TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN MƠN NHẬP MƠN BẢO MẬT MÁY TÍNH TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI Người hướng dẫn: THẦY HỒ VĂN THÁI Người thực hiện: LÊ QUỐC TRUNG - 51900842 Lớp : 19050401 Khố THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021 : 23 TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN MƠN NHẬP MƠN BẢO MẬT MÁY TÍNH TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI Người hướng dẫn: THẦY HỒ VĂN THÁI Người thực hiện: LÊ QUỐC TRUNG - 51900842 Lớp : 19050401 Khố THÀNH PHỐ HỒ CHÍ MINH, NĂM 2021 : 23 LỜI CẢM ƠN Để hoàn thành báo cáo ngày hôm nay, em xin trân trọng bày tỏ lòng biết ơn sâu sắc đến thầy Hồ Văn Thái – trực tiếp giảng dạy thực hành môn Nhập mơn Bảo mật máy tính Nhờ tận tình hướng dẫn suốt trình học trường học online mà em có đủ kiến thức để hoàn thành báo cáo Lời cuối em xin lần cám ơn thầy/cô chúc thầy/cô dồi sức khoẻ để truyền đạt kiến thức cho lứa học sinh sinh viên Do kiến thức chưa vững nên báo cáo có sai sót mong thầy góp ý để em có nhiều kinh nghiệm Em xin chân thành cảm ĐỒ ÁN ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG Tôi xin cam đoan sản phẩm đồ án riêng hướng dẫn thầy Hồ Văn Thái; Các nội dung nghiên cứu, kết đề tài trung thực chưa cơng bố hình thức trước Những số liệu bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập từ nguồn khác có ghi rõ phần tài liệu tham khảo Ngoài ra, đồ án sử dụng số nhận xét, đánh số liệu tác giả khác, quan tổ chức khác có trích dẫn thích nguồn gốc Nếu phát có gian lận tơi xin hồn tồn chịu trách nhiệm nội dung đồ án Trường đại học Tôn Đức Thắng không liên quan đến vi phạm tác quyền, quyền gây q trình thực (nếu có) TP Hồ Chí Minh, ngày 12 tháng 11 năm 2021 Tác giả (ký tên ghi rõ họ tên) Lê Quốc Trung PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN Phần xác nhận GV hướng dẫn _ Tp Hồ Chí Minh, ngày tháng năm (kí ghi họ tên) Phần đánh giá GV chấm _ Tp Hồ Chí Minh, ngày tháng năm (kí ghi họ tên) MỤC LỤC LỜI CẢM ƠN PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN MỤC LỤC CHƯƠNG – LÍ DO CHỌN ĐỀ TÀI VÀ TĨM TẮT CHƯƠNG – TỔNG QUAN VỀ SOCIAL ENGINEERING 2.1Social engineering 2.2Về tác phẩm The a CHƯƠNG – CÁC HÌNH THỨC TẤN CƠNG SOCIAL ENGINEERING 3.1Tấn cơng dựa 3.2Tấn công dựa CHƯƠNG – TỔNG KẾT CHƯƠNG – LÍ DO CHỌN ĐỀ TÀI VÀ TĨM TẮT Trong xã hội nói chung lĩnh vực cơng nghệ thơng tin nói riêng, từ cơng ty, tổ chức, quốc gia, hệ thống, hay chí cá nhân có thơng tin riêng tư cần bảo mật Để bảo vệ thông tin nghệ thuật, chuỗi yếu tố tác động liên kết chặt chẽ với Trong đó, yếu tố người bảo mật mắt xích xem yếu nhất, cần mắt xích bị phá vỡ hệ thống bảo mật có nguy sụp đổ Để hiểu sâu vấn đề trên, em đọc tác phẩm The art of deception – tác phẩm kinh điển với câu chuyện kể lại qua lời văn tác giả Kevin Mitnick Ông biết đến với vai trò “hacker mũ trắng” giúp đỡ tổ chức, phủ, người dùng phổ thông chống lại công hacker Sau đọc tác phẩm trên, em định thực báo cáo với chủ đề “Tìm hiểu kỹ thuật xã hội” nhằm truyền tải đến cho nhiều người khác kiến thức đề cập tác phẩm kiến thức khác kỹ thuật xã hội cách phòng chống CHƯƠNG – TỔNG QUAN VỀ SOCIAL ENGINEERING 2.1 Social engineering gì? Social engineering hay cịn gọi kỹ thuật xã hội hình thức cơng vào tâm lý, thói quen, nhận thức sai lầm thiếu kiến thức người nhằm để đánh cắp thông tin đạt mục đích Nếu kỹ thuật công khác, hacker tập trung vào khai thác lỗ hổng bảo mật hệ thống, social engineering, hacker lại tập trung vào khai thác thói quen tự nhiên người điểm yếu tâm lý mồi Đó lý kỹ thuật gọi kỹ thuật xã hội 2.2 Về tác phẩm The art of deception Ở tác phẩm này, Kevin Mitnick tập