Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của mộtngười mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờliền ở q
Trang 1HỌC VIỆN CÔNG NGHỆ B ƯU CHÍNH VIỄN THÔNG
Trang 2MỤC LỤC
Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G
1.1 Khái niệm về Social Engineering
1.2 Thủ thuật
1.3 Điểm yếu của con người
Chương 2: PHÂN LOẠI
2.1 Human – based
2.1.1 Impersonation2.1.2 Important User2.1.3 Third-party Authorization2.1.4 Technical Support
2.1.5 In Person2.2 Computer – based
2.2.1 Phising2.2.2 Vishing2.2.3 Pop-up Windows2.2.4 Mail attachments2.2.5 Websites
2.2.6 Interesting Software
Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING
3.1 Thu thập thông tin
3.2 Chọn mục tiêu
3.3 Tấn công
Chương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING
4.1 Các mối đe dọa trực tuyến (Online Threats)
4.1.1 Các mối đe dọa từ E-mail (E-mail Threats)4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and DialogBoxes)
4.1.3 Instant Mesaging4.2 Telephone-Based Threats
4.2.1 Private Branch Exchange4.2.2 Service Desk
4.3 Waste Management Threats
4.4 Personal Approaches
4.4.1 Virtual Approaches4.4.2 Physical Approaches4.5 Reverse Social Engineering
Chương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL
Trang 3Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL
Trang 51.1 Khái niệm về Social Engineering:
Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mụcđích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì
Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảoVPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công
Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của mộtngười mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờliền ở quán rượu
Bảo mật được xem là tốt nhất nếu nó có thể phát huy tr ên cả những liên kết yếu nhất SocialEngineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đíchlấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì Và không có vấn đề gì khicác công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn nhưcác phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềmgiám sát mạng Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vôtình để lộ thông tin key trong email, hay tr ả lời điện thoại của người lạ hoặc một người mớiquen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu.Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họkhông cố ý Những người tấn công đặc biệt rất thích phát triển kĩ năng về SocialEngineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang
bị lừa Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại dohacker lợi dụng lòng tốt và sự giúp đỡ của mọi người
Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin Họ chắc chắn là họ nắm
rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân vànhững nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ Thường thì mọi người dựavào vẻ bề ngoài để phán đoán Ví dụ, khi nh ìn thấy một người mặc đồng phục màu nâu vàmang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng
Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email trênWebsite của công ty Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyênnghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers Đây l à một số ít thôngtin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập
Trang 6không cho phép attacker làm cho ngư ời nào đó làm những việc vượt quá tư cách đạo đứcthông thường Và trên hết, nó không dễ thực hiện chút n ào Tuy nhiên, đó là m ột phươngpháp mà hầu hết Attackers dùng để tấn công vào công ty Có 2 loại rất thông dụng :
Social engineering là vi ệc lấy được thông tin cần thiểt từ một ng ười nào đó hơn làphá hủy hệ thống
Psychological subversion : mục đích của hacker hay attacker khi s ử dụng PsychSubthì phức tạp hơn và bao gồm sự chuẩn bị, phân tích t ình huống, và suy nghĩ cẩn thận vềchính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.Xem xét tình huống sau đây:
Attacker : “ Chào bà, tôi là Bob, tôi mu ốn nói chuyện với cô Alice”
Alice: “ Xin chào, tôi là Alice”
Attacker: ” Chào cô Alice, tôi g ọi từ trung tâm dữ liệu, xin lỗi v ì tôi gọi điện cho cô sớm thếnày…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đ âu.”
Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạoaccount có vấn đề.”
Alice: ” Của tôi à à vâng.”
Attacker: ” Tôi thông báo v ới cô về việc server mail vừa bị sập tối qua, v à chúng tôi đang
cố gắng phục hồi lại hệ thống mail Vì cô là người sử dụng ở xa nên chúng tôi xử lý trườnghợp của cô trước tiên.”
Alice: ”Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có th ể phục hồi lại được mà Nhưng vì chúng tôi là nhânviên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của vănphòng, nên chúng tôi c ần có password của cô, nếu không chúng tôi không thể l àm gì được.”Alice: ”Password của tôi à?uhm ”
Attacker: ”Vâng, chúng tôi hi ểu, trong bản đăng kí ghi r õ chúng tôi không được hỏi về vấn
đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lựclàm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username c ủa cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôiusername và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi Không cópassword thì không ai có th ể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữliệu Nhưng chúng tôi phải phục hồi lại mail của cô, v à chúng tôi cần phải truy cập vào mailcủa cô Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô v ào bất cứmục đích nào khác.”
