55Hình 3.6 Giao diện màn dang ký - - (3112231121131 E111 erkrree 56

Hình 3.7 Giao diện nhập thông tin đăng ky -.- 5 S1 + +sEEseereeerersere 57

Hình 3.8 Giao diện đăng ký thành công - óc 321323112 re 5 Hình 3.9 Giao diện màn đăng nhập c2 323323331 331E5EEEEEEErrrrrrrrerrsee 59

Hình 3.10 Giao diện màn Danh sách bài học - << + +33 3+2 vevxxessseeess 59 Hình 3.11 Giao diện thêm mới bài học - - - - << << 22+ + + **eeeeeeeeeeeees 60

Hình 3.12 Giao diện chỉnh sửa bài học - - 5c 1112211111221 1118211118111 xe 61 Hình 3.13 Giao diện chính - - << 5 1 332221111181111223 111111193111 11 E60 111 kg vn 62

Hình 3.14 Giao diện nhập nội dung bài hỌcC - - 5 35+ + * + EsEErrrerssrrreerres 62 Hình 3.15 Giao diện chính có nội dung bài hỌc 5-5 -+ + + sskeeseeresreres 63

Hình 3.16 Giao diện Mẫu bài thực hành: - - ¿+ ¿+2 2 +k+k+E+E£E£E£EEEEEEEEEEEErkrkrkrke 63

Hình 3.17 Giao diện nội dung bài hỌC - c6 1 11191119112 1 91191 1 9 ng ni, 64 Hình 3.18 Giao diện chỉnh sửa nội dung bài HQC - 5 5S s+*scsseeseseeesers 65 Hình 3.20 Giao diện theo dõi lịch SỬ - - - 5-5 2111111322311 11 112251111 ee 65

9

Trang 14

MỞ ĐẦUHiện nay, tan công lừa dao (phishing) van là một chiêu thức tan công mạngđược hacker sử dụng nhiều, liên tục biến đổi, đa dạng hóa, đặc biệt nhắm vào các vấn

đề thời sự nóng, chăng hạn như đại dịch, lợi dụng tâm lý, cảm xúc và lòng tin của “con

môi” — người dùng.

Các tô chức có thé xem các cuộc tan công lừa đảo (phishing) là một mối đe dọatương đối thấp, nhưng điều đó đã đánh giá thấp sức mạnh của phishing Phishingthường là bước đầu tiên trong một cuộc tan công phức tạp, nhiều giai đoạn

Theo Sophos Rapid Response, những kẻ tắn công thường sử dụng email lừa đảo

để lừa người dùng cài đặt phần mềm độc hại hoặc chia sẻ thông tin đăng nhập, cungcấp quyền truy cập vào mạng công ty Từ đó, chúng tiếp tục thực hiện các hành vi laycắp thông tin, thâm nhập hệ thống khác

Các phát hiện cho thấy có nhiều người dùng thiếu hiểu biết chung về định nghĩacủa phishing Vi dụ, 67% các nhóm CNTT ở An Độ xem phishing là các email giamạo, được gửi đi từ một tổ chức giống như hợp pháp và thường được kết hợp với mộtmối đe dọa hoặc yêu cầu cung cấp thông tin Khoảng 61% coi các cuộc tấn công lừađảo email doanh nghiệp (BEC) là lừa đảo và một nửa số người được hỏi (50%) nghĩrằng phishing là khi những kẻ tấn công tự chèn mã độc vào một chuỗi email hợp

toàn thông tin trong nước và thế giới.

Chương 2 — Phân tích và thiết kế hệ thống giới thiệu chi tiết bài toán thôngqua từng usecase, biểu đồ hoạt động, biểu dé lớp, biéu đồ tuần tự, CSDL

Chương 3 — Xây dựng hệ thống giới thiệu về những thành quả đã đạt được,những hạn chế còn tồn tại và hướng phát triển trong tương lai của ứng dụng này

Trang 15

CHƯƠNG 1: TONG QUAN BÀI TOÁN

1.1 Thực trang an toàn thông tin hiện nay

1.1.1 Khái niệm an toàn thông tin

An toàn thông tin (Information security) là một lĩnh vực tương đối mới và được

quan tâm trong vài thập kỷ gần đây và phát triển mạnh trong khoảng hơn một thập kỷqua nhờ sự phát triển mạnh mẽ của mạng Internet và các dịch vụ mạng trên nềnInternet Tuy nhiên, do Internet ngày càng mở rộng và gần như không còn khái niệmbiên giới quốc gia trong không gian mang, các sự cố mat an toàn thông tin liên tục xảy

ra và đặc biệt các dạng tấn công, xâm nhập các hệ thống máy tính và mạng xuất hiệnngày càng phô biến và mức độ phá hoại ngày càng nghiêm trong Van đề đảm bảo antoàn cho thông tin, các hệ thống và mạng trở nên cấp thiết và là mối quan tâm của mỗiquôc gia, cơ quan, tô chức va mỗi người dùng.

An toàn thông tin được định nghĩa là việc bảo vệ chống truy nhập, sử dụng, tiết

lộ, sửa đối, hoặc phá hủy thông tin một cách trái phép Dưới một góc nhìn khác, An

toàn thông tin là việc bảo vệ các thuộc tính bí mật, tính toàn vẹn và tính sẵn dùng của

các tài sản thông tin trong quá trình chúng được lưu trữ, xử lý, hoặc truyền tải An toànthông tin có thể được chia thành ba thành phần chính: An toàn máy tính và dữ liệu, An

ninh mạng va Quản lý an toàn thông tin.[2]

1.1.2 Tình hình an toàn thông tin tại Việt Nam và trên thế giới

Tình hình an toàn thông tin trên thé giới

Theo Báo cáo Rủi ro Toàn cầu của Diễn đàn Kinh tế Thế giới năm 2021, rủi romạng tiếp tục được xếp hang trong số các rủi ro toàn cầu Dai dịch COVID-19 đã daynhanh việc áp dung công nghệ, nhưng đồng thời cũng bộc lộ các lỗ hồng an ninh mạng

lớn và vô cùng nghiêm trọng.

