Module Social Engineering Những Nội Dung Chính Trong Chương Này Social Engineering Là Gì ? Human-Based Social Engineering Computer-Based Social Engineering Physical Attack Inside Attack Identity Theft Online Scam URL Obfuscation Phòng Chống Social Engineering Social Engineering Là Gì ? Bên cạnh biện pháp công kỹ thuật sử dụng chương trình công hacker thường vận dụng kết hợp với phương pháp phi kỹ thuật, tận dụng kiến thức kỹ xã hội để đạt kết nhanh chóng hiệu Và phương pháp công không dựa kỹ thuật hay công cụ túy gọi Social Engineering, đời thực dạng công xem kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt mục tiêu Có câu chuyện thường nhắc dạng công Social Engineering điền sau “ thăm dò tính bảo mật chặt chẽ quản lý thông tin công ty cao ốc văn phòng lớn Wall Street, chuyên gia bảo mật giả dạng nhóm chuyên viên an ninh mạng tiến hành đợt khảo sát thẩm định an ninh miễn phí cho doanh nghiệp thuộc tòa cao ốc Và đợt thử nghiệm “chuyên gia bảo mật giả dạng” yêu cầu nhân viên quản trị hệ thống doanh nghiệp cho phép kiểm tra hệ thống máy chủ, kế thông tin quan trọng để đánh giá xem có lổ hỗng hay không Và kết thật đáng ngạc nhiên, có đến 7/10 công ty yêu cầu cho phép hacker thâm nhập thao tác trực tiếp hệ thống May mà hacker mũ trắng hoạt động với mục tiêu lường tính bảo mật doanh nghiệp Tại Sao Các Dạng Tấn Công Social Engineering Thành Công ? Các hacker tiến hành công Social Engineering thường tận dụng mối quan hệ thân thiết, tin cậy mà môi trường thông tin gọi “trust relationship” để tiến hành khai thác mục tiêu Chắc hẳn bạn nhớ vụ Tiến Sĩ Lê Đăng Doanh bị hacker đắnh cắp hộp thư gởi mail cho tất đồng nghiệp, bạn bè danh bạ để hỏi mượn tiền bị kẹt nước Hay thường xuyên nhận tin nhắn từ số máy lạ để yêu cầu mua giùm thẻ điện thoại gởi mã số đến số hacker Việ công hiệu đánh vào điểm yếu quy trình an toàn thông tin chúng ta, hiểu biết người dùng Chính để phòng chống dạng công doanh nghiệp cần có chương trình đào tạo nhăm nâng cao nhận thức an toàn thông tin cho nhân viên Những Kiểu Tân Công Thông Dụng Của Social Engineering Social Engineering chia làm hai hình thức : Human-based : Human-based social engineerign dựa dựa mối qua hệ người – – người để khai thác, thu thập thông tin gỏi điện thoại hỏi nhân viên phận hỗ trợ người dùng để thử tìm thông tin nhạy cảm Computer-based : Computer-based Social Engineering sử dụng chương trình máy tính hay trang web để dẫn dụ người dùng nhập vào thông tin bí mật tài khoản mật truy cập Dạng công thường gọi phissing Human-Based Social Engineering Những trường hợp điển hình cho dạng công giả dạng nhân viên cộng tác viên để truy cập vật lý vào thông tìn bảo vệ Như giả dạng làm nhân viên bảo trì hệ thống để đột nhập phòng máy chủ trái phép Bên cạnh hacker giả làm nhân vật quan trọng hay nhân vật thứ ba để gọi điện thoại cho phận hỗ trợ, quản trị hệ thống yêu cầu cung cấp tài khoản quản trị hình minh họa Tình công hacker Kevin Mitnick cộng trình diễn đại hội Blackhat, tình dùng phần mềm giả giọng nói số điện thoại nhân vật quản trị cao cấp yêu cầu quản trị mạng nhắc mật email bị quên password, kết hoàn toàn thành công Shoulder surfing : Dạng công hacker xem thông tin mật nhập vào tên tài khoản, xem kí tự bàn phím hay lắng nghe âm phát người dùng gõ vào để đoán xem kí tự Vì lý mà nhiều doanh nghiệp cho thiết kế trạm làm việc cho bảo đảm tính thận thiện ngăn ngừa người nhìn thấy hình người khác Dumpster diving : Cũng có tình hacker giả dạng làm người quét dọn vệ sinh, hay đồng nghiệp lục lọi hồ sơ để tìm kiếm bị mật công nghệ, thông tin riêng tư hình thức gọi Dumpster diving Vì vậy, doanh nghiệp thường trang bị máy hủy giấy để ngăn ngừa thông tin bí