HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MÔN : CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Giáo viên hướng dẫn : VŨ THỊ VÂN Nhóm sinh viên thực hiện: NGUYỄN TRUNG THẮNG ĐẬU THỊ NGA NGUYỄN MINH KHÁNH Lớp : AT8B HÀ NỘI, 92014 MỤC LỤC Danh mục các ký hiệu các từ viết tắt…………………………………………….2 Lời nói đầu……………………………………………………………………….3 Kỹ nghệ xã hội 4 Các phương pháp phổ biến 5 Humanbased 5 Computerbased 7 Các bước tấn công trong Social engineerin……………………………………. .8 Các kiểu tấn công phổ biến …………………………………………………………………………………..10 Bảo vệ chống lại kỹ nghệ xã hội …………………………………………………………………………………..13 Kết luận…………………………………………………………………………19 Tài liệu tham khảo………………………………………………………………20 DANH MỤC CÁC KÝ HIỆU CÁC TỪ VIẾT TẮT 1. Tt Thông tin 2. MT Máy tính 3. HT Hệ thống 4. KNXH Kỹ nghệ xã hội 5. ATTT An toàn thông tin Lời nói đầu Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản outofdate Adobe Flash hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công vào năm 2013 theo Cisco bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt. Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ. Có thể bạn đã nghe nói về lừa đảo (phishing) là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.Tuy nhiên, do thời gian có hạn cũng như khả năng còn nhiều hạn chế nên đề tài của nhóm chúng em làm chắc chắn không thể tránh được sai sót và sự chưa hoàn thiện. Chúng em mong nhận được sự chỉ dẫn thêm từ thầy giáo . 1.Kỹ nghệ xã hội (Social engineerin) : Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp TT hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được TT. Họ chắc chắn là họnắm rõ vành đai bảo vệ và những người trực thuộc nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ để lợi dụng sơ hở của họ.
[...]... Khác biệt là ở chổ giao thức http và https 11 CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Bảo vệ chống lại kỹ nghệ xã hội ● Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công Nó có liên quan đến vấn đề về xã hội nên việc phòng chống nó có chút rắc rối về cách tư cách của con người Nâng cao ý thức cảnh giác và trang bị... trình huấn luyện và đào tạo về an ninh cho cán bộ nhân viên với điểm nhấn đặc biệt về các biện pháp chống kỹ nghệ xã hội 12 CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Xây dựng chương trình đào tạo và huấn luyện đặc biệt Để chống lại KNXH một cách hiệu quả, chương trình đào tạo và huấn luyện cần kèm theo các tài liệu chi tiết nhằm trang bị các kiến thức cần thiết về KNXH cho cán bộ nhân viên... lối tấn công và các hành vi thường được sử dụng bởi các kỹ sư xã hội, cảnh tỉnh về những phẩm chất của cán bộ nhân viên mà dễ bị lợi dụng - Các biểu hiện chứng tỏ có tấn công bằng KNXH như các cuộc điện thoại với những yêu cầu bất bình thường, từ chối cung cấp số gọi; tự xưng là cán bộ lãnh đạo, sử dụng nhiều chiêu thức đánh vào tâm lý như hứa hẹn, mua chuộc - Cảnh tỉnh cho các mục tiêu dễ bị tấn công. .. Awareness and education education Insurance Insurance protection protection Mô hình chính sách bảo mật chống lại tấn công bằng KNXH 14 CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Những điều cần biết để bảo vệ chống lại kỹ nghệ xã hội People need to… Organisations need to… Know what they need to do Implement strong procedures Be able to identify threats Provide security awareness training... hỗ trợ kỹ thuật, bộ phận tổ chức cán bộ, kế toán, các bộ phận cung cấp sản phẩm quan trọng 13 CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Identity Identity management management Security Incident Security Incident management management Securiy policy Awareness and Awareness and education education Insurance Insurance protection protection Mô hình chính sách bảo mật chống lại tấn công bằng...CƠ SỞ AN TOÀN THÔNG TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI ● Phishing Attacks Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN Người dùng click... cho một cuộc tấn công khác Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu ● Online Scams Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để đăng nhập vào hệ thống máy tính của công ty Các hacker có thể sử dụng tên người... đầu trong việc bảo vệ thông tin nói chung và chống lại kỹ nghệ xã hội nói riêng là phải nâng cao ý thức của con người cũng như trang bị các kiến thức về bảo vệ thông tin Đó là cả một quá trình và chỉ có thể thành công khi được tiến hành thường xuyên đồng bộ, bao gồm một số biện pháp sau: - Xây dựng ý thức cảnh giác cho cán bộ, nhân viên, làm cho họ hiểu rằng họ luôn có thể là nạn nhân của các mánh lới... windows cũng là một kỹ thuật tương tự Trong cách thức này, một cửa sổ pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn phí ● URL Obfuscation URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang web cụ thể URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các thanh địa chỉ một cách hợp pháp Việc giả mạo có thể nhắm đến những người dụng bất cẩn Ví... phương tiện kỹ thuật - Chỉ cho cán bộ, nhân viên thấy những điểm yếu của con người mà chỉ có sự cảnh giác, tự đấu tranh mới có thể khắc phục được - Cán bộ, nhân viên phải ý thức rằng lợi ích của cá nhân và của tổ chức trong bảo vệ thông tin là thống nhất Bởi vậy, họ phải coi bảo vệ thông tin là nhiệm vụ, là một phần trong công việc của mình - Tiến hành định kỳ hàng năm tổng kết, rút kinh nghiệm về công tác . biến • 3. Các bước tấn công trong Social engineerin • 4. Các kiểu tấn công phổ biến • 5. Bảo vệ chống lại kỹ nghệ xã hội 2 CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI 3 Social. ninh của tổ chức. Kỹ nghệ xã hội - social engineerin CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI - Phương pháp tâm lý psychology subversion (Human-based) - Phương pháp vật. TIN TẤN CÔNG SỬ DỤNG KỸ NGHỆ XÃ HỘI Bảo vệ chống lại kỹ nghệ xã hội ● Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công.