HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG PHÒNG ĐÀO TẠO SAU ĐẠI HỌC & KHCN BÁO CÁO TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN NÂNG CAO TÊN ĐỀ TÀI: NGHIÊN CỨU TẤN CÔNG SOCIAL ENGINEERING GVHD : TS. NGUYỄN HỒNG SƠN Thành viên nhóm: 7 1. Phạm Minh Lộc 2. Từ Xuân Lộc 3. Vũ Duy Khánh 4. Nông Thanh Lâm 5. Phạm Thị Mỹ Linh 6. Trà Bảo Linh TP. HỒ CHÍ MINH, 2015 Nhóm 7 An ninh mạng ii MỤC LỤC LỜI NÓI ĐẦU iv CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 1 1.1 Social Engeering là gì 1 1.2 Nghệ thuật thao túng 2 1.3 Điểm yếu của mọi người 2 CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 4 2.1 Phân loại kỹ thuật Social Egnieering 4 2.1.1 Human-Based Socal Engineering 4 2.1.2 Computer-Based Social Engineering 5 CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 7 3.1 Các bước tấn công 7 3.1.1 Thu thập thông tin 7 3.1.2 Chọn mục tiêu 7 3.1.3 Tấn công 7 3.2 Các kiểu tấn công phổ biến 8 3.2.1 Insider Attacks 8 3.2.2 Identity Theft 9 3.2.3 Phishing Attacks 9 3.2.4 Online Scams 9 3.2.5 URL Obfuscation 10 3.3 Các mối đe dọa Socal Engineering 10 3.3.1 Online Threats 10 3.3.2 Telephone-Based Threats 12 3.3.3 Waste Management Threats 13 3.3.4 Personal Approaches 14 3.3.5 Reverse Social Engineering 14 3.3 Biện pháp đối phó Social Engineering 15 CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 17 4.1 Xây dựng một framework quản lý an ninh 17 4.2 Đánh giá rủi ro 19 4.3 Social engineering trong chính sách an ninh 21 CHƯƠNG 5: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 23 5.1 Sự nhận thức 23 5.2 Quản lý sự cố 23 5.3 Xem xét sự thực thi 25 5.4 Social Engineering và mô hình phân lớp phòng thủ chiều sâu 25 Nhóm 7 An ninh mạng iii CHƯƠNG 6: THỰC HÀNH DEMO ĐỌC LÉN PHÍM NHẬP CỦA NẠN NHÂN QUA CƠ CHẾ PHISING CỦA SOCIAL ENGINEERING 27 6.1 Mô hình 27 6.2 Yêu cầu: 27 6.3 Thực hiện 27 6.4 Cách phòng chống 31 TỔNG KẾT: 32 TÀI LIỆU THAM KHẢO 33 Nhóm 7 An ninh mạng iv LỜI NÓI ĐẦU Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn. Đặc biệt với sự phát triển của Internet cùng với sự ra đời các mạng xã hội vấn đề lừa đảo trên mạng diễn ra ngày càng phức tạp hơn với đề tài “Nghiên cứu tấn công Social Engineering” sẽ đưa cho chúng ta thấy cái nhìn tổng quát nhất về tình hình an ninh mạng hiện nay và kỹ thuật tấn công Social Engineering để từ đó có phương pháp phòng chống tốt nhất. Nhóm 7 An ninh mạng 1 CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 1.1 Social Engeering là gì Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai tác các thông tin có lợi cho các cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phuong pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động. Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xảy ra khi ông đang làm việc tại một công ty khác trước đó: “Một buổi sáng vài năm trước, một nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giả vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phòng tài chính vừa có cuộc công tác xa, và những thông tin của ông này có thể giúp họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắng mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ Nhóm 7 An ninh mạng 2 mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng sẽ giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẻ tấn công thu thập được thông tin quan trọng. 1.2 Nghệ thuật thao túng Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng:  Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống.  Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội. 1.3 Điểm yếu của mọi người Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được Nhóm 7 An ninh mạng 3 đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống. Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ. Nhóm 7 An ninh mạng 4 CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 2.1 Phân loại kỹ thuật Social Egnieering Social engineering có thể được chia thành hai loại phổ biến: Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu. Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo). 2.1.1 Human-Based Socal Engineering Kỹ thuật Human Based có thể chia thành các loại như sau: Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẻ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người bảo vệ, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp. Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quản lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống. Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống. Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker. Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker. Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc Nhóm 7 An ninh mạng 5 phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp. Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn. Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social Engineering (Social engineering ngược). Trong kỹ thuật này, hacker trở thành người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên helpdesk cung cấp lại. 2.1.2 Computer-Based Social Engineering Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau: Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trong hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin. Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ Nhóm 7 An ninh mạng 6 thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip. Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa. Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova(trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết. Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức. Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp. [...]... về mức độ rủi ro của an ninh cho nhân viên là cách tốt nhất giúp họ nâng cao nhận thức, chống lại kiểu tấn công này 3.3.5 Reverse Social Engineering Là một hình thức cao hơn social engineering, giải quyết các khó khăn phổ biến của social engineering bình thường Hình thức này có thể mô tả là một user hợp pháp của hệ thống hỏi hacker các câu hỏi cho thông tin Trong RSE, hacker được cho là có vị trí cao. . .An ninh mạng Nhóm 7 CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 3.1 Các bước tấn công 3.1.1 Thu thập thông tin Một trong những chìa khóa thành công của Social Engineering là thông tin Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như... lấy thông tin tài khoản từ mục tiêu trong khi giúp đỡ họ Sau khi thông tin đạt được, hacker giải quyết vấn đề và sau đó kết thúc cuộc trò chuyện với mục tiêu 3.3 Biện pháp đối phó Social Engineering Để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công Nó có liên quan đến vấn đề về xã hội nên việc phòng chống nó có chút rắc rối về. .. kinh doanh Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng... phục vụ cho tổ chức an 12 Nhóm 7 An ninh mạng ninh, phòng chống tội phạm Nhưng nó đã bị các hacker lợi dụng để nghe lén những thông tin bàn thảo của các vị giám đốc 3.3.3 Waste Management Threats Dumpster diving là một hoạt động có giá trị cho hacker Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc các thông tin nền như các biểu... biểu đồ tổ chức và danh sách điện thoại Các loại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker Nếu một công ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các phương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng,... Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công ty Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết Khi nhân viên của bạn hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của phòng an ninh Vấn đề về con người cũng không kém quan trọng Vì kỹ thuật... các yêu cầu thông tin tự động cả outsite và inside Sự kết nối này là cơ hội giúp các hacker tiếp cận với nhân viên Các hoạt động tấn công như email, pop-up windows, instant message sử dụng trojan, worm, virus gây thiệt hại và phá hủy tài nguyên máy tính Social engineer tiếp cận với nhân viên và thuyết phục họ cung cấp thông tin, thông qua những mưu mẹo, hơn là làm nhiễm malware cho máy tính thông qua... đề về con người cũng không kém quan trọng Vì kỹ thuật tấn công này chủ yếu liên quan đến tư tưởng con người Sự lơ là của nhân viên, sự mất lòng tin của nhân viên cũng là nguy cơ mất an toàn cho hệ thống 15 Nhóm 7 An ninh mạng Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích của an ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho việc phân phối những... phải xem xét lại mỗi một mối đe dọa social engineering và hợp lý hóa mối nguy hiểm trong tổ chức Social engineering trong chính sách an ninh: Phát triển một văn bản thiết lập các chính sách và thủ tục quy định nhân viên xử trí tình huống mà có thể là tấn công social engineering Bước này giả định là chính sách bảo mật đã có, bên ngoài những mối đe dọa của social engineering Nếu hiện tại không có chính . phó Social Engineering 15 CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 17 4.1 Xây dựng một framework quản lý an ninh 17 4.2 Đánh giá rủi ro 19 4.3 Social engineering. CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 7 3.1 Các bước tấn công 7 3.1.1 Thu thập thông tin 7 3.1.2 Chọn mục tiêu 7 3.1.3 Tấn công 7 3.2 Các kiểu tấn công phổ biến 8 3.2.1. QUA CƠ CHẾ PHISING CỦA SOCIAL ENGINEERING 27 6.1 Mô hình 27 6.2 Yêu cầu: 27 6.3 Thực hiện 27 6.4 Cách phòng chống 31 TỔNG KẾT: 32 TÀI LIỆU THAM KHẢO 33 Nhóm 7 An ninh mạng iv