Đồ án môn học: Social engineering

pdf 33 trang phuongnguyen 3800
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án môn học: Social engineering", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfdo_an_mon_hoc_social_engineering.pdf

Nội dung text: Đồ án môn học: Social engineering

  1. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TPHCM  ĐỒ ÁN MÔN HỌC: SOCIAL ENGINEERING GVHD: Ths. Lê Phúc SVTH: Hồ Ngọc Thiện Trần Thị Thùy Mai TP.Hồ Chí Minh, 4/ 2009 Social Engineering 1
  2. MỤC LỤC Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G 1.1 Khái niệm về Social Engineering 1.2 Thủ thuật 1.3 Điểm yếu của con người Chương 2: PHÂN LOẠI 2.1 Human – based 2.1.1 Impersonation 2.1.2 Important User 2.1.3 Third-party Authorization 2.1.4 Technical Support 2.1.5 In Person 2.2 Computer – based 2.2.1 Phising 2.2.2 Vishing 2.2.3 Pop-up Windows 2.2.4 Mail attachments 2.2.5 Websites 2.2.6 Interesting Software Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING 3.1 Thu thập thông tin 3.2 Chọn mục tiêu 3.3 Tấn công Chương 4: CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 4.1 Các mối đe dọa trực tuyến (Online Threats) 4.1.1 Các mối đe dọa từ E-mail (E-mail Threats) 4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes) 4.1.3 Instant Mesaging 4.2 Telephone-Based Threats 4.2.1 Private Branch Exchange 4.2.2 Service Desk 4.3 Waste Management Threats 4.4 Personal Approaches 4.4.1 Virtual Approaches 4.4.2 Physical Approaches 4.5 Reverse Social Engineering Chương 5: THIẾT KẾ SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 5.1 Xây dựng một framework quản lý an ninh 5.2 Đánh giá rủi ro 5.3 Social engineering trong chính sách an ninh Social Engineering 2
  3. Chương 6: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI AL ENGINEERING 6.1 Sự nhận thức 6.2 Quản lý sự cố 6.3 Xem xét sự thực thi 6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâu Social Engineering 3
  4. Social Engineering 4
  5. 1.1 Khái niệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây l à một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 1.2 Thủ thuật: Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị hay sử dụng thông tin đó. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà attacker muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó Social Engineering 5
  6. không cho phép attacker làm cho ngư ời nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút n ào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng : Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống. Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội. Xem xét tình huống sau đây: Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice” Alice: “ Xin chào, tôi là Alice”. Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này ” Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đ âu.” Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.” Alice: ” Của tôi à à vâng.” Attacker: ” Tôi thông báo với cô về việc server mail vừa bị sập tối qua, v à chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.” Alice: ”Vậy mail của tôi có bị mất không?” Attacker: “Không đâu, chúng tôi có th ể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể l àm gì được.” Alice: ”Password của tôi à?uhm ” Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân) Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô v ào bất cứ mục đích nào khác.” Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456” Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong v ài phút nữa.” Alice: ” Có chắc là mail không bị mất không?” Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.” Alice: ” Cảm ơn.” Attacker: ” Chào cô.” 1.3 Điểm yếu của mọi người: Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Social Engineering 6