Trong những tháng đầu năm, hàng loạt vụ tan công mạng quy mô lớn diễn ratrên toàn cầu, điển hình như vụ việc tin tặc Triều Tiên đã cố gắng đột nhập vào hệthống máy tính của công ty được phâm Pfizer dé lay thông tin về vắc-xin và phươngpháp điều trị COVID-19; hay sự việc tin tặc Trung Quốc đã nhắm mục tiêu vào phầnmềm email doanh nghiệp của Microsoft dé đánh cắp dir liệu từ hơn 30.000 tổ chứctrên khắp thế giới; Mới đây nhất vào ngày 4/4/2021, Forbes cho biết số điện thoại và

dữ liệu cá nhân của 533 triệu người dùng Facebook đã bị rò ri Bên cạnh đó, các cuộctan công gan đây chống lại FireEye và SolarWinds nhấn mạnh mức độ nhạy cảm củacác vấn đề chuỗi cung ứng và sự phụ thuộc vào các nhà cung cấp chức năng và dịch vụ

công nghệ thông tin.

11

Trang 16

Đặc biệt hơn nữa, những trào lưu mạng xã hội như “xem khuôn mặt bạn biếnđổi thế nào”, “xem bạn thay đổi ra sao trong 10 năm qua” là những “hot trend” củađầu năm 2021 Không chỉ người dùng thông thường mà những nhân vật của công

chúng, có hàng triệu người theo dõi trên mạng xã hội, cũng hưởng ứng, tham gia Các

trào lưu kiểu này thú vị nhưng tiềm ân nhiều nguy cơ đối với người dùng Bởi vì, thamgia các trào lưu trên mạng đồng nghĩa bạn “tự nguyện” cung cấp hình ảnh, thông tin cá

nhân của mình Kẻ xấu sẽ thu thập các dữ liệu này nhăm mục đích trục lợi, lừa đảo.

Tình hình an toàn thông tin tại Việt Nam

Hiện nay tình hình đại dịch COVID-19 diễn biến hết sức phức tạp dẫn đến hàngloạt doanh nghiệp, cơ quan tổ chức chuyền sang với hình thức làm việc từ xa Điềunày tạo môi trường cho kẻ xấu khai thác lỗ hồng, tan công, đánh cắp thông tin, nhiều

vụ tân công mạng quy mô lớn diễn ra tại Việt Nam và trên toàn câu.

Theo số liệu do Cục An toàn thông tin, Bộ Thông tin và Truyền thông vừa công

bố, trong năm 2020, đã phát hiện chiến dịch tán phát 23 phần mềm độc hại tại ViệtNam liên quan đến COVID-19, các tập tin độc hại được ấn dưới vỏ boc của tệp pdf,mp4 và docx về virus SARS-CoV-2 Các tệp này chứa một loạt mã độc, có khả năngphá hủy, chặn, sửa đổi hoặc sao chép dif liệu cũng như can thiệp vào hoạt động của

máy tính hoặc mạng máy tính Nếu nhân viên khi làm việc từ xa kích vào những tập

tin trên sẽ khiến tin tặc dễ dàng chiếm được quyền điều khiển máy tính, dẫn đến nhiềunguy cơ như truy cập trái phép vào các cuộc họp trực tuyến, lộ lọt dữ liệu, lộ thông tinđăng nhập từ xa vào mang của tô chức/doanh nghiệp, nguy cơ lừa đảo qua thư điện tử

hoặc website giả mạo tăng cao.

Theo số liệu đã được ghi nhận vào giữa năm 2020, sé lượng email spam và lừađảo trên mạng chiếm 91,5% số lần phát hiện các mối đe doa liên quan đến COVID-19.Điều này cho thay rằng, tội phạm mạng sẽ tiếp tục sử dụng coronavirus và các sự cỗliên quan khác từ hậu quả của đại dịch, đề thu hút các nạn nhân mới

Trong 6 thang đầu năm 2021, tình trang lừa đảo người dùng Việt Nam nỗi lên ở

2 lĩnh vực: ngân hàng, tài chính và điện lực: Theo thống kê từ hệ thống kỹ thuật củaTrung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) có 66 website gia maođược lập ra dé gia mao co quan, tô chức trong 2 lĩnh vực này nhằm mục đích lừa đảo

người dùng Việt Nam.[3]

1.1.3 Các nguyên nhân và hậu quả của việc mắt an toàn thông tin

Nguyên nhân của việc mắt an toàn thông tin:

- Đa sô người dùng cuôi có hiệu biêt hoặc nhận thức tương đôi hạn chê vê

ATTT: Thường coi nhẹ vân dé an ninh, an toàn, chỉ quan tâm đên tính

12

Trang 17

năng và sự dễ dùng của ứng dụng, dịch vụ; hiếm khi đọc kỹ các quyđịnh, hoặc điều khoản sử dụng của ứng dụng, dịch vụ.

Ví dụ: Do không được đào tạo kiến thức cơ bản về kỹ thuật tấn công Social

Engineering, một nhân viên đã bị tin tặc mạo danh là đối tác của công ty gửi tệp chứa

mã độc đính kèm trong email Sau khi click vào tệp đó, máy tính của nhân viên sẽ bị nhiém mã độc.

- _ Lô hông bảo mật tôn tại trên các phân mêm

Trên thực tế, nhiều người dùng tải và cài đặt phần mềm mới mà không tự hỏirằng: “liệu phần mềm này có chứa lỗ hồng bảo mật hay không?” Trong khi đó, cácphần mềm này có thê tồn tại những 16 héng nguy hiểm Các lỗ hồng này chính là conđường dé tin tặc lợi dung tan công hệ thống mạng

Hậu quả của việc mat an toàn thông tin:

Mắt an toàn thông tin không chỉ là câu chuyện của việc thông tin bị xâm phạm

mà còn là câu chuyện liên quan đến tài chính và uy tín của doanh nghiệp Số tiền màdoanh nghiệp phải bỏ ra để khôi phục thông tin là không hề nhỏ Bên cạnh đó, hìnhảnh của doanh nghiệp bị giảm sút rất nhiều Khách hàng và đối tác sẽ hoàn toàn mấtlòng tin và không muốn hop tác cùng doanh nghiệp nữa[4]

1.1.4.Giải pháp

Do tấn công sử dụng các kỹ thuật xã hội nhắm đến người dùng nên biện phápphòng chống hiệu quả là giáo dục, đào tạo nâng cao ý thức cảnh giác cho người dùng.Một số khuyến nghị giúp người dùng phòng tránh dang tan công nay[4]:

- Cảnh giác với các lời mời, hoặc thông báo trúng thưởng băng email, tin nhắnđiện thoại, hoặc quảng cáo trên các trang web, diễn đàn mà không có lý do, nguồn gốctrúng thưởng rõ ràng;

- Cảnh giác với các yêu cầu cung cấp thông tin, xác nhận tài khoản, thông tin

thanh toán, thông tin thẻ tín dụng, ;

- Kiểm tra kỹ địa chỉ (URL) các trang web, đảm bảo truy nhập đúng trang web

của cơ quan, tô chức.

