kỹ thuật tấn công và phòng thủ trên không gian mạng- kỹ thuật tấn công - social engineering

Nội dung • Khái niệm Social Engineering • Tác động của Social Engineering • Phân loại Social Engineering • Social Engineering trong mạng xã hội • Trộm cắp tài khoản • Phòng chống So

Trang 1

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

Trang 2

NỘI DUNG

• Module 01: Tổng quan An ninh mạng

• Module 02: Kỹ thuật tấn công

• Module 03: Kỹ thuật mã hóa

• Module 04: Bảo mật hệ điều hành

• Module 05: Bảo mật ứng dụng

• Module 06: Virus và mã độc

• Module 07: Các công cụ phân tích an ninh mạng

• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu

• Ôn tập

• Báo cáo đồ án

• Thi cuối khóa

Module 02: Kỹ thuật tấn công

Trang 3

Module 02: KỸ THUẬT TẤN CÔNG

• Lesson 01: Footprinting và Reconnaissance

• Lesson 02: Google Hacking

• Lesson 03: Scanning Networks

• Lesson 04: Enumeration

• Lesson 05: System Hacking

• Lesson 06: Sniffer

• Lesson 07: Social Engineering

• Lesson 08: Denial of Service

• Lesson 09: Session Hijacking

• Lesson 10: SQL Injection

• Lesson 11: Hacking Wireless Networks

• Lesson 12: Buffer Overflow

Trang 4

Social Engineering

Trang 5

Nội dung

• Khái niệm Social Engineering

• Tác động của Social Engineering

• Phân loại Social Engineering

• Social Engineering trong mạng xã hội

• Trộm cắp tài khoản

• Phòng chống Social Engineering

• Thực nghiệm

Trang 6

Không cách nào có thể sửa chữa cho sự ngây thơ của con người

Trang 7

Confidential Information

Authorization Details Access Details

Trang 8

Tính cách con người là điểm dễ bị tấn công

Attacker làm cho nạn nhân tiết lộ thông tin bằng cách hứa hẹn những điều không có thực

Các doanh nghiệp dễ bị tấn công nếu bỏ qua Social Engineering và tác động của nó

Social Engineering có thể gây ra thiệt hại nghiêm trọng nếu

không sớm phát hiện

Nền tảng của Social Engineering là

bản năng tin tưởng của con

người

Nạn nhân được yêu cầu giúp đỡ

và họ thực hiện dựa trên đạo đức con người

Trang 9

Application Servers

Lỗ hổng chính sách bảo mật

Nhiều đơn vị trong tổ chức

Các yếu tố làm tổ chức dễ bị tấn công

Dễ dàng truy cập tài nguyên

Thiếu sót trong đào tạo bảo mật

Trang 10

Không có phương pháp nào đảm bảo hoàn toàn

Rất khó để phát hiện tấn công Social

Engineering

Chính sách bảo mật mạnh mẽ, nhưng con người lại là yếu tố nhạy cảm nhất

Không có phần cứng hoặc

phần mềm đặc trưng chống

lại Social Engineering

Tại sao Social Engineering lại có tác

động rất lớn?

Trang 11

Các dấu hiệu cảnh báo một cuộc tấn công

• Attacker đóng giả một doanh nhân liên tục tìm cách xâm nhập đánh cắp thông tin trong hệ thống mạng

Tỏ thái độ khó chịu khi được hỏi

Khen ngợi hoặc thân thiết bất thường

Thái độ vội vàng, lúng túng khi được hỏi tên

Yêu cầu bồi thường và

đe dọa nếu không cấp

Trang 12

Các bước trong tấn công Social

Phát triển mối quan hệ

Xây dựng mối quan hệ

thân thiết với nhân viên

được chọn

Khai thác mối quan hệ

Thu thập các thông tin nhạy cảm về tài khoản, tài chính và công nghệ

Trang 13

Các tác động lên một tổ chức

Thiệt hại Kinh tế

Lợi dụng Thiện chí

Đóng cửa tạm thời hoặc vĩnh viễn

Kiện tụng

Đánh mất Quyền lợi

Nguy cơ Khủng bố

Trang 14

Môi trường tấn công

TELEPHONE Dò hỏi thông tin từ việc gọi điện thoại, đóng

vai trò là người sử dụng thông tin hợp pháp,

từ đó xâm nhập vào hệ thống máy tính

Personal

Approaches Attacker lấy thông tin bằng cách tiếp cận, hỏi

trực tiếp vào thông tin đó

Trang 15

Mục tiêu phổ biến của Social Engineering

User và Client

Các nhà cung cấp

của tổ chức

System Admin Giám đốc hỗ trợ Kỹ thuật

Tiếp tân và Help desk

Trang 16

Mục tiêu phổ biến của Social Engineering: Officer Wokers

Attacker tập trung vào những người làm văn phòng, thu thập các dữ liệu nhạy cảm, bao gồm:

