Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 75 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
75
Dung lượng
6,06 MB
Nội dung
Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài
Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn
từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị
dò dỉ thông tin từ bộ ngoại giao.
Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các
hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật
Social Engineering, hay còn gọi là kĩ thuật lừa đảo.
Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm
nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một
khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008
http://www.fiercegovernmentit.com
Các chủ đề trình bày
Social Engineering là gì
Social Engineering through Impersonation trên miền mạng Social
Tại sao Social Engineering lại hiệu quả
Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp
Các giai đoạn trong một cuộc tấn công Social Engineering
Ăn cắp ID
Các mục tiêu phổ biến của Social Engineering
Thế nào là Steal Indentity
Các kiểu Social Engineering
Biện pháp đối phó Social Enginneering
Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống
Thử nghiệm Social Engineering
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Biện pháp đối phó Social
Ăn cắp ID
Engineering
Thử nghiệm xâm nhập
Không có bất kỳ bản vá lỗi nào đối với một con người
ngu ngốc
Social Engineering là gì
Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật
Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó
Thông tin bí mật
Chi tiết truy cập
Chi tiết việc uỷ quyền
Các hành vi dễ bị tấn công
Sự tin tưởng là nền tảng cơ bản của tấn
công Social Engineering
Sự thiếu hiểu biết về Social
Socal Engineers có thể đe doạ
Engineering và các hiệu ứng của nó
nghiêm trong đến việc mất mát trong
trong đội ngũ nhân viên khiến cho các
trường hợp không tuân thủ những
tổ chức là một mục tiêu dễ dàng
yêu cầu của họ (tổ chức)
Các mục tiêu sẽ được hỏi để trợ giúp
và họ tuân theo những quy định mang
Social Engineers thu hút các mục tiêu
tính nghĩa vụ được đưa ra
tiết lộ thông tin bởi một cái gì đó đầy
hứa hẹn
Những yếu tố làm doanh nghiệp dễ bị tấn công
Đào tạo an ninh
còn thiếu
Thiếu những chính
Dễ dàng truy cập
sách an ninh
thông tin
Nhiều các đơn vị tổ
chức
Tại sao Social Engineering Lại Hiệu Quả
Chính sách bảo mật mạnh cũng sẽ là liên kết yếu
nhất và con người là yếu tố nhạy cảm nhất
Không có một phần mêm hay phần cứng nào có
thể chống lại một cuộc tấn công Social
Engineering
Rất khó để phát hiện ra Social Engineering
Không có một phương pháp chắc chắn nào để
đảm bảo an ninh một cách đầy đủ từ các cuộc tấn
công Social Engineering
Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng
cho thấy sự vội vàng và vô tình để lại tên
Không cung cấp số gọi lại
Yêu cầu phi chính thức
Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp
thông tin
Bất ngờ được khen tặng hoặc ca ngợi
Thấy khó chịu khi đặt câu hỏi
Các giai đoạn của một cuộc tấn công Social Engineering
Lựa trọn nạn nhân
Nghiên cứu công ty mục tiêu
Durmpster diving, trang web, nhân sự, lịch
Xác định những nhân viên không hài lòng
trình, vv
về chính sách trong công ty mục tiêu
Nghiên cứu
Phát triển mối quan hệ
Phát triển
Khai thác
Khai thác mối quan hệ
Phát triển mối quan hệ với những nhân
Tập hợp thông tin tài khoản nhạy cảm,
viên đã được lựa chọn
thông tin tài chính, và công nghệ hiện tại
Những ảnh hưởng lên tổ chức
Những mất mát về kinh
tế
chính sách khủng bố
Tổn hại uy tín
Mất sự riêng tư
Tạm thời hoặc vĩnh viễn
đóng cửa
Các vụ kiện và các thủ
tục
Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết
phục họ cung cấp những thông tin thông qua một User đáng tin cậy
Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể
truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối tượng “Rebecca” và “Jessica” là
Rebeca và Jessica là những mục tiêu dễ dàng
hai nạn nhân của kỹ thuật Social Engineering
lừa đảo, chẳng hạn như nhân viên tiếp tân
của công ty
Ví dụ
•
“có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta”
•
“Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”
•
“Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”
Những mục tiêu chung của Social Engineering
Nhân viên tiếp tân và nhân viên hỗ
trợ
User và Client
Giám đốc hỗ trợ kỹ thuật
Người bán hàng của tổ chức
mục tiêu
Người quản trị hệ thống
Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những
nhân viên của công ty
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo
kẻ tấn công có thể cố gắng tấn công Social Engineering lên
những nhân viên văn phòng để thu thập những dữ liệu
mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và
hệ thống chống virut, thì bạn vẫn bị tấn công bởi những
lỗ hổng bảo mật
nhạy cảm như:
•
•
•
•
Những chính sách bảo mật
Những tài liệu nhạy cảm
Cấu trúc mạng văn phòng
Những mật khẩu
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Biện pháp đối phó Social
Ăn cắp Identity
Engineering
Thử nghiệm xâm nhập
Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng,
sợ hãi, và sự giúp đỡ
Computer-based
Social Engineering được thực hiện bởi sự giúp đỡ của máy tính
giả
giả như
như một
một người
người sử
sử dụng
dụng đầu
đầu cuối
cuối hợp
hợp
Giả
Giả như
như một
một User
User quan
quan trọng
trọng
giả
giả làm
làm nhân
nhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ thuật
thuật
pháp
pháp
Nhận
Nhận dạng
dạng và
và yêu
yêu cầu
cầu thông
thông tin
tin nhạy
nhạy cảm
cảm
Giả
Giả làm
làm một
một VIP
VIP của
của một
một công
công tư,
tư, khách
khách hàng
hàng
“chào
“chào !! Đây
Đây là
là John,
John, từ
từ bộ
bộ phận
phận X,
X, tôi
tôi đã
đã
quan
quan trọng,
trọng, …..
