Social Engineering 1HỌC VIỆN CÔNG NGHỆ B ƯU CHÍNH VIỄN THÔNGCƠ SỞ TPHCMĐỒ ÁN MÔN HỌC:SOCIAL ENGINEERINGGVHD: Ths. Lê PhúcSVTH: Hồ Ngọc ThiệnTrần Thị Thùy MaiTP.Hồ Chí Minh, 4/ 2009Social Engineering 2MỤC LỤCChương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G1.1 Khái niệm về Social Engineering1.2 Thủ thuật1.3 Điểm yếu của con ngườiChương 2: PHÂN LOẠI2.1 Human – based2.1.1 Impersonation2.1.2 Important User2.1.3 Third-party Authorization2.1.4 Technical Support2.1.5 In Person2.2 Computer – based2.2.1 Phising2.2.2 Vishing2.2.3 Pop-up Windows2.2.4 Mail attachments2.2.5 Websites2.2.6 Interesting SoftwareChương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING3.1 Thu thập thông tin3.2 Chọn mục tiêu3.3 Tấn côngChương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING4.1 Các mối đe dọa trực tuyến [Online Threats]4.1.1 Các mối đe dọa từ E-mail [E-mail Threats]4.1.2 Các ứng dụng pop-up và hộp hội thoại[ Pop-Up Applications and DialogBoxes]4.1.3 Instant Mesaging4.2 Telephone-Based Threats4.2.1 Private Branch Exchange4.2.2 Service Desk4.3 Waste Management Threats4.4 Personal Approaches4.4.1 Virtual Approaches4.4.2 Physical Approaches4.5 Reverse Social EngineeringChương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIALENGINEERING5.1 Xây dựng một framework quản lý an ninh5.2 Đánh giá rủi ro5.3 Social engineering trong chính sách an ninhSocial Engineering 3Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI ALENGINEERING6.1 Sự nhận thức6.2 Quản lý sự cố6.3 Xem xét sự thực thi6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâuSocial Engineering 4Social Engineering 51.1 Khái niệm về Social Engineering:Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mụcđích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì.Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảoVPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công.Một nhân viên có thể vô tình để lộ thông tin key trong email ho ặc trả lời điện thoại của mộtngười mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờliền ở quán rượu.Bảo mật được xem là tốt nhất nếu nó có thể phát huy tr ên cả những liên kết yếu nhất. SocialEngineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đíchlấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khicác công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn nhưcác phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềmgiám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vôtình để lộ thông tin key trong email, hay tr ả lời điện thoại của người lạ hoặc một người mớiquen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu.Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họkhông cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về SocialEngineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đangbị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại dohacker lợi dụng lòng tốt và sự giúp đỡ của mọi người.Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắmrõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân vànhững nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựavào vẻ bề ngoài để phán đoán. Ví dụ, khi nh ìn thấy một người mặc đồng phục m àu nâu vàmang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng.Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email trênWebsite của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyênnghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây l à một số ít thôngtin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập.1.2 Thủ thuật:Social Engineering bao g ồm việc đạt được những thông tin mật hay truy cập trái phép, bằngcách xây dựng mối quan hệ với một số ng ười.Kết quả của social engineer l à lừa một người nào đó cung cấp thông tin có giá trị hay sửdụng thông tin đó.Nó tác động lên phẩm chất vốn có của con ng ười, chẳng hạn nh ư mong muốn trở thànhngười có ích, tin tưởng mọi người và sợ những rắc rối.Social engineering là th ủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theonhững gì mà attacker muốn. Nó không phải l à cách điều khiển suy nghĩ ng ười khác, và nóSocial Engineering 6không cho phép attacker làm cho ngư ời nào đó làm những việc vượt quá tư cách đạo đứcthông thường. Và trên hết, nó không dễ thực hiện chút n ào. Tuy nhiên, đó là m ột phươngpháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng :Social engineering là vi ệc lấy được thông tin cần thiểt từ một ng ười nào đó hơn làphá hủy hệ thống.Psychological subversion : mục đích của hacker hay attacker khi s ử dụng PsychSubthì phức tạp hơn và bao gồm sự chuẩn bị, phân tích t ình huống, và suy nghĩ cẩn thận vềchính xác những từ sử dụng và giọng điệu khi nói, v à nó thường sử dụng trong quân đội.Xem xét tình huống sau đây:Attacker : “ Chào bà, tôi là Bob, tôi mu ốn nói chuyện với cô Alice”Alice: “ Xin chào, tôi là Alice”.Attacker: ” Chào cô Alice, tôi g ọi từ trung tâm dữ liệu, xin lỗi v ì tôi gọi điện cho cô sớm thếnày…”Alice: ” Trung tâm d ữ liệu à, tôi đang ăn sáng, nhưng không sao đ âu.”Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạoaccount có vấn đề.”Alice: ” Của tôi à à vâng.”Attacker: ” Tôi thông báo v ới cô về việc server mail vừa bị sập tối qua, v à chúng tôi đangcố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trườnghợp của cô trước tiên.”Alice: ”Vậy mail của tôi có bị mất không?”Attacker: “Không đâu, chúng tôi có th ể phục hồi lại được mà. Nhưng vì chúng tôi là nhânviên phòng dữ liệu, và chúng tôi không được phép can thiệp v ào hệ thống mail của vănphòng, nên chúng tôi c ần có password của cô, nếu không chúng tôi không thể l àm gì được.”Alice: ”Password c ủa tôi à?uhm ”Attacker: ”Vâng, chúng tôi hi ểu, trong bản đăng kí ghi r õ chúng tôi không được hỏi về vấnđề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” [ nỗ lựclàm tăng sự tin tưởng từ nạn nhân]Attacker: ” Username c ủa cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôiusername và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không cópassword thì không ai có th ể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữliệu. Nhưng chúng tôi phải phục hồi lại mail của cô, v à chúng tôi cần phải truy cập vào mailcủa cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô v ào bất cứmục đích nào khác.”Alice: ” uhm, pass này c ũng không riêng tư lắm đâu, pass của tôi l à 123456”Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong v ài phútnữa.”Alice: ” Có chắc là mail không bị mất không?”Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắcmắc gì thì hãy liên hệ với chúng tôi. Cô có thể t ìm số liên lạc ở trên Internet.”Alice: ” Cảm ơn.”Attacker: ” Chào cô.”1.3 Điểm yếu của mọi người:Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật.Social Engineering 7Để đề phòng thành công thì chúng ta ph ải dựa vào các chính sách t ốt và huấn luyện nhânviên thực hiện tốt các chính sách đó.Social engineering là p hương pháp khó phòng chống nhất vì nó không thể dùng phần cứnghay phần mềm để chống lại.Chú ý: Social engineering t ập trung vào những điểm yếu của chuỗi bảo mật máy tính. Cóthể nói rằng hệ thống đ ược bảo mật tốt nhất chỉ khi nó bị ngắt điện.Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý vàvấn đề cấp điện có thể l à một trở ngại lớn. Bất cứ thông tin n ào thu thập được đều có thểdùng phương pháp Social engineering đ ể thu thập thêm thông tin. Có ngh ĩa là một ngườikhông nằm trong chính sách b ảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuy ên giabảo mật cho rằng cách bảo mật giấu đi thông tin th ì rẩt yếu. Trong trường hợp của Socialengineering, hoàn toàn không có s ự bảo mật nào vì không thể che giấu việc ai đang sử dụnghệ thống và khả năng ảnh hưởng của họ tới hệ thống.Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó làđặt câu hỏi trực tiếp. Mặc d ù cách này rất khó thành công, nhưng đây là phương pháp d ễnhất, đơn giản nhất. Người đó biết chính xác họ cần g ì. Cách thứ hai, tạo ra một tình huốngmà nạn nhân có liên quan đến. Với các nhân tố khác h ơn chỉ là việc yêu cầu xem xét, điềumà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức n ào, bởi vì attacker cóthể tạo ra những lý do thuyết phục h ơn những người bình thường. Attacker càng nỗ lực thìkhả năng thành công càng cao, thông tin thu đư ợc càng nhiều. Không có nghĩa l à các tìnhhuống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao.Một trong những công cụ quan trọng đ ược sử dụng trong Social engineering l à một trí nhớtốt để thu thập các sự kiện. Đó l à điều mà các hacker và sysadmin n ổi trội hơn, đặc biệt khinói đến những vấn đề liên quan đến lĩnh vực của họ.Social Engineering 8Social Engineering 9Social engineering có th ể chia làm 2 loại: human based và computer based.2.1 Human-based Social engineering : là việc trao đổi giữa người với người để lấy đượcthông tin mong mu ốn. Các kỹ thuật social engineering dựa v ào con người có thể đại khái chiathành:2.1.1 Impersonation: với kiểu tấn công social engineering n ày, hacker giả làmmột nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt đ ược quyềntruy xuất. Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đóthu thập một số thông tin có liên quan đến công ty đó. Có một quy luật đượcthừa nhận trong giao tiếp x ã hội là khi nhận được sự giúp đỡ từ một ng ườinào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả.Có thể xem nó như là một sự biết ơn. Sự biết ơn luôn thấy trong môi trườnghợp tác. Một nhân vi ên sẽ sẵn sàng giúp đỡ người khác với mong muốn làsau này có thể người ta sẽ giúp lại họ. Social engineers cố gắng tận dụng đặcđiểm xã hội này khi mạo nhận người khác. Những mưu mẹo này đã được sửdụng trong quá khứ cũng nh ư một sự ngụy trang để đạt đ ược sự truy xuất vậtlý. Nhiều thông tin có thể đ ược lượm lặt từ bàn giấy, thùng rác thậm chí là sổdanh bạ và biển đề tên ở cửa.2.1.2 Posing as Important User : Sự mạo nhận đạt tới một mức độ cao h ơn bằngcách nắm lấy đặc điểm của một nhân vi ên quan trọng lời nói của họ có giá trịvà thông thường đáng tin cậy hơn. Yếu tố biết ơn đóng vai trò để nhân viênvị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sựquý mến của anh ta. Kẻ tấn công giả dạng nh ư một user quan trọng có thể lôikéo dễ dàng một nhân viên người mà không có sự đề phòng trước. Socialengineer sử dụng quyền lực để hăm dọa thậ m chí là đe dọa báo cáo nhân viênvới người giám sát nhân viên đó nếu họ không cung cấp thông tin theo y êucầu.2.1.3 Third-person Authorization : Một kỹ thuật social engineering phổ biếnkhác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đ ã được chấp nhậncủa sự ủy quyền chỉ định. Chẳng hạn một ng ười chịu trách nhiệm cho phéptruy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh tavà lợi dụng sự vắng mặt của anh ta nh ư là lợi thế để truy xuất tài nguyên. Kẻtấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh tađã được chấp nhận để truy xuất thông tin. Đây có thể l à hiệu quả đặc biệt nếungười chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngo ài - nơi mà sự xácminh không thể ngay lập tức. Người ta có khuynh h ướng làm theo sự giaophó ở nơi làm việc, thậm chí họ nghi ngờ rằng những y êu cầu có thể khônghợp pháp. Người ta có khuynh hướng tin rằng những ng ười khác đang thểhiện những quan điểm đúng của họ khi họ tuy ên bố. Trừ khi có bằng chứngmạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nóichuyện đang nói sự thật về cái họ thấy hoặc cần.Social Engineering 102.1.4 Technical Support: một chiến thuật thường hay được sử dụng, đặc biệt khinạn nhân không phải l à chuyên gia về kỹ thuật. Kẻ tấn công có thể giả l àmmột người bán phần cứng hoặc kỹ thuật vi ên hoặc một nhà cung cấp liênquan máy tính và ti ếp cận với nạn nhân.2.1.5 In Person: Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục ti êuvà quan sát tình hình cho thông tin. H ắn ta có thể cải trang chính anh ta th ànhngười phân phối thư, người lao công hoặc thậm chí rong ch ơi như một vịkhách ở hành lang. Anh ấy có thể giả làm nhà kinh doanh, khách ho ặc kỹthuật viên. Khi ở bên trong, anh ta có thể nhìn password trên màn hình, tìmdữ liệu quan trọng nằm tr ên bàn hoặc nghe trộm các cuộc nói chuyện bí mật.Có 2 kỹ thuật được sử dụng bởi attacker. Đó l à:2.1.5.1 Dumpster Diving: tìm kiếm trong thùng rác, thông tin đư ợc viếttrên mảnh giấy hoặc bản in máy tính. Hacker có thể t ìm thấypassword, filename, ho ặc những mẩu thông tin bí mật.2.1.5.2 Shoulder Surfing: là một kỹ thuật thu thập password bằng cáchxem qua vai người khác khi họ đăng nhập v ào hệ thống. Hacker cóthể xem người sử dụng hợp lệ đăng nhập v à sau đó sử dụng passwordđó đề giành được quyền truy xuất đến hệ thống.Khi ở bên trong, kẻ xâm nhập có cả một menu các sách l ược để chọn,bao gồm đi lang thang những h ành lang của tòa nhà để tìm kiếm các vănphòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc củahọ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo v ào hệ thống mailserver công ty; cố gắng đạt quyền truy xuất đến ph òng server hay phòng điệnthoại để lấy nhiều thông tin h ơn từ hệ thống đang vận h ành; đặt bộ phân tíchprotocol trong wiring closet đ ể bắt gói dữ liệu, username, v à password haychỉ đơn giản đánh cắp thông tin nhằm đến.Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên m ấtpassword. Trong sự hoảng sợ, anh ta c òn nói thêm là nếu anh ta nhỡ hạn cuốicủa một dự án quảng cáo th ì ông chủ có thể đuổi việc anh ta. Ng ười nhânviên hỗ trợ cảm thấy thông cảm cho anh ta v à nhanh chóng kh ởi động lạipassword, việc làm này giúp cho hacker xâm nh ập vào hệ thống mạng củacông ty.Ví dụ: Tháng 6 năm 2000, Larry Ellison, ch ủ tịch Oracle, thừa nhậnlà Oracle đã dùng đến dumpster diving để cố gắng t ìm ra thông tin vềMicrosoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không l àmới trong hoạt động tình báo doanh nghiệp.Một số thứ mà dumpster có thể mang lại: Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng đểmạo nhận là những bước đầu tiên để đạt quyền truy xuất tớicác dữ liệu nhạy cảm. Nó giúp có đ ược tên và tư cách chínhxác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi làmột nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổngđài điện thoại của công ty từ sác h niên giám. Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty;lịch hội họp, sự kiện, v à các kỳ nghỉ; sổ tay hệ thống; bản inSocial Engineering 11của dữ liệu nhạy cảm hoặc t ên đăng nhập và password; bảnghi source code; băng và đ ĩa; các đĩa cứng hết hạn.2.2 Computer-based Social engineering : là sử dụng các phần mềm để lấy đượcthông tin mong muốn. Có thể chia thành các loại như sau:2.2.1 Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ mộtcông ty kinh doanh, ngân hàng ho ặc thẻ tín dụng yêu cầu chứng thực thôngtin và cảnh báo sẽ xảy ra hậu quả nghi êm trọng nếu việc này không đượclàm. Lá thư thường chứa một đường link đến một trang web giả mạo trônghợp pháp với logo của công ty v à nội dung có chứa form để yêu cầuusername, password, s ố thẻ tín dụng hoặc số p in.2.2.2 Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng làmột dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thayvì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nộidung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp nàyhướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, sốđiện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, y êu cầuhọ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấncông mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.2.2.3 Pop-up Windows: Một cửa sổ sẽ xuất hiện tr ên màn hình nói với user làanh ta đã mất kết nối và cần phải nhập lại username v à password. Mộtchương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thôngtin đến một website ở xa.2.2.4 Mail attachments: Có 2 hình thức thông thường có thể được sử dụng.Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính k èm trongemail. Với mục đích là một user không nghi ngờ sẽ cli ck hay mở file đó, vídụ virus IloveYou, sâu Anna Kournikova[ trong tr ường hợp này file đínhkèm tên là AnnaKournikova.jpg.vbs. N ếu tên file đó bị cắt bớt thì nó sẽgiống như file jpg và user sẽ không chú ý phần mở rộng .vbs]. Thứ hai cũngcó hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợppháp. Chúng được lập kế hoạch để l àm tắc nghẽn hệ thống mail bằng cáchbáo cáo một sự đe dọa không tồn tại v à yêu cầu người nhận chuyển tiếp mộtbản sao đến tất cả bạn v à đồng nghiệp của họ. Điều này có thể tạo ra mộthiệu ứng gọi là hiệu ứng quả cầu tuyết.2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạycảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, mộtwebsite có thể tạo ra một cuộc thi h ư cấu, đòi hỏi user điền vào địa chỉ emailvà password. Password đi ền vào có thể tương tự với password được sử dụngcá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống vớipassword họ sử dụng tại nơi làm việc, vì thế social engineer có username hợplệ và password để truy xuất vào hệ thống mạng tổ chức.Social Engineering 122.2.6 