Tìm hiểu về social engineering là gì? Hiện thực một số kịch bản tấn công. Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng. Vấn đề an toàn thông tin không còn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo chung của toàn cầu. Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật về phần mềm đã phát triển vượt bậc nhưng cũng không đủ bảo vệ chúng ta khỏi việc rò rỉ thông tin. Vậy đâu là nguyên nhân? Đó chính là con người, bởi lẽ không có bất kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu con người. Yếu tố con người một yếu tố rất quan trọng và cũng rất hay bị khai thác đôi khi lại không được đánh giá đúng mức. Và đó là lý do khiến cho kỹ thuật Social Engineering – một kỹ thuật tấn công vào yếu tố con người chưa bao giờ bị xem là lỗi thời.
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH - - BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: NGHIÊN CỨU KỸ THUẬT KHAI THÁC THÔNG TIN NHẠY CẢM SỬ DỤNG SOCIAL ENGINEERING Giảng viên hướng dẫn: TS HUỲNH TRỌNG THƯA Sinh viên thực hiện: NGUYỄN TRUNG NGHĨA Mã số sinh viên: N14DCAT135 Lớp: D14CQAT01-N Khóa: 2014 Hệ đào tạo: ĐẠI HỌC CHÍNH QUY Tp Hồ Chí Minh, ngày 08 tháng 08 năm 2018 BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH - - BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: NGHIÊN CỨU KỸ THUẬT KHAI THÁC THÔNG TIN NHẠY CẢM SỬ DỤNG SOCIAL ENGINEERING Giảng viên hướng dẫn: TS HUỲNH TRỌNG THƯA Sinh viên thực hiện: NGUYỄN TRUNG NGHĨA Mã số sinh viên: N14DCAT135 Lớp: D14CQAT01-N Khóa: 2014 Hệ đào tạo: ĐẠI HỌC CHÍNH QUY Tp Hồ Chí Minh, tháng 08 năm 2018 CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập- Tự do- Hạnh phúc TP Hồ Chí Minh, ngày … tháng … năm 20…… NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Tên đề tài:Nghiên cứu kỹ thuật khai thác thông tin nhạy cảm sử dụng Social Engineering biện pháp phòng chống Sinh viên: Nguyễn Trung Nghĩa Lớp:D14CQAT01-N Giáo viên hướng dẫn: TS Huỳnh Trọng Thưa Nơi công tác: Học Viện Công Nghệ Bưu Chính Viễn Thơng (Cơ sở Tp Hồ Chí Minh) NỘI DUNG NHẬN XÉT Đánh giá chung: ………………………………………………………………………………………… ………………………………………………………………………………………… Đánh giá chi tiết: ………………………………………………………………………………………… ………………………………………………………………………………………… Nhận xét tinh thần, thái độ làm việc: ………………………………………………………………………………………… ………………………………………………………………………………………… Kết luận: ………………………………………………………………………………………… …… Điểm hướng dẫn: GIẢNG VIÊN HƯỚNG DẪN (Ký, ghi rõ họ tên) LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tri ân sâu sắc thầy cô trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng, đặc biệt thầy cô khoa Công Nghệ Thông Tin trường tạo điều kiện cho em thực tập khoa để có nhiều thời gian cho khóa luận tốt nghiệp Và em xin chân thành cảm ơn thầy Ts Huỳnh Trọng Thưa nhiệt tình hướng dẫn hướng dẫn em hồn thành tốt khóa thực tập Trong trình thực tập, trình làm báo cáo thực tập, khó tránh khỏi sai sót, mong thầy, bỏ qua Đồng thời trình độ lý luận kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp thầy, để em học thêm nhiều kinh nghiệm hoàn thành tốt báo cáo tốt nghiệp tới Em xin chân thành cảm ơn! i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC KÝ HIỆU VÀ VIẾT TẮT iv DANH MỤC CÁC HÌNH v LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Social