13

Trang 18

Trung tâm đào tạo SmartPro đã đưa ra thị trường một mô hình khoá học có tên

“An toan thông tin cho người dùng” với thời lượng 8 giờ học tập Khóa học cung cấpcho học viên các kiến thức và kỹ năng cơ bản dé người dùng truy cập Internet, duyệtWeb, Mail, công cụ diệt virus một cách an toàn và bảo mật ngoài ra trang bi kiến thức

để người dùng có khả năng hiểu, nắm bắt và vận dụng các khuyến cáo của cộng đồngtrên mạng Internet về an ninh thông tin [5]

Mục tiêu của khoá hoc sẽ giúp các học viên sau khi hoàn tat khóa hoc, hoc viên

có khả năng:

- Nhận biết các nguy co va diém yếu mà hacker có thể lợi dụng để trục lợi

qua đó, người dùng có thể tự bảo vệ mình và chủ động phòng tránh

- Hiêu rõ các khái niệm an toàn thông tin như bao mật, lỗ hông, tân công

mạng.

- Nang cao kỹ năng tự bảo vệ máy tính và dữ liệu trước các môi hiém hoạ vê

an toàn thông tin khi sử dụng internet, các thiết bị lưu trữ ngoài

- Có kiến thức cơ bản về bảo mật thông tin khi sử dụng máy tinh: virus,

worm, backdoor, mailware, và các loại mã độc khác.

Nội dung khoá học được thực hiện hướng đến bao gồm:

- Những kiến thức cơ bản về ATTT

- An toàn khi sử dụng máy tính cá nhân

- An toàn khi sử dụng các thiết bị di động

- An toàn khi sử dung mạng không dây

- An toàn khi sử dụng Email

- An toàn khi sử dụng mạng xã hội

- An toàn khi duyệt web và thực hiện các giao dịch trực tuyến

- Phòng tránh các cuộc tan công dựa vào việc lừa đảo (Social engineering)Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tat khóa họctheo quy định của SmartPro.

14

Trang 19

1.2.2 Mô hình khoá học nhận thức bao mật thông tin của rung tâm Masterskills

Trung tâm Masterskills đã đưa ra thị trường một khoá học có tên “Nhận thức antoàn thông tin” Lớp học được phân chia theo nhóm nhỏ học viên dé thảo luận và chia

sẻ Phương pháp dao tạp nhắn mạnh đến việc học viên làm trung tâm dựa trên các bàitập tình huống, video clip, trò chơi

MASTERSKILLS INSTITUTE

PERSONAL IMAGE & BUSINESS ETIQUETTE

Date: Nov 05, 2010

IONG Presiz01120

Vakdarm tá cetitoate's authertcry at

Hình 1.1 Mẫu chứng nhận hoàn thành khoá hoc của MasterskillsMục tiêu đào tạo của khoá học được Masterskills hướng đến bao gồm:

Được cung cấp các kiến thức cơ bản về an toản thông tin, bảo mật thông tinNắm được cách thức bảo vệ máy tính cá nhân và phần mềm

Biết đặt mật khẩu an toàn và bảo vệ mật khâu

An toàn hơn khi sử dụng email mang xã hội

An toàn hơn khi duyệt web và thực hiện các giao dịch trực tuyếnNhận biết và phòng tránh các cuộc tấn công dựa vào việc lừa đảo

An toàn hơn khi sử dụng các thiết bị di động và mạng không dâyNắm được các quy định pháp lý về đảm bảo an toàn thông tin tại Việt Nam

Các chuyên gia của Masterskills sử dụng các phương pháp dao tạo sau đây détruyền tải nội dung khoá học [6]

Thảo luận mở (Open discussion)

Nghiên cứu tình huống (Case study)

15

Trang 20

- Bài tập tự đánh giá (Self-assessment)

- _ Thuyết giảng ngăn đề tài thực tế (Mini-lecture)

Sau khi hoàn thành khoá học, học viên được Masterskillscấp chứng nhận có giá

trị trên toàn quốc

1.2.3 Khoá học nhân thức an toàn thông tin cho người dùng cuỗi của Robusta

Cùng với những lợi ích to lớn của Internet và điện toán đám mây, hiểm họa vềmat An toản An ninh thông tin (sau đây viết tắt là ATTT) thường trực đe dọa cho mỗi

cá nhân và tô chức, doanh nghiệp, chính phủ Ton thất từ những hiểm hoa này to lớnhơn chúng ta tưởng và không thể thống kê được, bao gồm cả những thiệt hại về niềmtin của khách hàng, uy tín của tổ chức, các thiệt hại mang tính cơ hội và pháp lý khác.Trong các sự cô về an toàn thông tin, nguyên nhân phát sinh từ sai sót của người dùngcuối chiếm tỷ lệ cao hơn nhiều so với những lý do phát sinh từ hệ thống

Trong hoạt động của doanh nghiệp, người dùng cuối - nhân viên và lãnh đạo —

sử dụng máy tính và điện thoại thông minh kết nối mạng nội bộ và Internet Họ khôngchỉ làm việc với khách hàng, đối tác, đồng nghiệp thực hiện các quy trình, tiếp xúc

và xử lý thông tin mà còn tương tác với bạn bè, gia đình và nhiều công việc khác Vớimặt bằng nhận thức thấp như hiện nay, khả năng lây nhiễm chéo và bùng phát tấn

công luôn thường trực từ trong nội bộ doanh nghiệp.

Người dùng cuối có nhận thức tốt hơn về ATTT không chỉ giúp doanh nghiệphạn chế thất thoát tài sản số, không gián đoạndịch vụ, không bỏ lỡ các cơ hội kinhdoanh mà còn giúp cho doanh nghiệp đầu tư các giải pháp ATTT hiệu quả hơn trong

điêu kiện ngân sách còn hạn chê.