…..
quên
quên password
password của
của tôi.
tôi. Bạn
Bạn có
có thể
thể lấy
lấy lại
lại nó
nó
dùm
dùm tôi
tôi được
được chứ
chứ ?”
?”
““ chào
chào tôi
tôi là
là kevin,
kevin, thư
thư kí
kí giám
giám đốc
đốc kinh
kinh
nói
nói như
như mộtnhân
mộtnhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ thuật
thuật và
và yêu
yêu
doanh.
doanh. Tôi
Tôi đang
đang làm
làm một
một dự
dự án
án cấp
cấp bách
bách và
và
cầu
cầu ID
ID và
và Password
Password cho
cho việc
việc khôi
khôi phục
phục dữ
dữ liệu
liệu
bị
bị mất
mất mật
mật khẩu
khẩu hệ
hệ thống
thống của
của mình.
mình. Bạn
Bạn có
có
““ thưa
thưa ngài,
ngài, tôi
tôi là
là Mathew,
Mathew, nhân
nhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ
thể
thể giúp
giúp tôi
tôi được
được chứ?”
chứ?”
thuật,
thuật, công
công ty
ty X,
X, tối
tối qua
qua chúng
chúng rôi
rôi có
có một
một hệ
hệ
thống
thống bị
bị sập
sập ở
ở đây,
đây, và
và chúng
chúng tôi
tôi đến
đến để
để kiểm
kiểm tra
tra
có
có bị
bị mất
mất dữ
dữ liệu
liệu hay
hay không.
không. Ngài
Ngài có
có thể
thể lấy
lấy cho
cho
tôi
tôi ID
ID và
và Password
Password không”
không”
Ví dụ về việc hỗ trợ kỹ thuật
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu
của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị
xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là
vô tình tạo ra một lối vào mạng bên trong của công ty”
Ví dụ về việc giả mạo cơ quan hỗ trợ
“chào, tôi là John Brown. Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson. Chúng
tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm
họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một
website sau khi bị tai nạn
””
Ví dụ về việc giả mạo cơ quan hỗ trợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo
ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được
thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các
cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký
họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua. Dường như đã
có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi
””
ví dụ cơ quan hỗ trợ
“chào, tôi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phòng
máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ””
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể
thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được
quyền truy cập vào tài nguyên mục tiêu.
Eavesdropping
Nghe
Nghe lén
lén hoặc
hoặc nghe
nghe trái
trái phép
phép các
các cuộc
cuộc hội
hội thoại
thoại
hoặc
hoặc đọc
đọc tin
tin nhắn
nhắn
Shoulder Surfing
trộm
trộm sử
sử dụng
dụng để
để tìm
tìm ra
ra mật
mật khẩu,
khẩu, số
số chứng
chứng
Chặn
Chặn lại
lại bất
bất kỳ
kỳ các
các hình
hình thức
thức như
như âm
âm thanh,
thanh, video
video
hoạc
hoạc văn
văn bản.
bản.
Eavesdropping
Eavesdropping cũng
cũng sử
sử dụng
dụng với
với những
những kênh
kênh truyền
truyền
Shoulder
Shoulder Surfing
Surfing là
là tên
tên cho
cho quy
quy trình
trình mà
mà kẻ
kẻ
minh
minh nhân
nhân dân,
dân, số
số tài
tài khoản,
khoản, vv
vv …..
…..