Engineering gì? 1.2 Điểm yếu người 1.3 Tại Social Engineering thành công? CHƯƠNG 2: PHÂN LOẠI SOCIAL ENGINEERING 2.1 Human-based Social Engineering – Tấn công phi kỹ thuật dựa yếu tố người 2.1.1 Personal Approaches – Hỏi trực tiếp 2.1.2 Impersonation – Mạo danh 2.1.3 Posing as Important User – Giả làm người dùng quan trọng 2.1.4 Dumpster Diving and Shoulder Surfing – Đào bới rác nhìn chộm 2.1.5 Third-person Authorization – Quyền bên thứ ba 2.1.6 Direct approach - Tiếp cận trực tiếp 2.2 Computer-based Social Engineering – Tấn công dựa yếu tố kỹ thuật 2.2.1 Baiting 2.2.2 Phishing 2.2.3 Vishing 2.2.4 Pop-up Windows 2.2.5 Mail attachments 2.2.6 Website 2.2.7 Interesting Software 10 2.2.8 Phishing Email 10 2.3 Mobile-based Social Engineering 10 2.3.1 Publishing Malicious Apps 10 2.3.2 Repackaging Legitimate Apps 10 2.3.3 Fake Security Applications 10 2.3.4 Using SMS 11 CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ TẦM ẢNH HƯỞNG 12 3.1 Các bước công 12 3.1.1 Thu thập thông tin 12 ii 3.1.2 Chọn mục tiêu 12 3.1.3 Tấn công 12 3.1.4 Xóa dấu vết 13 3.2 Tầm ảnh hưởng 13 3.2.1 Các công thành công 13 3.2.2 Tầm ảnh hưởng thực tế 14 CHƯƠNG 4: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 16 4.1 Đối với công tác tổ chức 16 4.1.1 Xây dựng framework quản lý an ninh 16 4.1.2 Đánh giá rủi ro 17 4.1.3 Social Engineering sách an ninh 17 4.2 Đối với cá nhân 18 4.2.1 Để không trở thành nạn nhân 18 4.2.2 Cách bảo vệ thân 18 CHƯƠNG 5: THIẾT KẾ VÀ HIỆN THỰC MỘT SỐ KỊCH BẢN TẤN CÔNG 20 5.1 Giới thiệu công cụ Social-Engineering Toolkit 20 5.1.1 Tính 20 5.1.2.Hướng dẫn sử dụng 21 5.1.3 Hiện thực số kịch công 22 KẾT LUẬN 34 DANH MỤC TÀI LIỆU THAM KHẢO 36 iii DANH MỤC KÝ HIỆU VÀ VIẾT TẮT || Hoặc & Và Admin Administrator SC Social Engineering SET Social Engineering Toolkit LAN Local Area Network iv DANH MỤC CÁC HÌNH Hình 5.1: Giao diện cơng cụ Social-Engineering Toolkit Hình 5.2: Các tùy chọn cơng cụ Hình 5.3 Kịch cơng giả mạo DNS spoofing Hình 5.4 Mơ hình giả mạo website SET Hình 5.5 Giả mạo DNS Ettercap Hình 5.6: Các tùy chọn khởi tạo website giả mạo Hình 5.7 Cấu hình Web phising thành cơng Hình 5.8 Bổ sung ghi DNS giả mạo Hình 5.9 Ettercap lắng nghe tích cực truy vấn DNS Hình 5.10 Giao diện đăng nhập sau bị ta cơng Hình 5.11 Thơng tin thu thập từ nạn nhân Hình 5.12 Kịch cơng giả mạo e-mail Hình 5.13 Thu thập thơng tin giả mạo facebook Hình 5.14 Các tùy chọn Mass Mailer Attack Hình 5.15 Nội dung mail hồn chỉnh Hình 5.16 E-mail nhận sau gửi từ Kali Linux Hình 5.17 Giao diện đăng nhập giả mạo Hình 5.18: Đường dẫn đầy đủ Hình 5.19: Trang đăng nhập cấu hình SSL chứng thư số chưa cấu hình Hình 5.20: Chứng thư số cấp cao v LỜI MỞ ĐẦU Trong thời đại nay, với phát triển mạnh mẽ công nghệ thông tin gia tăng nhanh chóng số lượng tội phạm an ninh mạng Vấn đề an tồn thơng tin khơng nỗi lo nước phát triển mà trở thành nỗi lo chung toàn cầu Vào kỷ 21, sức mạnh phần cứng kỹ thuật phần mềm phát triển vượt bậc không đủ bảo vệ khỏi việc rò rỉ thơng tin Vậy đâu ngun nhân? Đó người, lẽ khơng có phần cứng hay phần mềm khắc phục điểm yếu người Yếu tố người yếu tố quan trọng hay bị khai thác lại khơng đánh giá mức Và lý khiến cho kỹ thuật Social Engineering – kỹ thuật công vào yếu tố người chưa bị xem lỗi thời Đồ án thực nhằm mục đích nghiên cứu cách thức hoạt động mối nguy hiểm Social Engineering để từ đưa giải pháp phòng chống Mục tiêu đặt thực đồ án là: Tìm hiểu tổng quan Social Engineering Nghiên cứu cách thức hoạt động Social Engineering Tìm hiểu công cụ Social-Engineer Toolkit Kali Hiện thực kịch công công cụ Social-Engineer Toolkit Thiết kế phòng vệ chống lại hoạt động Social Engineering Sau thời gian thực báo cáo, mục tiêu đạt Tuy nhiên công Social Engineering lĩnh vực không phức tạp phạm vi rộng, thời gian thực đồ án tương đối ngắn nên chắn không tránh khỏi thiếu sót Rất mong góp ý thầy cô, bạn học viên để báo cáo hoàn thiện 1|Page Báo cáo TTTN Đại học Chương 1: Tổng quan Social Engineering CHƯƠNG 1: TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Social Engineering gì? “There is no patch to human stupidity” Một câu nói minh họa đầy đủ cho cách cơng Social Engineering Bên cạnh biện pháp công kỹ thuật sử dụng chương trình cơng hacker thường vận dụng kết hợp với phương pháp phi kỹ thuật, tận dụng kiến thức kỹ xã hội để đạt kết nhanh chóng hiệu Và phương pháp cơng không dựa kỹ thuật hay công cụ túy gọi Social Engineering, đời thực dạng cơng xem kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt mục tiêu Có câu chuyện thường nhắc dạng cơng Social Engineering điền sau: thăm dò tính bảo mật chặt chẽ quản lý thông tin công ty cao ốc văn phòng lớn Wall Street, chuyên gia bảo mật giả dạng nhóm chuyên viên an ninh mạng tiến hành đợt khảo sát thẩm định an ninh miễn phí cho doanh nghiệp thuộc tòa cao ốc Và đợt thử nghiệm “chuyên gia bảo mật giả dạng” yêu cầu nhân viên quản trị hệ thống doanh nghiệp cho phép kiểm tra hệ thống máy chủ, kế thông tin quan trọng để đánh giá xem có lổ hỗng hay khơng Và kết thật đáng ngạc nhiên, có đến 7/10 cơng ty yêu cầu cho phép hacker thâm nhập thao tác trực tiếp hệ thống May mà hacker mũ trắng hoạt động với mục tiêu lường tính bảo mật doanh nghiệp SE phương pháp phi kỹ thuật đột nhập vào hệ thống mạng công ty Đó q trình đánh lừa người dùng hệ thống, thuyết phục họ cung cấp thông tin giúp đánh bại phận an ninh SE quan trọng để tìm hiểu, hacker lợi dụng cơng vào yếu tố người phá vỡ hệ thống kỹ thuật an ninh Phương pháp sử dụng để thu thập thông tin trước công SE sử dụng ảnh hưởng thuyết phục để đánh lừa người dùng nhằm khai thác thơng tin có lợi cho cơng thuyết phục nạn nhân thực hành động Social engineer (người thực cơng việc cơng phương pháp social engineering) thường sử dụng điện thoại internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm để có họ làm chuyện để chống lại sách an ninh tổ chức Bằng phương pháp này, Social engineer tiến hành khai thác thói quen tự nhiên người dùng, tìm lỗ hổng bảo mật hệ thống Điều có nghĩa người dùng với kiến thức bảo mật cõi hội cho kỹ thuật công hành động Thơng thường, người khơng nhận thấy sai sót họ việc bảo mật, họ không cố ý Những kẻ cơng đặc biệt thích phát triển kĩ SE thành thạo đến mức nạn nhân họ bị lừa Mặc dù có nhiều sách bảo mật cơng ty, họ bị hại tin tặc lợi dụng lòng tốt giúp đỡ người Nguyễn Trung Nghĩa - D14CQAT01-N 2|Page Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Bước 1: Dựng website giả mạo SET