Alice: ” uhm, pass này c ũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô Chúng tôi sẽ phục hồi lại mail của cô trong v ài phútnữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắcmắc gì thì hãy liên hệ với chúng tôi Cô có thể t ìm số liên lạc ở trên Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”
1.3 Điểm yếu của mọi người:
Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật
Trang 7Để đề phòng thành công thì chúng ta ph ải dựa vào các chính sách tốt và huấn luyện nhânviên thực hiện tốt các chính sách đó.
Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứnghay phần mềm để chống lại
Chú ý: Social engineering t ập trung vào những điểm yếu của chuỗi bảo mật máy tính Cóthể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện
Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý vàvấn đề cấp điện có thể là một trở ngại lớn Bất cứ thông tin n ào thu thập được đều có thểdùng phương pháp Social engineering đ ể thu thập thêm thông tin Có nghĩa là một ngườikhông nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật Các chuy ên giabảo mật cho rằng cách bảo mật giấu đi thông tin th ì rẩt yếu Trong trường hợp của Socialengineering, hoàn toàn không có s ự bảo mật nào vì không thể che giấu việc ai đang sử dụng
hệ thống và khả năng ảnh hưởng của họ tới hệ thống
Có nhiều cách để hoàn thành mục tiêu đề ra Cách đơn giản nhất là yêu cầu trực tiếp, đó làđặt câu hỏi trực tiếp Mặc d ù cách này rất khó thành công, nhưng đây là phương pháp d ễnhất, đơn giản nhất Người đó biết chính xác họ cần g ì Cách thứ hai, tạo ra một tình huống
mà nạn nhân có liên quan đến Với các nhân tố khác h ơn chỉ là việc yêu cầu xem xét, điều
mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức n ào, bởi vì attacker cóthể tạo ra những lý do thuyết phục h ơn những người bình thường Attacker càng nỗ lực thìkhả năng thành công càng cao, thông tin thu đư ợc càng nhiều Không có nghĩa là các tìnhhuống này không dựa trên thực tế Càng giống sự thật thì khả năng thành công càng cao.Một trong những công cụ quan trọng đ ược sử dụng trong Social engineering l à một trí nhớtốt để thu thập các sự kiện Đó l à điều mà các hacker và sysadmin n ổi trội hơn, đặc biệt khinói đến những vấn đề liên quan đến lĩnh vực của họ
Trang 9Social engineering có th ể chia làm 2 loại: human based và computer based.
2.1 Human-based Social engineering: là việc trao đổi giữa người với người để lấy đượcthông tin mong muốn Các kỹ thuật social engineering dựa v ào con người có thể đại khái chiathành:
2.1.1 Impersonation: với kiểu tấn công social engineering n ày, hacker giả làm
một nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt đ ược quyềntruy xuất Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đóthu thập một số thông tin có liên quan đến công ty đó Có một quy luật đượcthừa nhận trong giao tiếp x ã hội là khi nhận được sự giúp đỡ từ một ng ườinào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả
Có thể xem nó như là một sự biết ơn Sự biết ơn luôn thấy trong môi trườnghợp tác Một nhân viên sẽ sẵn sàng giúp đỡ người khác với mong muốn làsau này có thể người ta sẽ giúp lại họ Social engineers cố gắng tận dụng đặcđiểm xã hội này khi mạo nhận người khác Những mưu mẹo này đã được sửdụng trong quá khứ cũng nh ư một sự ngụy trang để đạt đ ược sự truy xuất vật
lý Nhiều thông tin có thể được lượm lặt từ bàn giấy, thùng rác thậm chí là sổdanh bạ và biển đề tên ở cửa
2.1.2 Posing as Important User : Sự mạo nhận đạt tới một mức độ cao h ơn bằng
cách nắm lấy đặc điểm của một nhân vi ên quan trọng lời nói của họ có giá trị
và thông thường đáng tin cậy hơn Yếu tố biết ơn đóng vai trò để nhân viên
vị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sựquý mến của anh ta Kẻ tấn công giả dạng nh ư một user quan trọng có thể lôikéo dễ dàng một nhân viên người mà không có sự đề phòng trước Socialengineer sử dụng quyền lực để hăm dọa thậ m chí là đe dọa báo cáo nhân viênvới người giám sát nhân viên đó nếu họ không cung cấp thông tin theo y êucầu
