II. BÀI TẬP TÌNH HUỐNG
5. Xĩa dấu vết
3.3.3. Tấn cơng Social Engineering
Social Engineering (Kỹ nghệ xã hội) là một kiểu tấn cơng dựa vào sự tương tác của con người và thường liên quan đến việc thao túng mọi việc bằng cách phá vỡ các quy trình bảo mật thơng thường, truy cập vào hệ thống thơng tin, hệ thống mạng để đạt được lợi ích tài chính. Kẻ tấn cơng sử dụng các kỹ thuật Social engineering để che giấu danh tính và động cơ thực sự của chúng bằng vẻ ngồi của một nguồn thơng tin hoặc cá nhân đáng tin cậy. Mục tiêu là ảnh hưởng, thao túng hoặc lừa người dùng từ bỏ thơng tin đặc quyền hoặc quyền truy cập trong một tổ chức. Ví dụ, kẻ tấn cơng cĩ thể giả vờ là một đồng nghiệp cĩ vấn đề khẩn cấp nào đó, đòi hỏi phải truy cập vào các tài nguyên mạng bổ sung. Social engineering là một chiến thuật phổ biến của các tin tặc vì khai thác điểm yếu của người dùng sẽ dễ dàng hơn là tìm ra lỗ hổng của mạng hoặc phần mềm. Tin tặc thường sử dụng các chiến thuật Social engineering như là bước đầu tiên trong một chiến dịch lớn hơn để thâm nhập vào hệ thống hoặc mạng và ăn cắp dữ liệu nhạy cảm hoặc phân tán các malware.
Social engineering là nghệ thuật điều khiển mọi người để họ tiết lộ những thơng tin bí mật. Các loại thơng tin mà bọn tội phạm đang tìm kiếm cĩ thể khác nhau, nhưng thường khi một cá nhân bị nhắm làm mục tiêu, bọn tội phạm thường cố lừa người đó cung cấp mật khẩu, thơng tin ngân hàng hoặc cách truy cập máy tính để cài đặt phần mềm độc hại. Social
engineering sử dụng nhiều chiến thuật khác nhau để thực hiện các cuộc tấn cơng.
Bước đầu tiên trong hầu hết các cuộc tấn cơng social engineering là kẻ tấn cơng sẽ thực hiện nghiên cứu và khảo sát về mục tiêu. Ví dụ, nếu mục tiêu là một doanh nghiệp, kẻ tấn cơng cĩ thể thu thập thơng tin tình báo về cấu trúc nhân viên, hoạt động nội bộ, những thuật ngữ chung được sử dụng trong ngành và các đối tác kinh doanh,... Một chiến thuật phổ biến của các social engineering là tập trung vào các hành vi và mơ hình của nhân viên cấp thấp nhưng có khả năng tiếp cận trước tiên, chẳng hạn như nhân viên bảo vệ hoặc nhân viên tiếp tân. Tin tặc cĩ thể quét profile mạng xã hội của người đó để biết thơng tin và nghiên cứu hành vi của họ.
Từ đó, kẻ tấn cơng cĩ thể thiết kế một cuộc tấn cơng dựa trên những thơng tin thu thập được và khai thác những điểm yếu phát hiện được trong giai đoạn khảo sát. Nếu cuộc tấn cơng thành cơng, tin tặc cĩ quyền truy cập vào các dữ liệu nhạy cảm - chẳng hạn như thẻ tín dụng hoặc thơng tin ngân hàng để kiếm tiền từ các mục tiêu hoặc cĩ quyền truy cập vào các hệ thống hay mạng được bảo vệ.
Các loại tấn cơng Social Engineering phở biến bao gồm:
Baiting: Baiting là hình thức tấn cơng mà kẻ tấn cơng để lại một
thiết bị vật lý bị nhiễm phần mềm độc hại, chẳng hạn như ổ flash USB, ở một nơi chắc chắn sẽ được tìm thấy. Sau đó, khi người tìm thấy sẽ sử dụng thiết bị đó, kết nối thiết bị với máy tính của mình và vơ tình đã làm cho máy tính của người dùng bị nhiễm phần mềm độc hại.