  7. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện. Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin n ào thu thập được đều có thể dùng phương pháp Social engineering đ ể thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuy ên gia bảo mật cho rằng cách bảo mật giấu đi thông tin th ì rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có s ự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống. Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp d ễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác hơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức n ào, bởi vì attacker có thể tạo ra những lý do thuyết phục h ơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu đư ợc càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng đ ược sử dụng trong Social engineering l à một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ. Social Engineering 7
  8. Social Engineering 8
  9. Social engineering có thể chia làm 2 loại: human based và computer based. 2.1 Human-based Social engineering: là việc trao đổi giữa người với người để lấy được thông tin mong muốn. Các kỹ thuật social engineering dựa vào con người có thể đại khái chia thành: 2.1.1 Impersonation: với kiểu tấn công social engineering n ày, hacker giả làm một nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt đ ược quyền truy xuất. Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đó thu thập một số thông tin có liên quan đến công ty đó. Có một quy luật được thừa nhận trong giao tiếp xã hội là khi nhận được sự giúp đỡ từ một người nào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả. Có thể xem nó như là một sự biết ơn. Sự biết ơn luôn thấy trong môi trường hợp tác. Một nhân viên sẽ sẵn sàng giúp đỡ người khác với mong muốn là sau này có thể người ta sẽ giúp lại họ. Social engineers cố gắng tận dụng đặc điểm xã hội này khi mạo nhận người khác. Những mưu mẹo này đã được sử dụng trong quá khứ cũng như một sự ngụy trang để đạt được sự truy xuất vật lý. Nhiều thông tin có thể được lượm lặt từ bàn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên ở cửa. 2.1.2 Posing as Important User: Sự mạo nhận đạt tới một mức độ cao h ơn bằng cách nắm lấy đặc điểm của một nhân vi ên quan trọng lời nói của họ có giá trị và thông thường đáng tin cậy hơn. Yếu tố biết ơn đóng vai trò để nhân viên vị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta. Kẻ tấn công giả dạng nh ư một user quan trọng có thể lôi kéo dễ dàng một nhân viên người mà không có sự đề phòng trước. Social engineer sử dụng quyền lực để hăm dọa thậ m chí là đe dọa báo cáo nhân viên với người giám sát nhân viên đó nếu họ không cung cấp thông tin theo y êu cầu. 2.1.3 Third-person Authorization: Một kỹ thuật social engineering phổ biến khác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đã được chấp nhận của sự ủy quyền chỉ định. Chẳng hạn một ng ười chịu trách nhiệm cho phép truy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta và lợi dụng sự vắng mặt của anh ta nh ư là lợi thế để truy xuất tài nguyên. Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh ta đã được chấp nhận để truy xuất thông tin. Đây có thể l à hiệu quả đặc biệt nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngo ài - nơi mà sự xác minh không thể ngay lập tức. Người ta có khuynh hướng làm theo sự giao phó ở nơi làm việc, thậm chí họ nghi ngờ rằng những y êu cầu có thể không hợp pháp. Người ta có khuynh hướng tin rằng những người khác đang thể hiện những quan điểm đúng của họ khi họ tuy ên bố. Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần. Social Engineering 9