Nhận thức được tiềm năng trong lĩnh vực đảo tạo nâng cao nhận thức về an

toàn thông tin, trung tâm công nghệ và đào tạo Robusta đã đưa ra thị trường khoá học

“Nhận thức an toàn thông tin cho người dùng cuối” Thông qua khoá học, học viên cóthê hiểu được tầm quan trọng của ATTT cũng như các hậu quả một khi ATTT khôngđược tuân thủ Khoá học không chỉ cung cấp một cái nhìn toàn cảnh về ATTT chongười dùng cuối không chuyên sâu về CNTT mà còn cung cấp các kiến thức cần thiếtcho một cuộc sống số an toàn hơn [7]

Khoá học được thực hiện với thời lượng 01 ngày dưới dạng hình thức đào tạotrực tiếp với mục tiếp giúp học viên có thê:

- _ Nhận biết các hiểm hoa và rủi ro ATTT thường trực đe dọa hoạt động và tài

sản của tổ chức trong hoạt động thường ngày, sử dụng ngân sách hợp lý hơncho việc đảm bảo An ninh thông tin và hoạt động thông suốt của tô chức

16

Trang 21

- Có các kiến thức tối thiêu dé tự bảo đảm ATTT trong công việc thường

ngày và cuộc sông sô.

- _ Phối hợp tốt hơn với các bộ phận liên quan khi đề xuất, phê duyệt, triển khai

các dự án về ATTT

1.2.4 Khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin của Udemy

Udemy là website học trực tuyến có hơn 20 triệu người dùng trên toàn thế giới,

và hiện tại Udemy được coi là nền tảng học trực tuyến lớn nhất thế giới với hơn65.000 khóa học, thu hút trên 50 triệu lượt đăng ký Khi đăng ký hoặc mua một khóa học thành công học viên sẽ được học khóa học đó trọn đời, học mọi lúc mọi nơi trênmọi thiết bị và hoàn toàn có thể trao đổi với giáo viên mà không cần phải đến lớp haygặp mặt Các khoá học của hệ thống Udemy có mặt trên hầu hết lĩnh vực như: Lậptrình, kinh doanh, marketing, thiết kế đồ họa, nhiếp anh, [8]

Nhằm đáp ứng nhu cầu về dao tạo kiến thức co ban về an toàn thông tin chongười dùng, Udemy đã cho ra mắt khoá học Đào tạo nhận thức về bảo mật — an toànthông tin Khóa học kéo dài khoảng 2 giờ này cung cấp giải thích rõ ràng, không mangtính kỹ thuật về An ninh thông tin và An ninh mạng

Khóa học này cung cấp các giải pháp có thé được sử dụng trong việc triển khai

Hệ thống quản lý an toàn thông tin, nó cũng cung cấp hướng dẫn về cách bảo vệ ngườidùng khỏi các mối đe dọa mạng Khóa học sẽ giúp học viên hiểu biết hoàn hảo về Antoàn thông tin thông qua các ví dụ thực tế và câu hỏi trong cuộc sống [8]

Discretionary Access Control (DAC)

The owner of the data object is allowed to define who can and

who cannot access the data

An object's access policy is determined by its owner 22 Meteyarage) M(D)-\@)

Group Execute

a

«> > heared Specifies users/groups who can access

Hình 1.2 Nội dung khoá hoc an toàn thông tin trực tuyến của Udemy

Khóa học này được chia thành 4 phan:

17

Trang 22

- Phần đầu tiên đóng vai trò như một phan giới thiệu về khóa học, nó cung

cấp cho bạn các định nghĩa như, Hệ thống thông tin, Bảo mật thông tin, mục

đích của Bảo mật thông tin, Bộ ba CIA và AAA.

- Phan thứ hai nói về Quản lý Rui ro và Phân tích Dinh tính & Định lượng

Rủi ro Chúng tôi cũng nói về Lập kế hoạch Dự phòng trong trường hợp có

thảm họa hoặc gián đoạn dịch vụ.

- Phan thứ ba về cơ bản khoá học nói về Vật lý, Dữ liệu, Hệ thong & Mang,

Không dây va Bao mật Ung dung Web Cũng được cung cấp trong phan này

là cách phát triển Chính sách hệ thống thông tin cùng với các ví dụ về chínhsách va cách tiên hành Dao tạo nâng cao nhận thức vê bảo mật.

- Phần thứ tư là về Giám sát an ninh và Hiệu quả, các công cụ cần thiết để

duy trì một chiến lược giám sát hiệu quả Khoá học cũng cung cấp kế hoạchứng phó sự cô và cách tiễn hành điều tra pháp y Cuối cùng trong khóa họcnày, học viên sẽ xem cách đánh giá hiệu quả của Hệ thống bảo mật thông tinbang các chỉ số và đánh giá lỗ hong

Các đối tượng học viên mà khoá học của Udemy hướng đến bao gồm [9]:

- Quan lý doanh nghiệp & cntt cần được đào tao nâng cao nhận thức về bảo

mật thông tin.

- _ Nhân viên / người dùng cuôi cân sử dung an toàn máy tính và internet dé

thực hiện công việc của họ.

- Bat cứ ai muôn tìm hiêu kiên thức cơ bản vê bảo mật thông tin và an ninh

1.2.5 Chương trình đào tạo nâng cao nhận thức về bảo mật KnowBe4

KnowBe4 là nền tảng dao tạo nâng cao nhận thức về bảo mật tích hợp và môphỏng nên tảng lừa đảo lớn nhất thé giới với hơn 40.000 khách hàng Giờ đây, bạn cómột nền tảng dé quan lý tốt hon van dé đang diễn ra của các cuộc tan công mạng xãhội, lừa đảo trực tuyến và ransomware Nền tảng KnowBe4 thân thiện với người dùng,trực quan và mạnh mẽ Hỗ trợ đa ngôn ngữ cho Bảng điều khiến dành cho quản trịviên và các tùy chọn bản địa hóa người dùng cuối mang lại trải nghiệm học tập phongphú hơn cho người dùng của bạn từ đầu đến cuối Với các tính năng tùy chỉnh tùy

18

Trang 23

chọn dé kích hoạt trò chơi, học viên có thể cạnh tranh với các đồng nghiệp của họ trênbảng xếp hạng và giành được huy hiệu trong khi học cách giữ cho tổ chức của bạn antoàn trước các cuộc tân công mạng Khách hàng là các doanh nghiệp thuộc mọi quy

mô có thể triển khai nền tảng KnowBe4 [9]

