Trong bước này kẻ tấn công sẽ cố gắng tìm hiểu
trước càng nhiều thông tin càng tốt để có thể đóng vai nhân viên, nhà cung cấp, đối tác...
Đây là một bước quan trọng trong quá trình tấn
công Social Engineering, nhưng ngạc nhiên là các thông tin này thường dễ dàng được khai thác từ các website, thư từ, hóa đơn, sổ tay bỏ đi, và cả thùng rác.
Social Engineering
Các bước tấn công
Chọn mục tiêu:
Khi khối lượng thông tin thu thập được đã đủ, kẻ
tấn công tìm kiếm nhân viên trong tổ chức, thông thường là các nhân viên hỗ trợ vì các nhân viên này thường có nhiệm vụ giúp đỡ các thành viên khác trong công ty, và có một số quyền nhất định như thay đổi password, tạo và kích hoạt tài khoản…
Khi đã thành công với mục tiêu là nhân viên hỗ
trợ, kẻ tấn công sẽ bắt đầu phá hoại và che giấu vết. Mục tiêu tiếp theo của kẻ tấn công sẽ là các nhân viên cấp cao, như là trợ lý administrator…
Social Engineering
Các bước tấn công
Tấn công:
Ego attack: Trong loại tấn công này kẻ tấn công
thường dựa vào một vài đặc điểm cơ bản của con người. Thường kẻ tấn công sẽ tân bốc mục tiêu hoặc tỏ vẻ đồng tình về một ý kiến nào đó của mục tiêu. Sau đó kẻ tấn công sẽ rút trích thông tin từ mục tiêu. Nạn nhân của loại tấn công này thường là người cảm thấy không được đánh giá đúng mức trong công ty.
Social Engineering
Các bước tấn công
Tấn công:
Sympathy attack: Trong loại tấn công này, kẻ tấn
công giả vờ là nhân viên tập sự, nhân viên mới hoặc đối tác, gặp tình huống khó xử cần được sự giúp đỡ để hoàn thành nhiệm vụ. Bằng cách này kẻ tấn công sẽ lợi dụng sự giúp đỡ của mục tiêu để khai thác thông tin.
Social Engineering
Các bước tấn công
Tấn công:
Intimidation attack: Trong loại tấn công này kẻ tấn
công đóng vai là một nhân vật có quyền lực trong tổ chức. Kẻ tấn công sẽ nhằm vào các mục tiêu có vị trí thấp hơn mình, tạo một lý do hợp lý để truy xuất thông tin trong tổ chức.
Social Engineering
Nội dung
Giới thiệu về Social Engineering
1
Phân loại Social Engineering
2
Các bước tấn công
3
Các mối đe dọa
4
Phòng tránh Social Engineering
Social Engineering