2.1.3 Third-person Authorization: Một kỹ thuật social engineering phổ biến
khác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đã được chấp nhậncủa sự ủy quyền chỉ định Chẳng hạn một ng ười chịu trách nhiệm cho phéptruy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta
và lợi dụng sự vắng mặt của anh ta nh ư là lợi thế để truy xuất tài nguyên Kẻtấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh ta
đã được chấp nhận để truy xuất thông tin Đây có thể l à hiệu quả đặc biệt nếungười chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngo ài - nơi mà sự xácminh không thể ngay lập tức Người ta có khuynh hướng làm theo sự giaophó ở nơi làm việc, thậm chí họ nghi ngờ rằng những y êu cầu có thể khônghợp pháp Người ta có khuynh hướng tin rằng những ng ười khác đang thểhiện những quan điểm đúng của họ khi họ tuy ên bố Trừ khi có bằng chứngmạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nóichuyện đang nói sự thật về cái họ thấy hoặc cần
Trang 102.1.4 Technical Support: một chiến thuật thường hay được sử dụng, đặc biệt khi
nạn nhân không phải là chuyên gia về kỹ thuật Kẻ tấn công có thể giả l àmmột người bán phần cứng hoặc kỹ thuật vi ên hoặc một nhà cung cấp liênquan máy tính và tiếp cận với nạn nhân
2.1.5 In Person: Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục ti êu
và quan sát tình hình cho thông tin H ắn ta có thể cải trang chính anh ta th ànhngười phân phối thư, người lao công hoặc thậm chí rong ch ơi như một vịkhách ở hành lang Anh ấy có thể giả làm nhà kinh doanh, khách ho ặc kỹthuật viên Khi ở bên trong, anh ta có thể nhìn password trên màn hình, tìm
dữ liệu quan trọng nằm tr ên bàn hoặc nghe trộm các cuộc nói chuyện bí mật
Có 2 kỹ thuật được sử dụng bởi attacker Đó l à:
2.1.5.1 Dumpster Diving: tìm kiếm trong thùng rác, thông tin được viếttrên mảnh giấy hoặc bản in máy tính Hacker có thể t ìm thấypassword, filename, hoặc những mẩu thông tin bí mật
2.1.5.2 Shoulder Surfing: là một kỹ thuật thu thập password bằng cáchxem qua vai người khác khi họ đăng nhập v ào hệ thống Hacker cóthể xem người sử dụng hợp lệ đăng nhập v à sau đó sử dụng password
đó đề giành được quyền truy xuất đến hệ thống
Khi ở bên trong, kẻ xâm nhập có cả một menu các sách l ược để chọn,bao gồm đi lang thang những h ành lang của tòa nhà để tìm kiếm các vănphòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc củahọ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo vào hệ thống mailserver công ty; cố gắng đạt quyền truy xuất đến ph òng server hay phòng điệnthoại để lấy nhiều thông tin h ơn từ hệ thống đang vận hành; đặt bộ phân tíchprotocol trong wiring closet đ ể bắt gói dữ liệu, username, v à password haychỉ đơn giản đánh cắp thông tin nhằm đến
Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên m ấtpassword Trong sự hoảng sợ, anh ta còn nói thêm là nếu anh ta nhỡ hạn cuốicủa một dự án quảng cáo th ì ông chủ có thể đuổi việc anh ta Ng ười nhânviên hỗ trợ cảm thấy thông cảm cho anh ta v à nhanh chóng khởi động lạipassword, việc làm này giúp cho hacker xâm nh ập vào hệ thống mạng củacông ty
Ví dụ: Tháng 6 năm 2000, Larry Ellison, ch ủ tịch Oracle, thừa nhận
là Oracle đã dùng đến dumpster diving để cố gắng t ìm ra thông tin vềMicrosoft trong trường hợp chống độc quyền Danh từ “larrygate”, không l àmới trong hoạt động tình báo doanh nghiệp
Một số thứ mà dumpster có thể mang lại:
Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng đểmạo nhận là những bước đầu tiên để đạt quyền truy xuất tớicác dữ liệu nhạy cảm Nó giúp có đ ược tên và tư cách chínhxác để làm có vẻ như là nhân viên hợp lệ Tìm các số đã gọi làmột nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổngđài điện thoại của công ty từ sác h niên giám
Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty;lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in
Trang 11của dữ liệu nhạy cảm hoặc t ên đăng nhập và password; bảnghi source code; băng và đ ĩa; các đĩa cứng hết hạn.