Interesting Software : Trong trường hợp này nạn nhân được thuyết phục tảivề và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suấtcủa CPU, RAM, hoặc các tiện ích hệ thống hoặc nh ư một crack để sử dụngcác phần mềm có bản quyền. V à một Spyware hay Malware [ chẳng hạn nh ưKeylogger] sẽ được cài đặt thông qua một ch ương trình độc hại ngụy trangdưới một chương trình hợp pháp.Social Engineering 133.1 Thu thập thông tin: Một trong những chìa khóa thành công c ủa Social Engineering l àthông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viêntrong tổ chức đó. Các tổ chức có khuynh h ướng đưa quá nhiều thông tin lên website của họ nhưlà một phần của chiến lược kinh doanh. Thông tin n ày thường mô tả hay đưa ra các đầu mốinhư là các nhà cung c ấp có thể ký kết; danh sách điện thoai v à email; và chỉ ra có chi nhánh haykhông nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềmnăng, nhưng nó c ũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổchức ném đi có thể là nguồn tài nguyên thông tin quan tr ọng. Tìm kiếm trong thùng rác có thểkhám phá hóa đơn, thư t ừ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quantrọng. Mục đích của kẻ tấn công trong b ước này là hiểu càng nhiều thông tin càng tốt để làm ravẻ là nhân viên, nhà cung c ấp, đối tác chiến l ược hợp lệ,…3.2 Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếmđiểm yếu đáng chú ý trong nhân vi ên của tổ chức đó. Mục tiêu thông thường là nhân viên hỗtrợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo t ài khoản, kích hoạt lạitài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trítrong hệ thống. Kẻ tấn công nhận ra l à khi chúng có thể truy cập, thậm chí l à cấp độ khách, thìchúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator làmục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thôngthường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiệncác công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoảncủa người quản lý.3.3 Tấn công: Sự tấn công thực tế thông th ường dựa trên cái mà chúng ta g ọi đó là “sựlường gạt”. Gồm có 3 loại chính:o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặcđiểm cơ bản của con người. Tất cả chúng ta thích nói về ch úng ta thông minh nhưthế nào và chúng ta biết hoặc chúng ta đang l àm hoặc hiệu chỉnh công ty ra sao. Kẻtấn công sẽ sử dụng điều n ày để trích ra thông tin từ nạn nhân của chúng. Kẻ tấncông thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đanglàm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán rađiều này chỉ sau một cuộc nói chuyện ngắn.o Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ lànhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặcSocial Engineering 14đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đềthực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khikẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằn g cách dùng các từ chuyên ngànhthích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ l à hắn đang bận vàphải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớusername và password,… Một cảm giác khẩn cấp l uôn luôn là phần trong kịch bản.Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽđược chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ mộtnhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc chođến khi hắn nhận ra là tổ chức nghi ngờ.o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vậtcó quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vàonạn nhân có vị trí thấp h ơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lýdo hợp lý cho các yêu cầu như thiết lập lại password, thay đổi t ài khoản, truy xuấtđến hệ thống, hoặc thông tin nhạy cảm .Social Engineering 15Social Engineering 16Có 5 nhân tố tấn công chính m à một hacker social engineering s ử dụng:4.1 Các mối đe dọa trực tuyến [Online Threats]: trong thế giới kinh doanh đ ượckết nối ngày càng tăng của chúng ta, nhân viên thường sử dụng và đáp ứng các yêu cầu vàthông tin đến một cách tự động từ cả inside v à outside công ty. Sự kết nối này giúp hacker cóthể tiếp cận được với các nhân viên. Các tấn công trực tuyến nh ư e-mal, pop-up application, vàinstant message sử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tàinguyên máy tính. Hacker social engineering thuyết phục nhân viên cung cấp thông tin thôngqua mưu mẹo tin được, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp.Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malwaresau đó, nhưng kết quả không là chức năng của social engineering. V ì thế, phải có lời khuy êncho nhân viên làm th ế nào để nhận diện và tránh các cuộc tấn công social engineering trựctuyến.4.1.1 Các mối đe dọa từ E-mail [E-mail Threats]: Nhiều nhân viên nhận hàngchục hoặc hàng trăm e-mail mỗi ngày, từ cả kinh doanh và từ hệ thống e-mail riêng.Khối lượng e-mail có thể làm cho nó trở thành khó khăn để gây sự chú ý cho mỗibài viết. Điều này thì rất hữu ích với hacker. Hầu hết ng ười dùng e-mail cảm thấy tốtkhi họ giải quyết với một mẩu thư. Nếu hacker có thể làm một yêu cầu đơn giản màdễ dàng giải quyết, thì sau đó mục tiêu sẽ đồng ý mà không nghĩ là anh ấy hoặc côấy đang làm chuyện gì.Một ví dụ của tấn công kiểu n ày là gởi e-mail đến nhân viên nói rằng ông chủmuốn tất cả lịch nghỉ gởi cho cuộc họp v à tất cả mọi người trong danh sách đ ược saochép vào trong e-mail. Chỉ đơn giản là trich tên ở ngoài từ danh sách sao chép v àđánh lừa tên người gởi để mail xuất hiện bắt đầu từ nguồn b ên trong. Việc đánh lừanày đặc biệt đơn giản nếu một hacker đạt quyền truy xuất đến một hệ thống máy tínhcông ty, bởi vì không cần phải phá vỡ thông qua phạm vi t ường lửa. Sự