HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MÔN : CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Giáo viên hướng dẫn : VŨ THỊ VÂN Nhóm sinh viên thực hiện: NGUYỄN TRUNG THẮNG ĐẬU THỊ NGA NGUYỄN MINH KHÁNH Lớp : AT8B HÀ NỘI, 92014 MỤC LỤC Danh mục các ký hiệu các từ viết tắt…………………………………………….2 Lời nói đầu……………………………………………………………………….3 Kỹ nghệ xã hội 4 Các phương pháp phổ biến 5 Humanbased 5 Computerbased 7 Các bước tấn công trong Social engineerin……………………………………. .8 Các kiểu tấn công phổ biến …………………………………………………………………………………..10 Bảo vệ chống lại kỹ nghệ xã hội …………………………………………………………………………………..13 Kết luận…………………………………………………………………………19 Tài liệu tham khảo………………………………………………………………20 DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 1. Tt Thông tin 2. MT Máy tính 3. HT Hệ thống 4. KNXH Kỹ nghệ xã hội 5. ATTT An toàn thông tin Lời nói đầu Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outofdate Adobe Flash hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt. Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ. Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn thêm từ thầy giáo . 1.Kỹ nghệ xã hội (Social engineerin) : Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 2. Các phương pháp phổ biến 2.1. Phương pháp tâm lý psychology subversion (Humanbased) Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Tiếp cận về mặt tinh thần và cảm xúc hơn là vật chất . Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyết phục họ hành động . Kỹ thuật Human Based có thể chia thành các loại như sau: Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống MT, hoặc là hỏi thăm những người đồng nghiệp. Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào HT.
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO BÀI TẬP LỚN
MÔN : CƠ SỞ AN TOÀN THÔNG TIN
Đề tài
TÌM HIỂU VỀ TẤN CÔNG
SỬ DỤNG KỸ NGHỆ XÃ HỘI
Giáo viên hướng dẫn : VŨ THỊ VÂN
Nhóm sinh viên thực hiện : NGUYỄN TRUNG THẮNG
ĐẬU THỊ NGA
NGUYỄN MINH KHÁNH
Lớp : AT8B
HÀ NỘI, 9/2014
Trang 2Bảo vệ chống lại kỹ nghệ xã hội
……… 13
Trang 3Kết luận………19
Tài liệu tham khảo………20
DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT
Trang 4Lời nói đầu
Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìmkiếm một lỗ hổng trong mã của máy tính Ví dụ, nếu bạn đang sử dụng mộtphiên bản out-of-date Adobe Flash - hoặc, God forbid, Java, đó là nguyên nhâncủa 91% các cuộc tấn công vào năm 2013 theo Cisco - bạn có thể truy cập vàomột trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm củabạn để truy cập vào máy tính của bạn Kẻ tấn công khai thác lỗi trong phần mềm
để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ
Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm
lý Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến
Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Socialengineer Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻtín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy Họ có thể hướng dẫn bạnđến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầubạn tải về và cài đặt một chương trình độc hại Theo đó, thấy rõ rằng thủ đoạncủa Social engineer không có liên quan đến các trang web giả mạo hoặc phần
Trang 5mềm độc hại Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trảlời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm,
họ cố gắng khai thác sự tương tác của con người bình thường Spear Phishing cóthể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế
để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khảnăng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thểtránh được sai sót và sự chưa hoàn thiện Chúng em mong nhận được sự chỉ dẫnthêm từ thầy giáo
1 Kỹ nghệ xã hội (Social engineerin) :
Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đónhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì.Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảoVPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công.Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điệnthoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họvới đồng nghiệp hàng giờ liền ở quán rượu.Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếunhất Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một ngườinào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc
gì Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao
và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, cácfirewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng Không có thiết
bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tinkey trong email, hay trả lời điện thoại của người lạ hoặc một người mới quenthậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quánrượu
Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật,mặc dù họ không cố ý Những người tấn công đặc biệt rất thích phát triển kĩ
Trang 6năng về Social Engineering và có thể thành thạo đến mức những nạn nhân củakhông hề biết rằng họ đang bị lừa Mặc dù có nhiều chính sách bảo mật trongcông ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của
Những kẻ tấn công luôn tìm những cách mới để lấy được TT Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc - nhân viên bảo vệ, nhân viêntiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ Thườngthì mọi người dựa vào vẻ bề ngoài để phán đoán Ví dụ, khi nhìn thấy một ngườimặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì
Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai,email trên Website của công ty Ngoài ra, các công ty còn thêm danh sách cácnhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIXservers Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà
2.1 Phương pháp tâm lý psychology subversion (Human-based)
Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với conngười để thu được thông tin mong muốn Tiếp cận về mặt tinh thần và cảm xúchơn là vật chất Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyếtphục họ hành động
Kỹ thuật Human Based có thể chia thành các loại như sau:
- Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ Trong kỹ thuậtnày, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của
hệ thống Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độpnhập công ty Một khi đã vào được bên trong, chúng tiến hành thu thập các thông
Trang 7tin từ thùng rác, máy tính để bàn, hoặc các hệ thống MT, hoặc là hỏi thăm nhữngngười đồng nghiệp.
