Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao. Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật lừa đảo. Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008 http://www.fiercegovernmentit.com Các chủ đề trình bày  Social Engineering là gì  Social Engineering through Impersonation trên miền mạng Social  Tại sao Social Engineering lại hiệu quả  Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp  Các giai đoạn trong một cuộc tấn công Social Engineering  Ăn cắp ID  Các mục tiêu phổ biến của Social Engineering  Thế nào là Steal Indentity  Các kiểu Social Engineering  Biện pháp đối phó Social Enginneering  Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống  Thử nghiệm Social Engineering Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp ID Engineering Thử nghiệm xâm nhập Không có bất kỳ bản vá lỗi nào đối với một con người ngu ngốc Social Engineering là gì  Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật  Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó Thông tin bí mật Chi tiết truy cập Chi tiết việc uỷ quyền Các hành vi dễ bị tấn công Sự tin tưởng là nền tảng cơ bản của tấn công Social Engineering Sự thiếu hiểu biết về Social Socal Engineers có thể đe doạ Engineering và các hiệu ứng của nó nghiêm trong đến việc mất mát trong trong đội ngũ nhân viên khiến cho các trường hợp không tuân thủ những tổ chức là một mục tiêu dễ dàng yêu cầu của họ (tổ chức) Các mục tiêu sẽ được hỏi để trợ giúp và họ tuân theo những quy định mang Social Engineers thu hút các mục tiêu tính nghĩa vụ được đưa ra tiết lộ thông tin bởi một cái gì đó đầy hứa hẹn Những yếu tố làm doanh nghiệp dễ bị tấn công Đào tạo an ninh còn thiếu Thiếu những chính Dễ dàng truy cập sách an ninh thông tin Nhiều các đơn vị tổ chức Tại sao Social Engineering Lại Hiệu Quả Chính sách bảo mật mạnh cũng sẽ là liên kết yếu nhất và con người là yếu tố nhạy cảm nhất Không có một phần mêm hay phần cứng nào có thể chống lại một cuộc tấn công Social Engineering Rất khó để phát hiện ra Social Engineering Không có một phương pháp chắc chắn nào để đảm bảo an ninh một cách đầy đủ từ các cuộc tấn công Social Engineering Những Dấu Hiệu của một cuộc tấn công Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng cho thấy sự vội vàng và vô tình để lại tên Không cung cấp số gọi lại Yêu cầu phi chính thức Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp thông tin Bất ngờ được khen tặng hoặc ca ngợi Thấy khó chịu khi đặt câu hỏi Các giai đoạn của một cuộc tấn công Social Engineering Lựa trọn nạn nhân Nghiên cứu công ty mục tiêu Durmpster diving, trang web, nhân sự, lịch Xác định những nhân viên không hài lòng trình, vv về chính sách trong công ty mục tiêu Nghiên cứu Phát triển mối quan hệ Phát triển Khai thác Khai thác mối quan hệ Phát triển mối quan hệ với những nhân Tập hợp thông tin tài khoản nhạy cảm, viên đã được lựa chọn thông tin tài chính, và công nghệ hiện tại Những ảnh hưởng lên tổ chức Những mất mát về kinh tế chính sách khủng bố Tổn hại uy tín Mất sự riêng tư Tạm thời hoặc vĩnh viễn đóng cửa Các vụ kiện và các thủ tục Tấn công bằng các câu lênh Injection Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết phục họ cung cấp những thông tin thông qua một User đáng tin cậy Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó Giả sử hai đối tượng “Rebecca” và “Jessica” là Rebeca và Jessica là những mục tiêu dễ dàng hai nạn nhân của kỹ thuật Social Engineering lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty Ví dụ • “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta” • “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không” Những mục tiêu chung của Social Engineering Nhân viên tiếp