  10. 2.1.4 Technical Support: một chiến thuật thường hay được sử dụng, đặc biệt khi nạn nhân không phải là chuyên gia về kỹ thuật. Kẻ tấn công có thể giả l àm một người bán phần cứng hoặc kỹ thuật viên hoặc một nhà cung cấp liên quan máy tính và tiếp cận với nạn nhân. 2.1.5 In Person: Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục ti êu và quan sát tình hình cho thông tin. H ắn ta có thể cải trang chính anh ta th ành người phân phối thư, người lao công hoặc thậm chí rong ch ơi như một vị khách ở hành lang. Anh ấy có thể giả làm nhà kinh doanh, khách hoặc kỹ thuật viên. Khi ở bên trong, anh ta có thể nhìn password trên màn hình, tìm dữ liệu quan trọng nằm trên bàn hoặc nghe trộm các cuộc nói chuyện bí mật. Có 2 kỹ thuật được sử dụng bởi attacker. Đó là: 2.1.5.1 Dumpster Diving: tìm kiếm trong thùng rác, thông tin được viết trên mảnh giấy hoặc bản in máy tính. Hacker có thể t ìm thấy password, filename, hoặc những mẩu thông tin bí mật. 2.1.5.2 Shoulder Surfing: là một kỹ thuật thu thập password bằng cách xem qua vai người khác khi họ đăng nhập vào hệ thống. Hacker có thể xem người sử dụng hợp lệ đăng nhập và sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống. Khi ở bên trong, kẻ xâm nhập có cả một menu các sách l ược để chọn, bao gồm đi lang thang những hành lang của tòa nhà để tìm kiếm các văn phòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc của họ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo vào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến ph òng server hay phòng điện thoại để lấy nhiều thông tin hơn từ hệ thống đang vận hành; đặt bộ phân tích protocol trong wiring closet để bắt gói dữ liệu, username, và password hay chỉ đơn giản đánh cắp thông tin nhằm đến. Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên mất password. Trong sự hoảng sợ, anh ta còn nói thêm là nếu anh ta nhỡ hạn cuối của một dự án quảng cáo thì ông chủ có thể đuổi việc anh ta. Người nhân viên hỗ trợ cảm thấy thông cảm cho anh ta và nhanh chóng khởi động lại password, việc làm này giúp cho hacker xâm nhập vào hệ thống mạng của công ty. Ví dụ: Tháng 6 năm 2000, Larry Ellison, ch ủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng t ìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không l à mới trong hoạt động tình báo doanh nghiệp. Một số thứ mà dumpster có thể mang lại: Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in Social Engineering 10
  11. của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn. 2.2 Computer-based Social engineering: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau: 2.2.1 Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng ho ặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty v à nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin. 2.2.2 Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, y êu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip. 2.2.3 Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa. 2.2.4 Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính k èm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong tr ường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. N ếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết. 2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức. Social Engineering 11
  12. 2.2.6 Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc nh ư một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn nh ư Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp. Social Engineering 12
