Một hacker có thể giả danh một nhân viên hoặc ăn cấp danh tính của một nhân viên để thâm nhập vào hệ thống. Thông tin được thu thập thông qua kỹ thuật Dumpster Diving hoặc Shoulder Surfing kết hợp với việc tạo ID giả (fake ID) có thể giúp các
dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong email, và được dẫn đến một trang web giả mạo. Hacker nắm bắt thông tin có lợi cho mục đích tài chính hoặc chuẩn bị cho một cuộc tấn công khác. Trong các cuộc tấn công, con mồi là những người dùng bình thường, họ chỉ biết cung cấp những thông tin mà hacker yêu cầu. Vì vậy, phía cần phòng chống là các công ty cung cấp dịch vụ, làm sao cho hacker không thể giả mạo.
2.5.4. Online Scams
Một số trang web cung cấp miễn phí hoặc giảm giá đặc biệt vài thứ gì đó, có thể thu hút một nạn nhân đăng nhập bằng username và password thường dùng hằng ngày để đăng nhập vào hệ thống máy tính của công ty. Các hacker có thể sử dụng tên người dùng và mật khẩu hợp lệ, khi nạn nhân nhập vào các thông tin trên website.
Đình kèm vào email những đoạn mã độc hại để gửi cho nạn nhân, những thứ đó có thể là một chương trình keylogger để chụp lại mật khẩu. Virus, trojan, worm là những thứ khác có thể được đính kèm vào email để dụ dỗ người dùng mở file. Trong ví dụ dưới đây mà một email bất chính, dùng để dụ nạn nhân mở một liên kết không an toàn.
Pop-up windows cũng là một kỹ thuật tương tự. Trong cách thức này, một cửa sổ pop-up sẽ mở ra với lời mời người dùng cài vào máy tính một phần miễn phí. Vì nhẹ dạ mà nạn nhân vô tình cài vào một mã độc hại.
2.5.5. URL Obfuscation
URL thường được sử dụng trong thanh địa chỉ của trình duyệt để truy cập vào một trang web cụ thể. URL Obfuscation là làm ẩn hoặc giả mạo URL xuất hiện trên các thanh địa chỉ một cách hợp pháp. Ví dụ địa chỉ http://204.13.144.2/Citibanj có thể xuất hiện là địa chỉ hợp pháp cho ngân hành Citibank, tuy nhiên thực tế thì không. URL Obfuscation sử dụng để làm cho cuộc tấn công và lừa đảo trục tuyến trở nên hợp pháp hơn. Một trang web xem qua thì hợp pháp với hình ảnh, tên tủi của công ty, nhưng những liên kết trong đó sẽ dẫn đến những trang web của hacker.
Việc giả mạo có thể nhắm đến những người dụng bất cẩn. Ví dụ bạn vào trang web http://ebay.com và thực hiện giao dịch bình thường. Tuy nhiên, bạn đã vào trang giả mạo của hacker, vì trang web của ebay là https://ebay.com Khác biệt là ở chổ giao thức http và https.
2.6. Các mối đe dọa Socal Engineering
2.6.1. Online Threats
Sự phát triển mạnh mẽ của internet, nhu cầu kết nối máy tính để phục vụ cho công việc, đáp ứng các yêu cầu thông tin tự động cả outsite và inside. Sự kết nối này là cơ hội giúp các hacker tiếp cận với nhân viên. Các hoạt động tấn công như email, pop- up windows, instant message sử dụng trojan, worm, virus...gây thiệt hại và phá hủy tài nguyên máy tính. Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp. Một cuộc tấn công Social engineering có thể giúp cho hacker thu thập được những thông tin cần thiết, chuẩn bị cho một cuộc tấn công mạnh mẽ khác sau đó. Vì thế, phải có lời khuyên và những khuyến cáo cho nhân viên, là làm thế nào để nhận diện và tránh các cuộc tấn công Social engineering trực tuyến.