hiểu biết vềlịch trình kỳ nghỉ có thể không l à mối đe dọa bảo mật, nh ưng nó có nghĩa là mộthacker biết khi nào nhân viên vắng mặt. Hacker sau đó có thể giả mạo ng ười này vớikhả năng bị khám phá ra giảm đi. Sử dụng e-mail như là một công cụ socialengineering đã trở nên phổ biến qua hơn một thập kỷ qua. Phising được mô tả là sửdụng e-mail để nhận dạng cá nhân hoặc thông tin giới hạn từ một user. Hacker cóthể gởi e-mail mà có vẻ đến từ tổ chức hợp lệ, chẳng hạn ngân h àng hoặc các côngty đối tác. Minh họa dưới đây chỉ ra một link hợp lệ bề ngoài đến từ trang quản lý tàikhoản Contoso.Social Engineering 17Tuy nhiên, nếu nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link trên chỉ ra là trang web này b ảo mật, sử dụnghttps, mặc dù link thật sự của trang web sử dụng http Tên công ty trong mail là “Contoso”, nhưng link th ật sự thì tên công ty gọi là“Comtoso”Như thuật ngữ phising ngụ ý, sự tiếp cận có tính lý thuyết, với một y êu cầu chungcho thông tin khách hàng. S ự ngụy trang thực tế đ ược dùng trong những thông báothư điện tử, với những biểu t ượng công ty, phông, và thậm chí những số điện thoạihỗ trợ tự do rõ ràng hợp lệ, làm thư điện tử có vẻ có thể tin đ ược hơn. Trong mỗi e-mail phising là một yêu cầu cho thông tin user, th ường làm thuận tiện cho việc nângcấp hay thêm vào dịch vụ. E-mail có thể chứa hyperlink có thể xúi giục nhân vi ênphá vỡ tính bảo mật của công ty. Có một loạt các lựa chọn khác nhau cho hacker sửdụng trong phising, bao gồm các h ình ảnh có hyperlink m à tải xuống là malware,chẳng hạn virus hoặc spyware, hoặc văn bản đ ược thể hiện trong một tấm ảnh, đềvượt qua bộ lọc bảo mật hyperlink. Hầu hết các biện pháp bảo mật l àm cho các userkhông có chứng thực ở ngoài. Một hacker có thể vượt qua nhiều sự phòng thủ nếuhắn có thể lừa một user đ ưa vào trojan, worm, ho ặc virus vào công ty thông quađường link. Một hyperlink có thể dẫn một user đến một tr ang web mà sử dụng ứngdụng pop-up để yêu cầu cung cấp thông tin hoặc đ ưa ra sự giúp đỡ.Để có thể chống lại các cuộc tấn công của hacker social engineering bằng cách tiếpcận với chủ nghĩa hoài nghi bất cứ thứ gì không ngờ trong Inbox. Để hỗ trợ phươngpháp tiếp cận này trong một tổ chức, nên bao gồm trong các chính sách an ninh cụthể e-mail hướng dẫn cách sử dụng đó bao gồm: Đính kèm trong tài li ệu Hyperlink trong tài liệu Yêu cầu thông tin cá nhân hay công ty từ b ên trong công ty. Yêu cầu thông tin cá nhân hay công ty từ bên ngoài công ty.4.1.2 Các ứng dụng pop-up và hộp hội thoại[ Pop-Up Applications and Dialog Boxes]Không thực tế khi cho rằng các nhân vi ên không sử dụng Internet trong côngty truy xuất cho các hoạt động không phải là công việc. Hầu hết nhân viên duyệtWeb cho các lý do cá nhân, ch ẳng hạn như mua sắm hoặc nghiên cứu trực tuyến.Trình duyệt cá nhân có thể làm cho nhân viên, và vì th ế hệ thống máy tính công ty,tiếp xúc với các social engineer. Mặc dù điều này có thể không là mục tiêu cụ thểcủa công ty, họ sẽ sử dụng các nhân vi ên trong một nỗ lực để đạt đ ược quyền truyxuất vào tài nguyên công ty. Một trong những mục đích phổ biến l à nhúng một mailengine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phisinghoặc các tấn công khác vào email c ủa cá nhân hay của công ty.Hai phương thức thông thường để lôi kéo user click v ào một nút bấm bêntrong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thịSocial Engineering 18một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịchvụ - ví dụ, một download miễn phí l àm cho máy tính c ủa user nhanh hơn. Với cácuser IT và Web có kinh nghi ệm, những phương pháp này dường như là các mánhkhóe lừa bịp dễ thấy. Nh ưng với các user thiếu kinh nghiệm th ì các phương thức nàycó thể đe dọa và lừa được họ.Bảo vệ user từ các ứng dụng pop -up social engineering ph ần lớn là một chứcnăng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu h ình trình duyệtmặc định sẽ ngăn chặn pop -up và download tự động, nhưng một vài pop-up có thểvượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức đượcrằng họ không nên bấm vào cửa sổ pop-up, trừ khi họ kiểm tra với nhân vi ên hỗ trợ.4.1.3 Instant Mesaging:Có một số mối đe dọa tiềm t àng của IM khi nó được hacker nhắm đến. Đầu tiên làtính chất không chính thức của IM. Tính tán gẫu của IM, k èm theo đó là lựa chọn cho mìnhmột cái tên giả mạo, nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với mộtngười mà bạn tin rằng bạn đang nói đến.Hình minh họa dưới đây chỉ ra spoofing l àm việc như thế nào, cho cả e-mail và IM:Hacker [màu đỏ] giả mạo user đã biết và gởi một bản tin e-mail hay IM mà ngườinhận sẽ cho rằng nó đến từ một người mà họ đã biết. Sự quen biết làm giảm nhẹ sự phòngthủ của user, vì thế họ có nhiều khả năng click v ào một liên kết hoặc mở tập tin đính k èm từmột ai đó mà họ biết – hoặc họ nghĩ là họ biết. Hầu hết các nh à cung cấp IM cho phép xácnhận user dựa trên địa chỉ e-mail, điều này có thể giúp cho hacker ng ười mà đã được xácnhận với một địa chỉ theo tiêu chuẩn trong công ty để gởi lời mời đến những ng ười kháctrong tổ chức. Tính năng n ày hiện không chứa một mối đe dọa, nh ưng nó có nghĩa là sốlượng các mục tiêu bên trong công ty đư ợc tăng lên rất nhiều.4.2 Telephone-Based Threats:Nó là một môi trường truyền thông quen thuộc, nh ưng nó cũng không ám chỉ ai, bởi v ì mụctiêu không thể thấy được hacker. Các tùy chọn thông tin liên lạc cho hầu hết các hệ thống máy tínhSocial Engineering 19cũng có thể làm Private Branch Exchange [PBX] m ột mục tiêu hấp dẫn. Thêm nữa, có lẽ rất thô lỗ,tấn công là để ăn cắp thẻ tín dụng hoặc thẻ điện thoại tại các buồng điện thoại. Hầu hết các cuộc