Trung Quốc công thâm nhập quan liên bang cơng mang tên ‘Byzantime Candor’, dị dỉ thơng tin bên ngồi Mạng gián điệp những hacker liên kết với quân đội, phần công mang tên “Byzantine Candor”, lấy 50 MB tin nhắn từ từ quan liên bang với danh sách hoàn User Name Password quan đó, khả cơng bố khả bị dị dỉ thơng tin từ ngoại giao Tiêu chuẩn cho dây cáp, chúng gán mác SECRET//NORN năm 2008, Byzantine Candor xảy vào cuối năm 2002, lúc hacker xâm nhập nhiều hệ thống, bao gồm nhà cung cấp dịch vụ Internet thương mại, phần thông qua công sử dụng kỹ thuật Social Engineering, hay gọi kĩ thuật lừa đảo Theo Air Force Office of Special Investigations tìm thấy mối quan hệ dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc xâm nhật hệ thống, ÍP mỹ họ tải email, file đính kèm, User Name, Passwords từ quan liên bang dấu tên khoảng thời gian từ tháng đến tháng 10 ngày 13 năm 2008 http://www.fiercegovernmentit.com Các chủ đề trình bày  Social Engineering  Tại Social Engineering lại hiệu  Các giai đoạn công Social Engineering  Các mục tiêu phổ biến Social Engineering  Social Engineering through Impersonation miền mạng Social  Ảnh hưởng mạng Xã hội tới mạng doanh nghiệp  Ăn cắp ID  Thế Steal Indentity  Các kiểu Social Engineering  Biện pháp đối phó Social Enginneering  Các chiến thuật xâm nhập phổ biến  Thử nghiệm Social Engineering chiến lược phòng chống Khái niệm Social Engineering Mạo danh mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Engineering Ăn cắp ID Thử nghiệm xâm nhập Khơng có bất kz vá lỗi người ngu ngốc Social Engineering  Social Engineering nghệ thuật thuyết phục người tiết lộ thơng tin bí mật  Social Engineering phụ thuộc vào thứ mà người thông tin chúng bất cẩn việc bảo vệ Thơng tin bí mật Chi tiết truy cập Chi tiết việc uỷ quyền Các hành vi dễ bị công Sự tin tưởng tảng công Social Engineering Các mục tiêu hỏi để trợ giúp họ tuân theo quy định mang tính nghĩa vụ đưa Sự thiếu hiểu biết Social Engineering hiệu ứng đội ngũ nhân viên khiến cho tổ chức mục tiêu dễ dàng Socal Engineers đe doạ nghiêm đến việc mát trường hợp không tuân thủ yêu cầu họ (tổ chức) Social Engineers thu hút mục tiêu tiết lộ thơng tin đầy hứa hẹn Những yếu tố làm doanh nghiệp dễ bị cơng Đào tạo an ninh cịn thiếu Thiếu sách an ninh Dễ dàng truy cập thơng tin Nhiều đơn vị tổ chức Tại Social Engineering Lại Hiệu Quả Chính sách bảo mật mạnh liên kết yếu người yếu tố nhạy cảm Khơng có phần mêm hay phần cứng chống lại cơng Social Engineering Rất khó để phát Social Engineering Khơng có phương pháp chắn để đảm bảo an ninh cách đầy đủ từ công Social Engineering Những Dấu Hiệu công Tấn công mạng Internet trở thành ngành kinh doanh Attacker liên tục cố gắng để xâm nhập mạng Không cung cấp số gọi lại Yêu cầu phi thức Yêu cầu thẩm quyền đe doạ không cung cấp thông tin cho thấy vội vàng vơ tình để lại tên Bất ngờ khen tặng ca ngợi Thấy khó chịu đặt câu hỏi Biện pháp đối phó Social Engineering Đào tạo Một chương tình đào tạo hiệu nên bao gồm tất sách bảo mật phương pháp để nâng cao nhận thức Social Engineering Nguyên tắc hoạt động Đảm bảo an ninh thông tin nhạy cảm ủy quền sử dụng tài ngun Biện pháp đối phó Social Engineering phân loại thơng tin đặc