  13. 3.1 Thu thập thông tin: Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó. Các tổ chức có khuynh h ướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai v à email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay, có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong b ước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ, 3.2 Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân vi ên của tổ chức đó. Mục tiêu thông thường là nhân viên hỗ trợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản, Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý. 3.3 Tấn công: Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”. Gồm có 3 loại chính: o Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn. o Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc Social Engineering 13
  14. đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password, Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi t ìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ. o Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ l à là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm . Social Engineering 14
  15. Social Engineering 15
  16. Có 5 nhân tố tấn công chính mà một hacker social engineering sử dụng: 4.1 Các mối đe dọa trực tuyến (Online Threats): trong thế giới kinh doanh được kết nối ngày càng tăng của chúng ta, nhân viên thường sử dụng và đáp ứng các yêu cầu và thông tin đến một cách tự động từ cả inside v à outside công ty. Sự kết nối này giúp hacker có thể tiếp cận được với các nhân viên. Các tấn công trực tuyến như e-mal, pop-up application, và instant message sử dụng trojan, worm, virus – gọi là malware – gây thiệt hại và phá hủy tài nguyên máy tính. Hacker social engineering thuyết phục nhân viên cung cấp thông tin thông qua mưu mẹo tin được, hơn là làm nhiễm malware cho máy tính thông qua tấn công trực tiếp. Một tấn công có thể cung cấp thông tin mà sẽ giúp cho hacker làm một cuộc tấn công malware sau đó, nhưng kết quả không là chức năng của social engineering. V ì thế, phải có lời khuyên cho nhân viên làm thế nào để nhận diện và tránh các cuộc tấn công social engineering trực tuyến. 4.1.1 Các mối đe dọa từ E-mail (E-mail Threats): Nhiều nhân viên nhận hàng chục hoặc hàng trăm e-mail mỗi ngày, từ cả kinh doanh và từ hệ thống e-mail riêng. Khối lượng e-mail có thể làm cho nó trở thành khó khăn để gây sự chú ý cho mỗi bài viết. Điều này thì rất hữu ích với hacker. Hầu hết người dùng e-mail cảm thấy tốt khi họ giải quyết với một mẩu thư. Nếu hacker có thể làm một yêu cầu đơn giản mà dễ dàng giải quyết, thì sau đó mục tiêu sẽ đồng ý mà không nghĩ là anh ấy hoặc cô ấy đang làm chuyện gì. Một ví dụ của tấn công kiểu này là gởi e-mail đến nhân viên nói rằng ông chủ muốn tất cả lịch nghỉ gởi cho cuộc họp và tất cả mọi người trong danh sách được sao chép vào trong e-mail. Chỉ đơn giản là trich tên ở ngoài từ danh sách sao chép và đánh lừa tên người gởi để mail xuất hiện bắt đầu từ nguồn b ên trong. Việc đánh lừa này đặc biệt đơn giản nếu một hacker đạt quyền truy xuất đến một hệ thống máy tính công ty, bởi vì không cần phải phá vỡ thông qua phạm vi t ường lửa. Sự hiểu biết về lịch trình kỳ nghỉ có thể không là mối đe dọa bảo mật, nhưng nó có nghĩa là một hacker biết khi nào nhân viên vắng mặt. Hacker sau đó có thể giả mạo ng ười này với khả năng bị khám phá ra giảm đi. Sử dụng e-mail như là một công cụ social engineering đã trở nên phổ biến qua hơn một thập kỷ qua. Phising được mô tả là sử dụng e-mail để nhận dạng cá nhân hoặc thông tin giới hạn từ một user. Hacker có thể gởi e-mail mà có vẻ đến từ tổ chức hợp lệ, chẳng hạn ngân h àng hoặc các công ty đối tác. Minh họa dưới đây chỉ ra một link hợp lệ bề ngoài đến từ trang quản lý tài khoản Contoso. Social Engineering 16
