Đang tải... (xem toàn văn)
HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MÔN : CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Giáo viên hướng dẫn : VŨ THỊ VÂN Nhóm sinh viên thực hiện: NGUYỄN TRUNG THẮNG ĐẬU THỊ NGA NGUYỄN MINH KHÁNH Lớp : AT8B HÀ NỘI, 92014 MỤC LỤC Danh mục các ký hiệu các từ viết tắt…………………………………………….2 Lời nói đầu……………………………………………………………………….3 Kỹ nghệ xã hội 4 Các phương pháp phổ biến 5 Humanbased 5 Computerbased 7 Các bước tấn công trong Social engineerin……………………………………. .8 Các kiểu tấn công phổ biến …………………………………………………………………………………..10 Bảo vệ chống lại kỹ nghệ xã hội …………………………………………………………………………………..13 Kết luận…………………………………………………………………………19 Tài liệu tham khảo………………………………………………………………20 DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 1. Tt Thông tin 2. MT Máy tính 3. HT Hệ thống 4. KNXH Kỹ nghệ xã hội 5. ATTT An toàn thông tin Lời nói đầu Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outofdate Adobe Flash hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt. Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ. Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn thêm từ thầy giáo . 1.Kỹ nghệ xã hội (Social engineerin) : Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 2. Các phương pháp phổ biến 2.1. Phương pháp tâm lý psychology subversion (Humanbased) Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Tiếp cận về mặt tinh thần và cảm xúc hơn là vật chất . Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyết phục họ hành động . Kỹ thuật Human Based có thể chia thành các loại như sau: Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống MT, hoặc là hỏi thăm những người đồng nghiệp. Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào HT.
[...]... chính con người Rất nhiều mánh lới của kỹ nghệ xã hội dường như rất đơn giản nhưng vẫn đem lại hiệu quả cao Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 20 Trên thế giới, các hacker đẳng cấp về thực chất là các kỹ sư xã hội Dù nhiều người trong số họ là những chuyên gia kỹ thuật xuất sắc, nhưng trong thành công của họ, theo thống kê họ sử dụng kỹ nghệ xã hội lên tới hơn 80% Điều này cho thấy đây... thập thông tin cho một cuộc tấn công bằng cách dựa trên những điểm yếu của các cá nhân Kỹ nghệ xã hội không cần phải dùng đễn công nghệ Tấn công sử dụng kỹ nghệ xã hội có thể gồm : Các phương pháp vật lý : lục lọi thùng rác (dumpter diving), bám đuôi chui cửa (tailgating),… Các phương pháp tâm lý : mạo danh (impersonation), lừa đảo (phising), thư rác (spam),… Kỹ nghệ xã hội là nghệ thuật tác động lên con... giả vờ Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 11 4 Các kiểu tấn công phổ biến : 4.1 Insider Attacks Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một... hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính Email yêu cầu người nhận xác nhận Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 12 thông tin ngân hàng, hoặc đặt lại email, mã số PIN Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác Trong các cuộc tấn công, ... đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 14 Nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số... Organisational Culture Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 19 - Con người cần : Biết họ đang làm gì Có thể xác định các mối đe dọa Có trách nhiệm cá nhân và trừng phạt đối với hành động gây ra tổn thất của họ - Các tổ chức cần phải : Thực hiện các phương pháp mạnh Tổ chức nâng cao nhận thức an ninh Xây dựng ý thức ( nền văn hóa ) bảo mật trong tổ chức Kết luận : Kỹ nghệ xã hội (Social engineering)...3.3 Tấn công Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt” Gồm có 3 loại chính: - Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều này để... của một chiến lược an ninh tốt • Acceptable usage policy - for acceptable business usage of email, computer systems etc Chính sách chấp nhận được - doanh nghiệp sử dụng thư điện tử , hệ thống máy tính … Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 17 • Information classification and handling - for identifying critical information assets Phân loại thông tin và xử lý - để xác định các tài sản thông... người dụng bất cẩn Ví dụ, bạn vào trang web http://ebay.com và thực hiện giao dịch bình thường Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là https://ebay.com Khác biệt là ở chổ giao thức http và https Các ứng dụng pop-up và hộp hội thoại ( Pop-Up Applications and Dialog Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích Tìm hiểu về tấn công sử dụng kỹ. .. security awareness training - to ensure that employees are kept informed of threats Đào tạo nâng cao nhận thức bảo mật thông tin : đảm bảo rằng nhân viên biết được thông báo về các mối đe dọa Tìm hiểu về tấn công sử dụng kỹ nghệ xã hội Trang 18 • Compliance monitoring - to continually ensure that the security policy is being complied with Giám sát việc chấp hành - để tiếp tục đảm bảo chính sách an ninh