quyền truy cập Kiểm tra nhân viên sử l{ đình đắn tần xuất phản hồi thích hợp Phân loại thơng tin tối mật, độc quyền, sử dụng nội bộ, sử dụng công cộng Trong nội tiềm tàng hình nhân viên bị việc rễ dàng cho việc mua thơng tin cần phải có quản trị viên, người sử dụng tài khoản phải ủy quyền thích hợp cần có phản ứng thích hợp cho trường hợp cố gắng sử dụng Social Engineering Biện pháp đối phó Social Engineering Xác thực hai thành phần Thay mật cố định, sử dụng xác thực hai thành phần cho dịch vụ mạng có nguy cao VPN Modem Pool Phòng thủ Anti-Virus/Anti-Phishing sử dụng nhiều lớp để phòng chống virus người dùng đầu cuối mail gateway để giảm thiểu công Social Engineering Thay Đổi Công tác quản l{ việc thay đổi quy trình quản l{ tài liệu bảo mật trình ad-hoc Làm để phát Email giả mạo Nó bao gồm liên kết dẫn đến trang web giả mạo yêu càu nhập thông tin cá nhân click Email lừa đảo đến từ ngân hàng, tổ chức tài chính, cơng ty mạng xã hội Giống đến từ người danh sách điện email bạn Chỉ đạo để gọi điện thoại để cung cấp số tài khoản số điện thoại cá nhân, mật thơng tin bí mật Nó bao gồm logo viên chức thông tin khác lấy trực tiếp từ trang web hợp pháp thuyết phục bạn tiết lộ chi tiết cá nhân bạn Thanh công cụ chống lừa đảo: Netcraft Thanh công cụ chống lừa đảo: PhishTank Biện pháp đối phó việc đánh cắp Identity bảo đảm xé nhỏ tất tài liệu có chứa thơng tin cá nhân Luôn giữ cho hồm thư bạn an tồn, làm chúng cách nhanh chóng Đảm bảo tên bạn khong xuất danh sách người tiếp thị Nghi nghờ xác minh lại tất yêu cầu cho liệu cá nhân Xem xét báo cáo thẻ tính dụng bạn cách thường xuyên Không bao giời để thẻ tín dụng bạn tầm nhìn bạn Bảo vệ thông tin cá nhân bạn công bố công khai Không đưa thông tin cá nhân điện thoại Không hiển thị số tài khoản số liên lạc trừ bắt buộc Khái niệm Social Engineering Mạo danh mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Engineering Ăn cắp Identity Thử nghiệm xâm nhập Thử nghiệm Social Engineering Mục tiêu thử nghiệm Social Engineering để thử nghiệm sức mạnh yếu tố người chuỗi bảo mật tổ chức Thử nghiệm Social Engineering thường sử dụng để nâng cao trình độ nhận thức bảo mật nhân viên người thử nghiệm phải chứng tỏ cẩn thận chun nghiệp tử nghiệm Social Engineering có liên quan đến vấn đề pháp l{ vi phạm quyền riêng tư dẫn đến tình lúng túng cho chức Kỹ làm việc tốt cá nhân Trò chuyện thân thiện cách tự nhiên Kỹ giao tiếp tốt Sáng tạo Thử nghiệm Social Engineering có dược ủy quyền xác dịnh phạm vi thử nghiệm có danh sách email địa liên lạc mục tiêu xác định từ trước Thơng tin có hợp lệ khơng thu thập email địa liên lạc chi tiết nhân viên tổ chức mục tiêu thu thập thông tin cách sử dụng kỹ thuật footpringting Thơng tin có hợp lệ khơng Tạo kịch với bối cảnh cụ thể Có ủy quyền quản l{ rõ ràng chi tiết giúp cho việc xác định phạm vi kiểm tra, chẳng hạn danh sách danh sách phòng ban, nhân viên cần phải kiểm tra, mức độ xâm nhập vật l{ Thu thập địa email chi tiết liên lạc tổ chức mục tiêu nguồn nhân lực ( không cung cấp) cách sử dụng cá kỹ thuật Dumpster diving, đoán email, USENET trang web tim kiếm, công cụ bẫy email Email Extractor Cố gắn triết xuất thông tin nhiều tốt mục tiêu xác định cách