Khi tham gia chương trình đào tạo, học viên nhận được:

- Kiém tra cơ bản để đánh giá kỹ năng dam bảo an toàn thông tin của học viện

thông qua một cuộc tan công lừa đảo mô phỏng miễn phí

- _ Thư viện lớn nhât thê giới vê nội dung đào tạo nâng cao nhận thức về bao

mật; bao gôm các mô-đun tương tác, video, trò choi, áp phích và bản tin.Chiến dịch đào tạo tự động với email nhắc nhở theo lịch trình

- Các cuộc tân công lừa đảo giả lập hoàn toàn tự động, tot nhât trong lớp,

hàng nghìn mẫu với mức sử dụng không giới hạn và các mẫu lừa đảo cộng

đồng

- Báo cáo tân công, hiên thị sô liệu thông kê và đô thi cho cả vai trò lừa dao

và nạn nhân giúp dé dang dé quan lý

1.3 Tan công Social engineering va Fishing

1.3.1 Dinh nghia

Tan cong Social engineering

Tan công sử dụng các kỹ thuật xã hội (Social Engineering) [11]la dang tan congphi kỹ thuật nhằm vào người dùng Dang tấn công này khai thác các điểm yếu có hữu

của người dùng, như tính cả tin, ngây thơ, tò mò và lòng tham Dạng thường gặp của

kiểu tan công này là thuyết phục người dùng tiết lộ thông tin truy nhập hoặc các thôngtin có giá trị cho kẻ tan công Một số kỹ thuật mà kẻ tan công thường áp dụng gồm:

- Kẻ tấn công có thể giả danh làm người có vị trí cao hơn so với nạn nhân đề có

được sự tin tưởng, từ đó thuyết phục hoặc đánh lừa nạn nhân cung cấp thông tin;

- Kẻ tấn công có thé mạo nhận là người được ủy quyền của người có thẩmquyền dé yêu cau các nhân viên tiết lộ thông tin về cá nhân/tô chức;

- Kẻ tan công có thé lập trang web giả dé đánh lừa người dùng cung cấp các

thông tin cá nhân, thông tin tài khoản, thẻ tín dụng,

Tan công Fishing

Phishing (Tan công giả mao) [12]la một dang đặc biệt phat triển rất mạnh củatan công sử dung các kỹ thuật xã hội, trong đó kẻ tấn công giả mạo thành một đơn vi

uy tín để lừa đảo người dùng cung cấp thông tin nhạy cảm cho chúng, ví dụ như tài

19

Trang 24

khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quýgiá khác Phương thức tấn công này thường được hacker thực hiện thông qua email

và tin nhắn Người dùng khi mở email và click vào đường link giả mạo sẽ được yêucầu đăng nhập Nếu “mac câu”, hacker sẽ có được thông tin ngay tức khắc

Phương thức phishing được biết đến lần đầu tiên vào năm 1987 Nguồn gốc của

từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và phreaking(trò lừa dao sử dụng điện thoại của người khác không trả phí) Do sự giống nhau giữa

Hình 1.3 Tấn công Phishing1.3.2 Các phương thức tan công

Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tan cong

Phishing[13].

e Giả mao Email, tin nhăn

- Mét trong những kỹ thuật co bản trong tấn công Phishing là giả mạo

email Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơnvi/té chức uy tín, dụ người dùng click vào đường link dẫn tới một

website giả mạo va “mac câu”.

20

Trang 25

Những email giả mạo thường rất giống với email chính chủ, chỉ khácmột vài chi tiết nhỏ, khiến cho nhiều người dùng nhằm lẫn và trở thànhnạn nhân của cuộc tấn công.

Dé làm cho nội dung email giống thật nhất có thé, kẻ tan công luôn cốgắng “ngụy trang” bang nhiều yếu tố:

Dia chỉ người gửi (VD: dia chỉ đúng là sales.congtyA@gmail.com thi

địa chỉ giả mạo có thể là sale.congtyA ®gmail.com)Chèn Logo chính thức của tổ chức dé tăng độ tin cậyThiết kế các cửa số pop-up giống y hệt bản gốc (cả về màu sắc, font

chữ, )

Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text

là vieteombankcom.vnnhưng khi click vào lại điều hướng tới

vietconbank.com.vn)

Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để

tăng độ tin cậy.

Mánh khée tinh vi của kẻ tan công Phishing khiến nạn nhân dễ dang tintưởng và đăng nhập.

Không đồng nhất

Có thay đổi chỗ Phụ lục (Vì lúc trước họ đã offer trước 5%)

Anh xem online trên Google Drive cho tiện a (link share private can login để xem a) Mánh khóe tinh vi

https://docs.google.com/document/d/16-hpfgEksYc.Jo822Q48prKSkoZojwyepgx8EwnFtVVQ-mOStoqOgqU/edit2usp=sharing

On Tue, Jul 10, 2018 at 5:34 PM Sơn Nguyễn Thanh TT ]Ị wrote:

a có biết gì về món nay đâu

On Tue, Jul 10, 2018, 14:06 Ngoc Luan JSC <ngoclunajsc@gmail.com> wrote:

K/g anh

Biên bản này em đã rà soát kỹ và không có vấn đề gì, anh có thể xem qua lần cuối ạ.

{J Bien ban thanh ly hop dong EC - 19042018.doc

21

Trang 26

Hình 1.4 Tấn công giả mạo email

Bên cạnh đó, chúng cũng có thể đặt một mã độc qua một tập tin đínhkèm hoặc quảng cáo gửi đến email Tiếp sau, chúng sẽ khai thác 16 hỗng

dé thu thập thông tin nhạy cảm

Gia mạo website

Trong quý 1/2021, số cuộc tan cống lừa đảo vào các hệ thống thông tintại Việt Nam là 449, chiếm trên 35%, đây vẫn là chiêu thức dễ dàng vàđược ưa chuộng nhất

Hacker thu hút những người muốn có việc làm online và trả công qua tàikhoản ngân hàng Chúng sẽ điều hướng người làm tới một trang web giả

mạo, tại đây họ khai báo thông tin cá nhân của mình Cuối cùng, họ đã

dé lộ thông tin cá nhân mà tiền công làm online cũng không được trả

Ở một vai website được tin tặc cài cắm các popup hoặc ảnh quảng cáo có

tính khiêu khích, thu hút người dùng click vào Sau khi bạn click vào đó

thì máy tính của bạn có thể bị nhiễm virus phục vụ cho một cuộc tan

công nao khác.

Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả

một Landing page chứ không phải toàn bộ website Trang được làm giả

thường là trang đăng nhập dé cướp thông tin của nạn nhân Kỹ thuật làmgiả website có một số đặc điểm sau:

Thiết kế giống tới 99% so với website gốcDuong link (url) chỉ khác 1 ký tự duy nhất VD: reddit.com (that) vs

redit.ccom (gia); google.com vs _ gugle.com; microsoft.com vs mircosoft.com hoặc verify-microsoft.com.

Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá

nhân vào website (call-to-action).

Vượt qua các bộ lọc Phishing

Hiện nay, các nhà cung cấp dịch vụ email như Google hay Microsoft đều có

những bộ lọc email spam/phishing dé bảo vệ người dùng Tuy nhiên những bộ lọc này

hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát hiện xem email đó

có phải phishing hay không Hiểu được điều này, những kẻ tan công đã cải tiễn cácchiến dịch tấn công Phishing lên một tầm cao mới Chúng thường sử dụng ảnh hoặcvideo dé truyền tải thông điệp lừa đảo thay vì dùng text như trước đây Người dùng

cân tuyệt đôi cảnh giác với những nội dung này.

22

Trang 27

1.3.3 Các phương pháp phòng chống

Đối với người dùng cá nhân[ 13]:

Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạycảm Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nênkiểm tra kỹ càng VD: bạn mới mua săm online, đột nhiên có email từngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đãdùng dé thanh toán Có tin được không ?!

Không click vào bất kỳ đường link nào được gửi qua email nếu bạnkhông chắc chăn 100% an toàn

Không bao giờ gửi thông tin bí mật qua email.

Không trả lời những thư lừa đảo Những kẻ gian lận thường gửi cho bạn

số điện thoại để bạn gọi cho họ vì mục đích kinh doanh Họ sử dụng

công nghệ Voice over Internet Protocol Với công nghệ này, các cuộc

gọi của họ không bao giờ có thê được truy tìm

Sử dụng Tường lửa và phần mềm diệt virus Hãy nhớ luôn cập nhậtphiên bản mới nhất của các phần mềm này

Hãy chuyên tiếp các thư rác đến spam@uce.gov Bạn cũng có thé gửiemail tới reportphishing@antiphishing.org Tổ chức này giúp chống lại

các phishing khác.

Đối với các doanh nghiệp, tổ chức| 13]:

Training cho nhân viên đê tăng kiên thức sử dụng internet an toàn.

Thường xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả

mạo

Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng

dịch vụ Gmail miễn phí vì dễ bị giả mạo.

Triển khai bộ lọc SPAM để phòng tránh thư rác, lừa đảo

Luôn cập nhật các phan mềm, ứng dụng để tránh các lỗ hong bao mật có

thể bị kẻ tấn công lợi dụng

Chủ động bảo mật, mã hóa các thông tin nhạy cảm, quan trọng.

1.3.4 Một vài công cụ hỗ trợ tan công

1.3.4.1 Giới thiệu về công cụ hỗ trợCác công cụ hỗ trợ tấn công (Attacking assistant tools) là các công cụ phầncứng, phần mềm, hoặc các kỹ thuật hỗ trợ kẻ tấn công, tin tặc (attacker) thu thập các

23

Trang 28

thông tin về các hệ thống máy tính, hoặc mạng Trên cơ sở các thông tin thu được, tintặc sẽ lựa chọn công cụ, kỹ thuật tấn công có xác suất thành công cao nhất Các công

cụ hỗ trợ tấn công bao gồm 4 nhóm chính: công cụ quét điểm yếu, lỗ héng bảo mật,công cụ quét cong dich vụ, công cụ nghe lén và công cụ ghi phím gõ

1.3.4.2 Công cụ rà quét lỗ hồng bảo mật hệ thông

Các công cụ rà quét lỗ hồng bảo mật hệ thống cho phép rà quét hệ thống,tìm các điểm yếu và các lỗ hông bảo mật Đồng thời, chúng cũng cung cấp phan phântích chỉ tiết từng điểm yếu, lỗ hồng, kèm theo là hướng dẫn khắc phục, sửa chữa Các

công cụ được sử dụng rộng rãi là Microsoft Baseline Security Analyzer cho rà quét các

hệ thống chạy hệ điều hành Microsoft Windows và Nessus Vulnerability Scanner cho

rà quét các hệ thống chạy nhiều loại hệ điều hành khác nhau

1.3.4.3 Công cụ rà quét lỗ hồng ứng dung webCác công cụ rà quét lỗ hồng ứng dụng web cho phép rà quét, phân tích cáctrang web, tìm các lỗi và lỗ hồng bảo mật Chúng cũng hỗ trợ phân tích tình trạng các

lỗi tìm được, như các lỗi XSS, lỗi chèn mã SQL, lỗi CSRF, lỗi bảo mật phiên, Các

công cu được sử dụng phổ biến bao gồm Acunetix Web Vulnerability Scanner, IBM

AppScan, Beyond Security AVDS và SQLmap.

1.3.4.4 Công cụ quét cong dịch vụCác công cụ quét cổng dich vụ (Port scanners) cho phép quét các cổng, tìm cáccông đang mở, đang hoạt động, đồng thời tìm các thông tin về ứng dụng, dịch vụ và hệđiều hành đang hoạt động trên hệ thống Dựa trên thông tin quét công dịch vụ, có thé

xác định được dịch vụ, ứng dụng nào đang chạy trên hệ thống:

- Céng 80/443 mở có nghĩa là dịch vụ web đang hoạt động;

- Cổng 25 mở có nghĩa là dịch vụ gửi/nhận email SMTP đang hoạt động;

- Công 1433 mở có nghĩa là máy chủ Microsoft SQL Server đang hoạt động;

- Cổng 53 mở có nghĩa là dich vụ tên miền DNS đang hoạt động

Các công cụ quét công dich vụ được sử dụng phổ biến bao gồm: Nmap,

Zenmap, Portsweep, Advanced Port Scanner, Angry IP Scanner, SuperScan va

NetScanTools Nmap cung cấp tập lệnh rà quét rất mạnh Tuy nhiên, Nmap hơi khó

dùng do chỉ hỗ trợ giao diện dòng lệnh.