  17. Tuy nhiên, nếu nhìn kỹ hơn chúng ta có thể nhận thấy 2 sự khác biệt: Dòng chữ trong dòng link trên chỉ ra là trang web này bảo mật, sử dụng https, mặc dù link thật sự của trang web sử dụng http Tên công ty trong mail là “Contoso”, nhưng link th ật sự thì tên công ty gọi là “Comtoso” Như thuật ngữ phising ngụ ý, sự tiếp cận có tính lý thuyết, với một y êu cầu chung cho thông tin khách hàng. Sự ngụy trang thực tế được dùng trong những thông báo thư điện tử, với những biểu tượng công ty, phông, và thậm chí những số điện thoại hỗ trợ tự do rõ ràng hợp lệ, làm thư điện tử có vẻ có thể tin được hơn. Trong mỗi e- mail phising là một yêu cầu cho thông tin user, thường làm thuận tiện cho việc nâng cấp hay thêm vào dịch vụ. E-mail có thể chứa hyperlink có thể xúi giục nhân vi ên phá vỡ tính bảo mật của công ty. Có một loạt các lựa chọn khác nhau cho hacker sử dụng trong phising, bao gồm các h ình ảnh có hyperlink mà tải xuống là malware, chẳng hạn virus hoặc spyware, hoặc văn bản đ ược thể hiện trong một tấm ảnh, đề vượt qua bộ lọc bảo mật hyperlink. Hầu hết các biện pháp bảo mật làm cho các user không có chứng thực ở ngoài. Một hacker có thể vượt qua nhiều sự phòng thủ nếu hắn có thể lừa một user đưa vào trojan, worm, hoặc virus vào công ty thông qua đường link. Một hyperlink có thể dẫn một user đến một tr ang web mà sử dụng ứng dụng pop-up để yêu cầu cung cấp thông tin hoặc đưa ra sự giúp đỡ. Để có thể chống lại các cuộc tấn công của hacker social engineering bằng cách tiếp cận với chủ nghĩa hoài nghi bất cứ thứ gì không ngờ trong Inbox. Để hỗ trợ phương pháp tiếp cận này trong một tổ chức, nên bao gồm trong các chính sách an ninh cụ thể e-mail hướng dẫn cách sử dụng đó bao gồm: Đính kèm trong tài liệu Hyperlink trong tài liệu Yêu cầu thông tin cá nhân hay công ty từ b ên trong công ty. Yêu cầu thông tin cá nhân hay công ty từ bên ngoài công ty. 4.1.2 Các ứng dụng pop-up và hộp hội thoại( Pop-Up Applications and Dialog Boxes) Không thực tế khi cho rằng các nhân viên không sử dụng Internet trong công ty truy xuất cho các hoạt động không phải là công việc. Hầu hết nhân viên duyệt Web cho các lý do cá nhân, chẳng hạn như mua sắm hoặc nghiên cứu trực tuyến. Trình duyệt cá nhân có thể làm cho nhân viên, và vì thế hệ thống máy tính công ty, tiếp xúc với các social engineer. Mặc dù điều này có thể không là mục tiêu cụ thể của công ty, họ sẽ sử dụng các nhân vi ên trong một nỗ lực để đạt được quyền truy xuất vào tài nguyên công ty. Một trong những mục đích phổ biến l à nhúng một mail engine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phising hoặc các tấn công khác vào email của cá nhân hay của công ty. Hai phương thức thông thường để lôi kéo user click vào một nút bấm bên trong một hộp hội thoại là đưa ra một cảnh báo của vấn đề, chẳng hạn như hiển thị Social Engineering 17
  18. một thông báo lỗi ứng dụng hoặc hệ thống, bằng cách đề nghị cung cấp thêm dịch vụ - ví dụ, một download miễn phí làm cho máy tính của user nhanh hơn. Với các user IT và Web có kinh nghiệm, những phương pháp này dường như là các mánh khóe lừa bịp dễ thấy. Nhưng với các user thiếu kinh nghiệm th ì các phương thức này có thể đe dọa và lừa được họ. Bảo vệ user từ các ứng dụng pop-up social engineering phần lớn là một chức năng của sự ý thức. Để tránh vấn đề này, bạn có thể thiết lập cấu hình trình duyệt mặc định sẽ ngăn chặn pop-up và download tự động, nhưng một vài pop-up có thể vượt qua thiết lập này. Sẽ hiệu quả hơn để đảm bảo rằng người dùng nhận thức được rằng họ không nên bấm vào cửa sổ pop-up, trừ khi họ kiểm tra với nhân viên hỗ trợ. 4.1.3 Instant Mesaging: Có một số mối đe dọa tiềm tàng của IM khi nó được hacker nhắm đến. Đầu tiên là tính chất không chính thức của IM. Tính tán gẫu của IM, k èm theo đó là lựa chọn cho mình một cái tên giả mạo, nghĩa là sẽ không hoàn toàn rõ ràng khi bạn đang nói chuyện với