sử dụng kỹ thuật footprinting Tạo kịch dựa thông tin thu thập xem xet kết tích cực tiêu cực cố gắng Thử nghiệm Social Engineering: Sử Dụng Emails Email nhân viên yêu cầu thông tin cá nhân thông tin cá nhân triết xuất Tất tài liệu phục hồi thông tin tương ứng với nạn nhân Gửi theo dõi mail có mã độc hại cho nạn nhân Tập tin đính kèm mở Tất tài liệu nạn nhân Gửi email lừa đảo cho nạn nhân mục tiêu Phản hồi nhận Tất tài liệu phản hồi lại tương ứng với nạn nhân Email nhân viên yêu cầu thông tin cá nhân tên người dùng mật cách cải trang quản trị mạng, hỗ trợ kỹ thuật, bất kz từ phận khác lấy l{ có trường hợp khẩn cấp Gửi email tới mục tiêu có đính kèm file độc hại theo rõi phản ứng họ với file đính kèm cách sử dụng cơng cụ ReadNotify Gửi email lừa đảo tới mục tiêu thể từ ngân hàng yêu cầu thơng tin nhạy cảm từ họ (bạn cần phải có cho phép cần thiết cho việc Thử nghiệm Social Engineering: Sử Dụng Điện Thoại Gọi điện thoại đến mục tiêu đặt giả vờ đồng nghiệp yêu cầu thông tin nhạy cảm Gọi đến mục tiêu cung cấp cho họ phần thưởng thay cho thông tinh cá nhân họ Gọi điện thoại đến mục tiêu đặt giả vờ user quan trọng Đe dạo mục tiệu với hậu quản nghiêm trọng (vd tài khoản bị vơ hiệu hóa) để có thơng tin Gọi điện thoại đến mục tiêu đặt giả vờ nhân viên hỗ trợ kỹ thuật yêu cầu họ thông tin nhạy cảm Sử dụng kỹ thuật Reverse Social Engineering cho mục tiêu mang lại lại thông tin Đề cập đến người quan trọng tổ chức cố gắng thu thập liệu Thử nghiệm Social Engineering: In Person kết bạn với nhân viên quán ăn tự phục vụ cố gắng để lấy thông tin cố gắng vào cổng sau đeo thẻ ID giả piggyback cố gắng vào trụ sở kiểm toán viên bên cố gắng nghe trộm nên surfing hệ thông người sử dụng cố gắng vào trụ sở nhân viên kỹ thuật tất tài liệu tìm thấy nằm báo cáo Thành công bất kz kỹ thuật Social Engineering phục thuộc vào người thử nghiệm cách đưa kịch thử nghiệm kĩ giao tiếp có vơ số kỹ thuật Social Engineering dựa thơng tin có sẵn phạm vi thử nghiệm Luôn xem xét bước thử nghiệm có vấn đề pháp lý khơng Social Engineering nghệ thuật thuyết phục người tiết lộ thông tin Social Engineering liên quan đến việc thu thập thông tin nhạy cảm đặc quyền truy cập không phù hợp với người Social Engineering liên quan đến việc thu thập thông tin nhạy cảm đặc quyền truy cập khơng phù hợp với người ngồi Kĩ thuật Computer-based đề cập đến việc sử dụng phần mềm máy tính để lấy thơng tin mong muốn Phịng thủ thành cơng phụ thuộc vào sách tốt việc thi hành sách có siêng hay khơng bạn nghĩ cơng nghệ giải vấn đề bảo mật bạn, bạn khơng hiểu vấn đề bạn khơng hiểu cơng nghệ ... http://www.fiercegovernmentit.com Các chủ đề trình bày  Social Engineering  Tại Social Engineering lại hiệu  Các giai đoạn công Social Engineering  Các mục tiêu phổ biến Social Engineering  Social Engineering through... nhập phổ biến  Thử nghiệm Social Engineering chiến lược phòng chống Khái niệm Social Engineering Mạo danh mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Engineering Ăn cắp ID Thử... chuyển gọi Khái niệm Social Engineering Kỹ thuật Social Engineering Mạo danh mạng xã hội Ăn cắp Identity Biện pháp đối phó Social Engineering Thử nghiệm xâm nhập Social Engineering thơng qua