2.2 Computer-based Social engineering: là sử dụng các phần mềm để lấy được
thông tin mong muốn Có thể chia thành các loại như sau:
2.2.1 Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một
công ty kinh doanh, ngân hàng ho ặc thẻ tín dụng yêu cầu chứng thực thôngtin và cảnh báo sẽ xảy ra hậu quả nghi êm trọng nếu việc này không đượclàm Lá thư thường chứa một đường link đến một trang web giả mạo trônghợp pháp với logo của công ty v à nội dung có chứa form để yêu cầuusername, password, số thẻ tín dụng hoặc số pin
2.2.2 Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing Đây cũng là
một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay
vì gởi email Người sử dụng sẽ nhận được một thông điệp tự động với nộidung cảnh báo vấn đề liên quan đến tài khoản ngân hàng Thông điệp nàyhướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề Sau khi gọi, sốđiện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, y êu cầu
họ phải nhập mã thẻ tín dụng Và Voip tiếp tay đắc lực thêm cho dạng tấncông mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip
2.2.3 Pop-up Windows: Một cửa sổ sẽ xuất hiện tr ên màn hình nói với user là
anh ta đã mất kết nối và cần phải nhập lại username v à password Mộtchương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thôngtin đến một website ở xa
2.2.4 Mail attachments: Có 2 hình thức thông thường có thể được sử dụng
Đầu tiên là mã độc hại Mã này sẽ luôn luôn ẩn trong một file đính k èm trongemail Với mục đích là một user không nghi ngờ sẽ cli ck hay mở file đó, ví
dụ virus IloveYou, sâu Anna Kournikova( trong tr ường hợp này file đínhkèm tên là AnnaKournikova.jpg.vbs N ếu tên file đó bị cắt bớt thì nó sẽgiống như file jpg và user sẽ không chú ý phần mở rộng vbs) Thứ hai cũng
có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợppháp Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cáchbáo cáo một sự đe dọa không tồn tại v à yêu cầu người nhận chuyển tiếp mộtbản sao đến tất cả bạn và đồng nghiệp của họ Điều này có thể tạo ra mộthiệu ứng gọi là hiệu ứng quả cầu tuyết
2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy
cảm, chẳng hạn như password họ sử dụng tại nơi làm việc Ví dụ, mộtwebsite có thể tạo ra một cuộc thi h ư cấu, đòi hỏi user điền vào địa chỉ email
và password Password đi ền vào có thể tương tự với password được sử dụng
cá nhân tại nơi làm việc Nhiều nhân viên sẽ điền vào password giống vớipassword họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp
lệ và password để truy xuất vào hệ thống mạng tổ chức
Trang 122.2.6 Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải
về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suấtcủa CPU, RAM, hoặc các tiện ích hệ thống hoặc nh ư một crack để sử dụngcác phần mềm có bản quyền V à một Spyware hay Malware ( chẳng hạn nh ưKeylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trangdưới một chương trình hợp pháp
Trang 133.1Thu thập thông tin: Một trong những chìa khóa thành công c ủa Social Engineering l àthông tin Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viêntrong tổ chức đó Các tổ chức có khuynh h ướng đưa quá nhiều thông tin lên website của họ như
là một phần của chiến lược kinh doanh Thông tin n ày thường mô tả hay đưa ra các đầu mốinhư là các nhà cung c ấp có thể ký kết; danh sách điện thoai v à email; và chỉ ra có chi nhánh haykhông nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềmnăng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering Những thứ mà các tổchức ném đi có thể là nguồn tài nguyên thông tin quan tr ọng Tìm kiếm trong thùng rác có thểkhám phá hóa đơn, thư t ừ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quantrọng Mục đích của kẻ tấn công trong b ước này là hiểu càng nhiều thông tin càng tốt để làm ra
vẻ là nhân viên, nhà cung c ấp, đối tác chiến lược hợp lệ,…
3.2Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếmđiểm yếu đáng chú ý trong nhân vi ên của tổ chức đó Mục tiêu thông thường là nhân viên hỗtrợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo t ài khoản, kích hoạt lạitài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trítrong hệ thống Kẻ tấn công nhận ra l à khi chúng có thể truy cập, thậm chí là cấp độ khách, thìchúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator làmục tiêu kế tiếp Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thôngthường được lưu chuyển giữa các thành viên quản trị cấp cao Nhiều các trợ lý này thực hiệncác công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoảncủa người quản lý