Hình 5.4 Mơ hình giả mạo website SET Bước 2: Điều hướng website Ettercap Hình 5.5 Giả mạo DNS Ettercap b Hiện thực kịch công Trong kịch công ta công DNS spoofing, để lấy tên đăng nhập mật người dùng vào game Chinh phục vũ môn, địa http://cpvm.vn/home.html Bước 1: Trong giao diện cộ công cụ setoolkit sau mở lên ta chọn 1) Social Engineering Attack Bước 2: Ta chọn tiếp 2) Website Attack Vectors Bước 3: Chọn tiếp 3) Credential Harvester Attack Method Nguyễn Trung Nghĩa - D14CQAT01-N 23 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Bước 4: SET đưa gợi ý cách giả mạo website, ta chọn 2) Site Cloner Hình 5.6: Các tùy chọn khởi tạo website giả mạo Bước 5: Cấu hình cho Web phishing Hình 5.7 Cấu hình Web phising thành công Mở cửa sổ thực chuyển hướng lưu lượng Nguyễn Trung Nghĩa - D14CQAT01-N 24 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Bước 6: Trước thực thi Ettercap, yêu cần bạn cần phải thực chút cấu hình Ettercap mức lõi đánh (sniffer) liệu, sử dụng plugin để thực công khác Plug-in dns_spoof mà thực ví dụ này, phải điều chỉnh file cấu hình có liên quan với plug-in Cấu hình tại /etc/ettercap/etter.dns Đây mộ file đơn giản có chứa ghi DNS mà ta muốn giả mạo Với mục đích thử nghiệm, muốn người dùng cố gắng truy cập vào cpvm.vn bị hướng (direct) đến host mạng nội bộ, thêm entry đánh dấu hình sau: Hình 5.8 Bổ sung ghi DNS giả mạo Các entry dẫn cho plug-in dns_spoof thấy truy vấn DNS cho http://cpvm.vn/home.html www.cpvm.vn/home.html (với ghi tài nguyên kiểu A), sử dụng địa IP 192.168.1.63 để đáp trả Trong kịch này, ta giả mạo website Chinh phục vũ môn IP ta hiển thị cho người dùng website mà ta giả mạo Bước 7: Khởi chạy cơng Khi file cấu hình lưu lại, hồn tồn thực thi chuỗi lệnh dùng để khởi chạy công Chuỗi lệnh sử dụng tùy chọn đây: -T – Chỉ định sử dụng giao diện văn -q – Chạy lệnh chế độ “yên lặng” để gói liệu capture không hiển thị hình -i - interface sử dụng để cơng Nguyễn Trung Nghĩa - D14CQAT01-N 25 | P a g e Báo cáo TTTN Đại học Chương 5: Thiết kế thực số kịch công -P dns_spoof – Chỉ định sử dụng plug-in dns_spoof -M arp – Khởi tạo công MITM giả mạo ARP để chặn gói liệu host Chuỗi lệnh cuối cho mục đích là: ettercap –T –q –i eth0 –P dns_spoof –M arp Khi chạy lệnh trên, bạn bắt đầu công hai giai đoạn, giả mạo ARP cache thiết bị mạng, sau phát đáp trả truy vấn DNS giả mạo Hình 5.9 Ettercap lắng nghe tích cực truy vấn DNS Khi khởi chạy, cố gắng truy cập www.cpvm.vn/home.html bị redirect đến website giả mạo ta Nguyễn Trung Nghĩa - D14CQAT01-N 26 | P a g e Báo cáo TTTN Đại học Chương 5: Thiết kế thực số kịch cơng Hình 5.10 Giao diện đăng nhập sau bị ta công Và cuối thành người dùng nhập tên đăng nhập mật mà không hay biết bị cơng Hình 5.11 Thơng tin thu thập từ nạn nhân c Cách phòng chống giả mạo DNS Khá khó phòng chống việc giả mạo DNS có dấu hiệu cơng Thơng thường, bạn khơng biết DNS bị giả mạo điều xảy Những bạn nhận trang web khác hồn tồn so với mong đợi Trong cơng với chủ đích lớn, bạn khơng biết bị lừa nhập thơng tin quan trọng vào website giả mạo nhận Nguyễn Trung Nghĩa - D14CQAT01-N 27 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học gọi từ ngân hàng hỏi bạn lại rút nhiều tiền đến Mặc dù khó khơng phải khơng có biện pháp