Kẻ
Kẻ trộm
trộm nhìn
nhìn qua
qua vai
vai của
của bạn
bạn hoặc
hoặc thậm
thậm chí
chí
thông
thông khác
khác như
như đường
đường dây
dây điện
điện thoại,
thoại, email,
email, tin
tin
quan
quan sát
sát từ
từ một
một khoảng
khoảng cách
cách xa
xa bằng
bằng cách
cách sử
sử
nhắn
nhắn tức
tức thời,
thời, vv…
vv…
dụng
dụng ống
ống nhòm,
nhòm, để
để có
có được
được một
một chút
chút thông
thông tin.
tin.
Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác
thùng giác
Hóa đơn điện
Thông tin liên lạc
Thùng máy in
hộp thư
thoại
Thông tin các hoạt
Thông tin tài
động
chính
ghi chú
In Person
Khảo sát một công ty để thu thập những thông
tin vể:
Tailgating
- công nghệ hiện tại
Một người trái phép, deo một thẻ id giả đi vào
- Thông tin liên lạc
một khu vực được dảm bảo chặt chẽ, đó là
một người có thẩm quyền thông qua cách cửa
yêu cầu truy cập
Bên ủy quyền thứ ba
Đề cập đến một người quan trong trong một tổ chức và cố gắn thu
thập thông tin:
“Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một
bản báo cáo tài chính. Vui lòng bạn có thể cúng cấp cho tôi chứ”
Piggybacking
Tôi quên thẻ ID ở nhà. Vui lòng hãy giúp tôi
Reverse Social Engineering
Một người có thẩm quyền cho phép truy cập cho
một người trái phép bằng cách cho cách cửa
luôn được mở
Điều này là khi kẻ tấn công đóng giả một người người
đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho
anh ta các thông tin mà không cần các cách khác.
Tấn công Reverse Social Engineering liên quan đến sự phá
hoại, tiếp thị, và hỗ trợ công nghệ
Trong
Trong năm
năm 2003
2003 bộ
bộ phim
phim “Matchstick
“Matchstick Men”,
Men”, do
do Micolas
Micolas Cage
Cage thủ
thủ vai
vai vào
vào
một
một nghệ
nghệ sĩ
sĩ cư
cư chú
chú tại
tại Los
Los Angeles
Angeles và
và điều
điều hành
hành việc
việc bán
bán sổ
sổ xố,
xố, bán
bán hệ
hệ thống
thống
lọc
lọc nước
nước đắt
đắt đỏ
đỏ cho
cho khách
khách hàng
hàng mà
mà không
không hề
hề bị
bị nghi
nghi ngơ
ngơ trong
trong quá
quá trình
trình
hoạt
hoạt động
động đã
đã thu
thu về
về hơn
hơn một
một triệu
triệu đô
đô la
la
bộ
bộ phim
phim này
này là
là một
một nghiên
nghiên cứu
cứu xuất
xuất sắc
sắc của
của Social
Social Engineering,
Engineering, hành
hành động
động
của
của người
người thao
thao tác
tác đã
đã tác
tác động
động lên
lên hành
hành động
động của
của người
người khác
khác hoặc
hoặc tiết
tiết lộ
lộ
thông
thông tin
tin bí
bí mật
mật
Những lá thư Hoax là những email cảnh báo các vấn đề cho
Thu thập thông tin cá nhân bằng cách nói chuyện với
người dùng về virut, Troijan, sâu có thể làm tổn hại đến hệ
người dùng trực tuyến đã được lựa chọn để lấy thông tin
thống máy tính người sử dụng
như ngày sinh hoặc tên thời con gaí
Một cửa sổ window tự động bật lên khi lướt web và yêu
Chain Letters là những lá thư cung cấp quà tặng miễn phí
Không liên quan, không mong muốn và những email không
cầu thông tin của người dùng để đăng nhập hoặc đăng ký
như tiền hay phần mềm kèm theo điều kiện là người dùng
được yêu cầu này dùng để thu thập thông tin tài chính, các
phải chuyển tiếp thư này đến một số người khác.
số an ninh, và thông tin mạng.
Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải
trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp
Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng
Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ
Social Engineering sử dụng SMS
Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM. Trong đó nói có việc khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay
lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình
Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số
thẻ debit
Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra
Social Engineering bằng “Face SMS Spying Tool”
Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắn SMS của người khác
Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe
Tấn công Insider
Nếu
Nếu đối
đối thủ
thủ cạnh
cạnh tranh
tranh muốn
muốn gây
gây ra
ra thiệt
thiệt hại
hại cho
cho tổ
tổ chức
chức của
của bạn,
bạn, ăn
ăn cắp
cắp các
các bí
bí mật
mật quan
quan trọng,
trọng, hoặc
hoặc đưa
đưa bạn
bạn ra
ra khỏi
khỏi doanh,
doanh, họ
họ
chỉ
chỉ cần
cần tìm
tìm ra
ra một
một công
công việc
việc chuẩn
chuẩn bị
bị đưa
đưa ai
ai đó
đó vượt
vượt qua
qua vòng
vòng phỏng
phỏng vấn,
vấn, và
và họ
họ đã
đã có
có người
người của
của họ
họ trong
trong tổ
tổ chức
chức của
của bạn.