1.3.4.5 Công cụ nghe trộm

Công cụ nghe trộm hay nghe lén (Sniffers) cho phép bắt các gói tin khi chúngđược truyền trên mạng Công cụ nghe lén có thể là mô đun phần cứng, phần mềm hoặckết hợp Các thông tin nhạy cảm như thông tin tài khoản, thẻ tín dụng, hoặc mật khẩunếu không được mã hóa thì có thể bị kẻ tắn công nghe lén khi được truyền từ máy trạm

24

Trang 29

đến máy chủ và bị lạm dụng Một số công cụ phần mềm cho phép bắt gói tin truyền

1.3.4.6 Công cụ ghi phim gõ

Công cụ ghi phím gõ (Keyloggers) là một dạng công cụ giám sát bằng phầncứng hoặc phần mềm có khả năng ghi lại mọi phím người dùng gõ và lưu vào một file.File đã ghi sau đó có thê được gửi cho kẻ tấn công theo địa chỉ chỉ định trước hoặc saochép trực tiếp Ngoài kẻ tấn công, người quan lý cũng có thé cai đặt Keylogger vàomáy tính của nhân viên dé theo dõi hoạt động của các nhân viên Với Keylogger phanmềm, kẻ tấn công có thê tích hợp Keylogger vào một phần mềm thông thường và lừa

người dùng cài đặt vào máy tính của mình.

1.3.5 Pháp luật và chính sách an toàn thông tin

1.3.5.1 Giới thiệu về pháp luật và chính sáchCác chính sách và pháp luật an toàn thông tin có vai trò rất quan trọng trongviệc đảm bảo an toàn cho thông tin, hệ thống và mạng Trong đó, vai trò của nhân viêndam bảo an toàn thông tin là rất quan trọng trong việc giảm thiểu rủi ro, dam bảo antoàn cho thông tin, hệ thống và mang và giảm thiệt hại nếu xảy ra sự cố Các nhân viênđảm bảo an toàn cho thông tin phải hiểu rõ những khía cạnh pháp lý và đạo đức antoàn thông tin Theo đó, họ phải luôn nắm vững môi trường pháp lý hiện tại (các luật

và các quy định luật pháp) và luôn thực hiện công việc nằm trong khuôn khổ cho phépcủa luật pháp Ngoài ra, cần thực hiện việc giáo dục ý thức về luật pháp và đạo đức antoàn thông tin cho cán bộ quản lý và nhân viên trong tổ chức, đảm bảo sử dụng đúngmục đích các công nghệ đảm bảo an toàn thông tin.

Chính sách (Policy - còn gọi là quy định, nội quy) là các quy định về các hành

vi chap nhận được của các nhân viên trong tổ chức tại nơi làm việc Chính sách là các

"luật" của tổ chức có giá trị thực thi trong nội bộ, gồm một tập các quy định và các chếtài xử phạt bắt buộc phải thực hiện Các chính sách, hoặc nội quy cần được nghiêncứu, soạn thảo kỹ lưỡng Đồng thời, chính sách cần day đủ, đúng dan và áp dụng côngbằng với mọi nhân viên Điểm khác biệt giữa luật và chính sách là Luật luôn bắt buộc,còn với Chính sách, việc thiếu hiểu biết chính sách là 1 cách bào chữa chấp nhậnđược|{ 14].

25

Trang 30

1.3.5.2 Một số luật quốc tế về an toàn thông tinMục này đề cập đến một số luật và văn bản có liên quan đến an toàn thông tincủa Mỹ và Châu Âu - là những nước và khu vực đã phát triển và có hệ thống luật pháp

về an toàn thông tin tương đối hoàn thiện

Có thé nói hệ thống luật pháp về an toàn thông tin của nước Mỹ khá day đủ vàđược chia thành các nhóm: các luật tội phạm máy tính, các luật về sự riêng tư, luậtxuất khẩu và chống gián điệp, luật bản quyền và luật tự do thông tin Các luật về tộiphạm máy tính gồm|[ 14]:

- Computer Fraud and Abuse Act of 1986 (CFA Act): quy định về các tội phạmlừa đảo và lạm dụng máy tính;

- Computer Security Act, 1987: đề ra các nguyên tắc đảm bảo an toàn cho hệthống máy tính;

- National Information Infrastructure Protection Act of 1996: là bản sửa đổi củaCFA Act, tăng khung hình phạt một số tội phạm máy tính đến 20 năm tù;

- USA PATRIOT Act, 2001: cho phép các cơ quan nha nước một số quyên theodõi, giám sát các hoạt động trên mạng nhằm phòng chống khủng bó hiệu quả hon;

- USA PATRIOT Improvement and Reauthorization Act: Mở rộng của USA

PATRIOT Act, 2001, cấp cho các cơ quan nha nước nhiều quyền han hơn cho nhiệm

- Health Insurance Portability and Accountability Act, 1996 (HIPAA): bảo vệ

tinh bi mật va an toàn cua các dữ liệu y tế của người bệnh Tổ chức, hoặc cá nhân viphạm có thể bị phạt đến 250.000 USD hoặc 10 năm tù;

- Financial Services Modernization Act or Gramm-Leach-Bliley Act, 1999:

điều chỉnh các hoạt động liên quan đến nhà nước của các ngân hàng, bao hiểm va các

Trang 31

quản lý các hoạt động liên quan đến an toàn thông tin ở Việt Nam Ngoài Luật an toànthông tin mạng, đã có nhiều văn bản có liên quan đến công nghệ thông tin và an toànthông tin được Quốc Hội, Chính Phủ và các cơ quan nhà nước ban hành như:

- Luật công nghệ thông tin số 67/2006/QH11 của Quốc hội, ngày 12/07/2006

- Nghị định số 90/2008/NĐ-CP của Chính Phủ "Về chống thư rác", ngày

13/08/2008.

- Quyết định số 59/2008/QĐ-BTTTT của Bộ Thông tin và Truyền thông "Banhành Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ

ký số", ngày 31/12/2008

- Quyết định 63/QD-TTg của Thủ tướng CP "Phê duyệt Quy hoạch phát triển

an toàn thông tin số quốc gia đến năm 2020", ngày 13/01/2010

- Chỉ thị số 897/CT-TTg của Thủ tướng CP "V/v tăng cường triển khai các hoạtđộng đảm bảo an toàn thông tin số", 10/06/2011

- Thông tư số 23/2011/TT-BTTTT của Bộ TT&TT "Quy định về việc quản lý,vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng

của các cơ quan Đảng, Nhà nước”, ngày 11/08/2011.

