IV. Đánh giá, kết luận
1. Kết quả đạt được
Đã tìm hiểu, nghiên cứu và trình bày được tổng quan về kỹ thuật Social Engineering .
Nghiên cứu và tìm hiểu được cách thức hoạt động cũng như cách phòng chống Social Engineering .
Tiến hành thử nghiệm các tấn công trên công cụ SEToolkit. 2. Hạn chế
Do trình độ, khả năng và thời gian cịn hạn chế nên báo cáo của nhóm cịn tồn tại một số điểm hạn chế :
Mặc dù đã tìm tịi, cũng như chủ động trong việc tìm kiếm nguồn tài liệu, báo cáo nước ngoài bằng tiếng Anh để nghiên cứu, nhưng việc thể hiện lại bằng tiếng Việt cịn nhiều bối rối khi chưa truyền tải chính xác các thuật ngữ chuyên ngành. Trong khn khổ báo cáo chưa thể trình bày đầy đủ các cách tấn công, giả mạo
qua email trong kỹ thuật Social Engineering.
Nguồn tài liệu bằng tiếng Việt không nhiều, đặc biệt là các tài liệu chuyên sâu. 3. Hướng phát triển
- Cần nghiên cứu sâu hơn về Social Engineering trong an tồn thơng tin.
4. Tổng kết
SET cung cấp nhiều vectơ và kỹ thuật tấn công, và hầu như không thể trình bày hết chúng trong một bài viết. Tuy nhiên, ta có thể nêu ra những modul tấn cơng chính ở đây:
Phishing attack: Tùy chọn này cho phép bạn chọn từ một số tùy chọn tấn công lừa đảo để giúp bạn quyết định cách tiếp cận nạn nhân của mình. Bạn có thể tạo các thư email có đính kèm các tải trọng độc hại và gửi chúng đến một số lượng nhỏ hoặc nhiều người nhận. Nó cũng cho phép bạn giả mạo địa chỉ email của mình bằng cách thay đổi các biến đơn giản, giúp bạn thực sự dễ sử dụng.
41 | P a g e
Web attack: Mô-đun này kết hợp các tùy chọn khác nhau để tấn công nạn nhân của bạn nhằm thỏa hiệp với nạn nhân từ xa. Nó bao gồm các kỹ thuật tấn cơng như Java Applet Attack và Metasploit Browser Exploit để cung cấp các payload độc hại. Cũng tiện dụng là phương pháp Credential Harvester, cho phép bạn sao chép trang web và thu thập thông tin từ các trường người dùng và mật khẩu, cũng như các kỹ thuật TabNabbing, HTA Attack, Web-Jacking và Multi-Attack, tất cả đều có cùng mục tiêu là lừa đảo người dùng tiết lộ thông tin đăng nhập của họ.
Infectious Media Generator: Tùy chọn thú vị này cho phép bạn tạo thiết bị đa phương tiện bị nhiễm (USB / CD / DVD) với tệp autorun.inf, sau này có thể được chèn vào bất kỳ PC nào và sẽ tự động chạy tải trọng Metasploit nếu tính năng chạy tự động được bật.
Create a Payload and Listener: Bằng cách sử dụng tùy chọn thứ tư từ menu chính, bạn sẽ có thể tạo các payload độc hại cho Windows, bao gồm Shell Reverse_TCP, Reverse_TCP Meterpreter, Shell Reverse_TCP X64 và Meterpreter Reverse HTTPS.
Mass Mailer attack: Loại tấn cơng này có thể được thực hiện chống lại một hoặc nhiều cá nhân, thậm chí cho phép bạn nhập danh sách người dùng để gửi cho bất kỳ người nào bạn muốn. Nó cũng cho phép bạn sử dụng tài khoản Gmail cho cuộc tấn công email của bạn hoặc sử dụng máy chủ của riêng bạn hoặc chuyển tiếp mở để gửi hàng loạt.
Ngồi các tùy chọn chính này, bạn cũng sẽ tìm thấy các lựa chọn tấn cơng hữu ích khác như dựa trên Arduino, Điểm truy cập khơng dây, Trình tạo mã QR và Vectơ tấn cơng Powershell. Bây giờ bạn đã có một cái nhìn tổng thể về Social-Engineering toolkit.
Có nhiều tùy chọn để khám phá khi làm việc với Social-Engineering toolkit. Đối với hướng dẫn này, chúng tôi chỉ đề cập đến cài đặt và các tùy chọn chính, đồng thời cho thấy có thể dễ dàng sử dụng một trong những phương pháp lừa đảo truyền thống nhất hiện có: email giả mạo, có thể bao gồm lời gọi hành động đến một trang web độc hại. Tuy nhiên, cịn có nhiều thứ khác để khám phá, chẳng hạn như cách tệp độc hại, dữ liệu giả mạo, lưu lượng truy cập mạng, v.v. Với những công cụ như thế này trong tầm tay của bạn, bạn không cần phải là một người dùng quá giỏi về kĩ thuật để thực hiện một cuộc tấn công độc hại chống lại các tổ chức hoặc cá nhân. Một điều chúng ta phải luôn nhớ là thực tế là các cuộc tấn công bằng kỹ thuật xã hội không chỉ dựa vào tâm lý con người mà còn dựa vào việc thu thập thông tin tập trung vào nạn nhân. Biết được lượng thông tin bạn đang tiết lộ về cơ sở hạ tầng, ứng dụng và cơng ty của mình là rất quan trọng để giảm bề mặt tấn công của bạn — để ngăn chặn các cuộc tấn công kỹ thuật xã hội cũng như bất kỳ loại tấn công kỹ thuật số nào khác.
42 | P a g e V. Tài Liệu Tham Khảo
Anh, V. H. (2012, May 15). CÔNG CỤ KHAI THÁC SOCIAL ENGINEERING RA LÒ
PHIÊN BẢN 3.2. Retrieved December 12, 2021, from manthang.wordpress.com:
https://manthang.wordpress.com/2012/05/15/hva-news-cong-cu-khai-thac-social- engineering-ra-lo-phien-ban-3-2/
BORGES, E. (2020, January 23). securitytrails. Retrieved December 12, 2021, from securitytrails.com: https://securitytrails.com/blog/the-social-engineering-toolkit Duong, V. (2021, July 4). Kali Tools. Retrieved December 12, 2021, from
thekalitools.com: https://www.thekalitools.com/2017/04/tim-hieu-ve-social- engineering-toolkit.html
43 | P a g e
Hung, V. (2015, September 16). Giới thiệu công cụ Social-Engineer Toolkit –Phần 2. Retrieved December 12, 2021, from whitehat.vn: https://whitehat.vn/threads/gioi- thieu-cong-cu-social-engineer-toolkit-%E2%80%93phan-2.5727/
Kennedy, D. (2021, June 12). OPEN SOURCE TOOLS. Retrieved December 12, 2021, from trustedsec.com: https://www.trustedsec.com/tools/the-social-engineer- toolkit-set/
Kennedy, D. (2021, January 12). Social Engineering Toolkit. (TrustedSec) Retrieved December 12, 2021, from Github: https://github.com/trustedsec/social-engineer- toolkit
RAMADHAN, B. F. (2021, March 2). Kali Linux: Social Engineering Toolkit. Retrieved December 12, 2021, from linuxhint.com: https://linuxhint.com/kali-linux-set/