phòng chống kiểu cơng này, sô thứ bạn cần thực hiện: Bảo vệ máy tính bên bạn: Các công giống thường thực thi từ bên mạng bạn Nếu thiết bị mạng an tồn bạn giảm khả host bị thỏa hiệp sử dụng để khởi chạy công giả mạo Không dựa vào DNS cho hệ thống bảo mật: Trên hệ thống an tồn có độ nhạy cảm cao, khơng duyệt Internet cách thực tốt để khơng sử dụng đến DNS Nếu bạn có phần mềm sử dụng hostname để thực số cơng việc chúng cần phải điều chỉnh cần thiết file cấu hình thiết bị Sử dụng IDS: Một hệ thống phát xâm nhập, đặt triển khai đúng, vạch mặt hình thức giả mạo ARP cache giả mạo DNS Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký để bảo đảm hợp lệ hóa đáp trả truy vấn Tuy DNSSEC chưa triển khải rộng rãi chấp thuận “tương lai DNS” 5.1.3.2 Hiện thực kịch gửi mail giả mạo nhằm mục đích đánh cắp tài khoản người dùng facebook a Kịch công Trong kịch ta dựng trang giả mạo facebook công cụ SET Sau dựng xong ta tiếp tục sử dụng Social Engineering soạn email lừa đảo, nhằm tối ưu hóa khả người dùng click sử dụng link đăng nhập mà ta cung cấp Hình 5.12 Kịch công giả mạo e-mail b Hiện thực kịch công Bước 1: Làm tương tự kịch trên, giao diện công cụ SET ta chọn theo thứ tự – Enter, – Enter, – Enter Bước 2: Chọn 2) Site Cloner ta bắt đầu cấu hình cho trang facebook giả mạo: Nguyễn Trung Nghĩa - D14CQAT01-N 28 | P a g e Chương 5: Thiết kế thực số kịch cơng Báo cáo TTTN Đại học Hình 5.13 Thu thập thông tin giả mạo facebook Bước 2: Chọn 2) Site Cloner ta bắt đầu cấu hình cho trang facebook giả mạo: Bước 3: Mở cửa sổ thực gửi mail qua SET Bước 4: Trong giao diện công cụ ta chọn 1) Social Engineering Toolkit Chọn tiếp 5) Mass Mailer Attack, ta chọn 1) E-mail Attack Single Email Address để công mục tiêu Hình 5.14 Các tùy chọn Mass Mailer Attack Nguyễn Trung Nghĩa - D14CQAT01-N 29 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Bước 4: Hoàn thiện nội dung e-mail gửi Hình 5.15 Nội dung mail hồn chỉnh Your gmail email address: Nhập vào địa gmail bạn The FROM NAME the user will see: Tên người gửi hiển thị Flag this message/s as high priority? [yes/no]: Bật cờ ưu tiên cho mail này? Chọn yes no Ta chọn Yes Email Subject: Tiêu đề mail Send the message as html or plain? 'h' or 'p': Gửi mail dạng html hay văn bản? Chọn h p Ta chọn h, để giấu link làm tăng khả thành công Enter the body of the message, type END (capitals) when finished: Nhận vào nội dung mail, xuống dòng Enter, kết thúc mail gõ END Enter Bước 7: Sau email gửi ta qua máy win mở email lên kiểm tra, kết cho thấy ta gửi nhận mail thành công Nguyễn Trung Nghĩa - D14CQAT01-N 30 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Hình 5.16 E-mail nhận sau gửi từ Kali Linux Theo dõi link cung cấp ta bị điều hướng đến trang đăng nhập facebook giả mạo Hình 5.17 Giao diện đăng nhập giả mạo Nguyễn Trung Nghĩa - D14CQAT01-N 31 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Cuối người dùng “ngây thơ” nhập tên đăng nhập mật facebook ta thu kết hình: Hình 5.17 Thơng tin thu từ nạn nhân c Cách phòng chống Ln ln kiểm tra đường dẫn trước truy cập vào địa lạ: Người dùng Internet cần dành thời gian kiểm tra đường dẫn nhận qua thư điện tử hay mạng xã hội Đường dẫn website giả mạo làm giống website thống thường chứa thêm