tấncông này là một hành vi trộm cắp thông thường là từ một cá nhân. Hầu hết mọi ng ười ý thức đượcrằng họ nên thận trọng với những đôi mắt tò mò khi sử dụng ATM, nhưng đa số ít thận trọng hơnkhi sử dụng mã PIN tại buồng điện thoại.Voip là một thị trường đang phát triển m à cung cấp lợi ích về chi phí cho công ty. Hiện nay,do sự giới hạn tương đối số lượng các bản cài đặt, VoIP hacking không được xem là mối đe dọachính. Tuy nhiên, càng nhi ều doanh nghiệp sử dụng công nghệ n ày, VoIP spoofing để trở nên lanrộng như e-mail và IM spoofing.4.2.1 Private Branch Exchange :Hacker có 3 mục đích chính đề tấn công một PBX:o Yêu cầu thông tin, thường là thông qua việc giả dạng một người sử dụng hợp pháp,hoặc để truy cập vào các hệ thống điện thoại hoặc truy cập từ xa vào hệ thống máytínho Đạt quyền truy xuất để sử dụng miễn phí điện thoạio Đạt quyền truy xuất để giao tiếp với hệ thống mạngMỗi mục đích này là một biến thể của cùng một chủ đề, với các hacker gọi điệnthoại cho công ty và cố gắng để có được số điện thoại để cung cấp truy cập trực tiếp hoặcthông qua một PBX đến mạng điện thoại công cộng. Thuật ngữ hacker gọi là phreaking.Cách tiếp cận thông thường nhất là hacker giả vờ là một kỹ sư điện thoại, yêu cầu mộtđường dây bên ngoài hoặc password để phân tích v à giải quyết các vấn đề đ ược báo cáotrong hệ thống điện thoại nội bộ, nh ư mình minh họa bên dưới:Yêu cầu về thông tin hoặc truy cập qua điện thoại là một tương đối rủi ro dưới hìnhthức tấn công. Nếu mục ti êu trở nên đáng ngờ hoặc từ chối tuân thủ y êu cầu, các hacker cóthể chỉ cần gác máy. Tuy nhiên, nhận thấy là các cuộc tấn công có nhiều phức tạp h ơn mộthacker chỉ cần gọi điện thoại một công ty v à các yêu cầu cho một người sử dụng ID và mậtkhẩu. Các hacker thường trình bày một kịch bản, yêu cầu hoặc cung cấp trợ giúp, tr ước khiSocial Engineering 20yêu cầu thông tin xảy ra cho cá nhân hoặc doanh nghiệp , gần như là một sự suy nghĩ sau khihành động.Hầu hết các user không có bất kỳ kiến thức về hệ thống điện thoại nội bộ, ngoài cácsố điện thoại riêng của mình. Đây là một phần của việc ph òng thủ quan trọng nhất m à bạncó thể đưa vào chính sách b ảo mật. Thật là hiếm khi hacker tiếp cận user thô ng thường theocách này. Các mục tiêu thông thường hầu hết là nhân viên tiếp tân hay tổng đ ài. Bạn phảichỉ rõ rằng chỉ có bàn dịch vụ có chứng thực để cung cấp sự trợ giúp đến nhà cung cấp điệnthoại. Bằng cách này, tất cả các cá nhân có thẩm quyền đối vớ i tất cả các cuộc gọi hỗ trợ kỹthuật. Cách tiếp cận này cho phép nhân viên m ục tiêu định hướng lại như các truy vấn cóhiệu quả và nhanh chóng tới một thành viên đủ điều kiện.4.2.2 Service Desk:Bàn cung cấp dịch vụ - hoặc bàn trợ giúp – là một trong những phòng thủ trụ cộtchống lại hacker, nhưng ngược lại nó cũng là mục tiêu cho các hacker social engineering.Mặc dù nhân viên hỗ trợ thường nhận thấy được mối đe dọa của hacking, họ cũng đào tạođể giúp đỡ và hỗ trợ người gọi, cung cấp cho họ t ư vấn và giải quyết các vấn đề của họ. Đôikhi sự nhiệt tình chứng tỏ bởi nhân vi ên hỗ trợ kỹ thuật cung cấp một giải pháp l àm mấthiệu lực sự cam kết của họ tuân thủ các thủ tục bảo mật v à đưa nhân viên cung c ấp giảipháp vào một tình thế khó xử: nếu họ thực thi nghi êm ngặt các tiêu chuẩn bảo mật, yêu cầuxác nhận tính hợp lệ là các yêu cầu hoặc câu hỏi đến từ một ủy quyền ng ười sử dụng, thìđiều này có thể không có tác dụng và làm cản trở. Nhân viên tiếp thị, bán hàng và sản xuấtcảm thấy rằng là các bộ phận IT không cung cấp dịch vụ tức thời m à họ yêu cầu thì cókhuynh hướng than phiền, và những người quản lý cấp cao nhất được yêu cầu chứng minhnhận dạng của họ thường ít thông cảm với tính cẩn thận của nhân vi ên hỗ trợ.Bàn cung cấp dịch vụ cần phải cân bằng tính bả o mật với hiệu quả kinh doanh,chẳng hạn như các thủ tục và chính sách bảo mật phải hỗ trợ họ. Thật khó hơn để bảo vệcho nhân viên phân tích bàn d ịch vụ chống lại hacker b ên trong hay làm hợp đồng. Chẳnghạn hacker đã có sự hiểu biết về các thủ tục b ên trong và có đủ thời gian để đảm bảo rằnghọ có tất cả các thông tin cần thiết, trước khi họ tiến hành một cuộc gọi cho bàn dịch vụ.4.3 Waste Management Threats:Dumpster diving là m ột hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứathông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi,hoặc có thể phục vụ nh ư là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại. Cácloại thông tin này là vô giá đối với hacker social engineering, bởi v ì nó làm cho hắn ta có vẻđáng tin khi bắt đầu cuộc tấn công.Phương tiện lưu giữ điện tử thậm chí c òn hữu ích hơn cho hacker. Nếu một công ty,không có các quy t ắc quản lý chất thải bao gồm sử dụng các ph ương tiện thông tin dư thừa, thìcó thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không c òn sử dụng.Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc ph ương tiệnlưu trữ điện tử vào thùng rác. Sau khi di chuy ển rác thải ra ngoài công ty, thì tính sở hữu nó cóthể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không đ ược coi là bất hợppháp trong mọi hoàn cảnh, vì thế phải chắc chắn rằng đ ưa ra lời khuyên như thế nào để giảiquyết với những vật liệu thải. Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủycác phương tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt v ào máy hủy, chẳnghạn như niên giám điện thoại, hoặc nó có kỹ thuật v ượt quá khả năng của user để hủy nó, th ìSocial Engineering 21phải phát triển một giao thức cho việc vứt bỏ. N ên đặt các thùng rác ở trong vùng an toàn màkhông tiếp cận với công cộng.Bên cạnh quản lý chất thải b ên ngoài cũng cần phải quản lý chất thải b ên trong. Chínhsách bảo mật thường không chú ý vấn đề n ày, bởi vì nó thường được giả định rằng bất cứ ai chophép truy cập vào các công ty phải là đáng tin cậy. Rõ ràng, điều này không phải lúc nào cũngđúng. Một trong những biện pháp có hiệu quả nhất để quản lý giấy thải l à đặc tả của việc phânloại dữ liệu. Bạn xác định loại giấy khác nhau dựa tr ên các thông tin và ch ỉ định cách thức nhânviên quản lý sự vứt bỏ của họ. Ví dụ có thể phân thành các loại:o Bí mật công ty. Cắt nhỏ tất cả các t ài liệu bí mật bỏ đi trước khi bỏ vào thùng ráco Riêng tư. Cắt nhỏ tất cả tài liệu riêng tư bỏ đi trước khi bỏ vào thùng ráco Văn phòng. Cắt nhỏ tất cả tài liệu văn phòng bỏ đi trước khi bỏ vào thùng rác.o Công cộng. Vứt bỏ tài liệu công cộng vào bất kỳ thùng rác nào hoặc tái chếchúng làm giấy thải.4.4 Personal ApproachesCách rẻ nhất và đơn giản nhất cho hacker lấy thông tin l à hỏi trực tiếp. Cách t iếp cậnnày có vẻ thô lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật ở giai đoạn đầutiên. Có 4 cách tiếp cận chính minh chứng th ành công của social engineer:o Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một ng ười có thẩmquyền để ép buộc mục tiêu làm theo yêu cầu.o Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hóthay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng.o Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó ngư ời cấpdưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy l òng tin, thậm chí,thông tin từ mục tiêu.o Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sựtrợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hackerđánh cắp nhận dạng của mục tiêu.Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Việc bảo vệchống lại tấn công đe dọa l à phát triển một nền văn hóa không sợ hãi trong kinh doanh. Nếucách cư xử thông thường là lịch sự, thì sự thành công của sự đe dọa bị giảm xuống, bởi vìcác cá nhân riêng lẻ thích để leo thang vị trí đối đầu. Một thái độ hỗ trợ trong quản lý v à vaitrò giám sát về phía sự leo thang của vấn đề v à ra quyết định là thứ tệ nhất mà có thể xảy ravới hacker social engineering. Mục đích của họ là khuyến khích mục tiêu ra quyết địnhnhanh hơn. Với vấn đề này để chuyển cấp có thẩm quyền cao h ơn, thì cũng ít có khả năngđể đạt được mục tiêu này.Thuyết phục luôn luôn l à một phương pháp quan trọng để đạt được mục đích. Bạnkhông thể thiết kế điều này ra khỏi lực lượng lao động của bạn, nh ưng có thể cung cấp cáchướng dẫn nghiêm ngặt về những gì một cá nhân nên làm và không nên làm. Hacker sẽ luônluôn hỏi hoặc đưa ra một kịch bản nơi mà một user đưa ra thông tin giới hạn. Tiếp tục cácchiến dịch nâng cao nhận thức v à hướng dẫn cơ bản bao gồm các thiết bị an ninh nh ư cácmật khẩu là sự phòng thủ tốt nhất.4.4.1 Virtual ApproachesHacker social engineering c ần phải thực hiện li ên lạc với mục tiêu đề thực hiện cáccuộc tấn công. Thông thường nhất, điều này sẽ diễn ra thông qua môi tr ường điện tử, chẳngSocial Engineering 22hạn như e-mail hay cửa sổ pop-up. Khối lượng spam và junk mail đến ở hầu hết trong hộpthư cá nhân làm cho phương th ức tấn công này ít thành công hơn, ch ẳng hạn user trở nênhoài nghi hơn với hàng loạt lá thư và các yêu cầu bí ẩn tham gia các giao dịch tài chính cólợi và hợp pháp. Mặc dù vậy, khối lượng mail và sử dụng các trojan có nghĩa là nó vẫn cònhấp dẫn, dù chỉ với tỷ lệ thành công tối thiểu, đối với một vài hacker. Hầu hết các cuộc tấncông này là cá nhân và m ục địch để khám phá thông tin về mục ti êu. Tuy nhiên, với cácdoanh nghiệp, các vi phạm phổ biến rộng r ãi trong các hệ thống kinh doanh, chằng hạn nhưtruy cập Internet và máy tính, cho cá nhân s ử dụng nghĩa là hacker có thể xâm nhập vào hệthống mạng.Điện thoại cung cấp chi tiết cá nhân h ơn, phương pháp tiếp cận này thành công thấphơn. Những nguy cơ hạn chế bị bắt giữ nghĩa l à các hacker sử dụng điện thoại nh ư làphương tiện tiếp cận, nhưng cách tiếp cận này chủ yếu cho tấn công PBX và bàn dịch vụ,hầu hết user sẽ nghi ngờ về một cuộc gọi y êu cầu thông tin từ một ai đó m à họ không biết.4.4.2 Physical ApproachesÍt phổ biến, nhưng hiệu quả hơn cho hacker, trực tiếp, cá nhân tiếp xúc với mục ti êu.Chỉ có những nhân viên đáng ngờ nhất sẽ nghi ngờ tính hợp lệ của một ng ười nào đó mà tựgiới thiệu về mình và yêu cầu hay trợ giúp cho hệ thống máy tính. Mặc dù những tiếp cậnnày có độ rủi ro lớn hơn cho thủ phạm, các lợi ích vẫn r õ ràng. Hacker có thể được truy xuấttự do đến hệ thống máy tí nh trong công ty, bên trong chu vi có sự phòng thủ tồn tại.Sự phát triển trong việc sử dụng công nghệ mobile, giúp những user kết nối với hệthống mạng công ty trong khi đang tr ên đường hay ở nhà của họ, là mối đe dọa chính kháccho tài nguyên IT công ty. Các cuộc tấn công có thể có đ ược ở đây bao gồm tấn công quansát dễ nhất, chẳng hạn một hacker xem qua vai một người sử dụng máy tình di động trên xelửa để thấy ID và password, tới những sự tấn công phức tạp h ơn ở chỗ đọc thẻ hay nâng cấpbộ định tuyến được gởi và cài đặt bởi một kỹ sư dịch vụ người đạt quyền truy xuất đến hệthống mạng doanh nghiệp bằng cách hỏi user ID, password.4.5 Reverse Social EngineeringLà một hình thức cao hơn social engineering mà giải quyết các khó khăn phổ biến củasocial engineering bình thường. Hình thức này có thể mô tả là một user hợp pháp của hệ thốnghỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker đư ợc cho là có vị trí cao hơn user hợppháp, người thực sự là mục tiêu. Để thực hiện một tấn công RSE, kẻ tấn công phải có sự hiểubiết về hệ thống và luôn luôn phải có quyền truy xuất trước đó mà được cấp cho anh ta, th ườnglà do social engineering bình th ường tiến hành. Ta