Social Engineering

1. Social Engineering Thành viên: Ngô Đăng Vinh 50903294 Lê Bá Thức: 50902726 Nguyễn Thành Đạt: 10320908

2. NỘI DUNG THUYẾT TRÌNH I. Giới Thiệu về Social Engineering II. Các kiểu tấn công của Social Engineering III.Phòng chống tấn công Social Engineering

3. I. Giới Thiệu về Social Engineering • Social engineering là các thao tác tâm lý (phi kỹ thuật) đánh vào tâm lý của con người, từ sự sơ hở của người đó, lấy được các thông tin bí mật cần thiết.

5. Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống • Các mục tiêu cơ bản của Social engineer cũng giống như mọi trường hợp hack (bẻ khóa) nói chung: để truy cập trái phép vào hệ thống hoặc sử dụng thông tin có được để gian lận, xâm nhập mạng, gián điệp công nghệ, đánh cắp nhận dạng, hoặc đơn giản chỉ để phá vỡ hệ thống hoặc mạng.

6. Mục tiêu điển hình là các công ty viễn thông, các tập đoàn tên tuổi lớn và các tổ chức tài chính, quân sự, các cơ quan chính phủ, và các bệnh viện. • Trong việc tìm kiếm các ví dụ thực tế của Social engineer thường rất khó khăn. Các tổ chức bị tấn công không muốn thừa nhận họ là nạn nhân, vì khi đó, họ sẽ phải thừa nhận một số lỗ hổng bảo mật. Điều đó có thể gây tổn hại đến uy tín của tổ chức.

8. Lý do các tổ chức thường là mục tiêu của Social engineering là vì Social engineering thường là một cách dễ dàng hơn để truy cập bất hợp pháp hơn rất nhiều các dạng hack kỹ thuật. Mọi việc thường đơn giản hơn khi chỉ cần nhấc điện thoại và yêu cầu người nào đó cho biết mật khẩu của mình.

9. II. các kỹ thuật social engineering 1.Tấn công social engineering qua điện thoại 2. thuyết phục(Persuasion) 3. Online Social Engineering 4. Bating

10. 1.Tấn công social engineering qua điện thoại • Đây là hình thức tấn công phổ biến nhất của social engineering và có thể dễ dàng đạt được mục tiêu

11. Attacker có thể giả dạng dưới danh nghĩa là người quản lý, nhân viên nhà nước hoặc có liên quan và dần dần lôi kéo thông tin của người sử dụng.

12. Ví dụ về Social engineering by phone Attacker sẽ gọi Alice vào lúc nửa đêm. • Attacker: “ Có phải bạn đã gọi một cuộc gọi tới Ai Cập trong vòng 6 giờ trước phải không?” • Alice: “Không” • Attacker: “ Vậy à, chúng tôi nhận được cuộc gọi của bạn và cuộc gọi đến bây giờ vẫn chưa kết thúc. Đó là số điện thoại của bạn tới Ai Cập và một vấn đề thực tế, bạn phải trả $2000 cho chi phí cuộc gọi” • Attacker: ”Có thể có nhầm lẫn xảy ra ở đây, chúng tôi sẽ kiểm tra và loại bỏ phí cuộc gọi $2000 này cho bạn, nhưng bạn cần phải đọc số thẻ điện thoại và mã PIN, sau đó chúng tôi sẽ bỏ phí này cho bạn”

13. Người điều hành của một Viện Bảo Mật Máy Tính, đã minh họa cho thấy các nhân viên Hỗ trợ rất dễ bị tấn công khi anh ta “ gọi điện thoại tới công ty, chuyển máy vài cuộc, và cuối cùng gặp nhân viên Hỗ trợ” - “Ai là người giám sát nhiệm vụ tối nay?” - “À, đó là Bety” - “Hãy để tôi nói chuyện với Bety” [Chuyển máy] • “Chào Bety, đây có phải là một ngày xấu?” - “Không, tại sao?” - “Hệ thống của cô đã sập” - “Hệ thống của tôi không sập, nó đang chạy tốt”

14. “Cô hãy thử đăng xuất xem” – anh ta nói. Cô ấy đăng xuất. “Bây giờ, hãy đăng nhập lại” Cô ấy đăng nhập lại. Lúc này, anh ta nói: “Chúng tôi thậm chí không thấy một tín hiệu phát sáng, chúng tôi không thấy có sự thay đổi” Anh ta lại nói: “Bety, đăng xuất lần nữa” Cô ta đăng xuất. “Bety, chúng tôi phải đăng nhập vào tài khoản của cô để biết chuyện gì đang xảy ra với ID của cô. Hãy cho tôi user ID và Password của cô.” Vì thế, nhân viên hỗ trợ này đã nói cho anh ta user ID và Password của mình.