bạn.
việc
việc trả
trả thù
thù chỉ
chỉ cần
cần có
có người
người bất
bất mãn
mãn để
để trả
trả thù
thù và
và công
công ty
ty của
của bạn
bạn sẽ
sẽ bị
bị tổ
tổ hại
hại
-
-
60 % các cuộc tấn công xảy ra phía sau tường lửa
Một cuộc tấn công bên trong sẽ dễ dàng khởi động
Phòng chống là rất khó khăn
Những kẻ tấn công bên trong có thể dễ dàng thành công
Nhân viên bất mãn
Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng đối phó với căng thẳng hay xung đột, và cảm thấy thất
vọng với công việc của mình, chính trị văn phòng, và thiếu tôn trọng hoặc đề xuất …
Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủ cạnh tranh
Ngăn chặn mối đe dọa bên trong nội bộ
Tách biệt và luân phiên nhiệm vụ
Lưu trữ dữ liệu quan trọng
Tối thiểu đặc quyền
Pháp lý những chính sách
Kiểm soát truy cập
Đăng nhập và kiểm toán
Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ
Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống
Chiến thuật của kẻ tấn công
Lĩnh vực rủi ro
Chiến lược phòng chống
Đào tạo nhân viên bàn trợ giúp không được tiết lộ mật khẩu cũng như các thông tin
Điện thoại ( bàn trợ giúp)
Mạo danh hoặc thuyết phục
Lối ra vào
Không được phép truy cập vật lý
Văn phòng
Điện thoại(bàn trợ giúp)
Văn phòng
Mail room
Phòng máy / phòng điện thoại
riêng
Điện thoại và hệ thống PBX
khác thông qua đường điện thoại
Quản lý thẻ an ninh chặt chẽ, đào tạo nhân viên, và nhân viên an ninh
Không nên gõ bất kỳ mật khẩu nào khi có bất kỳ người nào đang có mặt tại đó ( nếu
Shoulder surfing
phải làm, thì nên nào việc đó rất nhanh).
Mạo danh các cuộc gọi trợ giúp
Gán một mã PIN cho mỗi nhân viên bàn hỗ trợ guiúp đỡ
Lang thang qua các phòng tìm kiếm các phòng đang mở
Hộ tống tất cả các khách
Chèn các bản ghi nhớ giả mạo
Khóa và theo dõi Mail Room
Cố gắn truy cập, loại bỏ thiết bị, hoặc đính kèm một số giao thức để lấy
Giữ phòng điện thoại riêng, phòng server, vv. Đều được khóa và kiểm kê cập nhật
dữ liệu mật
thiết bị
Ăn cắp số điện thoại để truy cập
Kiểm soát các cuộc gọi ở nước ngoài và các cuộc gọi đường dài, dấu viết cuộc gọi, và
từ chối chuyển cuộc gọi
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Biện pháp đối phó Social
Ăn cắp Identity
Engineering
Thử nghiệm xâm nhập
Social Engineering thông qua mạo danh trên các mạng xã hội
chi tiết về tổ chức
Mã độc hại được sử dụng để thu thập thông
Mạo danh có nghĩa là bắt chước hoặc sao
tin bí mật từ các trang mạng xã hội và tạo ra
chép các hành vi hoặc hành động của người
khác
Chi tiết nghề nghiệp
các tài khoản với những tên khác nhau
chi tiết cá nhân
Địa chỉ liên lạc và kết
nối
Kẻ tấn công cũng có thể sử dụng thông tin
thu thập được để tiến hành các hình thức
tấn công Social Engineering khác
Kẻ tấn công sử dụng những hồ sơ khác nhau
để tạo ra các mạng lớn những người bạn và
triết xuất thông tin để sử dụng tấn công
Social Engineering
Kẻ tấn công tạo ra một nhóm người sử dụng giả mạo trên facebook là “ nhân viên “ của công ty
sử dụng identity giả , kẻ tấn công sau đó sẽ tiến tới “ làm bạn”, hoặc mời, nhóm nhân viên giả mạo, nhóm nhân viên giả mạo này giả mạo là nhân viên của công ty
khi người sử dụng tham gia vào nhóm và họ sẽ cung cấp những thông tin về họ như ngày sinh, trường lớp, nguồn gốc, việc làm vợ chồng, tên, vv…