tân và nhân viên hỗ trợ User và Client Giám đốc hỗ trợ kỹ thuật Người bán hàng của tổ chức mục tiêu Người quản trị hệ thống Những mục tiêu chung của Social Engineering: Nhân viên văn phòng Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và hệ thống chống virut, thì bạn vẫn bị tấn công bởi những lỗ hổng bảo mật nhạy cảm như: • • • • Những chính sách bảo mật Những tài liệu nhạy cảm Cấu trúc mạng văn phòng Những mật khẩu Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Các kiểu Social Engineering Human-based Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ Computer-based Social Engineering được thực hiện bởi sự giúp đỡ của máy tính giả giả như như một một người người sử sử dụng dụng đầu đầu cuối cuối hợp hợp Giả Giả như như một một User User quan quan trọng trọng giả giả làm làm nhân nhân viên viên hỗ hỗ trợ trợ kỹ kỹ thuật thuật pháp pháp Nhận Nhận dạng dạng và và yêu yêu cầu cầu thông thông tin tin nhạy nhạy cảm cảm Giả Giả làm làm một một VIP VIP của của một một công công tư, tư, khách khách hàng hàng “chào “chào !! Đây Đây là là John, John, từ từ bộ bộ phận phận X, X, tôi tôi đã đã quan quan trọng, trọng, ….. ….. quên quên password password của của tôi. tôi. Bạn Bạn có có thể thể lấy lấy lại lại nó nó dùm dùm tôi tôi được được chứ chứ ?” ?” ““ chào chào tôi tôi là là kevin, kevin, thư thư kí kí giám giám đốc đốc kinh kinh nói nói như như mộtnhân mộtnhân viên viên hỗ hỗ trợ trợ kỹ kỹ thuật thuật và và yêu yêu doanh. doanh. Tôi Tôi đang đang làm làm một một dự dự án án cấp cấp bách bách và và cầu cầu ID ID và và Password Password cho cho việc việc khôi khôi phục phục dữ dữ liệu liệu bị bị mất mất mật mật khẩu khẩu hệ hệ thống thống của của mình. mình. Bạn Bạn có có ““ thưa thưa ngài, ngài, tôi tôi là là Mathew, Mathew, nhân nhân viên viên hỗ hỗ trợ trợ kỹ kỹ thể thể giúp giúp tôi tôi được được chứ?” chứ?” thuật, thuật, công công ty ty X, X, tối tối qua qua chúng chúng rôi rôi có có một một hệ hệ thống thống bị bị sập sập ở ở đây, đây, và và chúng chúng tôi tôi đến đến để để kiểm kiểm tra tra có có bị bị mất mất dữ dữ liệu liệu hay hay không. không. Ngài Ngài có có thể thể lấy lấy cho cho tôi tôi ID ID và và Password Password không” không” Ví dụ về việc hỗ trợ kỹ thuật “ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc. Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra một lối vào mạng bên trong của công ty” Ví dụ về việc giả mạo cơ quan hỗ trợ “chào, tôi là John Brown. Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson. Chúng tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm họa xảy ra từ bạn Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một website sau khi bị tai nạn ”” Ví dụ về việc giả mạo cơ quan hỗ trợ “Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta. họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua. Dường như đã có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi ”” ví dụ cơ quan hỗ trợ “chào, tôi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phòng máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”” sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được quyền truy cập vào tài nguyên mục tiêu. Eavesdropping    Nghe Nghe lén lén hoặc hoặc nghe nghe trái trái phép phép các các cuộc cuộc hội hội thoại thoại hoặc hoặc đọc đọc tin tin nhắn nhắn Shoulder Surfing  trộm trộm sử sử dụng dụng để để tìm tìm ra ra mật mật khẩu, khẩu, số số chứng chứng Chặn Chặn lại lại bất bất kỳ kỳ các các hình hình thức thức như như âm âm thanh, thanh, video video hoạc hoạc văn văn bản. bản. Eavesdropping Eavesdropping cũng cũng sử sử dụng dụng với với những những kênh kênh truyền truyền Shoulder Shoulder Surfing Surfing là là tên tên cho cho quy quy trình trình mà mà kẻ kẻ  minh minh nhân nhân dân, dân, số số tài tài khoản, khoản, vv vv ….. ….. Kẻ Kẻ trộm trộm nhìn nhìn qua qua vai vai của của bạn bạn hoặc hoặc thậm thậm chí chí thông thông khác khác như như đường đường dây dây điện điện thoại, thoại, email, email, tin tin quan quan sát sát từ từ một một khoảng khoảng cách cách xa xa bằng bằng cách cách sử sử nhắn nhắn tức tức thời, thời, vv… vv… dụng dụng ống ống nhòm, nhòm, để để có có được được một một chút chút thông thông tin. tin. Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác thùng giác Hóa đơn điện Thông tin liên lạc Thùng máy in hộp thư thoại Thông tin các hoạt Thông tin tài động chính ghi chú In Person Khảo sát một công ty để thu thập những thông tin vể: Tailgating - công nghệ hiện tại Một người trái phép, deo một thẻ id giả đi vào - Thông tin liên lạc một khu vực được dảm bảo chặt chẽ, đó là một người có thẩm quyền thông qua cách cửa yêu cầu truy cập Bên ủy quyền thứ ba Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin: “Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính. Vui lòng bạn có thể cúng cấp cho tôi chứ” Piggybacking Tôi quên thẻ ID ở nhà. Vui lòng hãy giúp tôi Reverse Social Engineering Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được mở Điều này là khi kẻ tấn công đóng giả một người người đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho anh ta các thông tin mà không cần các cách khác. Tấn công Reverse Social Engineering liên quan đến sự phá hoại, tiếp thị, và hỗ trợ công nghệ Trong Trong năm năm 2003 2003 bộ bộ phim phim “Matchstick “Matchstick Men”, Men”, do do Micolas Micolas Cage Cage thủ thủ vai vai vào vào một một nghệ nghệ sĩ sĩ cư cư chú chú tại tại Los Los Angeles Angeles và và điều điều hành hành việc việc bán bán sổ sổ xố, xố, bán bán hệ hệ thống thống lọc lọc nước nước đắt đắt đỏ đỏ cho cho khách khách hàng hàng mà mà không không hề hề bị bị nghi nghi ngơ ngơ trong trong quá quá trình trình hoạt hoạt động động đã đã thu thu về về hơn hơn một một triệu triệu đô đô la la bộ bộ phim phim này này là là một một nghiên nghiên cứu cứu xuất xuất sắc sắc của của Social Social Engineering, Engineering, hành hành động động của của người người thao thao tác tác đã đã tác tác động động lên lên hành hành động động của của người người khác khác hoặc hoặc tiết tiết lộ lộ thông thông tin tin bí bí mật mật Những lá thư Hoax là những email cảnh báo các vấn đề cho Thu thập thông tin cá nhân bằng cách nói chuyện với người dùng về virut, Troijan, sâu có thể làm tổn hại đến hệ người dùng trực tuyến đã được lựa chọn để lấy thông tin thống máy tính người sử dụng như ngày sinh hoặc tên thời con gaí Một cửa sổ window tự động bật lên khi lướt web và yêu Chain Letters là những lá thư cung cấp quà tặng miễn phí Không liên quan, không mong muốn và những email không cầu thông tin của người dùng để đăng nhập hoặc đăng ký như tiền hay phần mềm kèm theo điều kiện là người dùng được yêu cầu này dùng để thu thập thông tin tài chính, các phải chuyển tiếp thư này đến một số người khác. số an ninh, và thông tin mạng. Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ Social Engineering sử dụng SMS Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM. Trong đó nói có việc khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra Social Engineering bằng “Face SMS Spying Tool” Dụ dỗ người dùng tải về một ứng dụng mà sẽ cho phép họ thấy những tin nhắn SMS của người khác Các tập tin tải về sử dụng xen kẽ các tập tin: SMS.exe, freetraial.exe và smstrrap.exe Tấn công Insider Nếu Nếu đối đối thủ thủ cạnh cạnh tranh tranh muốn muốn gây gây ra ra thiệt thiệt hại hại cho cho tổ tổ chức chức của của