Phishing: Phishing là hình thức tấn cơng mà kẻ tấn cơng gửi
một email lừa đảo nhưng được cải trang thành một email hợp pháp (thường giả mạo là từ một nguồn đáng tin cậy). Thơng điệp này nhằm lừa người nhận chia sẻ thơng tin cá nhân hay thơng tin tài chính hoặc nhấp vào liên kết có cài đặt phần mềm độc hại.
Spear Phishing: Spear phishing là kiểu tấn cơng giống như Phishing nhưng được thiết kế riêng cho một cá nhân hoặc một tổ chức cụ thể.
Vishing: Vishing còn được gọi là lừa đảo bằng giọng nĩi là việc
tin tặc sử dụng social engineering qua điện thoại để thu thập thơng tin cá nhân và thơng tin tài chính từ mục tiêu tấn cơng. (Xem thêm: Những "ngĩn nghề" lừa đảo qua điện thoại).
Pretexting: Pretexting là kiểu ấn cơng được sử dụng trong trường
hợp kẻ tấn cơng muốn truy cập vào dữ liệu đặc quyền. Ví dụ, một vụ lừa đảo pretexting cĩ thể liên quan đến việc một kẻ tấn cơng giả vờ cần dữ liệu cá nhân hoặc thơng tin tài chính để xác nhận danh tính của người nhận.
Scareware: Scareware liên quan đến việc lừa nạn nhân nghĩ rằng
máy tính của anh ta bị nhiễm phần mềm độc hại hoặc vơ tình tải xuống nội dung bất hợp pháp. Kẻ tấn cơng sau đó cung cấp cho nạn nhân một giải pháp để khắc phục vấn đề khơng cĩ thật này. Trong thực tế, nạn nhân đơn giản là bị lừa tải xuống và cài đặt phần mềm độc hại của kẻ tấn cơng.
Water-holing: Một cuộc tấn cơng water-holing được kẻ tấn cơng
thực hiện sự cố gắng để thỏa hiệp với một nhóm người cụ thể bằng cách lây nhiễm phần mềm độc hại vào các trang web mà họ thường truy cập vào hoặc tin tưởng.
Diversion theft: Trong loại tấn cơng này, các social engineering sẽ
lừa một cơng ty giao hàng hoặc chuyển phát nhanh nhận hoặc giao sai vị trí, do đó ngăn chặn các giao dịch được thực hiện.
Quid pro quo: Quid pro quo là một cuộc tấn cơng trong đó social
engineering giả vờ cung cấp một cái gì đó để đổi lấy thơng tin hoặc sự hỗ trợ của mục tiêu tấn cơng. Ví dụ, một kẻ tấn cơng chọn ngẫu nhiên các số điện thoại trong một tổ chức và giả vờ gọi lại để hỗ trợ kỹ thuật. Cuối cùng, kẻ tấn cơng sẽ tìm thấy một người đang có vấn đề liên quan đến cơng nghệ và giả vờ giúp đỡ. Thơng qua điều này, kẻ tấn cơng cĩ thể buộc mục tiêu tấn cơng thêm các lệnh để khởi chạy phần mềm độc hại hoặc cĩ thể thu thập thơng tin mật khẩu.
Honey trap: Đây là một kiểu tấn cơng trong đó các social
engineering giả vờ là một người “hấp dẫn” để tương tác với một người trực tuyến hoặc giả mạo một mối quan hệ trực tuyến và thu thập thơng tin nhạy cảm thơng qua mối quan hệ đó.
Tailgating: Tailgating, đơi khi được gọi là piggybacking là hình
thức tấn cơng mà một kẻ tấn cơng xâm nhập vào một tòa nhà được bảo vệ bằng cách theo dõi ai đó có thẻ ra vào tòa nhà đó. Cuộc tấn cơng này giả định người cĩ quyền bước vào tòa nhà đó sẽ giữ cửa mở cho người đứng sau họ (giả sử họ được phép làm điều này ở đó).
Rogue: Phần mềm Rogue là một loại phần mềm độc hại, lừa các
mục tiêu thanh toán để loại bỏ những phần mềm độc hại giả mạo.