một người mà bạn tin rằng bạn đang nói đến. Hình minh họa dưới đây chỉ ra spoofing làm việc như thế nào, cho cả e-mail và IM: Hacker (màu đỏ) giả mạo user đã biết và gởi một bản tin e-mail hay IM mà người nhận sẽ cho rằng nó đến từ một người mà họ đã biết. Sự quen biết làm giảm nhẹ sự phòng thủ của user, vì thế họ có nhiều khả năng click vào một liên kết hoặc mở tập tin đính kèm từ một ai đó mà họ biết – hoặc họ nghĩ là họ biết. Hầu hết các nhà cung cấp IM cho phép xác nhận user dựa trên địa chỉ e-mail, điều này có thể giúp cho hacker người mà đã được xác nhận với một địa chỉ theo tiêu chuẩn trong công ty để gởi lời mời đến những ng ười khác trong tổ chức. Tính năng này hiện không chứa một mối đe dọa, nh ưng nó có nghĩa là số lượng các mục tiêu bên trong công ty được tăng lên rất nhiều. 4.2 Telephone-Based Threats: Nó là một môi trường truyền thông quen thuộc, nhưng nó cũng không ám chỉ ai, bởi vì mục tiêu không thể thấy được hacker. Các tùy chọn thông tin liên lạc cho hầu hết các hệ thống máy tính Social Engineering 18
  19. cũng có thể làm Private Branch Exchange (PBX) m ột mục tiêu hấp dẫn. Thêm nữa, có lẽ rất thô lỗ, tấn công là để ăn cắp thẻ tín dụng hoặc thẻ điện thoại tại các buồng điện thoại. Hầu hết các cuộc tấn công này là một hành vi trộm cắp thông thường là từ một cá nhân. Hầu hết mọi người ý thức được rằng họ nên thận trọng với những đôi mắt tò mò khi sử dụng ATM, nhưng đa số ít thận trọng hơn khi sử dụng mã PIN tại buồng điện thoại. Voip là một thị trường đang phát triển mà cung cấp lợi ích về chi phí cho công ty. Hiện nay, do sự giới hạn tương đối số lượng các bản cài đặt, VoIP hacking không được xem là mối đe dọa chính. Tuy nhiên, càng nhiều doanh nghiệp sử dụng công nghệ n ày, VoIP spoofing để trở nên lan rộng như e-mail và IM spoofing. 4.2.1 Private Branch Exchange: Hacker có 3 mục đích chính đề tấn công một PBX: o Yêu cầu thông tin, thường là thông qua việc giả dạng một người sử dụng hợp pháp, hoặc để truy cập vào các hệ thống điện thoại hoặc truy cập từ xa vào hệ thống máy tính o Đạt quyền truy xuất để sử dụng miễn phí điện thoại o Đạt quyền truy xuất để giao tiếp với hệ thống mạng Mỗi mục đích này là một biến thể của cùng một chủ đề, với các hacker gọi điện thoại cho công ty và cố gắng để có được số điện thoại để cung cấp truy cập trực tiếp hoặc thông qua một PBX đến mạng điện thoại công cộng. Thuật ngữ hacker gọi là phreaking. Cách tiếp cận thông thường nhất là hacker giả vờ là một kỹ sư điện thoại, yêu cầu một đường dây bên ngoài hoặc password để phân tích và giải quyết các vấn đề được báo cáo trong hệ thống điện thoại nội bộ, như mình minh họa bên dưới: Yêu cầu về thông tin hoặc truy cập qua điện thoại là một tương đối rủi ro dưới hình thức tấn công. Nếu mục tiêu trở nên đáng ngờ hoặc từ chối tuân thủ yêu cầu, các hacker có thể chỉ cần gác máy. Tuy nhiên, nhận thấy là các cuộc tấn công có nhiều phức tạp h ơn một hacker chỉ cần gọi điện thoại một công ty và các yêu cầu cho một người sử dụng ID và mật khẩu. Các hacker thường trình bày một kịch bản, yêu cầu hoặc cung cấp trợ giúp, trước khi Social Engineering 19
  20. yêu cầu thông tin xảy ra cho cá nhân hoặc doanh nghiệp , gần như là một sự suy nghĩ sau khi hành động. Hầu hết các user không có bất kỳ kiến thức về hệ thống điện thoại nội bộ, ngoài các số điện thoại riêng của mình. Đây là một phần của việc phòng thủ quan trọng nhất mà bạn có thể đưa vào chính sách bảo mật. Thật là hiếm khi hacker tiếp cận user thông thường theo cách này. Các mục tiêu thông thường hầu hết là nhân viên tiếp tân hay tổng đài. Bạn phải chỉ rõ rằng chỉ có bàn dịch vụ có chứng thực để cung cấp sự trợ giúp đến nhà cung cấp điện thoại. Bằng cách này, tất cả các cá