bạn, bạn, ăn ăn cắp cắp các các bí bí mật mật quan quan trọng, trọng, hoặc hoặc đưa đưa bạn bạn ra ra khỏi khỏi doanh, doanh, họ họ chỉ chỉ cần cần tìm tìm ra ra một một công công việc việc chuẩn chuẩn bị bị đưa đưa ai ai đó đó vượt vượt qua qua vòng vòng phỏng phỏng vấn, vấn, và và họ họ đã đã có có người người của của họ họ trong trong tổ tổ chức chức của của bạn. bạn. việc việc trả trả thù thù chỉ chỉ cần cần có có người người bất bất mãn mãn để để trả trả thù thù và và công công ty ty của của bạn bạn sẽ sẽ bị bị tổ tổ hại hại - - 60 % các cuộc tấn công xảy ra phía sau tường lửa Một cuộc tấn công bên trong sẽ dễ dàng khởi động Phòng chống là rất khó khăn Những kẻ tấn công bên trong có thể dễ dàng thành công Nhân viên bất mãn Hầu hết các trường hợp lạn dụng nội bộ có thể dược khởi nguồn từ một cá nhân sống nội tâm, không có khả năng đối phó với căng thẳng hay xung đột, và cảm thấy thất vọng với công việc của mình, chính trị văn phòng, và thiếu tôn trọng hoặc đề xuất … Những nhân viên bất mãn có thể cung cấp những bí mật công ty và sở hữu trí tuệ có ích cho đối thủ cạnh tranh Ngăn chặn mối đe dọa bên trong nội bộ Tách biệt và luân phiên nhiệm vụ Lưu trữ dữ liệu quan trọng Tối thiểu đặc quyền Pháp lý những chính sách Kiểm soát truy cập Đăng nhập và kiểm toán Không có bất kì một giải pháp duy nhất nào để ngăn chặn mới đe dọa từ bên trong nội bộ Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống Chiến thuật của kẻ tấn công Lĩnh vực rủi ro Chiến lược phòng chống Đào tạo nhân viên bàn trợ giúp không được tiết lộ mật khẩu cũng như các thông tin Điện thoại ( bàn trợ giúp) Mạo danh hoặc thuyết phục Lối ra vào Không được phép truy cập vật lý Văn phòng Điện thoại(bàn trợ giúp) Văn phòng Mail room Phòng máy / phòng điện thoại riêng Điện thoại và hệ thống PBX khác thông qua đường điện thoại Quản lý thẻ an ninh chặt chẽ, đào tạo nhân viên, và nhân viên an ninh Không nên gõ bất kỳ mật khẩu nào khi có bất kỳ người nào đang có mặt tại đó ( nếu Shoulder surfing phải làm, thì nên nào việc đó rất nhanh). Mạo danh các cuộc gọi trợ giúp Gán một mã PIN cho mỗi nhân viên bàn hỗ trợ guiúp đỡ Lang thang qua các phòng tìm kiếm các phòng đang mở Hộ tống tất cả các khách Chèn các bản ghi nhớ giả mạo Khóa và theo dõi Mail Room Cố gắn truy cập, loại bỏ thiết bị, hoặc đính kèm một số giao thức để lấy Giữ phòng điện thoại riêng, phòng server, vv. Đều được khóa và kiểm kê cập nhật dữ liệu mật thiết bị Ăn cắp số điện thoại để truy cập Kiểm soát các cuộc gọi ở nước ngoài và các cuộc gọi đường dài, dấu viết cuộc gọi, và từ chối chuyển cuộc gọi Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Social Engineering thông qua mạo danh trên các mạng xã hội chi tiết về tổ chức Mã độc hại được sử dụng để thu thập thông Mạo danh có nghĩa là bắt chước hoặc sao tin bí mật từ các trang mạng xã hội và tạo ra chép các hành vi hoặc hành động của người khác Chi tiết nghề nghiệp các tài khoản với những tên khác nhau chi tiết cá nhân Địa chỉ liên lạc và kết nối Kẻ tấn công cũng có thể sử dụng thông tin thu thập được để tiến hành các hình thức tấn công Social Engineering khác Kẻ tấn công sử dụng những hồ sơ khác nhau để tạo ra các mạng lớn những người bạn và triết xuất thông tin để sử dụng tấn công Social Engineering Kẻ tấn công tạo ra một nhóm người sử dụng giả mạo trên facebook là “ nhân viên “ của công ty sử dụng identity giả , kẻ tấn công sau đó sẽ tiến tới “ làm bạn”, hoặc mời, nhóm nhân viên giả mạo, nhóm nhân viên giả mạo này giả mạo là nhân viên của công ty khi người sử dụng tham gia vào nhóm và họ sẽ cung cấp những thông tin về họ như ngày sinh, trường lớp, nguồn gốc, việc làm vợ chồng, tên, vv… bằng cách sử dụng những chi