Các chuyên gia bảo mật khuyến cáo rằng các bộ phận cơng nghệ thơng tin phải thường xuyên tiến hành kiểm tra để tránh các cuộc thâm nhập cĩ sử dụng các kỹ thuật social engineering. Điều này sẽ giúp quản trị viên hệ thống thơng tin tìm hiểu loại người dùng nào có nguy cơ cao nhất đối với các loại tấn cơng cụ thể, đồng thời xác định các yêu cầu đào tạo bổ sung cho nhân viên của mình.
Đào tạo nâng cao nhận thức về an toàn và bảo mật thơng tin cũng có thể có ích trong việc ngăn chặn các cuộc tấn cơng social engineering. Nếu mọi người biết được những gì hình thành nên các cuộc tấn cơng social engineering và chúng cĩ khả năng thực hiện những điều gì, thì họ sẽ ít cĩ khả năng trở thành nạn nhân hơn.
Trong phạm vi hẹp, các tổ chức, doanh nghiệp phải cĩ các cổng truy cập email và web an toàn để quét email chứa các liên kết độc hại và lọc chúng ra, nhằm làm giảm khả năng các nhân viên sẽ truy cập vào một trong các liên kết khơng an toàn đó. Luơn cập nhật các bản sửa lỗi phần mềm trên các thiết bị cũng rất quan trọng, cũng như theo dõi các nhân viên chuyên xử lý các thơng tin nhạy cảm và kích hoạt các biện pháp xác thực nâng cao cho họ.
3.4. TỔNG KẾT CHƯƠNG 3
Chương 3 đã trình bày các nguy cơ cĩ thể xuất hiện gây mất an tồn và bảo mật thơng tin trong hệ thống thơng tin của tổ chức, doanh nghiệp bao gồm các mối đe dọa, các kiểu tấn cơng và các xu hướng mới gây mất an tồn cho thơng tin trong hệ thống thơng tin của tổ chức, doanh nghiệp.
Các mối đe dọa được phân loại dựa trên nhiều tiêu chí khác nhau. Trong giáo trình này, các mối đe dọa được phân loại theo ba nhĩm: từ các thiết bị phần cứng, từ các phần mềm và từ con người. Các kiểu tấn cơng gây mất an tồn và bảo mật thơng tin cũng được phân chia dựa trên nhiều tiêu chí, trong giáo trình các kiểu tấn cơng được chia thành tấn cơng thụ động và tấn cơng chủ động. Chương 3 cũng trình bày một số xu hướng tấn cơng mới như tấn cơng mạng, tấn cơng vào mật khẩu kiểu mới, tấn cơng dựa trên kỹ nghệ xã hội.
CÂU HỎI ƠN TẬP VÀ BÀI TẬP CHƯƠNG 3
I. CÂU HỎI ƠN TẬP
1. Tấn cơng vào HTTT là gì? Trình bày kịch bản của một cuộc tấn cơng vào HTTT?
2. Cĩ thể phân loại các hình thức tấn cơng vào HTTT theo các tiêu chí nào? Hãy trình bày các hình thức tấn cơng vào HTTT theo các tiêu chí đó?
3. Mối đe dọa là gì? Phân loại và giải thích các mối đe dọa gây mất an tồn thơng tin trong hệ thống thơng tin của tổ chức, doanh nghiệp?
4. Trình bày khái niệm, đặc điểm và lấy ví dụ minh họa về tấn cơng thụ động?
5. Trình bày khái niệm, đặc điểm và lấy ví dụ minh họa về tấn cơng chủ động?
6. Tấn cơng từ chối dịch vụ là gì? Trình bày và phân loại các kiểu tấn cơng từ chối dịch vụ hiện nay?
7. Tấn cơng thăm dò thường được thực hiện khi nào? Vì sao hiện nay tấn cơng thăm dò lại trở nên phổ biến? Hãy giải thích.
8. Tấn cơng truy cập là gì? Vì sao hệ thống mạng doanh nghiệp và mạng Internet phát triển thì tấn cơng truy cập càng tăng nhanh? Hãy giải thích.