nhân có thẩm quyền đối vớ i tất cả các cuộc gọi hỗ trợ kỹ thuật. Cách tiếp cận này cho phép nhân viên mục tiêu định hướng lại như các truy vấn có hiệu quả và nhanh chóng tới một thành viên đủ điều kiện. 4.2.2 Service Desk: Bàn cung cấp dịch vụ - hoặc bàn trợ giúp – là một trong những phòng thủ trụ cột chống lại hacker, nhưng ngược lại nó cũng là mục tiêu cho các hacker social engineering. Mặc dù nhân viên hỗ trợ thường nhận thấy được mối đe dọa của hacking, họ cũng đào tạo để giúp đỡ và hỗ trợ người gọi, cung cấp cho họ tư vấn và giải quyết các vấn đề của họ. Đôi khi sự nhiệt tình chứng tỏ bởi nhân viên hỗ trợ kỹ thuật cung cấp một giải pháp l àm mất hiệu lực sự cam kết của họ tuân thủ các thủ tục bảo mật v à đưa nhân viên cung cấp giải pháp vào một tình thế khó xử: nếu họ thực thi nghiêm ngặt các tiêu chuẩn bảo mật, yêu cầu xác nhận tính hợp lệ là các yêu cầu hoặc câu hỏi đến từ một ủy quyền ng ười sử dụng, thì điều này có thể không có tác dụng và làm cản trở. Nhân viên tiếp thị, bán hàng và sản xuất cảm thấy rằng là các bộ phận IT không cung cấp dịch vụ tức thời mà họ yêu cầu thì có khuynh hướng than phiền, và những người quản lý cấp cao nhất được yêu cầu chứng minh nhận dạng của họ thường ít thông cảm với tính cẩn thận của nhân vi ên hỗ trợ. Bàn cung cấp dịch vụ cần phải cân bằng tính bả o mật với hiệu quả kinh doanh, chẳng hạn như các thủ tục và chính sách bảo mật phải hỗ trợ họ. Thật khó hơn để bảo vệ cho nhân viên phân tích bàn dịch vụ chống lại hacker bên trong hay làm hợp đồng. Chẳng hạn hacker đã có sự hiểu biết về các thủ tục bên trong và có đủ thời gian để đảm bảo rằng họ có tất cả các thông tin cần thiết, trước khi họ tiến hành một cuộc gọi cho bàn dịch vụ. 4.3 Waste Management Threats: Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứa thông tin mang lại lợi ích tức thời cho hacker, chẳng hạn như user ID và số tài khoản bỏ đi, hoặc có thể phục vụ như là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại. Các loại thông tin này là vô giá đối với hacker social engineering, bởi v ì nó làm cho hắn ta có vẻ đáng tin khi bắt đầu cuộc tấn công. Phương tiện lưu giữ điện tử thậm chí còn hữu ích hơn cho hacker. Nếu một công ty, không có các quy tắc quản lý chất thải bao gồm sử dụng các ph ương tiện thông tin dư thừa, thì có thể tìm thấy tất cả các loại thông tin trên ổ đĩa cứng, CD, DVD không còn sử dụng. Nhân viên phải hiểu được đầy đủ sự tác động của việc ném giấy thải hoặc ph ương tiện lưu trữ điện tử vào thùng rác. Sau khi di chuyển rác thải ra ngoài công ty, thì tính sở hữu nó có thể trở thành không rõ ràng về pháp luật. Dumpster diving có thể không đ ược coi là bất hợp pháp trong mọi hoàn cảnh, vì thế phải chắc chắn rằng đưa ra lời khuyên như thế nào để giải quyết với những vật liệu thải. Luôn luôn cắt thành miếng nhỏ giấy vụn và xóa đi hoặc phá hủy các phương tiện có từ tính. Nếu có loại chất thải quá lớn hoặc khó để đặt v ào máy hủy, chẳng hạn như niên giám điện thoại, hoặc nó có kỹ thuật vượt quá khả năng của user để hủy nó, th ì Social Engineering 20
  21. phải phát triển một giao thức cho việc vứt bỏ. N ên đặt các thùng rác ở trong vùng an toàn mà không tiếp cận với công cộng. Bên cạnh quản lý chất thải bên ngoài cũng cần phải quản lý chất thải b ên trong. Chính sách bảo mật thường không chú ý vấn đề này, bởi vì nó thường được giả định rằng bất cứ ai cho phép truy cập vào các công ty phải là đáng tin cậy. Rõ ràng, điều này không phải lúc nào cũng đúng. Một trong những biện pháp có hiệu quả nhất để quản lý giấy thải l à đặc tả của việc phân loại dữ liệu. Bạn xác định loại giấy khác nhau dựa tr ên các thông tin và chỉ định cách thức nhân viên quản lý sự vứt bỏ của họ. Ví dụ có thể phân thành các