tiết của một nhân viên bất kỳ nào đó, một kẻ tấn công có thể thỏa hiệp với một cơ sở nào đó để đảm bảo được truy cập vào tòa nhà Rủi ro của mạng xã hội với các mạng cộng ty Một trang trang web mạng xã hội là một cơ sở dữ liệu khổng lồ được truy cập bởi nhiều cá nhân, tăng nguy cơ Ăn cắp dữ khai thác thông tin liệu Trong trường hợp không có chính sách mạnh mẽ, nhân viên có thể vô tình gửi dữ liệu nhạy cảm về công ty của họ lên trên mạng xã hội Không cố ý làm rò rỉ thông tin Các thông tin trên các trang web sử dụng để thăm dò sơ bộ trong một cuộc tấn công mục tiêu Tấn công mục tiêu Tất cả các trang mạng xã hội có thể để sai sót và lỗi và lộ có thể dẫn đến lỗ hổng trong mạng của công ty lỗ hổng hệ thống mạng Khái niệm Social Engineering Mạo danh trên miền mạng Kỹ thuật Social Engineering Social Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Ăn cắp Identity Số liệu thống kê tình trạng ăn cắp Identity số lượng người trưởng thành là nạn nhân của việc ăn cắp Identity các cuộc tấn công lừa đảo trên tài khoản thẻ tín dụng hiện nay tổng số tiền gian lận Nạn nhân được mình đã bị mất cắp phần trăm số lượng nạn nhân bị lừa đảo Identity Ăn cắp Identify Bị mất những con số an ninh xã hội tin ng hô ct ợ xe ư ái óđ gl ằn hc b n c da oặ ạo ih hộ ẻm k ã x à inh cm iá nn tộ ốa ột s m hư là ,n Đó ân nh á c Mắt cắp thông tin cá nhân Ăn cắp identity xảy ra khi một người nào đó bị ăn cắp tên của bạn và các thông tin cá nhân khác cho các mục đích gian lận hơ Kh ôn nđ gg ểs Bẵng những phương pháp đơn giản ử ian dụ ảo ng đã th ô làm ng ch tin c ov iệc ho c ăn cắ pI de ác nti mụ ty cđ dễ ín h dà ng gia nl ận Làm thế nào để ăn cắp Identity Identity gốc – Steven Charles Địa chỉ: San Diego CA 92130 BƯỚC 1 Steven’s được gửi hóa đơn điện thoại, hóa đơn nước hoặc hóa đơn điện sư dụng Dumpster Diving, Sotolen Email, hoặc ăn chộm tại chỗ BƯỚC 2 Đến sở giao thông và nói rằng bạn bị mất bằng lái xe Họ sẽ yêu cầu bạn cho bằng chứng của Identity như hóa đơn nước và hóa đơn điện Cho họ xem những hóa đơn bị mất cắp Nói cho họ biết bạn đã di chuyển từ địa điểm ban đầu nào Nhân viên các bộ phận sẽ yêu cầu bạn hoàn thành hai việc cho việc thay đổi bằng lái xe và việc thứ hai cho sự thay đổi trên địa chỉ Bạn sẽ cần một hình ảnh để cấp giấy phép lái xe Giấy phép lái xe thay thế của bạn sẽ được cấp với địa chỉ mới của nhà bạn Bây giời bạn đã sẵn sàng với một số thú vui nguy hiểm So sánh Ban đầu Tên tương tự : Steven Charles Ăn cắp Identity Bước 3 Đi đến một ngân hàng trong đó đã có tài khoản của Steven Charles và cho họ biết Steven giả đã sẵn sàng: bạn muốn áp dụng cho một thẻ tín dụng mới  Thực hiện mua những mặt hàng giá trị với hàng ngàn đô la Nói cho họ biết bạn không nhớ số tài khoản và yêu cầu họ tìm nó bằng cách sử dụng địa chỉ và tên của Steven’s Ngân hàng xẽ yêu cầu id của bạn: cho họ thấy số id trên bằng lái xe, và nếu như họ chấp nhận, thẻ tín dụng của bạn sẽ được phát hành và sẵn sàng sử dụng Bây giờ bạn đã sẵn sàng đi shopping     Áp dụng cho vay tiền mua xe Áp dụng cho một hộ chiếu mới Áp dụng cho một tài khoản ngân hàng Đóng các dịch vụ tiện ích của bạn thực sự Steven nhận được bản báo cáo sử dụng thẻ tín dụng với số tiền lớn Kẻ nào đó đã lấy cắp số chứng minh của tôi ! Lấy cắp Identity – vấn đề nghiêm trọng Lấy cắp Identity là một vấn đề nghiêm trọng Số lượng và các hành vi vi phạm đã tăng lên Đảm bảo thông tin cá nhân tại nơi làm việc và tại nhà nhìn qua các báo cáo thẻ tín dụng chỉ là một trong vài cách để giảm thiểu nguy ơ mất cắp indentity Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Id Engineering Thử nghiệm xâm nhập Biện Pháp Đối Phó với Social Engineering: Chính Sách Những chính sách tốt và thủ tục