trung chủ yếu mặt xã hội qua câu chuyện Điển social engineer truy cập vào hệ thống công ty bảo mật mật đổi hàng ngày Anh ta chờ đến mùa tuyết gọi điện cho cơng ty đóng giả làm nhân viên cơng ty bị mắc kẹt nhà tuyết xin người điều hành mật cơng ty ngày hơm để làm việc từ xa Hay câu chuyện khác kể kẻ cắp thông tin giả danh làm bạn thân đối tác làm ăn với CEO công ty để yêu cầu thông tin vào lúc CEO vắng khỏi công ty Hay câu chuyện gần gũi với chúng ta, tên trộm thực dàn cảnh nhắm vào đối tượng người phụ nữ quán café, tên đồng bọn giả vờ nhờ người phụ nữ chụp ảnh giúp tên trộm nhanh tay lấy cắp túi xách Sau người phụ nữ phát lúng túng đến để giả vờ làm người trấn an Lợi dụng hoang mang mà thành công lừa gạt người phụ nữ để moi thơng tin thẻ tín dụng Các câu chuyện đề cập tác phẩm hầu hết gần gũi đánh vào tâm lý chủ quan người Từ tác giả thành công truyền cho người nhận thức lừa đảo Ngoài tác giả có phân tích thêm chút tâm lý, thành phần dễ bị công, số thơng tin khác kỹ thuật Bên cạnh cịn cung cấp số kiến thức an tồn thơng tin sách bảo mật cho cá nhân doanh nghiệp CHƯƠNG – CÁC HÌNH THỨC TẤN CƠNG SOCIAL ENGINEERING Như nói kỹ thuật xã hội chủ yếu tập trung vào tâm lý người, công vào người Tuy nhiên, thời đại cơng nghệ social engineer nâng cao khả Bằng kết hợp kỹ thuật xã hội công nghệ Social engineering chia làm loại: Tấn cơng dựa yếu tố người công dựa yếu tố kỹ thuật 3.1 Tấn công dựa yếu tố người 3.1.1 Pretexting Pretexting hình thức mà kẻ cơng tự tạo kịch cớ hợp lí để yêu cầu người dùng cung cấp thông tin cá nhân với mục đích định danh Một số biến thể lớn pretexting cố gắng thao túng mục tiêu để khai thác thông tin, điểm yếu tổ chức hay công ty nạn nhân Các kẻ công thường mạo danh nhân vật thường truy hỏi thơng tin người khác cảnh sát hay phóng viên, thơng tin lấy cấp bao gồm quan trọng khơng quan trọng Hình thức cơng có điểm mạnh khai thác thơng tin xác nhiều thơng tin nhạy cảm chủ thể cung cấp chí thao túng chủ thể tự cài hay thực hành động hỗ trợ cho việc công Tuy nhiên bên cạnh có điểm yếu người cơng phải nắm rõ thông tin cá nhân liên quan đến chủ thể để hồn thành vai diễn, lấy trọn vẹn lòng tin nạn nhân Nếu sơ suất gây nghi ngờ cơng thất bại Cách thức để tránh trở thành nạn nhân pretexting phải đảm bảo không công khai thông tin nhạy cảm, giữ vững tâm lý, tìm hiểu thật kĩ trước cung cấp thơng tin cho cá nhân hay tổ chức Ln sử dụng công cụ bảo mật tránh lộ thông tin cá nhân lên internet tường lửa, diệt virus,… Ví dụ gần gũi tượng đóng giả làm nhân viên công ty điện để yêu cầu người dùng cung cấp thông tin cá nhân đặc biệt số cước để gia hạn hợp đồng tiêu thụ điện 3.1.2 Tailgating (Piggybacking) Tailgating hay biết đến với tên gọi Piggybacking hình thức người khơng có thẩm quyền nhờ (hoặc cố tình theo dõi, theo sau) người có thẩm quyền để đột nhập vào hệ thống khu vực có bảo mật Từ người đột nhập có khả thu thập thông tin cài thiết bị, phần mềm có chức thu thập thơng tin Nghe qua định nghĩa ta thấy hình thức đột nhập đơn giản so với pretexting khơng cần phải tìm hiểu thơng tin hay suy nghĩ kịch rườm rà Tuy nhiên kỹ thuật dễ dàng bị khắc phục quy trình vào khu vực bảo mật kiểm soát kĩ Khu vực bảo mật có lắp đặt camera, khâu bảo vệ không lơ Tức kỹ thuật dễ sử dụng đồng thời dễ khắc phục cách nhân viên trang bị kiến thức kĩ, đồng thời cá nhân phải có ý thức tự bảo vệ khả truy cập Ví dụ: người đóng giả nhân viên sửa điện yêu cầu bảo vệ cho vào tồ nhà Từ nhân viên tự thu thập thơng tin bên tồ nhà Hay ví dụ khác nhân viên bước khỏi khu vực làm việc khơng khố máy, dẫn đến kẻ đột nhập có quyền truy cập hệ thống mở khố nhân viên trước 3.1.3 Something for Something (Quid Pro Quo) Quid pro quo kỹ thuật cơng dựa nhu cầu lịng tham người Kỹ thuật giả vờ cung cấp thứ để đổi lại thơng tin hỗ trợ mục tiêu Để dễ hiểu người cơng thường đóng giả làm nhân viên kỹ thuật gọi điện yêu cầu mục tiêu thao tác máy tính hệ thống (tắt tường lửa cài phần mềm) nhằm hỗ trợ cho việc cơng diễn trơn tru khơng gặp khó khăn Hoặc số trường hợp lợi dụng lịng tham người khác Người công tạo tin nhắn thông báo trúng thưởng yêu cầu người dùng cung cấp thông tin cá nhân để nhận thưởng 3.1.4 Honey trap Trong kỹ thuật honey trap, tin tặc đóng giả thành người “hấp dẫn” để tiếp cận tương tác với mục tiêu nhằm thu thập thông tin Kỹ thuật dễ hiểu cô gái quyến rũ, tiếp cận người quan trọng tổ chức để đào thông tin cách trực tiếp 3.2 Tấn công dựa yếu tố kỹ thuật 3.2.1 Phishing Phishing kỹ thuật công gần phổ biến sử dụng nhiều Người công tạo email hay trang web giả mạo Đồng thời kỹ thuật đánh vào tâm lý gấp gáp, sợ hãi người dùng để khiến mục tiêu định cách gấp gáp việc cung cấp thông tin Kỹ thuật cần chuẩn bị quy mô chu để đánh lừa mồi Ngoài kỹ thuật đánh lừa người dùng click vào link lạ để tự động tải hay cài phần mềm độc hại lên máy tính cá nhân Một trị lừa đảo gần Việt Nam mục tiêu truy cập vào trang web cờ bạc web đen, pop-up nhảy lên với hình giả danh phận An Ninh Mạng với huy hiệu công an Pop-up doạ mục tiêu vi phạm pháp luật, yêu cầu nộp phạt để mở khố máy tính Ngồi loại hình cơng Spear phishing, kỹ thuật tương tự phishing nhiên, thiết kế nhằm đến tổ chức, cá nhân cụ thể 10 3.2.2 Baiting Baiting kỹ thuật lây nhiễm phần mềm độc hại cho người khác thông qua “mồi câu” trung gian Cách thức lợi dụng tò mò người dùng Thông thường hacker cài virus vào usb, ổ cứng để nơi dễ tìm thấy để người dùng tự sử dụng tự lây virus cho thân Ngồi cịn số cách khác file cài đặt miễn phí 3.2.3 Vishing Vishing nói dễ hiểu tức hình thức kết hợp “lừa đảo” “giọng nói” Nó tương tự phishing nhiên thay thơng qua email lại sử dụng giọng nói hay cụ thể gọi Ở hình thức này, người thực vishing (visher) có quyền truy cập danh sách số điện thoại, gọi hàng loạt tìm mục tiêu tiềm để tiến hành lừa đảo Visher ăn tiền, thông tin hai Ví dụ gần có nhiều gọi giả ngân hàng, báo tài khoản bị khoá, yêu cầu mục tiêu gọi cho số hotline để đổi mật Hoặc vài vụ tinh vi bên visher cung cấp thông tin cá nhân để khiến người dùng tin tưởng dễ mắc bẫy Để phòng tránh trường hợp này, nên dứt khoát gác máy có số lạ gọi u cầu thơng tin Sau thực tra sốt lại, tránh để bị lừa Ngoài cần củng cố kiến thức, hiểu cách bọn trộm hoạt động khó bị lừa 11 CHƯƠNG – TỔNG KẾT Qua số ví dụ hình thức social engineering phổ biến nêu trên, hiểu sơ qua cách công social engineering hoạt động: Khai thác thông tin hành vi, xây dựng kế hoạch cơng cụ, cơng Tuy nhiên, hình thức có ưu khuyết điểm riêng, đa phần có chung mục tiêu hướng tới tâm lý người Để phòng tránh kỹ thuật công này, cá nhân cần phải học hỏi để có kiến thức kỹ thuật, có hiểu rõ cách hoạt động ta phịng tránh tốt Ngồi cần có đầu lạnh để giữ bình tĩnh tránh bị social engineer “chơi đùa cảm xúc” 12 ... VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN MƠN NHẬP MƠN BẢO MẬT MÁY TÍNH TÌM HIỂU CÁC KỸ THUẬT XÃ HỘI Người hướng dẫn: THẦY HỒ VĂN THÁI Người thực hiện: LÊ QUỐC... em định thực báo cáo với chủ đề ? ?Tìm hiểu kỹ thuật xã hội? ?? nhằm truyền tải đến cho nhiều người khác kiến thức đề cập tác phẩm kiến thức khác kỹ thuật xã hội cách phòng chống CHƯƠNG – TỔNG QUAN... phải tìm hiểu thơng tin hay suy nghĩ kịch rườm rà Tuy nhiên kỹ thuật dễ dàng bị khắc phục quy trình vào khu vực bảo mật kiểm soát kĩ Khu vực bảo mật có lắp đặt camera, khâu bảo vệ khơng lơ Tức kỹ