- Posing as Important User: Trong vai trò của một người sử dụng quan trọng nhưngười quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lậptức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vàoHT
- Third-person Authorization: Lấy danh nghĩa được sự cho phép của một ngườinào đó để truy cập vào HT Ví dụ một tên hacker nói anh được sự ủy quyền củagiám đốc dùng tài khoản của giám đốc để truy cập vào HT
- Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là mộtphương pháp cổ điển của kỹ thuật tấn công Social engineering Help-desk vàphòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồingon cho hacker
- Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký
hệ thống Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập đượcghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker
- Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác Thu thập thôngtin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể làpassword, username, filename hoặc những thông tin mật khác Ví dụ: Tháng 6năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đếndumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợpchống độc quyền Danh từ “larrygate”, không là mới trong hoạt động tình báodoanh nghiệp
Một số thứ mà dumpster có thể mang lại :
(1).Sách niên giám điện thoại công ty -biết ai gọi sau đó dùng để mạo nhận lànhững bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm Nó giúp cóđược tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ Tìm các số
đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điệnthoại của công ty từ sách niên giám
Trang 8(2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sựkiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăngnhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse SocialEngineering (Social engineering ngược) Trong kỹ thuật này, hacker trở thànhngười cung cấp thông tin Điều đó không có gì là ngạc nhiên, khi hacker bây giờchính là nhân viên phòng help desk Người dùng bị mất password, và yêu cầunhân viên helpdesk cung cấp lại
2.2 Computer-Based Social Engineering :
Computer Based: là sử dụng các phần mềm để lấy được TT mong muốn Có thểchia thành các loại như sau:
- Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công
ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin
và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm
Lá thư thường chứa một đường link đến một trang web giả mạo trông hợppháp với logo của công ty và nội dung có chứa form để yêu cầu username,password, số thẻ tín dụng hoặc số pin
- Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing Đây cũng làmột dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhânthay vì gởi email Người sử dụng sẽ nhận được một thông điệp tự độngvới nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng Thôngđiệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề Saukhi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗtrợ giả, yêu cầu họ phải nhập mã thẻ tín dụng Và Voip tiếp tay đắc lựcthêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọibằng Voip
- Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user làanh ta đã mất kết nối và cần phải nhập lại username và password Một
Trang 9chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email TTđến một website ở xa.
- Mail attachments: Có 2 hình thức thông thường có thể được sử dụng Đầutiên là mã độc hại Mã này sẽ luôn luôn ẩn trong một file đính kèm trongemail Với mục đích là một user không nghi ngờ sẽ click hay mở file đó,
ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này fileđính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì nó
sẽ giống như file jpg và user sẽ không chú ý phần mở rộng vbs) Thứ haicũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóafile hợp pháp Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mailbằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhậnchuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ Điều này
có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết
- Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệunhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc Ví dụ,một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địachỉ email và password Password điền vào có thể tương tự với passwordđược sử dụng cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vàopassword giống với password họ sử dụng tại nơi làm việc, vì thế socialengineer có username hợp lệ và password để truy xuất vào HT mạng tổchức
- Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệusuất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sửdụng các phần mềm có bản quyền Và một Spyware hay Malware ( chẳnghạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hạingụy trang dưới một chương trình hợp pháp
Trang 103 Các bước tấn công trong social engineering :
3.1 Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là TT Đáng ngạcnhiên là dễ dàng thu thập đầy đủ TT của một tổ chức và nhân viên trong tổ chức
đó Các tổ chức có khuynh hướng đưa quá nhiều TT lên website của họ như làmột phần của chiến lược kinh doanh Thông tin này thường mô tả hay đưa ra cácđầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; vàchỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này cóthể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụngtrong tấn công Social Engineering Những thứ mà các tổ chức ném đi có thể lànguồn tài nguyên TT quan trọng Tìm kiếm trong thùng rác có thể khám phá hóađơn, thư từ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các TT quan trọng.Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều TT càng tốt để làm
ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…
độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấuvết
Trợ lý administrator là mục tiêu kế tiếp Đó là vì các cá nhân này có thể tiếp cậnvới các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viênquản trị cấp cao Nhiều các trợ lý này thực hiện các công việc hàng ngày choquản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của ngườiquản lý
Trang 11ty ra sao Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân củachúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá khôngđúng mức và đang làm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường
có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn
Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả
vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cungcấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần
sự giúp đỡ đề thực hiện xong nhiệm vụ
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra
sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thểhiện kiến thức về tổ chức Kẻ tấn công giả vờ là hắn đang bận và phải hoànthành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớusername và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịchbản Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêucầu sẽ được chấp nhận Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin
từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm,hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ
- Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽnhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ Kẻtấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password,thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm
Trang 124 Các kiểu tấn công phổ biến :
4.1 Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọntốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhânviên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính làInsider Attack - tấn công nội bộ Insider Attack có một thế mạnh rất lớn, vìnhững gián điệp này được phép truy cập vật lý vào hệ thống công ty, và dichuyển ra vào tự do trong công ty Một ví dụ điển hình tại Việt Nam, đó chính là
vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rĩcác thông tin nội bộ
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên.Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mứclương cao hơn Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thểthay đổi mức lương của mình Hoặc một trường hợp khác, nhân viên muốn cótiền nhiều hơn, bằng cách đánh cấp các bảng kế hoạch kinh doanh mang bán chocác công ty khác
4.2 Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cắp danh tính của một nhânviên để thâm nhập vào hệ thống Thông tin được thu thập thông qua kỹ thuậtDumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) cóthể giúp các hacker xâm nhập vào tổ chức Việc tạo tài khoản xâm nhập vào hệthống mà không bị phản đối gì hết như thế được ví von là ăn trộm hợp pháp(Identity Theft)
4.3 Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tíndụng, hoặc tổ chức liên quan tài chính Email yêu cầu người nhận xác nhận