3.3Tấn công: Sự tấn công thực tế thông th ường dựa trên cái mà chúng ta gọi đó là “sựlường gạt” Gồm có 3 loại chính:
o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặcđiểm cơ bản của con người Tất cả chúng ta thích nói về ch úng ta thông minh nhưthế nào và chúng ta biết hoặc chúng ta đang l àm hoặc hiệu chỉnh công ty ra sao Kẻtấn công sẽ sử dụng điều n ày để trích ra thông tin từ nạn nhân của chúng Kẻ tấncông thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đanglàm việc ở vị trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán rađiều này chỉ sau một cuộc nói chuyện ngắn
Trang 14đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đềthực hiện xong nhiệm vụ Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi
kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằn g cách dùng các từ chuyên ngànhthích hợp hoặc thể hiện kiến thức về tổ chức Kẻ tấn công giả vờ là hắn đang bận vàphải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớusername và password,… Một cảm giác khẩn cấp l uôn luôn là phần trong kịch bản.Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽđược chấp nhận Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ mộtnhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc chođến khi hắn nhận ra là tổ chức nghi ngờ
o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật
có quyền, như là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vàonạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ Kẻ tấn công tạo một lý
do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi t ài khoản, truy xuấtđến hệ thống, hoặc thông tin nhạy cảm
Trang 16Có 5 nhân tố tấn công chính mà một hacker social engineering s ử dụng:
4.1 Các mối đe dọa trực tuyến (Online Threats): trong thế giới kinh doanh đượckết nối ngày càng tăng của chúng ta, nhân viên thường sử dụng và đáp ứng các yêu cầu vàthông tin đến một cách tự động từ cả inside v à outside công ty Sự kết nối này giúp hacker cóthể tiếp cận được với các nhân viên Các tấn công trực tuyến như e-mal, pop-up application, vàinstant message sử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tàinguyên máy tính Hacker social engineering thuyết phục nhân viên cung cấp thông tin thôngqua mưu mẹo tin được, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp.Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malwaresau đó, nhưng kết quả không là chức năng của social engineering V ì thế, phải có lời khuyêncho nhân viên làm thế nào để nhận diện và tránh các cuộc tấn công social engineering trựctuyến
4.1.1 Các mối đe dọa từ E-mail (E-mail Threats): Nhiều nhân viên nhận hàng
chục hoặc hàng trăm e-mail mỗi ngày, từ cả kinh doanh và từ hệ thống e-mail riêng.Khối lượng e-mail có thể làm cho nó trở thành khó khăn để gây sự chú ý cho mỗibài viết Điều này thì rất hữu ích với hacker Hầu hết ng ười dùng e-mail cảm thấy tốtkhi họ giải quyết với một mẩu thư Nếu hacker có thể làm một yêu cầu đơn giản mà
dễ dàng giải quyết, thì sau đó mục tiêu sẽ đồng ý mà không nghĩ là anh ấy hoặc cô
ấy đang làm chuyện gì
Một ví dụ của tấn công kiểu n ày là gởi e-mail đến nhân viên nói rằng ông chủmuốn tất cả lịch nghỉ gởi cho cuộc họp v à tất cả mọi người trong danh sách được saochép vào trong e-mail Chỉ đơn giản là trich tên ở ngoài từ danh sách sao chép vàđánh lừa tên người gởi để mail xuất hiện bắt đầu từ nguồn b ên trong Việc đánh lừanày đặc biệt đơn giản nếu một hacker đạt quyền truy xuất đến một hệ thống máy tínhcông ty, bởi vì không cần phải phá vỡ thông qua phạm vi t ường lửa Sự hiểu biết vềlịch trình kỳ nghỉ có thể không l à mối đe dọa bảo mật, nh ưng nó có nghĩa là mộthacker biết khi nào nhân viên vắng mặt Hacker sau đó có thể giả mạo ng ười này vớikhả năng bị khám phá ra giảm đi Sử dụng e-mail như là một công cụ socialengineering đã trở nên phổ biến qua hơn một thập kỷ qua Phising được mô tả là sửdụng e-mail để nhận dạng cá nhân hoặc thông tin giới hạn từ một user Hacker cóthể gởi e-mail mà có vẻ đến từ tổ chức hợp lệ, chẳng hạn ngân h àng hoặc các công
ty đối tác Minh họa dưới đây chỉ ra một link hợp lệ bề ngoài đến từ trang quản lý tàikhoản Contoso