bằng cách sử dụng những chi tiết của một nhân viên bất kỳ nào đó, một kẻ tấn công có thể thỏa hiệp với một cơ sở nào đó để đảm bảo được truy cập vào tòa nhà
Rủi ro của mạng xã hội với các mạng cộng ty
Một trang trang web mạng xã hội là một cơ sở dữ liệu khổng lồ được truy cập bởi nhiều cá nhân, tăng nguy cơ
Ăn cắp dữ
khai thác thông tin
liệu
Trong trường hợp không có chính sách mạnh mẽ, nhân viên có thể vô tình gửi dữ liệu nhạy cảm về
công ty của họ lên trên mạng xã hội
Không cố ý làm rò rỉ thông tin
Các thông tin trên các trang web sử dụng để thăm dò sơ bộ trong một cuộc tấn công mục tiêu
Tấn công mục tiêu
Tất cả các trang mạng xã hội có thể để sai sót và lỗi và lộ có thể dẫn đến lỗ hổng trong
mạng của công ty
lỗ hổng hệ thống mạng
Khái niệm Social Engineering
Mạo danh trên miền mạng
Kỹ thuật Social Engineering
Social
Biện pháp đối phó Social
Ăn cắp Identity
Engineering
Thử nghiệm xâm nhập
Ăn cắp Identity
Số liệu thống kê tình trạng ăn cắp Identity
số lượng người trưởng thành là nạn nhân
của việc ăn cắp Identity
các cuộc tấn công lừa đảo trên tài khoản thẻ
tín dụng hiện nay
tổng số tiền gian lận
Nạn nhân được mình đã bị mất cắp
phần trăm số lượng nạn nhân bị lừa đảo
Identity
Ăn cắp Identify
Bị mất những con số an ninh xã hội
tin
ng
hô
ct
ợ
xe
ư
ái
óđ
gl
ằn
hc
b
n
c
da
oặ
ạo
ih
hộ
ẻm
k
ã
x
à
inh
cm
iá
nn
tộ
ốa
ột
s
m
hư
là
,n
Đó
ân
nh
á
c
Mắt cắp thông tin cá nhân
Ăn cắp identity xảy ra khi một người nào đó bị ăn cắp tên của bạn và
các thông tin cá nhân khác cho các mục đích gian lận
hơ
Kh
ôn
nđ
gg
ểs
Bẵng những phương pháp đơn giản
ử
ian
dụ
ảo
ng
đã
th
ô
làm
ng
ch
tin
c
ov
iệc
ho
c
ăn
cắ
pI
de
ác
nti
mụ
ty
cđ
dễ
ín h
dà
ng
gia
nl
ận
Làm thế nào để ăn cắp Identity
Identity gốc – Steven Charles
Địa chỉ: San Diego CA 92130
BƯỚC 1
Steven’s được gửi hóa đơn điện thoại, hóa đơn nước hoặc hóa đơn điện sư dụng Dumpster Diving, Sotolen Email, hoặc ăn chộm tại chỗ
BƯỚC 2
Đến sở giao thông và nói rằng bạn bị mất bằng lái xe
Họ sẽ yêu cầu bạn cho bằng chứng của Identity như hóa đơn nước và hóa đơn
điện
Cho họ xem những hóa đơn bị mất cắp
Nói cho họ biết bạn đã di chuyển từ địa điểm ban đầu nào
Nhân viên các bộ phận sẽ yêu cầu bạn hoàn thành hai việc cho việc thay đổi
bằng lái xe và việc thứ hai cho sự thay đổi trên địa chỉ
Bạn sẽ cần một hình ảnh để cấp giấy phép lái xe
Giấy phép lái xe thay thế của bạn sẽ được cấp với địa chỉ mới của nhà bạn
Bây giời bạn đã sẵn sàng với một số thú vui nguy hiểm
So sánh
Ban đầu
Tên tương tự : Steven Charles
Ăn cắp Identity
Bước 3
Đi đến một ngân hàng trong đó đã có tài khoản của Steven Charles và cho họ biết
Steven giả đã sẵn sàng:
bạn muốn áp dụng cho một thẻ tín dụng mới
Thực hiện mua những mặt hàng giá trị với hàng ngàn
đô la
Nói cho họ biết bạn không nhớ số tài khoản và yêu cầu họ tìm nó bằng cách sử
dụng địa chỉ và tên của Steven’s
Ngân hàng xẽ yêu cầu id của bạn: cho họ thấy số id trên bằng lái xe, và nếu như
họ chấp nhận, thẻ tín dụng của bạn sẽ được phát hành và sẵn sàng sử dụng
Bây giờ bạn đã sẵn sàng đi shopping
Áp dụng cho vay tiền mua xe
Áp dụng cho một hộ chiếu mới
Áp dụng cho một tài khoản ngân hàng
Đóng các dịch vụ tiện ích của bạn
thực sự Steven nhận được bản báo cáo sử dụng thẻ tín dụng với số tiền lớn
Kẻ nào đó đã lấy cắp số chứng minh
của tôi !