Các mối đe dọa từ Email (Email Threats): Nhiều nhân viên nhận được hàng
chục hàng trăm mail mỗi ngày, từ cả các hoạt động kinh doanh, và từ hệ thống email riêng. Khối lượng email nhiều có thể làm cho việc kiểm tra email trở nên khó khăn hơn, và mức độ cảnh giác đối với email mạo danh cũng giãm đi. Đó chính là cơ hội cho hacker mạo danh người gửi là một người quen để dụ dỗ nạn nhân cung cấp những thông tin cần thiết.
Một ví dụ của tấn công kiểu này là gửi email đến các nhân viên nói rằng ông chủ muốn tất cả lịch nghỉ của nhân viên để tổ chức một cuộc hợp. Chỉ đơn giản là làm cho email gửi đến nhân viên bắt nguồn từ ông chủ. Các nhân viên vì không thận trọng nên đã cung cấp thông tin yêu cầu một cách không ngần ngại. Sự hiểu biết về lịch trình nghỉ của nhân viên có thể không là mối đe dọa gì đến bảo mật, nhưng nó có ý nghĩ với hacker, biết được khi nào nhân viên vắng mắt. Hacker sau đó có thể giả dạng nhân viên vắng mặt, và có thể giảm thiểu khả năng bị phát hiện.
Vụ lừa đảo liên quan đến email, thường mục tiêu là ngân hàng, công ty thẻ tín dụng, hoặc tổ chức liên quan tài chính. Email yêu cầu người nhận xác nhận thông tin ngân hàng, hoặc đặt lại email, mã số PIN. Người dùng click vào một đường link trong
sao cho hacker không thể giả mạo.
Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes): Không thực tế các nhân viên sử dụng internet không chỉ cho mục đích làm
việc của công ty. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như mua sắm hoặc nghiên cứu trực tuyến. Thông qua trình duyệt cá nhân của nhân viên hệ thống máy tính công ty có thể tiếp xúc với các hoạt động của Social Engineer. Mặc dù điều này có thể không là mục tiêu cụ thể của hacker, họ sẽ sử dụng các nhân viên trong một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục đích phổ biến là nhúng một mail engine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising hoặc các tấn công khác vào email của cá nhân hay của công ty.
Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví dụ, một download miễn phí các ứng dụng tăng tốc máy tính. Với những nhân viên có kinh nghiệm (nhân viên IT chẳng hạn) không dễ bị mắc lừa bởi kiểu lừa bịp này. Nhưng với các user thiếu kinh nghiệm thì các phương thức này có thể đe dọa và lừa được họ.
Bảo vệ user từ các ứng dụng pop-up Social Engineering phần lớn là một chức năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ không nên bấm vào cửa sổ pop-up, trước khi có sự ý kiển của nhân viên phòng IT.
Instant Mesaging Có một số mối đe dọa tiềm tàng của IM khi nó được hacker
nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, kèm theo đó là lựa chọn cho mình một cái tên giả mạo (nickname), nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đã quen biết. Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM.
2.6.2. Telephone-Based Threats
Điện thoại là môi trường mà người ta ít quan tâm đến việc bảo mật, cũng ít có hacker tấn công phá hổng hệ thống điện thoại. Nhưng sử dụng điện thoại để phục vụ cho mục đích tấn công mạng khác thì không phải không có. Gọi điện thoại đến nạn, thuyết phục họ cung cấp thông tin bằng một kịch bản tình huống giả được các hacker viết trước, đó là chính mối đe dọa lớn nhất của kỹ thuật tấn công Social engineering sử dụng điện thoại.
Không dừng lại ở đó, VoIP đang dần dần phát triển, ngày càng có nhiều doanh nghiệp sử dụng VoIP. Việc tấn công vào mạng VoIP để nghe lén cuộc gọi là điều mà các hacker đang tiến tới. Việc nghe lén cuộc gói trước đây chỉ phục vụ cho tổ chức an ninh, phòng chống tội phạm. Nhưng nó đã bị các hacker lợi dụng để nghe lén những thông tin bàn thảo của các vị giám đốc.
2.6.3. Waste Management Threats
Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc các thông tin nền như các biểu đồ tổ chức và danh sách điện thoại. Các loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công.
Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng.
Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc phương tiện lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở hữu nó có thể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không được coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải đưa ra lời khuyên về xử lý rác thải.
Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt vào máy hủy, chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy nó, thì phải phát triển một giao thức cho việc vứt bỏ.
thải là đặc tả của việc phân loại dữ liệu. Bạn xác định loại giấy khác nhau dựa trên các thông tin và chỉ định cách thức nhân viên quản lý sự vứt bỏ của họ. Ví dụ có thể phân thành các loại: Bí mật công ty, riêng tư, văn phòng, công cộng...
2.6.4. Personal Approaches
Cách rẻ nhất và đơn giản nhất cho hacker lấy thông tin là hỏi trực tiếp. Cách tiếp cận này có vẻ thô lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật. Có 4 cách tiếp cận chính minh chứng thành công của social engineer:
Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm quyền để ép buộc mục tiêu làm theo yêu cầu.
Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng.
Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí, thông tin từ mục tiêu.
Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sự trợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker đánh cắp nhận dạng của mục tiêu.
Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Nó phụ thuộc khá nhiều vào nhận thức của nhân viên. Việc phát triển một môi trường làm việc cộng đồng tin cậy sẽ làm giảm mức độ thành công của hacker. Thường xuyên tổ chức những chương trình tập huấn về mức độ rủi ro của an ninh cho nhân viên là cách tốt nhất giúp họ nâng cao nhận thức, chống lại kiểu tấn công này.
2.6.5. Reverse Social Engineering
Là một hình thức cao hơn social engineering, giải quyết các khó khăn phổ biến của social engineering bình thường. Hình thức này có thể mô tả là một user hợp pháp của hệ thống hỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker được cho là có vị trí cao hơn user hợp pháp, người thực sự là mục tiêu. Để thực hiện một tấn công RSE, kẻ tấn công phải có sự hiểu biết về hệ thống và luôn luôn phải có quyền truy xuất
trước đó đã được cấp cho anh ta, thường là do social engineering bình thường tiến hành.
Tấn công RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự giúp đỡ. Sau khi đạt quyền truy xuất bằng các phương tiện khác, hacker phá hoại workstation bằng cách làm hư station, hoặc làm cho nó có vẻ là hư hỏng. Với sự phong phú các thông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo có thể thực hiện việc phá hoại. Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự giúp đỡ. Để là người được user gọi tới, kẻ tấn công phải quảng bá là hắn ta có khả năng sửa được lỗi. Sự quảng bá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung quanh các văn phòng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo lỗi.
2.7. Biện pháp đối phó Social Engineering
Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến vấn đề về xã hội nên việc phòng chống nó có chút rắc rối về cách tư cách của con người. Có một số cách để làm điều này.
Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống. Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công ty.
Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết. Khi nhân viên của bạn hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của phòng an ninh.
Vấn đề về con người cũng không kém quan trọng. Vì kỹ thuật tấn công này chủ yếu liên quan đến tư tưởng con người. Sự lơ là của nhân viên, sự mất lòng tin của nhân viên cũng là nguy cơ mất an toàn cho hệ thống.
Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích của an ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho việc phân phối những mục đích này.
Đánh giá rủi ro: Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa social engineering và hợp lý hóa mối nguy hiểm trong tổ chức.
phát triển chúng.
2.8. Tổng kết
Social engineering là kỹ thuật xã hội, dùng mối quan hệ con người để thu thập tin cần thiết phục vụ cho những cuộc tấn công phía sau.
Quan trọng nhất trong kỹ thuật này là dựa vào điểm yếu của con người.
Các bước thực hiện một cuộc tấn công Social engineering là: Thu thập thông tin, chọn mục tiêu, tấn công.
Các kiểu tấn công phổ biến có thể kể đến như: Insider Attack, Indentify Theft, Online Scam, Phising…
Và cuối cùng là để phòng chống lại kiểu tấn công này, không có cách nào hiểu quả bằng cách giáo dục cho nhân viên của bạn những thù đoạn lừa đảo để họ tự cảnh giác