HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MÔN : CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Giáo viên hướng dẫn : VŨ THỊ VÂN Nhóm sinh viên thực hiện: NGUYỄN TRUNG THẮNG ĐẬU THỊ NGA NGUYỄN MINH KHÁNH Lớp : AT8B HÀ NỘI, 92014 MỤC LỤC Danh mục các ký hiệu các từ viết tắt…………………………………………….2 Lời nói đầu……………………………………………………………………….3 Kỹ nghệ xã hội 4 Các phương pháp phổ biến 5 Humanbased 5 Computerbased 7 Các bước tấn công trong Social engineerin……………………………………. .8 Các kiểu tấn công phổ biến …………………………………………………………………………………..10 Bảo vệ chống lại kỹ nghệ xã hội …………………………………………………………………………………..13 Kết luận…………………………………………………………………………19 Tài liệu tham khảo………………………………………………………………20 DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 1. Tt Thông tin 2. MT Máy tính 3. HT Hệ thống 4. KNXH Kỹ nghệ xã hội 5. ATTT An toàn thông tin Lời nói đầu Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outofdate Adobe Flash hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt. Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ. Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn thêm từ thầy giáo . 1.Kỹ nghệ xã hội (Social engineerin) : Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ để lợi dụng sơ hở của họ.
Trang 1TÌM HIỂU VỀ TẤN CÔNG SỬ
DỤNG KỸ NGHỆ XÃ HỘI
Giáo viên hướng dẫn : Vũ Thị Vân Sinh viên thực hiện : Nguyễn Trung Thắng Đậu Thị Nga
Trần Minh Khánh
1
Trang 2NỘI DUNG
• 1 Kỹ nghệ xã hội
• 2 Các phương pháp phổ biến
• 3 Các bước tấn công trong Social engineerin
• 4 Các kiểu tấn công phổ biến
• 5 Bảo vệ chống lại kỹ nghệ xã hội
Trang 3 Social engineer : sử dụng sự ảnh hưởng và sự thuyết
phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó
Người thực hiện công việc tấn công bằng phương pháp
social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.
Kỹ nghệ xã hội - social engineerin
Trang 4CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
- Phương pháp tâm lý psychology subversion (Human-based)
- Phương pháp vật lý (Computer-Based
Social Engineering)
CÁC PHƯƠNG PHÁP PHỔ
BIẾN
Trang 5Human-based có thể được chia thành 6 loại như sau :
● Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống
Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty Một
khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính
để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp
● Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người
quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có
thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống
● Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó
để truy cập vào hệ thống Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc
dùng tài khoản của giám đốc để truy cập vào hệ thống
● Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương
pháp cổ điển của kỹ thuật tấn công Social engineering Help-desk và phòng hổ trợ kỹ
thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker
● Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ
thống Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker
● Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác Thu thập thông tin
trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password,
username, filename hoặc những thông tin mật khác
Phương pháp tâm lý psychology subversion
(Human-based)
Trang 6CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Phương pháp vật lý (Computer-Based Social Engineering)
Computer-Based Social Engineering
● Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh,
ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả
nghiêm trọng nếu việc này không được làm Lá thư thường chứa một đường link đến một
trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu
cầu username, password, số thẻ tín dụng hoặc số pin
● Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password Một chương trình đã được cài đặt trước đó
bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa
● Mail attachments: Có 2 hình thức thông thường có thể được sử dụng Đầu tiên là mã độc
hại Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email Với mục đích là một user
không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong
trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì
nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng vbs) Thứ hai cũng có hiệu
quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp
Trang 7Computer-Based Social Engineering
● Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng
hạn như password họ sử dụng tại nơi làm việc Ví dụ, một website có thể tạo ra một cuộc thi
hư cấu, đòi hỏi user điền vào địa chỉ email và password Password điền vào có thể tương tự
với password được sử dụng cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vào password
giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức
● Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt
các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các
tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền Và một
Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương
trình độc hại ngụy trang dưới một chương trình hợp pháp
Trang 8CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Các bước tấn công trong social engineering
● Thu thập thông tin
Một trong những chìa khóa thành công của Social Engineering là thông tin Đáng ngạc
nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó
Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh Thông tin này thường mô tả hay đưa ra các đầu mối như là các
nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering Những thứ mà các tổ
chức ném đi có thể là nguồn tài nguyên thông tin quan trọng
● Chọn mục tiêu
● Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt” Gồm có 3 loại chính:
Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta
biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều
này để trích ra thông tin từ nạn nhân của chúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn
Trang 9
● Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân
viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ
Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy
với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ
chức
● Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như
là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp
hơn vị trí của nhân vật mà hắn giả vờ Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm
Trang 10CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
CÁC KIỂU TẤN CÔNG PHỔ BIẾN
● Insider Attacks
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack – tấn công nội bộ
Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý
vào hệ thống công ty, và di chuyển ra vào tự do trong công ty Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến
sự rò rĩ các thông tin nội bộ
Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên Những nhân
viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình
● Identity Theft
Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để thâm nhập vào hệ thống Thông tin được thu thập thông qua kỹ thuật Dumpster Diving hoặc
Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các hacker xâm nhập vào
tổ chức Việc tạo tài khoản xâm nhập vào hệ thống mà không bị phản đối gì hết như thế
được ví von là ăn trộm hợp pháp (Identity Theft)
Trang 11● Phishing Attacks
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn
bị cho một cuộc tấn công khác Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu
● Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để đăng nhập vào
hệ thống máy tính của công ty Các hacker có thể sử dụng tên người dùng và mật khẩu hợp
lệ, khi nạn nhân nhập vào các thông tin trên website
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể là
một chương trình keylogger để chụp lại mật khẩu Virus, trojan, worm là những thứ khác
có thể được đính kèm vào email để dụ dỗ người dùng mở file
Pop-up windows cũng là một kỹ thuật tương tự Trong cách thức này, một cửa sổ pop-up sẽ
mở ra với lời mời người dùng cài vào máy tính một phần miễn phí
● URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang
web cụ thể URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các thanh địa chỉ một cách hợp pháp Việc giả mạo có thể nhắm đến những người dụng bất cẩn Ví dụ bạn
vào trang web http://ebay.com và thực hiện giao dịch bình thường Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là https://ebay.com Khác biệt là ở chổ 11
Trang 12CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Bảo vệ chống lại kỹ nghệ xã hội
● Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng
trong các kỹ thuật phòng thủ và tấn công Nó có liên quan đến vấn đề về xã hội nên việc
phòng chống nó có chút rắc rối về cách tư cách của con người
Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin
Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống
● Nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng
bộ, bao gồm một số biện pháp sau:
- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước hết của đạo chích chứ
không phải các phương tiện kỹ thuật
- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được
- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình
- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức
- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm 12
Trang 13Xây dựng chương trình đào tạo và huấn luyện đặc biệt
Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên
như:
- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh
tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.
- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu
cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều
chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc
- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện
thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận hỗ trợ kỹ thuật, bộ phận
tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.
Trang 14CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI
Mô hình chính sách bảo mật chống lại tấn công bằng KNXH
Securiy policy
Securiy policy
Identity management
Identity management
Awareness and education
Awareness and education
Insurance protection
Insurance protection
Security Incident management
Security Incident management
Trang 15Những điều cần biết để bảo vệ chống lại kỹ nghệ xã hội
People need to…
Know what they need
to do
Be able to identify threats
Have individual accountability and sanctions for their actions
Organisations need to…
Implement strong procedures
Provide security awareness training
Establish a Security Conscious Organisational Culture
Trang 16CẢM ƠN THẦY CÔ CÙNG CÁC BẠN ĐÃ LẮNG NGHE !