Lấy cắp Identity – vấn đề nghiêm trọng
Lấy cắp Identity là một vấn đề nghiêm trọng
Số lượng và các hành vi vi phạm đã tăng lên
Đảm bảo thông tin cá nhân tại nơi làm việc và
tại nhà nhìn qua các báo cáo thẻ tín dụng chỉ là
một trong vài cách để giảm thiểu nguy ơ mất
cắp indentity
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Biện pháp đối phó Social
Ăn cắp Id
Engineering
Thử nghiệm xâm nhập
Biện Pháp Đối Phó với Social Engineering: Chính Sách
Những chính sách tốt và thủ tục sẽ không hiệu quả nếu như họ không được giảng dạy và tăng cường cho các nhân viên
Sau khi được đào tạo, nhân viên phải ký một tuyên bó thừa nhận rằng họ hiểu các chính sách
Các chính sách về mật khẩu
Các chính sách an ninh vật
lý
Thay đổi mật khẩu định kỳ
Tránh mật khẩu đoán được
Tài khoản cần đươc năng chặn sau khi cố gắn đăng nhập
thât bại
Nhận diện của nhân viên bằng cách phát thẻ
id, đồng phục
Hộ tống những khách mời
Hạn chế các khu vụ truy cập
Mật khẩu phải có độ dài và tính phức tạp
Băm nhỏ những tài liệu vô dụng
Giữ bí mật mật khẩu
Tuyển dụng nhân viên an ninh
Biện pháp đối phó Social Engineering
Đào tạo
Một chương tình đào tạo hiệu quả nên bao gồm
tất cả những chính sách bảo mật và phương
pháp để nâng cao nhận thức về Social
Engineering
Nguyên tắc hoạt động
Đảm bảo an ninh thông tin nhạy cảm và ủy quền
sử dụng tài nguyên
Biện pháp đối phó Social Engineering
phân loại thông tin
đặc quyền truy cập
Kiểm tra nhân viên và sử lý đình chỉ đúng
tần xuất phản hồi thích hợp
đắn
Phân loại các thông tin tối mật, độc quyền, sử dụng nội bộ, sử
dụng công cộng
cần phải có quản trị viên, người sử dụng các tài khoản phải
được ủy quyền thích hợp
Trong nội bộ các tiềm tàng về hình sự và nhân viên bị thôi việc
cần có những phản ứng thích hợp cho những trường hợp cố
rất rễ dàng cho việc mua thông tin
gắng sử dụng Social Engineering
Biện pháp đối phó Social Engineering
Xác thực hai thành phần
Thay vì mật khẩu cố định, sử dụng xác thực hai thành phần cho những dịch vụ mạng có nguy cơ cao
như VPN và Modem Pool
Phòng thủ Anti-Virus/Anti-Phishing
sử dụng nhiều lớp để phòng chống virus như người dùng đầu cuối và mail gateway để giảm
thiểu các cuộc tấn công Social Engineering
Thay Đổi Công tác quản lý
việc thay đổi quy trình quản lý tài liệu sẽ bảo mật hơn quá trình ad-hoc
Làm thế nào để phát hiện các Email giả mạo
Nó bao gồm các liên kết dẫn đến các trang web giả mạo yêu
càu nhập thông tin cá nhân khi click
Email lừa đảo có vẻ đến từ một ngân hàng, tổ chức tài
chính, công ty hoặc một mạng xã hội
Giống như đến từ một người trong danh sách điện chỉ email
của bạn
Chỉ đạo để gọi một cuộc điện thoại để cung cấp số tài khoản
số điện thoại cá nhân, mật khẩu hoặc các thông tin bí mật
Nó bao gồm logo của các viên chức và các thông tin khác
được lấy trực tiếp từ các trang web hợp pháp thuyết phục
bạn tiết lộ chi tiết cá nhân của bạn
Thanh công cụ chống lừa đảo: Netcraf
Thanh công cụ chống lừa đảo: PhishTank
Biện pháp đối phó việc đánh cắp Identity
bảo đảm hoặc xé nhỏ tất cả các tài liệu có chứa thông tin cá nhân
Luôn giữ cho hồm thư của bạn được an toàn, làm sạch chúng một cách nhanh chóng
Đảm bảo rằng tên của bạn khong xuất hiện trong các danh sách của người tiếp thị
Nghi nghờ và xác minh lại tất cả những yêu cầu cho dữ liệu cá nhân
Xem xét các báo cáo thẻ tính dụng của bạn một cách thường xuyên
Không bao giời để thẻ tín dụng của bạn trong tầm nhìn của bạn
Bảo vệ thông tin cá nhân của bạn khi được công bố công khai
Không bao giờ đưa ra bất cứ thông tin cá nhân nào trên điện thoại
Không hiển thị số tài khoản hoặc số liên lạc trừ khi bắt buộc
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Kỹ thuật Social Engineering
Biện pháp đối phó Social
Ăn cắp Identity
Engineering
Thử nghiệm xâm nhập
Thử nghiệm Social Engineering