mật hay ý tưởng quan trọng bị lộ từ mãnh giấy bỏ Hoặc sách công ty yêu cầu nhân viên rời khỏi bàn làm việc phải đặt hình chế độ Screen Saver, lật úp mặt tài liệu mang tính riêng tư Một hình thức nâng cao khác social engineering reverse social engineering, tình hacker giả mạo người có đủ thẩm quyền để truy cập thông tin mật, hay giả vờ đóng vai trò chuyên viên hỗ trợ để dò hỏi tài khoản người dùng ví dụ mà ta thấy phần Computer-Based Social Engineering Dạng công computer-based social engineering bao gồm :  E-mail attachment / Phising  Fake website  Popup window Hàng ngày nhận nhiều email lừa đảo hay gọi phising mail với thông tin hấp dẫn bạn vừa trúng giải thưởng lớn Hình 9.1, hay gởi tặng thiệp điện tử hình ảnh qua mail đính kèm, hay liên kết dẫn đến trang web để người dùng nhấn vào có khả bị lây nhiễm virus, dẫn đến trang web nguy hiểm chứa mã độc Hình 9.1 - Một thông điệp giả mạo thường thấy email Đôi trang web làm giống trang thức Paypal, Ebay, Clickbank … để đăng nhập bị đánh cắp thông tin Các trang web giả mạo gọi Fake Web, dạng công điển hình Computer-based Social Engineering Ngoài ra, trang web nguy hiểm tạo cữa sổ popup với thông tin cảnh báo người dùng bị virus, hay máy tính bạn bị nhiễm loại virus, yêu câu tải chương trình để quét dĩ nhiên chương trình nguy hiểm Tấn Công Vật Lý Và Tấn Công Từ Bên Trong Bảo vệ thông tin mức vật lý mục tiêu quan trọng hàng đầu an toàn thông tin Vì nhiều tổ chức hay doanh nghiệp xây dựng phòng máy chủ với hệ thống an ninh nhằm bảo vệ an toàn tối đa cho thiết bị quan trọng Việc bảo vệ thiết bị vật lý phòng chống cắp hay ngăn không cho kẻ gian xâm nhập tương tác vào thiết bị quan trọng cần có hệ thống bảo đảm ổn định điệp áp, giữ nhiệt độ phòng mức thích hợp cho vận hành máy chủ, phòng chống cháy nổ theo sách an ninh cần tuân thủ đủ Đối với máy trạm hay hệ thống máy tính nhân viên, việc bảo đảm an toàn vật lý ngăn ngừa hacker lấy trộm thông tin thông qua giao tiếp USB, cài đặt chương trình nguy hiểm đề phòng mật cắp máy tính xách tay mục tiêu mà hacker hay kẻ gian thường nhắm đến Những hình thức thuộc dạng công mức vật lý Nếu hacker không tìm cách để công vào mục tiêu từ bên họ công từ bên trong, insider attack giải pháp công hiệu mà chuyên gia phòng chống tội phạm thường sử dụng Insider Attack ngụ ý hacker trà trộn hay thâm nhập vào nội công ty, tổ chức cách xin làm nhân viên doanh nghiệp để tận dụng lợi từ bên tiến hành thao tác đánh cắp liệu dễ dàng Vì có câu nói “ bạn bên trong, bạn chủ nhân hệ thống mạng” Đây tình thuộc dạng công vật lý Chúng ta dẽ dàng nhìn thấy tình tương tự phim ảnh hành động mà gián điệp cài cắm vào hàng ngũ cổ kẽ địch hay tổ chức tội phạm để điều tra manh mối Một ví dụ điển hình tổ chức hacker khét tiếng Anonymous bị nhân viên anh ninh FBI trà trộn vào hàng ngũ mình,sau lần manh mối danh tính thành viên quan trọng tổ chức “ẩn danh” này, làm cho 25 thành viên chủ chốt bị bắt giam có thủ lĩnh mang biệt danh Sector404 Hình 9.2 - Một thành viên tổ chức hacker Anonymous Identity Theft Identuty Theft nói đến việc đánh cắp định danh người dùng bao gồm từ việc ăn trộm mật email, tài khoản ngân hàng việc lấy cắp thẻ kiểm tra an ninh để đột nhập vào khu vực bảo vệ Online Scam Một số trang web đưa thông tin giả mạo để dẫn dụ người dùng nhập vào địa email mật Như tình hacker gởi link chưa hình ảnh qua Yahoo ! Messenger click vào dẫn đến trang web yêu cầu nhập vào email password hộp thư Yahoo để xem hình ảnh này, rõ ràng trang web Fake (website giả mạo, lừa đảo) nên nhập thông tin vào bị hacker đánh cắp Hình thức xảy hacker gởi email có chưa mã độc nhúng tập tin đính kèm, chương trình nguy hiểm virus, trojan hay key logger