số từ ngữ, chuỗi ký tự khác Xem trước đường dẫn đầy đủ trước nhấp vào truy cập cách nhận biết để phòng tránh cơng phising Hình 5.18: Đường dẫn đầy đủ Kiểm tra đường dẫn trước điền thông tin đăng nhập, thông tin cá nhân: Khi vơ tình nhấp vào đường dẫn website giả mạo, tìm kiếm dấu hiệu giả mạo đường dẫn Đường dẫn website giả mạo thường chứa nhiều ký tự vô nghĩa và/hoặc chuỗi văn bổ sung Nếu có dấu hiệu nghi ngờ nào, người dùng không nên tiếp tục thao tác, khai báo thông tin mà trang web yêu cầu Kiểm tra SSL chứng thư số website: Hầu hết website hợp pháp sử dụng giao thức bảo mật SSL (Secure Sockets Layer) chứng thư số (Digital Certificate) để bảo vệ khách hàng giao dịch trực tuyến Vì vậy, tìm dấu hiệu SSL chứng thư số website để kiểm tra độ tin cậy đường dẫn Hình 5.19: Trang đăng nhập cấu hình SSL chứng thư số chưa cấu hình Nguyễn Trung Nghĩa - D14CQAT01-N 32 | P a g e Chương 5: Thiết kế thực số kịch công Báo cáo TTTN Đại học Kiểm tra địa để biết thông tin chi tiết tổ chức: Chứng SSL/TLS có vai trò quan trọng q trình bảo mật web cách mã hóa phiên bảo vệ thơng tin gửi trình duyệt máy chủ web Chứng thư số cấp cao (EV SSL Certificate) chứng thư số cấp cao theo chuẩn X.509, thường thể địa màu xanh chuyên dụng Phần lớn website thống thương hiệu hàng đầu sử dụng EV SSL, giúp người dùng dễ dàng xác minh website truy cập Khi khách hàng nhấp chuột vào phần màu xanh địa chỉ, thông tin chi tiết đơn vị chủ quản website đơn vị cấp chứng thực hiển thị Hình 5.20: Chứng thư số cấp cao Cẩn thận với công homograph – công từ đồng âm tên miền quốc tế: Kỹ thuật công homograph lợi dụng tập hợp từ đánh vần giống nhau, có ý nghĩa khác để tạo tên miền giả mạo Nhiều ký tự Unicode dùng để biểu diễn cho bảng chữ tiếng Hy Lạp, Cyrillic Armenian tên miền quốc tế, nhìn mắt thường trơng khơng khác chữ Latin gây dễ nhầm lẫn Tuy nhiên, ký tự máy tính xử lý ký tự khác nhau, trở thành địa website hoàn toàn khác biệt Với cách thức này, kẻ lừa đảo tạo tên miền giả mạo, chí sử dụng chứng thư số bảo mật, khiến người dùng dễ bị lừa Do đó, phương pháp công giả mạo “gần phát ra” Nếu người dùng cảm thấy đường dẫn đáng ngờ, chép dán đường dẫn vào thẻ khác trình duyệt, tên miền thật tiết lộ Một cách khác người dùng nhấp vào chi tiết chứng SSL để xem tên miền thực chứng nhận Nguyễn Trung Nghĩa - D14CQAT01-N 33 | P a g e Kết luận Báo cáo TTTN Đại học KẾT LUẬN Social Engineering thực kỹ thuật công nguy hiểm Nguy hiểm khó nhận biết, cách thức sử dụng nhiều, từ đơn giản đến phức tạp Nguy hiểm sử dụng từ xung quanh Nguy hiểm thực “quy tình” khiến dù bị công chẳng mảy may nghi ngờ Trên giới Việt Nam chúng ta, nhìn Social Engineering tương đối tốt Tuy nhiên, phận lớp trẻ, kể người có nhận thức cơng nghệ thơng tin vấn đề mơ hồ Theo chuyên gia bảo mật Kaspersky Lab, điều cần ý cách hack xem phương thức bất chấp loại mật khẩu, khó ngăn chặn mật Social-Engineering mối đe dọa mạng thường thấy Social Engineering giới chuyên gia bảo mật tạm gọi kĩ xã hội, nghĩa dùng kỹ mềm nhằm khai thác yếu tố xã hội mà tội phạm mạng dùng để qua mặt hàng rào an ninh, không cần mật hay câu hỏi bảo mật Social Engineering nghệ thuật dùng hành vi nhằm tác động tới để họ làm theo ý Có thể thấy, với phương thức công này, việc áp