sẽ không hiệu quả nếu như họ không được giảng dạy và tăng cường cho các nhân viên Sau khi được đào tạo, nhân viên phải ký một tuyên bó thừa nhận rằng họ hiểu các chính sách Các chính sách về mật khẩu Các chính sách an ninh vật lý Thay đổi mật khẩu định kỳ Tránh mật khẩu đoán được Tài khoản cần đươc năng chặn sau khi cố gắn đăng nhập thât bại Nhận diện của nhân viên bằng cách phát thẻ id, đồng phục Hộ tống những khách mời Hạn chế các khu vụ truy cập Mật khẩu phải có độ dài và tính phức tạp Băm nhỏ những tài liệu vô dụng Giữ bí mật mật khẩu Tuyển dụng nhân viên an ninh Biện pháp đối phó Social Engineering Đào tạo Một chương tình đào tạo hiệu quả nên bao gồm tất cả những chính sách bảo mật và phương pháp để nâng cao nhận thức về Social Engineering Nguyên tắc hoạt động Đảm bảo an ninh thông tin nhạy cảm và ủy quền sử dụng tài nguyên Biện pháp đối phó Social Engineering phân loại thông tin đặc quyền truy cập Kiểm tra nhân viên và sử lý đình chỉ đúng tần xuất phản hồi thích hợp đắn Phân loại các thông tin tối mật, độc quyền, sử dụng nội bộ, sử dụng công cộng cần phải có quản trị viên, người sử dụng các tài khoản phải được ủy quyền thích hợp Trong nội bộ các tiềm tàng về hình sự và nhân viên bị thôi việc cần có những phản ứng thích hợp cho những trường hợp cố rất rễ dàng cho việc mua thông tin gắng sử dụng Social Engineering Biện pháp đối phó Social Engineering Xác thực hai thành phần Thay vì mật khẩu cố định, sử dụng xác thực hai thành phần cho những dịch vụ mạng có nguy cơ cao như VPN và Modem Pool Phòng thủ Anti-Virus/Anti-Phishing sử dụng nhiều lớp để phòng chống virus như người dùng đầu cuối và mail gateway để giảm thiểu các cuộc tấn công Social Engineering Thay Đổi Công tác quản lý việc thay đổi quy trình quản lý tài liệu sẽ bảo mật hơn quá trình ad-hoc Làm thế nào để phát hiện các Email giả mạo Nó bao gồm các liên kết dẫn đến các trang web giả mạo yêu càu nhập thông tin cá nhân khi click Email lừa đảo có vẻ đến từ một ngân hàng, tổ chức tài chính, công ty hoặc một mạng xã hội Giống như đến từ một người trong danh sách điện chỉ email của bạn Chỉ đạo để gọi một cuộc điện thoại để cung cấp số tài khoản số điện thoại cá nhân, mật khẩu hoặc các thông tin bí mật Nó bao gồm logo của các viên chức và các thông tin khác được lấy trực tiếp từ các trang web hợp pháp thuyết phục bạn tiết lộ chi tiết cá nhân của bạn Thanh công cụ chống lừa đảo: Netcraf Thanh công cụ chống lừa đảo: PhishTank Biện pháp đối phó việc đánh cắp Identity bảo đảm hoặc xé nhỏ tất cả các tài liệu có chứa thông tin cá nhân Luôn giữ cho hồm thư của bạn được an toàn, làm sạch chúng một cách nhanh chóng Đảm bảo rằng tên của bạn khong xuất hiện trong các danh sách của người tiếp thị Nghi nghờ và xác minh lại tất cả những yêu cầu cho dữ liệu cá nhân Xem xét các báo cáo thẻ tính dụng của bạn một cách thường xuyên Không bao giời để thẻ tín dụng của bạn trong tầm nhìn của bạn Bảo vệ thông tin cá nhân của bạn khi được công bố công khai Không bao giờ đưa ra bất cứ thông tin cá nhân nào trên điện thoại Không hiển thị số tài khoản hoặc số liên lạc trừ khi bắt buộc Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Thử nghiệm Social Engineering Mục tiêu của thử nghiệm Social Engineering là để thử nghiệm sức mạnh của yếu tố con người trong một chuỗi bảo mật trong tổ chức Thử nghiệm Social Engineering thường được sử dụng để nâng cao trình độ nhận thức bảo mật giữa các nhân viên người thử nghiệm phải chứng tỏ sự cẩn thận và chuyên nghiệp khi tử nghiệm Social Engineering vì nó có liên quan đến vấn đề pháp lý vi phạm quyền riêng tư và có thể dẫn đến các tình huống lúng túng cho chức Kỹ năng làm việc tốt giữa các Kỹ năng giao tiếp cá nhân tốt