Mục tiêu của thử nghiệm Social Engineering là để thử nghiệm sức mạnh của yếu tố con người trong một chuỗi bảo mật trong tổ chức
Thử nghiệm Social Engineering thường được sử dụng để nâng cao trình độ nhận thức bảo mật giữa các nhân viên
người thử nghiệm phải chứng tỏ sự cẩn thận và chuyên nghiệp khi tử nghiệm Social Engineering vì nó có liên quan đến vấn đề pháp lý vi phạm quyền riêng tư
và có thể dẫn đến các tình huống lúng túng cho chức
Kỹ năng làm việc tốt giữa các
Kỹ năng giao tiếp
cá nhân
tốt
Trò chuyện và thân thiện một
cách tự nhiên
Sáng tạo
Thử nghiệm Social Engineering
có dược sự ủy quyền
thu thập các email và địa chỉ liên lạc chi tiết của
Có được sự ủy quyền quản lý rõ ràng và chi tiết sẽ giúp cho việc
các nhân viên trong tổ chức mục tiêu
xác định phạm vi kiểm tra, chẳng hạn như danh sách các danh
sách các phòng ban, nhân viên cần phải được kiểm tra, hoặc
mức độ xâm nhập vật lý
xác dịnh phạm vi thử nghiệm
thu thập thông tin bằng cách sử dụng kỹ thuật
Thu thập địa chỉ email và chi tiết liên lạc của tổ chức mục tiêu và
footpringting
nguồn nhân lực ( nếu không được cung cấp) bằng cách sử dụng
cá kỹ thuật như Dumpster diving, đoán email, USENET và các
trang web tim kiếm, công cụ bẫy email như Email Extractor
có được danh sách các email và địa chỉ liên lạc
của các mục tiêu xác định từ trước
Thông tin có hợp lệ không
Cố gắn triết xuất thông tin càng nhiều càng tốt về các mục tiêu
đã xác định bằng cách sử dụng kỹ thuật footprinting
Tạo ra một kịch bản dựa trên những thông tin thu thập được
xem xet kết quả tích cực và tiêu cực của một cố gắng
Thông tin có hợp lệ không
Tạo ra một kịch bản với bối cảnh cụ thể
Thử nghiệm Social Engineering: Sử Dụng Emails
thông tin cá nhân
Email các nhân viên yêu cầu thông tin cá
được triết xuất
Tất cả các tài liệu được phục hồi thông tin và tương
ứng với từng nạn nhân
nhân
Gửi và theo dõi các mail có mã độc hại
Tập tin đính kèm
Tất cả các tài liệu của nạn nhân
được mở ra
cho các nạn nhân
Gửi các email lừa đảo cho các nạn nhân
mục tiêu
Phản hồi nhận
được
Tất cả các tài liệu phản hồi lại và tương
ứng với các nạn nhân
Email nhân viên yêu cầu thông tin cá nhân như tên người dùng mật khẩu bằng cách cải trang quản trị mạng, hỗ trợ kỹ thuật, hoặc bất kỳ ai từ các bộ phận khác nhau lấy lý do là có một trường
hợp khẩn cấp
Gửi email tới các mục tiêu có đính kèm file độc hại và theo rõi phản ứng của họ với file đính kèm đó bằng cách sử dụng công cụ như ReadNotify
Gửi một email lừa đảo tới các mục tiêu như thể từ một ngân hàng và yêu cầu thông tin nhạy cảm từ họ (bạn cần phải có sự cho phép cần thiết cho việc này
Thử nghiệm Social Engineering: Sử Dụng Điện Thoại
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như một
đồng nghiệp và yêu cầu thông tin nhạy cảm
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả
vờ như một user quan trọng
Gọi đến mục tiêu và cung cấp cho họ những phần
thưởng thay thế cho thông tinh cá nhân của họ
Đe dạo mục tiệu với những hậu quản nghiêm trọng (vd như
tài khoản sẽ bị vô hiệu hóa) để có được thông tin
Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như
Sử dụng kỹ thuật Reverse Social Engineering sao cho
nhân viên hỗ trợ kỹ thuật và yêu cầu họ thông tin nhạy cảm
các mục tiêu mang lại lại thông tin
Đề cập đến một người quan trọng trong tổ chức
và cố gắng thu thập dữ liệu
Thử nghiệm Social Engineering: In Person
kết bạn với nhân viên trong quán ăn tự phục vụ và
cố gắng vào cổng sau đeo một thẻ ID giả
cố gắng để lấy thông tin
hoặc piggyback
Thành công của bất kỳ kỹ thuật Social Engineering đều
phục thuộc vào một người thử nghiệm bằng cách nào
nó đưa ra một kịch bản thử nghiệm và kĩ năng giao tiếp
của mình
có vô số kỹ thuật Social Engineering dựa trên những
cố gắng vào trụ sở giả như một kiểm toán
cố gắng nghe trộm và nên surfing trên hệ
thông tin có sẵn và phạm vi thử nghiệm. Luôn luôn
viên bên ngoài