Trang 17

Module Flow

Concepts

Kỹ thuật Social Engineering

Giả mạo trên Mạng xã hội

Trộm cắp Tài khoản Biện pháp phòng chống

Thực nghiệm

Trang 18

Kỹ thuật Social Engineering

Concepts

Thực nghiệm

Trang 19

1

2

Human-Based

• Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc

• Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và bản năng tự nhiên giúp đỡ người khác

Computer-Based

• Social Engineering được thực hiện bằng sự giúp đỡ của máy tính

Trang 20

Giới thiệu bản thân trong bộ phận hỗ trợ kỹ thuật, yêu cầu

Password để lấy dữ liệu cần

xử lý

Giới thiệu bản thân như một VIP có ảnh hưởng lớn tới các hoạt động của công ty để yêu cầu thông tin

Giả mạo User quan trọng

Giả mạo

Hỗ trợ kỹ thuật

Trang 21

Human-Based Social Engineering

Trang 22

Human-Based Social Engineering:

Dumpster Diving

• Những thông tin hữu ích có thể tìm ra từ thùng rác và hòm thư của nạn nhân

Thông tin liên lạc

Thông tin tài chính

Thông tin điều hành Hóa đơn điện thoại

Trang 23

Piggybacking

Tôi để quên thẻ từ ra vào cửa ở nhà, anh có thể cho tôi theo vào phía sau không?

Vâng, xin mời theo tôi, tôi sẽ giúp anh!

Trang 24

Third-party Authorization

Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không?

Vâng, anh cứ hỏi!

Trang 25

Phòng chống

Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không?

Anh thuộc đối tác vàng nào?

Đã ký với chúng tôi hợp đồng

số hiệu bao nhiêu? Đã cùng chúng tôi làm những gì?

Trang 26

Computer-Based Social Engineering

Pop-up Windows

Hoax Letters

Chain Letters

Instant Chat Message

Spam Email

Mail thông báo về những món quà hoặc phền mềm miễn phí với điều kiện người đọc mail phải chuyển tiếp cho một số

Thu thập thông tin như ngày sinh, bệt danh thông qua Nick chat Online

Những Email không mong muốn thu thập thông tin tài chính, thông tin cá

Trang 27

Computer-Based Social Engineering

• Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm theo Link, chuyển hướng User tới một Website giả yêu cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan, Spyware

Trang 28

Computer-Based Social Enginnering

SMS Text Message

SMS từ Chứng khoán Đông Á: Tài khoản của quí khách không đủ thông tin cho phiên giao dịch, xin vui lòng gọi 08.xxxx001 để bổ sung thông tin

Gọi 08.xxxx001: Xin chào, tôi

là ABC, tôi xin bổ sung số tài khoản là 207-231-5782, mật khẩu giao dịch là “P@ssw0rd”

Trang 29

Human & Computer-Based

• Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của bạn, họ có thể cài người vào xin việc rồi lấy các thông tin nhạy cảm gửi ra bên ngoài

Spying (Gián điệp)

• Nhân viên làm việc bất mãn với các chính sách, đãi ngộ, nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra bên ngoài cho các đối tượng cần chúng như đối thủ, khủng bố, tống tiền…

Revenge (Tư thù)

Trang 30

Phân loại

dữ liệu

Chính sách luật pháp

Ghi nhận thao tác

Ưu tiên quyền hạn

Phân công công việc

cụ thể

Quản lý nhập xuất

Trang 31

Văn phòng Nhìn lén Không sử dụng Password nếu có

người lạ hiện diện

Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên

Văn phòng Lang thang tìm kiếm các văn

Thường xuyên cập nhật danh mục thiết bị, khóa cửa cẩn thật

Trang 32

Giả mạo trên Mạng xã hội

Concepts

Thực nghiệm

Trang 33

Social Engineering trên Mạng xã hội

Thông tin

Cá nhân

Kết nối và Liên lạc

Thông tin nhạy cảm

Thông tin

Tổ chức

Giả mạo thu thập thông tin trên mạng xã hội

Attacker sử dụng profile của người khác kết bạn và thu thập thông tin

Trang 34

Twitter

Facebook

My Space

Google Plus Tumblr

Trang 35

Mạng xã hội là một CSDL khổng lồ truy cập bởi nhiều cá nhân, tăng nguy cơ bị khai thác thông tin