Trò chuyện và thân thiện một cách tự nhiên Sáng tạo Thử nghiệm Social Engineering có dược sự ủy quyền thu thập các email và địa chỉ liên lạc chi tiết của Có được sự ủy quyền quản lý rõ ràng và chi tiết sẽ giúp cho việc các nhân viên trong tổ chức mục tiêu xác định phạm vi kiểm tra, chẳng hạn như danh sách các danh sách các phòng ban, nhân viên cần phải được kiểm tra, hoặc mức độ xâm nhập vật lý xác dịnh phạm vi thử nghiệm thu thập thông tin bằng cách sử dụng kỹ thuật Thu thập địa chỉ email và chi tiết liên lạc của tổ chức mục tiêu và footpringting nguồn nhân lực ( nếu không được cung cấp) bằng cách sử dụng cá kỹ thuật như Dumpster diving, đoán email, USENET và các trang web tim kiếm, công cụ bẫy email như Email Extractor có được danh sách các email và địa chỉ liên lạc của các mục tiêu xác định từ trước Thông tin có hợp lệ không Cố gắn triết xuất thông tin càng nhiều càng tốt về các mục tiêu đã xác định bằng cách sử dụng kỹ thuật footprinting Tạo ra một kịch bản dựa trên những thông tin thu thập được xem xet kết quả tích cực và tiêu cực của một cố gắng Thông tin có hợp lệ không Tạo ra một kịch bản với bối cảnh cụ thể Thử nghiệm Social Engineering: Sử Dụng Emails thông tin cá nhân Email các nhân viên yêu cầu thông tin cá được triết xuất Tất cả các tài liệu được phục hồi thông tin và tương ứng với từng nạn nhân nhân Gửi và theo dõi các mail có mã độc hại Tập tin đính kèm Tất cả các tài liệu của nạn nhân được mở ra cho các nạn nhân Gửi các email lừa đảo cho các nạn nhân mục tiêu Phản hồi nhận được Tất cả các tài liệu phản hồi lại và tương ứng với các nạn nhân Email nhân viên yêu cầu thông tin cá nhân như tên người dùng mật khẩu bằng cách cải trang quản trị mạng, hỗ trợ kỹ thuật, hoặc bất kỳ ai từ các bộ phận khác nhau lấy lý do là có một trường hợp khẩn cấp Gửi email tới các mục tiêu có đính kèm file độc hại và theo rõi phản ứng của họ với file đính kèm đó bằng cách sử dụng công cụ như ReadNotify Gửi một email lừa đảo tới các mục tiêu như thể từ một ngân hàng và yêu cầu thông tin nhạy cảm từ họ (bạn cần phải có sự cho phép cần thiết cho việc này Thử nghiệm Social Engineering: Sử Dụng Điện Thoại Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như một đồng nghiệp và yêu cầu thông tin nhạy cảm Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như một user quan trọng Gọi đến mục tiêu và cung cấp cho họ những phần thưởng thay thế cho thông tinh cá nhân của họ Đe dạo mục tiệu với những hậu quản nghiêm trọng (vd như tài khoản sẽ bị vô hiệu hóa) để có được thông tin Gọi một cuộc điện thoại đến mục tiêu đặt ra giả vờ như Sử dụng kỹ thuật Reverse Social Engineering sao cho nhân viên hỗ trợ kỹ thuật và yêu cầu họ thông tin nhạy cảm các mục tiêu mang lại lại thông tin Đề cập đến một người quan trọng trong tổ chức và cố gắng thu thập dữ liệu Thử nghiệm Social Engineering: In Person kết bạn với nhân viên trong quán ăn tự phục vụ và cố gắng vào cổng sau đeo một thẻ ID giả cố gắng để lấy thông tin hoặc piggyback Thành công của bất kỳ kỹ thuật Social Engineering đều phục thuộc vào một người thử nghiệm bằng cách nào nó đưa ra một kịch bản thử nghiệm và kĩ năng giao tiếp của mình có vô số kỹ thuật Social Engineering dựa trên những cố gắng vào trụ sở giả như một kiểm toán cố gắng nghe trộm và nên surfing trên hệ thông tin có sẵn và phạm vi thử nghiệm. Luôn luôn viên bên ngoài thông và những người sử dụng xem xét các bước thử nghiệm có vấn đề pháp lý không cố gắng vào trụ sở giả như một nhân viên kỹ tất cả các tài liệu tìm thấy nằm trong một thuật báo cáo Social Engineering là nghệ thuật thuyết phục mọi người tiết lộ thông tin Social Engineering liên quan đến việc thu thập thông tin nhạy cảm hoặc các đặc quyền truy cập không phù hợp với người ngoài Social Engineering liên quan đến việc thu thập thông tin nhạy cảm hoặc các đặc quyền truy cập không phù hợp với người ngoài Kĩ thuật Computer-based đề cập đến việc sử dụng các phần mềm máy tính để lấy thông tin mong muốn Phòng thủ thành công phụ thuộc vào chính sách tốt và việc thi hành các chính sách đó có siêng năng hay không nếu bạn nghĩ rằng công nghệ có thể giải quyết các vấn đề bảo mật của bạn, thì bạn sẽ không hiểu gì về các vấn đề và bạn cũng không hiểu được công nghệ là gì [...]