1. Trang chủ
  2. » Công Nghệ Thông Tin

TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

16 892 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 16
Dung lượng 233,37 KB

Nội dung

HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MÔN : CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Giáo viên hướng dẫn : VŨ THỊ VÂN Nhóm sinh viên thực hiện: NGUYỄN TRUNG THẮNG ĐẬU THỊ NGA NGUYỄN MINH KHÁNH Lớp : AT8B HÀ NỘI, 92014 MỤC LỤC Danh mục các ký hiệu các từ viết tắt…………………………………………….2 Lời nói đầu……………………………………………………………………….3 Kỹ nghệ xã hội 4 Các phương pháp phổ biến 5 Humanbased 5 Computerbased 7 Các bước tấn công trong Social engineerin……………………………………. .8 Các kiểu tấn công phổ biến …………………………………………………………………………………..10 Bảo vệ chống lại kỹ nghệ xã hội …………………………………………………………………………………..13 Kết luận…………………………………………………………………………19 Tài liệu tham khảo………………………………………………………………20 DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 1. Tt Thông tin 2. MT Máy tính 3. HT Hệ thống 4. KNXH Kỹ nghệ xã hội 5. ATTT An toàn thông tin Lời nói đầu Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outofdate Adobe Flash hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt. Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ. Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn thêm từ thầy giáo . 1.Kỹ nghệ xã hội (Social engineerin) : Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ để lợi dụng sơ hở của họ.

Trang 1

TÌM HIỂU VỀ TẤN CÔNG SỬ

DỤNG KỸ NGHỆ XÃ HỘI

Giáo viên hướng dẫn : Vũ Thị Vân Sinh viên thực hiện : Nguyễn Trung Thắng Đậu Thị Nga

Trần Minh Khánh

1

Trang 2

NỘI DUNG

• 1 Kỹ nghệ xã hội

• 2 Các phương pháp phổ biến

• 3 Các bước tấn công trong Social engineerin

• 4 Các kiểu tấn công phổ biến

• 5 Bảo vệ chống lại kỹ nghệ xã hội

Trang 3

 Social engineer : sử dụng sự ảnh hưởng và sự thuyết

phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó

 Người thực hiện công việc tấn công bằng phương pháp

social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.

Kỹ nghệ xã hội - social engineerin

Trang 4

CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

- Phương pháp tâm lý psychology subversion (Human-based)

- Phương pháp vật lý (Computer-Based

Social Engineering)

CÁC PHƯƠNG PHÁP PHỔ

BIẾN

Trang 5

Human-based có thể được chia thành 6 loại như sau :

● Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống

Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty Một

khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính

để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp

● Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người

quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có

thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống

● Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó

để truy cập vào hệ thống Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc

dùng tài khoản của giám đốc để truy cập vào hệ thống

● Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương

pháp cổ điển của kỹ thuật tấn công Social engineering Help-desk và phòng hổ trợ kỹ

thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker

● Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ

thống Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker

● Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác Thu thập thông tin

trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password,

username, filename hoặc những thông tin mật khác

Phương pháp tâm lý psychology subversion

(Human-based)

Trang 6

CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

Phương pháp vật lý (Computer-Based Social Engineering)

Computer-Based Social Engineering

● Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh,

ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả

nghiêm trọng nếu việc này không được làm Lá thư thường chứa một đường link đến một

trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu

cầu username, password, số thẻ tín dụng hoặc số pin

● Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password Một chương trình đã được cài đặt trước đó

bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa

● Mail attachments: Có 2 hình thức thông thường có thể được sử dụng Đầu tiên là mã độc

hại Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email Với mục đích là một user

không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong

trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs Nếu tên file đó bị cắt bớt thì

nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng vbs) Thứ hai cũng có hiệu

quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp

Trang 7

Computer-Based Social Engineering

● Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng

hạn như password họ sử dụng tại nơi làm việc Ví dụ, một website có thể tạo ra một cuộc thi

hư cấu, đòi hỏi user điền vào địa chỉ email và password Password điền vào có thể tương tự

với password được sử dụng cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vào password

giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức

● Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt

các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các

tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền Và một

Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương

trình độc hại ngụy trang dưới một chương trình hợp pháp

Trang 8

CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

Các bước tấn công trong social engineering

Thu thập thông tin

Một trong những chìa khóa thành công của Social Engineering là thông tin Đáng ngạc

nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó

Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh Thông tin này thường mô tả hay đưa ra các đầu mối như là các

nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering Những thứ mà các tổ

chức ném đi có thể là nguồn tài nguyên thông tin quan trọng

Chọn mục tiêu

Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt” Gồm có 3 loại chính:

Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta

biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều

này để trích ra thông tin từ nạn nhân của chúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn

Trang 9

● Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân

viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ

Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy

với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ

chức

● Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như

là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp

hơn vị trí của nhân vật mà hắn giả vờ Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm

Trang 10

CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

CÁC KIỂU TẤN CÔNG PHỔ BIẾN

Insider Attacks

Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack – tấn công nội bộ

Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý

vào hệ thống công ty, và di chuyển ra vào tự do trong công ty Một ví dụ điển hình tại Việt Nam, đó chính là vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến

sự rò rĩ các thông tin nội bộ

Một kiểu khác của tấn công nội bộ, là chính sự phá đám của các nhân viên Những nhân

viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương cao hơn Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi mức lương của mình

Identity Theft

Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để thâm nhập vào hệ thống Thông tin được thu thập thông qua kỹ thuật Dumpster Diving hoặc

Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các hacker xâm nhập vào

tổ chức Việc tạo tài khoản xâm nhập vào hệ thống mà không bị phản đối gì hết như thế

được ví von là ăn trộm hợp pháp (Identity Theft)

Trang 11

Phishing Attacks

Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn

bị cho một cuộc tấn công khác Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu

Online Scams

Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để đăng nhập vào

hệ thống máy tính của công ty Các hacker có thể sử dụng tên người dùng và mật khẩu hợp

lệ, khi nạn nhân nhập vào các thông tin trên website

Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể là

một chương trình keylogger để chụp lại mật khẩu Virus, trojan, worm là những thứ khác

có thể được đính kèm vào email để dụ dỗ người dùng mở file

Pop-up windows cũng là một kỹ thuật tương tự Trong cách thức này, một cửa sổ pop-up sẽ

mở ra với lời mời người dùng cài vào máy tính một phần miễn phí

● URL Obfuscation

URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang

web cụ thể URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các thanh địa chỉ một cách hợp pháp Việc giả mạo có thể nhắm đến những người dụng bất cẩn Ví dụ bạn

vào trang web http://ebay.com và thực hiện giao dịch bình thường Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là https://ebay.com Khác biệt là ở chổ 11

Trang 12

CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

Bảo vệ chống lại kỹ nghệ xã hội

● Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng

trong các kỹ thuật phòng thủ và tấn công Nó có liên quan đến vấn đề về xã hội nên việc

phòng chống nó có chút rắc rối về cách tư cách của con người

Nâng cao ý thức cảnh giác và trang bị kiến thức an ninh, an toàn thông tin

Con người chính là khâu yếu nhất của hệ thống và đồng thời cũng là yếu tố hàng đầu đảm bảo an toàn của hệ thống

● Nhiệm vụ hàng đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng

bộ, bao gồm một số biện pháp sau:

- Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới lừa gạt, vì chính họ là đối tượng trước hết của đạo chích chứ

không phải các phương tiện kỹ thuật

- Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được

- Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình

- Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác an ninh của tổ chức

- Xây dựng chương trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm 12

Trang 13

Xây dựng chương trình đào tạo và huấn luyện đặc biệt

Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên

như:

- Mô tả các lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh

tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng.

- Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu

cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều

chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc

- Cảnh tỉnh cho các mục tiêu dễ bị tấn công như các nhân viên thư ký, các nhân viên điện

thoại, những người quản trị hệ thống và mạng điện thoại, bộ phận hỗ trợ kỹ thuật, bộ phận

tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng.

Trang 14

CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI

Mô hình chính sách bảo mật chống lại tấn công bằng KNXH

Securiy policy

Securiy policy

Identity management

Identity management

Awareness and education

Awareness and education

Insurance protection

Insurance protection

Security Incident management

Security Incident management

Trang 15

Những điều cần biết để bảo vệ chống lại kỹ nghệ xã hội

People need to…

Know what they need

to do

Be able to identify threats

Have individual accountability and sanctions for their actions

Organisations need to…

Implement strong procedures

Provide security awareness training

Establish a Security Conscious Organisational Culture

Trang 16

CẢM ƠN THẦY CÔ CÙNG CÁC BẠN ĐÃ LẮNG NGHE !

Ngày đăng: 29/09/2014, 09:59

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w