dụng mật bảo mật mạnh đến đâu ngăn cản nổi, tin tặc đột nhập email thiết bị nạn nhân mà không cần tới phần mềm gián điệp tốn công khai thác lỗ hổng thiết bị USB cài sẵn phần mềm độc hại Chúng dễ dàng nhiều, tất cần chút kỹ mềm Như đề cập, Social Engineering chủ yếu dựa vào kĩ mềm xã hội thực tế cách giao tiếp, cách thuyết phục, dụ dỗ vận may Hiện nay, phương thức cơng thường hacker sử dụng, chí có nhiều diễn đàn ngầm hướng dẫn cách sử dụng Social-Engineering nhằm đạt mục đích xâm nhập vào thiết bị tài khoản nạn nhân Trong bối cảnh phát triển Internet nay, đặc biệt vấn nạn tin giả, lừa đảo giả mạo xuất tràn lan mạng xã hội làm cho cách hack khơng phần nguy hiểm, khó lường Vì vậy, người dùng cẩn trọng chia sẻ thông tin cá nhân mạng xã hội, internet hay chí với người khác Khơng nên tiết lộ thông tin cá nhân tiềm ẩn nguy bị tin tặc khai thác để giả danh, đồng thời thiết lập hình thức bảo mật lớp với tài khoản Báo cáo trình bày cách dễ hiểu Social Engineering Từ mong muốn người nâng cao nhận thức vấn đề bảo mật thơng tin cá nhân nói riêng trang bị kiến thức để phòng tránh khỏi kĩ thuật Social Engineering nói riêng Mục đích báo cáo đưa hệ thống cách phòng tránh ảnh hưởng Social Nguyễn Trung Nghĩa - D14CQAT01-N 34 | P a g e Báo cáo TTTN Đại học Kết luận Engineering nhân doanh nghiệp Từ giúp cho việc bảo vệ an ninh thông tin nâng cao Nguyễn Trung Nghĩa - D14CQAT01-N 35 | P a g e Báo cáo TTTN Đại học Danh mục tài liệu tham khảo DANH MỤC TÀI LIỆU THAM KHẢO DANH MỤC TÀI LIỆU THAM KHẢO [1] Malcolm Allen, “ Social Engineering: A Mean To Violate A ComputerSystem”, updated June 2010 [2] Ira S.Winkler, Brin Dealy, “Information Security Technology Don’t Rely on It A Case Study in Social Engineering”, in Science Internation Corporation 200 [3] “The risk of social engineering on information security: a survey of it professionnals” Check Point [4] Aaron Dolan, “Social Engineering” in GSEC Option version 1.4 June 18, 2016 [5] Thomas R.Peltier, “Social Engineering: Concepts and Solutions”, in Information Security and Risk Management Danh mục Website tham khảo: Social Engineering gì? https://securitybox.vn/3363/tong-quan-ve-socialengineering/ https://vi.wikipedia.org/wiki/Tấn_cơng_phi_kỹ_thuật https://whitehat.vn/threads/gioi-thieu-cong-cu-social-engineer-toolkit/ https://www.webroot.com/ie/en/home/resources/tips/online-shoppingbanking/secure-what-is-social-engineering https://www.social-engineer.org/framework/se-tools/computer-based/socialengineer-toolkit-set/ Nguyễn Trung Nghĩa - D14CQAT01-N 36 | P a g e Báo cáo TTTN Đại học Nguyễn Trung Nghĩa - D14CQAT01-N Danh mục tài liệu tham khảo 37 | P a g e ...BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HỒ CHÍ MINH - - BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: NGHIÊN CỨU KỸ THUẬT KHAI THÁC THÔNG TIN NHẠY CẢM SỬ DỤNG... CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Tên đề tài :Nghiên cứu kỹ thuật khai thác thông tin nhạy cảm sử dụng Social Engineering biện pháp phòng chống Sinh viên: Nguyễn Trung Nghĩa... công kỹ thuật sử dụng chương trình cơng hacker thường vận dụng kết hợp với phương pháp phi kỹ thuật, tận dụng kiến thức kỹ xã hội để đạt kết nhanh chóng hiệu Và phương pháp công không dựa kỹ thuật