Social Engineering 1 HỌC VIỆN CÔNG NGHỆ B ƯU CHÍNH VIỄN THÔNG CƠ SỞ TPHCM  ĐỒ ÁN MÔN HỌC: SOCIAL ENGINEERING GVHD: Ths. Lê Phúc SVTH: Hồ Ngọc Thiện Trần Thị Thùy Mai TP.Hồ Chí Minh, 4/ 2009 Social Engineering 2 MỤC LỤC Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G 1.1 Khái niệm về Social Engineering 1.2 Thủ thuật 1.3 Điểm yếu của con người Chương 2: PHÂN LOẠI 2.1 Human – based 2.1.1 Impersonation 2.1.2 Important User 2.1.3 Third-party Authorization 2.1.4 Technical Support 2.1.5 In Person 2.2 Computer – based 2.2.1 Phising 2.2.2 Vishing 2.2.3 Pop-up Windows 2.2.4 Mail attachments 2.2.5 Websites 2.2.6 Interesting Software Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING 3.1 Thu thập thông tin 3.2 Chọn mục tiêu 3.3 Tấn công Chương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 4.1 Các mối đe dọa trực tuyến (Online Threats) 4.1.1 Các mối đe dọa từ E-mail (E-mail Threats) 4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes) 4.1.3 Instant Mesaging 4.2 Telephone-Based Threats 4.2.1 Private Branch Exchange 4.2.2 Service Desk 4.3 Waste Management Threats 4.4 Personal Approaches 4.4.1 Virtual Approaches 4.4.2 Physical Approaches 4.5 Reverse Social Engineering Chương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 5.1 Xây dựng một framework quản lý an ninh 5.2 Đánh giá rủi ro 5.3 Social engineering trong chính sách an ninh Social Engineering 3 Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL ENGINEERING 6.1 Sự nhận thức 6.2 Quản lý sự cố 6.3 Xem xét sự thực thi 6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâu Social Engineering 4 Social Engineering 5 1.1 Khái niệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email ho ặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy tr ên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay tr ả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nh ìn thấy một người mặc đồng phục m àu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây l à một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 1.2 Thủ thuật: Social Engineering bao g ồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số ng ười. Kết quả của social engineer l à lừa một người nào đó cung cấp thông tin có giá trị hay sử dụng thông tin đó. Nó tác động lên phẩm chất vốn có của con ng ười, chẳng hạn nh ư mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering là th ủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà attacker muốn. Nó không phải l à cách điều khiển suy nghĩ ng ười khác, và nó Social Engineering 6 không cho phép attacker làm cho ngư ời nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút n ào. Tuy nhiên, đó là m ột phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng : Social engineering là vi ệc lấy được thông tin cần thiểt từ một ng ười nào đó hơn là phá hủy hệ thống. Psychological subversion : mục đích của hacker hay attacker khi s ử dụng PsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích t ình huống, và suy nghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, v à nó thường sử dụng trong quân đội. Xem xét tình huống sau đây: Attacker : “ Chào bà, tôi là Bob, tôi mu ốn nói chuyện với cô Alice” Alice: “ Xin chào, tôi là Alice”. Attacker: ” Chào cô Alice, tôi g ọi từ trung tâm dữ liệu, xin lỗi v ì tôi gọi điện cho cô sớm thế này…” Alice: ” Trung tâm d ữ liệu à, tôi đang ăn sáng, nhưng không sao đ âu.” Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.” Alice: ” Của tôi à à vâng.” Attacker: ” Tôi thông báo v ới cô về việc server mail vừa bị sập tối qua, v à chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.” Alice: ”Vậy mail của tôi có bị mất không?” Attacker: “Không đâu, chúng tôi có th ể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp v ào hệ thống mail của văn phòng, nên chúng tôi c ần có password của cô, nếu không chúng tôi không thể l àm gì được.” Alice: ”Password c ủa tôi à?uhm ” Attacker: ”Vâng, chúng tôi hi ểu, trong bản đăng kí ghi r õ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân) Attacker: ” Username c ủa cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có th ể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, v à chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô v ào bất cứ mục đích nào khác.” Alice: ” uhm, pass này c ũng không riêng tư lắm đâu, pass của tôi l à 123456” Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong v ài phút nữa.” Alice: ” Có chắc là mail không bị mất không?” Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể t ìm số liên lạc ở trên Internet.” Alice: ” Cảm ơn.” Attacker: ” Chào cô.” 1.3 Điểm yếu của mọi người: Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Social Engineering 7 Để đề phòng thành công thì chúng ta ph ải dựa vào các chính sách t ốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là p hương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. Chú ý: Social engineering t ập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống đ ược bảo mật tốt nhất chỉ khi nó bị ngắt điện. Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể l à một trở ngại lớn. Bất cứ thông tin n ào thu thập được đều có thể dùng phương pháp Social engineering đ ể thu thập thêm thông tin. Có ngh ĩa là một người không nằm trong chính sách b ảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuy ên gia bảo mật cho rằng cách bảo mật giấu đi thông tin th ì rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có s ự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống. Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc d ù cách này rất khó thành công, nhưng đây là phương pháp d ễ nhất, đơn giản nhất. Người đó biết chính xác họ cần g ì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác h ơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức n ào, bởi vì attacker có thể tạo ra những lý do thuyết phục h ơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu đư ợc càng nhiều. Không có nghĩa l à các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng đ ược sử dụng trong Social engineering l à một trí nhớ tốt để thu thập các sự kiện. Đó l à điều mà các hacker và sysadmin n ổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ. Social Engineering 8 Social Engineering 9 Social engineering có th ể chia làm 2 loại: human based và computer based. 2.1 Human-based Social engineering : là việc trao đổi giữa người với người để lấy được thông tin mong mu ốn. Các kỹ thuật social engineering dựa v ào con người có thể đại khái chia thành: 2.1.1 Impersonation: với kiểu tấn công social engineering n ày, hacker giả làm một nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt đ ược quyền truy xuất. Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đó thu thập một số thông tin có liên quan đến công ty đó. Có một quy luật được thừa nhận trong giao tiếp x ã hội là khi nhận được sự giúp đỡ từ một ng ười nào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả. Có thể xem nó như là một sự biết ơn. Sự biết ơn luôn thấy trong môi trường hợp tác. Một nhân vi ên sẽ sẵn sàng giúp đỡ người khác với mong muốn là sau này có thể người ta sẽ giúp lại họ. Social engineers cố gắng tận dụng đặc điểm xã hội này khi mạo nhận người khác. Những mưu mẹo này đã được sử dụng trong quá khứ cũng nh ư một sự ngụy trang để đạt đ ược sự truy xuất vật lý. Nhiều thông tin có thể đ ược lượm lặt từ bàn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên ở cửa. 2.1.2 Posing as Important User : Sự mạo nhận đạt tới một mức độ cao h ơn bằng cách nắm lấy đặc điểm của một nhân vi ên quan trọng lời nói của họ có giá trị và thông thường đáng tin cậy hơn. Yếu tố biết ơn đóng vai trò để nhân viên vị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta. Kẻ tấn công giả dạng nh ư một user quan trọng có thể lôi kéo dễ dàng một nhân viên người mà không có sự đề phòng trước. Social engineer sử dụng quyền lực để hăm dọa thậ m chí là đe dọa báo cáo nhân viên với người giám sát nhân viên đó nếu họ không cung cấp thông tin theo y êu cầu. 2.1.3 Third-person Authorization : Một kỹ thuật social engineering phổ biến khác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đ ã được chấp nhận của sự ủy quyền chỉ định. Chẳng hạn một ng ười chịu trách nhiệm cho phép truy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta và lợi dụng sự vắng mặt của anh ta nh ư là lợi thế để truy xuất tài nguyên. Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh ta đã được chấp nhận để truy xuất thông tin. Đây có thể l à hiệu quả đặc biệt nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngo ài - nơi mà sự xác minh không thể ngay lập tức. Người ta có khuynh h ướng làm theo sự giao phó ở nơi làm việc, thậm chí họ nghi ngờ rằng những y êu cầu có thể không hợp pháp. Người ta có khuynh hướng tin rằng những ng ười khác đang thể hiện những quan điểm đúng của họ khi họ tuy ên bố. Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần. Social Engineering 10 2.1.4 Technical Support: một chiến thuật thường hay được sử dụng, đặc biệt khi nạn nhân không phải l à chuyên gia về kỹ thuật. Kẻ tấn công có thể giả l àm một người bán phần cứng hoặc kỹ thuật vi ên hoặc một nhà cung cấp liên quan máy tính và ti ếp cận với nạn nhân. 2.1.5 In Person: Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục ti êu và quan sát tình hình cho thông tin. H ắn ta có thể cải trang chính anh ta th ành người phân phối thư, người lao công hoặc thậm chí rong ch ơi như một vị khách ở hành lang. Anh ấy có thể giả làm nhà kinh doanh, khách ho ặc kỹ thuật viên. Khi ở bên trong, anh ta có thể nhìn password trên màn hình, tìm dữ liệu quan trọng nằm tr ên bàn hoặc nghe trộm các cuộc nói chuyện bí mật. Có 2 kỹ thuật được sử dụng bởi attacker. Đó l à: 2.1.5.1 Dumpster Diving: tìm kiếm trong thùng rác, thông tin đư ợc viết trên mảnh giấy hoặc bản in máy tính. Hacker có thể t ìm thấy password, filename, ho ặc những mẩu thông tin bí mật. 2.1.5.2 Shoulder Surfing: là một kỹ thuật thu thập password bằng cách xem qua vai người khác khi họ đăng nhập v ào hệ thống. Hacker có thể xem người sử dụng hợp lệ đăng nhập v à sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống. Khi ở bên trong, kẻ xâm nhập có cả một menu các sách l ược để chọn, bao gồm đi lang thang những h ành lang của tòa nhà để tìm kiếm các văn phòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc của họ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo v ào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến ph òng server hay phòng điện thoại để lấy nhiều thông tin h ơn từ hệ thống đang vận h ành; đặt bộ phân tích protocol trong wiring closet đ ể bắt gói dữ liệu, username, v à password hay chỉ đơn giản đánh cắp thông tin nhằm đến. Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên m ất password. Trong sự hoảng sợ, anh ta c òn nói thêm là nếu anh ta nhỡ hạn cuối của một dự án quảng cáo th ì ông chủ có thể đuổi việc anh ta. Ng ười nhân viên hỗ trợ cảm thấy thông cảm cho anh ta v à nhanh chóng kh ởi động lại password, việc làm này giúp cho hacker xâm nh ập vào hệ thống mạng của công ty. Ví dụ: Tháng 6 năm 2000, Larry Ellison, ch ủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng t ìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không l à mới trong hoạt động tình báo doanh nghiệp. Một số thứ mà dumpster có thể mang lại:  Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có đ ược tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sác h niên giám.  Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, v à các kỳ nghỉ; sổ tay hệ thống; bản in [...]... lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là mục tiêu kế tiếp Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý 3.3 Tấn công: Sự tấn công thực tế thông... loại chính: o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người Tất cả chúng ta thích nói về ch úng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao Kẻ tấn công sẽ sử dụng điều n ày để trích ra thông tin từ nạn nhân của chúng Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng... trình báo cáo sự cố linh hoạt mà ghi lại các thông tin dưới đây: Tên mục tiêu Khu vực mục tiêu Ngày Yếu tố tấn công Mô tả tấn công Kết quả tấn công Hiệu quả tấn công Các kiến nghị Bằng cách ghi lại các sự cố, có thể xác định các mẫu và có thể ngăn chặn các cuộc tấn công sau này 6.3 Xem xét sự thực thi Khi xem xét lại mặt an ninh, nó có thể trở nên quá nhạy cảm đối với vô số các mối đe dọa tiềm tàng... vị trí cao hơn user hợp pháp, người thực sự là mục tiêu Để thực hiện một tấn công RSE, kẻ tấn công phải có sự hiểu biết về hệ thống và luôn luôn phải có quyền truy xuất trước đó mà được cấp cho anh ta, thường là do social engineering bình th ường tiến hành Ta có sự so sánh SE và RSE: o Social engineering: hacker tiến hành cuộc gọi và phụ thuộc vào user o Reverse Social Engineering: user tiến hành cuộc... thống máy tí nh trong công ty, bên trong chu vi có sự phòng thủ tồn tại Sự phát triển trong việc sử dụng công nghệ mobile, giúp những user kết nối với hệ thống mạng công ty trong khi đang tr ên đường hay ở nhà của họ, là mối đe dọa chính khác cho tài nguyên IT công ty Các cuộc tấn công có thể có được ở đây bao gồm tấn công quan sát dễ nhất, chẳng hạn một hacker xem qua vai một người sử dụng máy tình... trí mà dưới tài năng của họ Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn o Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc Social Engineering 13 đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ Sự quan... thành công của dự án Nhiệm vụ ban đầu của Security Steering Committee là xác định các rủi ro do social engineering tồn tại trong công ty Security Steering Committee c ần phải xác định những vùng có thể tồn tại nguy cơ với công ty Quá trình này có thể bao gồm các yếu tố tấn công đ ược xác định trên Social Engineering 25 giấy tờ và các yếu tố riêng biệt của công ty, chẳng hạn nh ư sử dụng terminal công. .. cuộc vận động nhận thức tốt khi bạn thực thi các yếu tố social engineering của chính sách an ninh Phải đào tạo nhân viên đề họ hiểu về chính sách, hiểu tại sao phải có nó, và biết làm thế nào để phản ứng lại một cuộc tấn công nghi ngờ Yếu tố then chốt của một cuộc tấn công social engineering l à sự tin tưởng – mục tiêu sẽ tin tưởng hacker Để chống lại hình thức tấn công này, phải kích thích chủ nghĩa... 4.4.1 Virtual Approaches Hacker social engineering c ần phải thực hiện liên lạc với mục tiêu đề thực hiện các cuộc tấn công Thông thường nhất, điều này sẽ diễn ra thông qua môi tr ường điện tử, chẳng Social Engineering 21 hạn như e-mail hay cửa sổ pop-up Khối lượng spam và junk mail đến ở hầu hết trong hộp thư cá nhân làm cho phương th ức tấn công này ít thành công hơn, chẳng hạn user trở nên hoài nghi... trường hợp yêu cầu sẽ được chấp nhận Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp . cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý. 3.3 Tấn công: Sự tấn công thực tế thông th ường. họ. Social Engineering 8 Social Engineering 9 Social engineering có th ể chia làm 2 loại: human based và computer based. 2.1 Human-based Social engineering : là việc trao đổi giữa người với người. Các kỹ thuật social engineering dựa v ào con người có thể đại khái chia thành: 2.1.1 Impersonation: với kiểu tấn công social engineering n ày, hacker giả làm một nhân viên hay người sử dụng hợp