Tất cả các trang mạng xã hội có thể sai sót dẫn đến tạo ra lỗ hổng trong

Lổng hổng hệ thống mạng

Trang 36

Trộm cắp tài khoản

Concepts

Thực nghiệm

Trang 38

Trộm cắp tài khoản (Bước 1/3)

• Lấy toàn bộ thông tin trong các hóa đơn nạn nhân

Trang 39

Tạo một giấy CMND giả

Bản giả

Bản gốc

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

GIẤY CHỨNG MINH NHÂN DÂN

SỐ 273XXXXX9

Họ tên:………

………

Sinh ngày:………

Nguyên quán:………

………

Nơi ĐKHK thường trú:………

………

iSTUDY 14-12-2011 TP.Hồ Chí Minh 240 Võ Văn Ngân - Phường Bình Thọ, Quận 9, TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9 Họ tên:………

………

Sinh ngày:………

Nguyên quán:………

………

Nơi ĐKHK thường trú:………

………

iSTUDY

14-12-2011 TP.Hồ Chí Minh

240 Võ Văn Ngân

- Phường Bình Thọ, Quận 9, TP.HCM

Trang 40

Tới Bank nơi mà nạn nhân đăng ký mở

khoản để đăng ký làm lại tài khoản

Nói với họ bạn không nhớ số tài khoản cũ

và nhờ họ tìm thông qua số CMND

Bank sẽ yêu cầu bạn xuất trình CMND,

đưa ra CMND giả và bạn sẽ được cấp lại

tài khoản

Bây giờ, SHOPPING!!!

Có tiền là có gần hết mọi thứ!!!

Trang 41

Trộm cắp tài khoản:

Vấn nạn nghiêm trọng

• Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh

• Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời kiểm tra tài khoản thường xuyên góp phần làm giảm vấn nạn này

Trang 42

Biện pháp phòng chống

Concepts

Thực nghiệm

Trang 43

Biện pháp phòng chống: Chính sách

• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên

vi phạm mạnh sẽ giúp giảm thiểu Social Engineering

• Sau quá trình đào tạo, nhân viên nên ký một bản cam kết chịu trách nhiệm bảo đảm thông tin

Trang 44

Biện pháp phòng chống: Chính sách

• Xác định nhân viên hợp pháp bằng thẻ ra vào, đồng phục, v v…

• Giám sát khách đi vào

• Tuyệt đối không tiết lộ

Password

Password Policies Physical Security Polocies

24/7

Trang 45

Chính sách phân quyền rõ ràng cho từng đối tượng

Tính toán trước đề phòng có Social Engineering xảy ra

hồ sơ nhân viên

Phân quyền truy

cập

Thời gian phục hồi dữ liệu

Trang 46

Biện pháp phòng chống:

Phát hiện Phishing Email

• Thường dẫn đến một trang Web yêu cầu điền thông tin

cá nhân

• Lấy tên các ngân hàng, công ty chứng khoán, mạng xã hội v v

• Nhìn giống như được gửi từ một người có trong mail list

• Gọi trực tiếp đến số điện thoại trong Email để kiểm chứng

• Quan sát Logo thật so với Logo đi kèm mail

Trang 47

Biện pháp phòng chống:

Trộm cắp tài khoản Bảo mật tất cả các tài liệu, cả cá nhân và công ty

Để đảm bảo cho Mailbox, hãy xóa ngay khi có thể

Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị Luôn cảnh giác với các yêu cầu cá nhân

Thường xuyên kiểm tra thông tin tài khoản Luôn giữ thẻ tín dụng bên mình

Bảo vệ thông tin cá nhân với các mạng xã hội

Không bao giờ cho thông tin cá nhân qua điện thoại Không hiển thị tài khoản/số điện thoại nếu không cần thiết

Trang 48

Concepts

Thực nghiệm

Định dạng
Số trang	49
Dung lượng	5,54 MB