15. Attacker dựa vào thói quen, tâm lý, sự tốt bụng của người dùng, và qua một số thao tác thông minh, lấy được thông tin mà không cần phải đột nhập vào hệ thống.

16. 2. thuyết phục(Persuasion) • Các tin tặc, bằng kinh nghiệm cá nhân có thể tạo ra một cuộc tấn công social engineering dưới góc nhìn tâm lý, nhấn mạnh vào việc làm thế nào tạo ra môi trường tâm lý hoàn hảo cho cuộc tấn công, thuyết phục nạn nhân tin tưởng.

17. Phương pháp cơ bản để thuyết phục bao gồm: mạo danh, lấy lòng, nói về các trách nhiệm, dựa vào sự thân thiện của nạn nhân. • Không phụ thuộc vào phương pháp sử dụng, mục tiêu chính là để thuyết phục nạn nhân rằng các hacker là người có thể tin tưởng khi trao đổi các thông tin nhạy cảm.

18. Chìa khóa quan trọng khác là không bao giờ yêu cầu quá nhiều thông tin tại một thời điểm, nhưng có thểyêu cầu một chút từ mỗi người để duy trì một mối quan hệ thoải mái.

19. Một số nhân vật phổ biến mà hacker sẽ đóng trong một cuộc tấn công mạo danh bao gồm: một thợ sửa máy tính, một nhân viên hỗ trợ IT, một nhà quản lý, một bên thứ ba đáng tin cậy, hoặc một nhân viên theo hợp đồng. • Trong một công ty lớn, không có cách nào để biết tất cả mọi người – ID có thể làm giả. Hầu hết các vai diễn loại này thường là nhân vật có thẩm quyền, các nhân viên muốn gây ấn tượng với ông chủ sẽ tiết lộ thông tin mật.

21. 3. Online Social Engineering • Với hình thức này, việc tấn công social engineering thường được thực hiện thông qua môi trường internet như sử dụng thư điện tử (email) hay tin nhắn nhanh, hoặc thông qua một website giả mạo gần giống với website thật.

22. Vấn đề mật khẩu • Trường hợp Hacker lấy mật khẩu của người dùng: • Rất nhiều người dùng internet sử dụng mật khẩu đơn giản (dễ đoán được) hoặc một mật khẩu dùng chung cho nhiều tài khoản khác nhau (dịch vụ Gmail, Yahoo, Hotmail v.v… • Vì vậy, một khi các Attacker chiếm đoạt được một mật khẩu thì có thể có thể đăng nhập được vào nhiều tài khoản của người dùng.

23. Lừa đảo qua email • Hacker có thể gửi một thông tin về rút thăm trúng thưởng, yêu cầu người nhận cung cấp tên, ID và password. Mail có thể được trang trí với kiểu dáng đẹp, có thể làm ta lầm tưởng đơn vị rút thăm trúng thưởng là một đơn vị hợp pháp. • Một cách khác tấn công là giả vờ nhà quản trị mạng, gửi e-mail thông qua mạng và yêu cầu mật khẩu của người dùng.

24. Lừa đảo qua email • Để lừa nạn nhân tiết lộ thông tin nhạy cảm, email thường có nội dung như thông báo rút thăm trúng thường, hoặc có những câu mệnh lệnh như “xác thực tài khoản” hay “xác nhận thông tin hóa đơn”. • Tới thời điểm này, hầu hết người dùng nên biết không nên tiết lộ ID và Password cho các trường hợp không minh bạch.

25. Lừa đảo qua email • Email cũng có thể được gửi từ một người xác thực nào đó và có đính kèm theo virus, trojan, và được sử dụng như là công cụ để tiếp cận quyền truy cập vào một hệ thống

26. Phát tán các Website lừa đảo • Attacker có thể sử dụng các website giả dạng như kiếm tiền trực tuyến được thiết kế chuyên nghiệp và tỏ ra đáng tin cậy. Các website này yêu cầu nạn nhân cung cấp các thông tin tài khoản ngân hàng để tiến hành trả tiền công hoặc nhập vào thông tin thẻ tín dụng. Nạn nhân có thể không ngần ngại gì khi đang chờ đợi số tiền công hậu hỉnh. Kết cuộc là thông tin nạn nhân nhập vào được gửi thẳng vào địa chỉ email của Attacker.