đánh cắp thông tin mà nhập vào từ bàn phím Như ví dụ sau minh họa email scam có chứa chương trình nguy hiểm tập tin đính kèm Mail server report Our firewall determined the e-mails containing worm copies are being sent from your computer Nowadays it happens from many computers, because this is a new virus type (Network Worms) Using the new bug in the Windows, these viruses infect the computer unnoticeably After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring Best regards, Customer support service Nội dung thông điệp tương tự nhiều email lừa đảo khác yêu cầu người dùng thay đổi tên mật truy cập vào tài khoản quan trọng Paypal, E-gold … mà thường nhận Bên cạnh hình thức Email Attachment số trang web đen hay hiển thị Popup (cữa sổ) cảnh báo bị nhiễm virus, hay bạn vừa có email để nhấp vào chuyển hướng đến trang web khác chưa nội dung nguy hiểm hay trang web quảng cáo URL Obfuscation URL Uniform Resource Locator thường nhập vào trình duyệt để kết nối đến trang web Và thay đưa đường dẫn đến trang web mà người dùng cần truy cập hacker cố tình thay đổi đường dẫn url đến trang web giả mạo khác để lấy cắp thông tin mà người dùng không nhận liên kết thường ẩn dạng hyper link tập tin word hay pdf, hình thức công theo kiểu URL Obfuscation Phòng Chống Social Engineering Như Thế Nào ? Để phòng chống bị công Social Engineering cần nâng cao nhận thức kiến thức an toàn thông tin cho người sử dụng thông qua buổi huấn luyện chương trình đào tạo Bên cạnh đó, tổ chức cần có sách an ninh chặt chẽ kết hợp với biện pháp chế tài để hạn chế ngăn ngừa hành vi xâm phạm thông tin trái phép Chính lý mà mô hình phòng thủ theo chiều sâu để bảo vệ thông tin lớp sách bảo mật nhấn mạnh bao trùm lên tất lớp phòng thủ vật lý khác, đồng thời trình huấn luyện người dùng xem hành động quan trọng hàng đầu công tác bảo vệ an toàn thông tin Ngoài việc bảo vệ liệu cần bảo vệ thiết bị lưu trữ, vận hành hệ thống thông tin đĩa cứng, máy chủ, hệ thống truyền dẫn cáp truyền, mạng wifi nhằm tránh tương tác trực tiếp hacker Một phương pháp để bảo vệ vật lý ngăn không cho xâm nhập trái phép với thông báo “không phận miễn vào” , đề sách sử dụng thiết bị thích hợp phòng bị mát liệu qua đường truyền internet, đường kết nối dial-up hay ổ cắm USB Và cần lưu ý, nhân viên công ty hay người làm việc bán thời gian hacker nguy hiểm có khả công vật lý vào hệ thống Bên cạnh tác nhân người, yếu tố đến từ thiên nhiên hõa hoạn, động đất yếu tố hàng đầu cho nguy an toàn thông tin, thảm họa 11/9 ví dụ điển hình Do cần có kế hoạch bảo đảm tính liên tục phục hồi thảm họa thông qua giải pháp lưu, xây dựng hệ thống dự phòng đáp ứng yêu cầu tổ chức Và cuối cùng, tác nhân đến từ môi trường nguồn điện, nhiệt độ đem đến mối nguy hiểm mát thông tin vai trò CEH cần lưu ý đến tác động này, cần có hệ thống ổn định nguồn điện, hệ thống điện dự phòng, hệ thống điều hòa nhiệt độ Thậm chí, nhiều doanh nghiệp ứng dụng quy luật phong thủy vấn đề đặt từ vị trí workstation máy tính, máy chủ nhằm đem đến hòa hợp môi trường sở vật chất tạo thuận lợi công việc kinh doanh Đây vấn đề mà bạn cần ý chương Social Engineering đề phòng công vật lý Tổng Kết Qua chương nắm số khái niệm quan trọng dạng công Social engineering ứng dụng kỹ xã hội, dùng mối quan hệ người để thu thập tin cần thiết phục vụ cho công phía sau Việc công social engineering thành công đánh vào điểm yếu người Các bước thực công Social engineering gồm : Thu thập thông tin, chọn mục tiêu, công Ngoài ra, bạn tìm hiểu vấn đề Insider Attack, Indentify Theft, Online Scam, Phising… Và cuối để phòng chống lại kiểu công này, cần phải đào tạo, huấn luyện người dùng để nâng cao nhận thức an toàn thông tin cho họ