có sự so sánh SE và RSE:o Social engineering: hacker tiến hành cuộc gọi và phụ thuộc vào usero Reverse Social Engineering: user tiến hành cuộc gọi và phụ thuộc vàohackero Social engineering: user cảm thấy là hacker mang nợ họo Reverse Social engineering: user cảm thấy mang nợ hackero Social engineering: các câu hỏi thường vẫn chưa giải quyết cho nạn nhâno Reverse Social engineering: tất cả các vấn đề được giải quyết, những kếtthúc không đáng nghi ng ờSocial Engineering 23o Social engineering: user có kiểm soát bằng cách cung cấp thông tino Reverse Social engineering: hacker hoàn toàn điều khiển.o Social engineering: ít hoặc không cần sự chuẩn bị.o Reverse Social engineering: nhi ều kế hoạch và sự truy xuất cần thiết lập tr ướcTấn công RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sựgiúp đỡ. Sau khi đạt quyền truy xuất bằng các ph ương tiện khác, hacker phá hoạiworkstation bằng làm hư station, hoặc làm cho nó có vẻ là hư hỏng. với sự phong phú cácthông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo có thể thực hiệnviệc phá hoại. Người sử dụng thấy các trục trặc v à sau đó tìm kiếm sự giúp đỡ. Để là ngườiđược user gọi tới, kẻ tấn công phải quảng bá l à hắn ta có khả năng sửa đ ược lỗi. Sự quảngbá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung quanh các văn ph òng hay thậm chícung cấp số điện thoại để gọi đến trong thông báo lỗi. Một thông báo lỗ i ví dụ có thể:** ERROR 03 - Restricted Access Denied ** - File access not allowed by user.Consult with Mr. Downsat [301] 555-1414 for file permission information.Trong trường hợp này, user sẽ gọi “Mr. Downs” đề được giúp đỡ, và tiết lộ thông tintài khoản mà không nghi ngờ tính hợp pháp của “Mr. Downs” . Phương pháp khác c ủa sựquảng bá có thể bao gồm social engineering. Một ví dụ của điều này là hacker gọi đến mụctiêu và thông báo với họ là số điện thoại hỗ trợ kỹ thuật mới đ ã thay đổi, và sau đó hacker sẽđưa cho họ số của riêng mình. Phần thứ ba [ và dễ nhất] của một cuộc tấn công RSE l à chohacker giúp đỡ giải quyết vấn đề. Bởi vì hacker là kẻ chủ mưu của sự phá hoại, vấn đề dễdàng để sửa, và mục tiêu không nghi ngờ người giúp đỡ bở vì hắn ta thể hiện là một user amhiểu hệ thống. Trách nhiệm của hacker chỉ l à lấy thông tin tài khoản từ mục tiêu trong khigiúp đỡ họ. Sau khi thông tin đạt được, hacker giải quyết vấn đề v à sau đó kết thúc cuộc tròchuyện với mục tiêu.Social Engineering 24Social Engineering 25Sau khi hiểu được phạm vi rộng lớn của các mối đe dọa, có ba b ước cần thiết để thiết kế sựphòng vệ chống lại mối đe dọa từ social engineering đối với nhân viên trong công ty. Sự phòng vệhiệu quả là một chức năng của lập kế hoạch. Th ường sự phòng vệ là phản ứng lại – bạn khám phára một cuộc tấn công th ành công và dựng lên một hàng rào để đảm bảo là vấn đề không xảy ra lầnnữa. Mặc dù các tiếp cận này minh chứng một mức độ nhận thức, giải pháp đến quá trễ nếu vấn đềlớn hoặc tốn kém. Để chặn trước kịch bản như thế, có ba bước tiến hành như sau: Xây dựng một framework quản lý an ninh. Phải xác định tập hợp các mục đích củaan ninh social engineering và đ ội ngũ nhân viên những người chịu trách nhiệm choviệc phân phối những mục đích này. Đánh giá thực hiện quản lý rủi ro. Các mối đe dọa không thể hiện cùng một mứcđộ rủi ro cho các công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa socialengineering và hợp lý hóa mối nguy hiểm trong tổ chức. Thực thi phòng vệ social engineering trong ch ính sách bảo mật. Phát triển một vănbản thiết lập các chính sách và thủ tục quy định nhân vi ên xử trí tình huống mà cóthể là tấn công social engineering. Bước này giả định là chính sách bảo mật đã có,bên ngoài những mối đe dọa của social engineering. Nếu hiện tại không có chínhsách bảo mật, thì cần phải phát triển chúng.5.1 Xây dựng một framework quản lý an ninhMột khung quản lý an ninh xác định một cái nhìn tổng quan các mối đe dọa có thểxảy ra đối với tổ chức từ social engineering v à cấp phát tên công việc có vai trò chịu tráchnhiệm cho việc xây dựng chính sách và thủ tục để làm giảm bớt các mối đe dọa n ày. Cáchtiếp cận này không có nghĩa là bạn phải sử dụng nhân vi ên chỉ có chức năng đảm b ào anninh của tài sản công ty. Security sponsor. Qu ản lý cấp cao, người có thể cung cấp chứng thực cần thiết đểđảm bảo tất cả nhân viên tham gia nghiêm chỉnh về bảo mật cho công ty. Security manager. Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí sựphát triển và bảo dưỡng của chính sách bảo mật. IT security officer. Đ ội ngũ nhân viên kỹ thuật chịu trách nhiệm cho sự phát triển c ơsở hạ tầng và thực thi chính sách và thủ tục bảo mật. Facilities security officer . Một thành viên của đội thiết bị chịu trách nhiệm cho pháttriển vùng và thực thi chính sách và thủ tục bảo mật Security awareness officer. Một thành viên của đội ngũ quản lý nhân vi ên – thườngtừ bộ phận phát triển nhân sự hay nguồn nhân lực – người chịu trách nhiệm cho sựphát triển và thực thi chiến dịch nâng cao nhận thức về an ninh. Nhóm này – Security Steering Committee – đại diện cho ban cố vấn trong công ty.Như là những ứng viên được lựa chọn cho hệ thống an ninh, Security SteeringCommittee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh. Nếu khôngcó tập các định nghĩa các mục tiêu, thì khó để khuyến khích sự tham gia của nhânviên hoặc đo mức độ thành công của dự án. Nhiệm vụ ban đầu của Security SteeringCommittee là xác đ ịnh các rủi ro do social engineering t ồn tại trong công ty.Security Steering Committee c ần phải xác định những vùng có thể tồn tại nguy cơvới công ty. Quá trình này có thể bao gồm các yếu tố tấn công đ ược xác định trên