... sách bảo mật Những tài liệu nhạy cảm Cấu trúc mạng văn phòng Những mật khẩu Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Ăn cắp Identity Engineering Thử nghiệm xâm nhập Các kiểu Social Engineering Human-based Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ Computer-based Social Engineering được thực... thống Những mục tiêu chung của Social Engineering: Nhân viên văn phòng Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu mặc dù có tường lửa tốt... cuộc tấn công Social Engineering Lựa trọn nạn nhân Nghiên cứu công ty mục tiêu Durmpster diving, trang web, nhân sự, lịch Xác định những nhân viên không hài lòng trình, vv về chính sách trong công ty mục tiêu Nghiên cứu Phát triển mối quan hệ Phát triển Khai thác Khai thác mối quan hệ Phát triển mối quan hệ với những nhân Tập hợp thông tin tài khoản nhạy cảm, viên đã được lựa chọn thông tin tài chính,... nhân của kỹ thuật Social Engineering lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty Ví dụ • “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta” • “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không” Những mục tiêu chung của Social Engineering Nhân... quyền thứ ba Đề cập đến một người quan trong trong một tổ chức và cố gắn thu thập thông tin: “Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một bản báo cáo tài chính Vui lòng bạn có thể cúng cấp cho tôi chứ” Piggybacking Tôi quên thẻ ID ở nhà Vui lòng hãy giúp tôi Reverse Social Engineering Một người có thẩm quyền cho phép truy cập cho một người trái phép bằng cách cho cách cửa luôn được... trong quá quá trình trình hoạt hoạt động động đã đã thu thu về về hơn hơn một một triệu triệu đô đô la la bộ bộ phim phim này này là là một một nghiên nghiên cứu cứu xuất xuất sắc sắc của của Social Social Engineering, Engineering, hành hành động động của của người người thao thao tác tác đã đã tác tác động động lên lên hành hành động động của của người người khác khác hoặc hoặc tiết tiết lộ lộ thông thông... thoại ngay lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số thẻ debit Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra Social Engineering bằng “Face SMS Spying Tool” Dụ dỗ người... Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ Social Engineering sử dụng SMS Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM... trợ kỹ kỹ thuật thuật và và yêu yêu doanh doanh Tôi Tôi đang đang làm làm một một dự dự án án cấp cấp bách bách và và cầu cầu ID ID và và Password Password cho cho việc việc khôi khôi phục phục dữ dữ liệu liệu bị bị mất mất mật mật khẩu khẩu hệ hệ thống thống của của mình mình Bạn Bạn có có ““ thưa thưa ngài, ngài, tôi tôi là là Mathew, Mathew, nhân nhân viên viên hỗ hỗ trợ trợ kỹ kỹ thể thể giúp giúp... cho cách cửa luôn được mở Điều này là khi kẻ tấn công đóng giả một người người đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho anh ta các thông tin mà không cần các cách khác Tấn công Reverse Social Engineering liên quan đến sự phá hoại, tiếp thị, và hỗ trợ công nghệ Trong Trong năm năm 2003 2003 bộ bộ phim phim “Matchstick “Matchstick Men”, Men”, do do Micolas Micolas Cage Cage thủ thủ vai vai