II. BÀI TẬP TÌNH HUỐNG
Bài tập 1:
Cho tình huống sau đây:
Tháng 10/2013 Adobe đã cơng bố về việc hãng bị thất thốt dữ liệu bởi các tin tặc. Cụ thể, có đến 2,9 triệu thơng tin cá nhân từ các tài khoản bị đánh cắp từ mạng Internet (bao gồm tên đăng nhập, các mật khẩu, tên thật, số thẻ tín dụng và ngày hết hạn). Ngay sau đó, tệp dữ liệu này được các tin tặc cơng khai trên Internet với con số khủng lên đến 150 triệu tài khoản cá nhân bị đánh cắp (trong đó có 38 triệu tài khoản vẫn còn đang hoạt động). Tuy bị thất thoát ra bên ngoài nhưng may mắn là các thơng tin tài khoản ngân hàng đã được Adobe mã hĩa từ trước đó nên chủ yếu là thơng tin về tài khoản và mật khẩu trên mạng xã hội bị lộ trên mạng Internet. Adobe bị tấn cơng đánh cắp thơng tin khơng chỉ thơng tin về khách hàng của họ mà cịn bị đánh cắp dữ liệu bảo mật về các sản phẩm thương mại. Theo thống kê sau khi cuộc tấn cơng từ mạng Internet xảy ra, Adobe bị đánh cắp đến hơn 40 GB dữ liệu mã nguồn. Trong đó toàn bộ mã nguồn của sản phẩm ColdFusion bị đánh cắp cơng khai trên Internet, một phần mã nguồn Acrobat Reader và cả của Photoshop cũng bị cơng khai trên các trang web. (Theo https://trendmicro.ctydtp.vn/)
Hãy trả lời các câu hỏi sau đây:
1. Hãy liệt kê các kiểu tấn cơng mà Adobe đã gặp phải?
2. Xác định các mối đe dọa và các lỗ hổng mà Adobe cần kiểm sốt? Hãy đề xuất một số giải pháp để kiểm sốt các mối đe dọa và các lỗ hổng đó?
3. Theo bạn các mối đe dọa và các lỗ hổng mà Adobe gặp phải cĩ thể phòng tránh hoàn toàn được khơng? Hãy giải thích.
Bài tập 2:
Vào tháng 1 năm 2014, ngân hàng tín dụng Hàn Quốc (KCB) đã bị tin tặc lấy cắp thơng tin của hơn 100 triệu thẻ tín dụng và hơn 20 triệu tài khoản ngân hàng. Thêm vào đó, một số ngân hàng tại Hàn Quốc cũng chịu thiệt hại khi mất thêm 2 triệu khách hàng vì lo sợ thơng tin cá nhân bị lộ nên họ đã đến ngân hàng để hủy thẻ hoặc đổi sang ngân hàng khác an toàn hơn. Nguyên nhân được cảnh sát phát hiện là cĩ một nhân viên của ngân hàng đã đánh cắp thơng tin cá nhân khách hàng của các cơng ty thẻ tín dụng sau đó chép toàn bộ dữ liệu đó vào ổ cứng. Cuối cùng rao bán dữ liệu này cho các ngân hàng khác và các cơng ty tiếp thị qua điện thoại. Điều này làm cho kẻ tấn cơng chú ý và tổ chức đánh cắp tồn bộ thơng tin thẻ tín dụng này. (Theo https://trendmicro.ctydtp.vn/)
Hãy trả lời các câu hỏi sau đây:
1. Hãy liệt kê các kiểu tấn cơng mà ngân hàng tín dụng Hàn Quốc (KCB) đã gặp phải?
2. Xác định các mối đe dọa và các lỗ hổng mà ngân hàng tín dụng Hàn Quốc cần kiểm soát? Hãy đề xuất một số giải pháp để kiểm sốt các mối đe dọa và các lỗ hổng đó?
3. Theo bạn các mối đe dọa và các lỗ hổng mà ngân hàng tín dụng Hàn Quốc gặp phải cĩ thể phòng tránh hoàn toàn được khơng? Hãy giải thích.
4. Vì sao tấn cơng social engineering rất khó phòng tránh? Trường hợp tấn cơng vào ngân hàng tín dụng Hàn Quốc nói trên có được coi là tấn cơng social engineering hay khơng? Hãy giải thích?