thông và những người sử dụng
xem xét các bước thử nghiệm có vấn đề pháp lý không
cố gắng vào trụ sở giả như một nhân viên kỹ
tất cả các tài liệu tìm thấy nằm trong một
thuật
báo cáo
Social Engineering là nghệ thuật thuyết phục mọi người tiết lộ thông tin
Social Engineering liên quan đến việc thu thập thông tin nhạy cảm hoặc các đặc quyền truy cập không phù hợp với người
ngoài
Social Engineering liên quan đến việc thu thập thông tin nhạy cảm hoặc các đặc quyền truy cập không phù hợp với người
ngoài
Kĩ thuật Computer-based đề cập đến việc sử dụng các phần mềm máy tính để lấy thông tin mong muốn
Phòng thủ thành công phụ thuộc vào chính sách tốt và việc thi hành các chính sách đó có siêng năng hay không
nếu bạn nghĩ rằng công nghệ có thể giải quyết các vấn đề bảo mật của bạn, thì bạn sẽ không hiểu gì về các vấn đề và bạn cũng
không hiểu được công nghệ là gì
[...]... sách bảo mật Những tài liệu nhạy cảm Cấu trúc mạng văn phòng Những mật khẩu Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Các kiểu Social Engineering Human-based Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ Computer-based Social Engineering được thực... thống Những mục tiêu chung của Social Engineering: Nhân viên văn phòng Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu mặc dù có tường lửa tốt... cuộc tấn công Social Engineering Lựa trọn nạn nhân Nghiên cứu công ty mục tiêu Durmpster diving, trang web, nhân sự, lịch Xác định những nhân viên không hài lòng trình, vv về chính sách trong công ty mục tiêu Nghiên cứu Phát triển mối quan hệ Phát triển Khai thác Khai thác mối quan hệ Phát triển mối quan hệ với những nhân Tập hợp thông tin tài khoản nhạy cảm, viên đã được lựa chọn thông tin tài chính,... nhân của kỹ thuật Social Engineering lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty Ví dụ • “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta” • “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không” Những mục tiêu chung của Social Engineering Nhân... quyền thứ ba Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin: “Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính Vui lòng bạn có thể cúng cấp cho tôi chứ” Piggybacking Tôi quên thẻ ID ở nhà Vui lòng hãy giúp tôi Reverse Social Engineering Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được... trong quá quá trình trình hoạt hoạt động động đã đã thu thu về về hơn hơn một một triệu triệu đô đô la la bộ bộ phim phim này này là là một một nghiên nghiên cứu cứu xuất xuất sắc sắc của của Social Social Engineering, Engineering, hành hành động động của của người người thao thao tác tác đã đã tác tác động động lên lên hành hành động động của của người người khác khác hoặc hoặc tiết tiết lộ lộ thông thông... thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra Social Engineering bằng “Face SMS Spying Tool” Dụ dỗ người... Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ Social Engineering sử dụng SMS Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM... trợ kỹ kỹ thuật thuật và và yêu yêu doanh doanh Tôi Tôi đang đang làm làm một một dự dự án án cấp cấp bách bách và và cầu cầu ID ID và và Password Password cho cho việc việc khôi khôi phục phục dữ dữ liệu liệu bị bị mất mất mật mật khẩu khẩu hệ hệ thống thống của của mình mình Bạn Bạn có có ““ thưa thưa ngài, ngài, tôi tôi là là Mathew, Mathew, nhân nhân viên viên hỗ hỗ trợ trợ kỹ kỹ thể thể giúp giúp... cho cách cửa luôn được mở Điều này là khi kẻ tấn công đóng giả một người người đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho anh ta các thông tin mà không cần các cách khác Tấn công Reverse Social Engineering liên quan đến sự phá hoại, tiếp thị, và hỗ trợ công nghệ Trong Trong năm năm 2003 2003 bộ bộ phim phim “Matchstick “Matchstick Men”, Men”, do do Micolas Micolas Cage Cage thủ thủ vai vai