27. Phát tán các Website lừa đảo • Một hình thức khác là khiêu khích sự tò mò của người dùng internet. Bằng cách chèn vào website những biểu tượng (banner) hoặc những quảng cáo có ý khiêu khích sự tò mò của người dùng. Ví dụ như những hình ảnh khiêu dâm, những nội dung đang nóng. Kết quả sau khi click vào đó thì máy tính của nạn nhân có thể bị nhiểm một loại phần mềm gián điệp(trojan, virus) nào đó, phục vụ cho một vụ tấn công khác.

28. Hình thức tấn công trực tuyến (online social engineering) chiếm đến 47% số vụ tấn công bằng các kỹ thuật khác của social engineering . • Vào năm 2009, 100 người đã bị bắt giữ do tham gia vào một đường dây lừa đảo trực tuyến, gây thiệt hại gần 1.5 triệu USD.

29. 4. Bating • Trong hình thức tấn công này, Hacker dùng cả khía cạnh vật lý và tâm lý để tấn công. • Khía cạnh vật lý có thể là địa điểm của vụ tấn công, chẳng hạn như nơi làm việc, qua điện thoại, thùng rác, trực tuyến • Khía cạnh tâm lý có thể đề cập tới các phương pháp như thuyết phục, mạo danh, lấy lòng, sự thân thiện.

30. Trong hình thức tấn công này, kẻ tấn công để lại một thiết bị như đĩa mềm, CDROM, ổ đĩa flash USB có chứa phần mềm lây nhiễm độc hại ở một vị trí chắc chắn sẽ được nạn nhân tìm thấy (nơi làm việc, thang má, vỉa hè, bãi đậu xe v.v..). Các thiết bị này được dán nhãn gợi sự tò mò, và Attacker chỉ đơn giản là chờ đợi cho các nạn nhân sử dụng thiết bị

31. Ví dụ, Attacker có thể tạo ra một đĩa mềm có dán logo của công ty cần tấn công, và viết “Tóm tắt bảng lương của giám đốc quý 2 năm 2012” ở mặt trước. Attacker sau đó sẽ cố ý đặt đĩa trên sàn thang máy hoặc một nơi nào đó trong tiền sảnh của công ty. Một nhân viên có thể tìm thấy nó và sau đó vì tò mò đã đưa đĩa vào máy tính để xem nội dung. Với thao tác này người nhân viên đã vô tình cài đặt phần mềm độc hại có trên đĩa, và tạo cơ hội cho Attacker truy cập tự do vào máy tính của mình hoặc thậm chí là mạng máy tính nội bộ của công ty.

32. III.Phòng chống tấn công Social Engineering • Một số phương pháp có thể áp dụng: - Thiết lập các chính sách về bảo mật, đào tạo nhân viên về bảo mật, thiết lập thủ tục xử lý thông tin nhạy cảm - Xác định những thông tin nào là nhạy cảm và có chế độ phòng chống social engineering hiệu quả. - Đào tạo nhân viên về việc bảo mật các thông tin liên quan đến vị trí của họ.

33. - Thực hiện kiểm tra định kỳ về việc thực thi chính sách bảo mật thông tin và không báo trước. - Bắt buộc sử dụng các máy hủy tài liệu khi nhân viên bỏ cần hủy các tài liệu mật, chứ không bỏ chúng vào thùng rác - Không để khách hàng, đối tác đến làm việc tại công ty một mình với các máy tính có quyền truy cập vào mạng nội bộ của công ty. - Báo cáo cho nhà quản lý khi thấy cá nhân, tổ chức có các hành vi đáng ngờ xâm phạm đến sự bảo mật thông tin của công ty.

34. TÀI LIỆU THAM KHẢOs • [1] http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics • [2] http://thegioitinhoc.vn/he-dieu-hanh/46502-ky-thuat-social-engineering-phan-i.html • [3] http://www.veracode.com/blog/2013/03/hacking-the-mind-how-why-social-engineering-works/ • [4]http://en.wikipedia.org/wiki/Social_engineering_%28security%29

35. Cám ơn các bạn đã lắng nghe!