- Nghị định số 77/2012/NĐ-CP của Chính Phủ "Sửa đổi, bổ sung một số điềucủa Nghị định số 90/2008/NĐ-CP ngày 13 tháng 8 năm 2008 của Chính phủ về chống

thư rác", ngày 05/10/2012.

- Nghị định 72/2013/NĐ-CP của Chính Phủ về Quản lý, cung cấp, sử dụng dịch

vụ internet và thông tin trên mạng; quy định về việc chia sẻ thông tin trên các trang

Trang 32

CHUONG 2: PHAN TÍCH VÀ THIẾT KE HE THONG2.1 Giới thiệu hệ thống

Hệ thong mô phỏng cuộc tấn công Fishing được xây dựng dựa trên tính cầnthiết cho người dùng, nó cung cấp một vài tính năng thiết thực như tạo, thêm mới từmẫu, chỉnh sửa, xóa cuộc tấn công mô phỏng đối với người dùng, đồng thời cũng giúptheo đối được kết quả, lịch sử tan công

Ứng dụng được xây dựng với hai đối tượng sử dụng chính là sinh viên và giảng

viên.

2.2 Các chức năng chính của ứng dụng

2.2.1 Đăng ký tài khoản

Sinh viên đăng ký tài khoản khi vào hệ thống gồm các thông tin sau:

Sau khi đăng nhập thành công, màn hình hiển thị chức năng thêm mới, danh

sách các bài học đã tạo thành công và các chức năng tương ứng từng bài học: bắt đầu

bài học, chỉnh sửa bài học, xóa bài học.

Trang 33

Chức năng này cho phép giảng viên thêm mới nội dung về phishing gồm các

trường thông tin sau:

2.2.7 Thêm mới nội dung bài hoc từ mẫu

Chức năng này cho phép giảng viên thêm mới nội dung về phishing từ mẫu cụthé một cách nhanh chóng với các trường thông tin như mục 2.2.4 được fill sẵn mà

không cân mat nhiêu thời gian đê nhập.

29

Trang 34

2.2.8 Chỉnh swa nội dung bài học

Chức năng này cho phép giảng viên chỉnh sửa nội dung về phishing được thêmtrước đó gồm các trường thông tin sau:

Tiêu dé Email

Người nhận

Tên người gửi

Email người gửi

URL phishing

File malware Nội dung

2.2.9 Xóa/ xóa tat cả nội dung bài học

Chức năng này cho phép giảng viên xóa một hoặc tất cả nội dung bài học đượcthêm trước do.

2.2.10 Gửi email

Chức năng này cho phép giảng viên gửi nội dung fishing vừa tạo đến các email

kèm theo.

2.2.11 Theo dõi kết quả tan công

Chức năng này cho phép giảng viên theo dõi kết quả sau mỗi lần tấn công

2.2.12 Theo dõi lich sử tan công

Chức năng này cho phép giảng viên theo dõi được thời gian tạo, số lần gửi

2.3 Sơ đồ usecase tổng quát

Trang 35

Hình 2.1 Sơ đồ usecase tổng quát

2.4 Kịch bản

2.4.1 Đăng ký tài khoản

Kịch bản Đăng ký tải khoản

Tác nhân Sinh viên

Tiền điều kiện | Sinh viên chưa đăng ký tài khoản

Hậu điều kiện Sinh viên đăng ký tài khoản thành công

Sự kiện chính |1 Sinh viên mở hệ thống

2 Hệ thống hiển thị giao diện Đăng ký tài khoản gồm:

- Inputtext Số điện thoại

- Inputtext Don vi công tác

- Jnputtext Dia chi Facebook

- Inputtext Mat khẩu

- Inputtext Nhập lai mật khâu

- Button Dang ky

- Button Đã có tai khoản?

3 Sinh viên nhập đầy đủ các thông tin:

4 Hệ thống hién thi popup thông báo “Đăng ky tài khoản thành

công”, sau đó hiển thị giao diện Đăng nhập

Ngoại lệ:

3.1 _ Sinh viên nhập email đã ton tại.

3.1.1 Sinh viên nhập email “abc@gmail.com”’.

31

Trang 36

Sau đó chọn nút Đăng ký.

3.1.2 Màn hình hiền thị thong báo “Email đã được đăng ký”

3.2 _ Sinh viên nhập lại mật khẩu không trùng khớp

3.2.1 Sinh viên nhập

+ Mật khẩu: Abc1234 + Nhập lại mật khẩu: a1245

Sau đó ấn nút Đăng ký

3.2.2 Màn hình hién thi thông báo “Nhập lại mật khẩu không chính xác”

Bảng 2.1 Kịch bản đăng ký tài khoản 2.4.2 Đăng nhập

Kịch bản Đăng nhập

Tác nhân Giảng viên

Tiên điêu kiện Giảng viên đã được câp tài khoản.

Hậu điều kiện Giảng viên đăng nhập thành công

Sự kiện chính 1 Giảng viên mở hệ thống

2 Hệ thống hiển thị giao diện đăng nhập với 2 text input là Tài

khoản và Mật khâu, 1 nút Đăng nhập

3 Giang viên nhập

+ Tài khoản: giangvien(tài khoản của giảng viên)

+ Mật khâu: passwordSau đó ấn nút Đăng nhập

4 Hệ thống hién thị màn hình Danh sách bài học

Sau đó ân nút Đăng nhập

3.1.2 Màn hình hiển thị thông báo “Mật khẩu không chính xác.”

3.1.3 Giảng viên click X trên thông báo.

3.1.4 Giao diện quay về bước 2

3.2 Giảng viên nhập sai Tài khoản.

3.2.1 Giảng viên nhập

+ Tài khoản: giangvienn

+ Mật khâu: passwordSau đó ấn nút Đăng nhập

32

Tiêu đề	Xây dựng hệ thống mô phỏng các cuộc tấn công Phishing
Tác giả	Nguyễn Thị Mai
Người hướng dẫn	TS. Ngô Quốc Dũng
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Công nghệ Thông tin
Thể loại	đồ án tốt nghiệp
Năm xuất bản	2022
Thành phố	Hà Nội

Định dạng
Số trang	72
Dung lượng	17,32 MB