Các kĩ thuật social engineering dựa vào phần mềm có thể chia

Một phần của tài liệu Social Engineering (Trang 26 - 38)

dựa vào phần mềm có thể chia thành các loại như sau:

 Phising Vishing  Vishing  Popup Windows  Mail attachments  Website  Interesting Software

Social Engineering

Phân loại Social Engineering

Phising:

 Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm.

 Lá thư thường chứa một đường link đến một

trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.

Social Engineering

Phân loại Social Engineering

Social Engineering

Phân loại Social Engineering

Vishing:

 Thuật ngữ là sự kết hợp của giọng nói và phishing. Đây cũng là một dạng phising mà kẻ tấn công gọi điện trực tiếp cho nạn nhân.

 Người sử dụng sẽ nhận được một thông điệp tự

động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề.

Social Engineering

Phân loại Social Engineering

Vishing:

 Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng.

 VoIP tiếp tay đắc lực thêm cho dạng tấn công

mới này vì giá rẻ và khó giám sát một cuộc gọi bằng VoIP.

Social Engineering

Phân loại Social Engineering

Pop-up Windows:

 Một cửa sổ sẽ xuất hiện trên màn hình nói với người

dùng là họ đã mất kết nối và cần phải nhập lại username và password.

Social Engineering

Phân loại Social Engineering

Pop-up Windows:

 Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.

 Có thể là một thông tin quảng cáo, thông báo

người dùng đã nhận được giải thưởng và yêu cầu họ xác nhận thông tin.

Social Engineering

Phân loại Social Engineering

Mail attachments

 Sử dụng mã độc hại: Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó.

 Ví dụ: virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs).

Social Engineering

Phân loại Social Engineering

Mail attachments

 Gửi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ.

Social Engineering

Phân loại Social Engineering

Websites:

 Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc.

 Ví dụ, một website có thể tạo ra một cuộc thi ảo, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.

Social Engineering

Phân loại Social Engineering

Interesting Software:

 Trong trường hợp này nạn nhân được thuyết

phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền.

 Sau đó một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

Social Engineering

Nội dung

Giới thiệu về Social Engineering

1

Phân loại Social Engineering

2

Các bước tấn công

3

Các mối đe dọa

4

Phòng tránh Social Engineering

Social Engineering

Một phần của tài liệu Social Engineering (Trang 26 - 38)

Tải bản đầy đủ (PPTX)

(72 trang)