loại: o Bí mật công ty. Cắt nhỏ tất cả các tài liệu bí mật bỏ đi trước khi bỏ vào thùng rác o Riêng tư. Cắt nhỏ tất cả tài liệu riêng tư bỏ đi trước khi bỏ vào thùng rác o Văn phòng. Cắt nhỏ tất cả tài liệu văn phòng bỏ đi trước khi bỏ vào thùng rác. o Công cộng. Vứt bỏ tài liệu công cộng vào bất kỳ thùng rác nào hoặc tái chế chúng làm giấy thải. 4.4 Personal Approaches Cách rẻ nhất và đơn giản nhất cho hacker lấy thông tin l à hỏi trực tiếp. Cách tiếp cận này có vẻ thô lỗ và rõ ràng, nhưng nó nền tảng của các thủ đoạn đánh lừa bí mật ở giai đoạn đầu tiên. Có 4 cách tiếp cận chính minh chứng thành công của social engineer: o Sự đe dọa: cách tiếp cận này có thể bao gồm sự mạo danh một người có thẩm quyền để ép buộc mục tiêu làm theo yêu cầu. o Sự thuyết phục: hình thức thông thường của sự thuyết phục gồm có nịnh hót hay bằng cách nói rằng mình quen toàn những nhân vật nổi tiếng. o Sự mến mộ: cách tiếp cận này là một thủ đoạn dài hơi, trong đó người cấp dưới hoặc đồng nghiệp xây dựng một mối quan hệ để lấy lòng tin, thậm chí, thông tin từ mục tiêu. o Sự trợ giúp: với cách tiếp cận này, hacker tỏ ra sẵn sàng giúp mục tiêu. Sự trợ giúp này cuối cùng đòi hỏi mục tiêu tiết lộ ra thông tin cá nhân giúp hacker đánh cắp nhận dạng của mục tiêu. Bảo vệ user chống lại những loại của tiếp cận cá nhân thì rất khó khăn. Việc bảo vệ chống lại tấn công đe dọa là phát triển một nền văn hóa không sợ hãi trong kinh doanh. Nếu cách cư xử thông thường là lịch sự, thì sự thành công của sự đe dọa bị giảm xuống, bởi vì các cá nhân riêng lẻ thích để leo thang vị trí đối đầu. Một thái độ hỗ trợ trong quản lý và vai trò giám sát về phía sự leo thang của vấn đề và ra quyết định là thứ tệ nhất mà có thể xảy ra với hacker social engineering. Mục đích của họ là khuyến khích mục tiêu ra quyết định nhanh hơn. Với vấn đề này để chuyển cấp có thẩm quyền cao h ơn, thì cũng ít có khả năng để đạt được mục tiêu này. Thuyết phục luôn luôn là một phương pháp quan trọng để đạt được mục đích. Bạn không thể thiết kế điều này ra khỏi lực lượng lao động của bạn, nhưng có thể cung cấp các hướng dẫn nghiêm ngặt về những gì một cá nhân nên làm và không nên làm. Hacker sẽ luôn luôn hỏi hoặc đưa ra một kịch bản nơi mà một user đưa ra thông tin giới hạn. Tiếp tục các chiến dịch nâng cao nhận thức và hướng dẫn cơ bản bao gồm các thiết bị an ninh nh ư các mật khẩu là sự phòng thủ tốt nhất. 4.4.1 Virtual Approaches Hacker social engineering cần phải thực hiện liên lạc với mục tiêu đề thực hiện các cuộc tấn công. Thông thường nhất, điều này sẽ diễn ra thông qua môi trường điện tử, chẳng Social Engineering 21
  22. hạn như e-mail hay cửa sổ pop-up. Khối lượng spam và junk mail đến ở hầu hết trong hộp thư cá nhân làm cho phương thức tấn công này ít thành công hơn, chẳng hạn user trở nên hoài nghi hơn với hàng loạt lá thư và các yêu cầu bí ẩn tham gia các giao dịch tài chính có lợi và hợp pháp. Mặc dù vậy, khối lượng mail và sử dụng các trojan có nghĩa là nó vẫn còn hấp dẫn, dù chỉ với tỷ lệ thành công tối thiểu, đối với một vài hacker. Hầu hết các cuộc tấn công này là cá nhân và mục địch để khám phá thông tin về mục ti êu. Tuy nhiên, với các doanh nghiệp, các vi phạm phổ biến rộng rãi trong các hệ thống kinh doanh, chằng hạn như truy cập Internet và máy tính, cho cá nhân sử dụng nghĩa là hacker có thể xâm nhập vào hệ thống mạng. Điện thoại cung cấp chi tiết cá nhân h ơn, phương pháp tiếp cận này thành công thấp hơn. Những nguy cơ hạn chế bị bắt giữ nghĩa là các hacker sử dụng điện thoại như là phương tiện tiếp cận, nhưng cách tiếp cận này chủ yếu cho tấn công PBX và bàn dịch vụ, hầu hết user sẽ nghi ngờ về một cuộc gọi y êu cầu thông tin từ một ai đó mà họ không biết. 4.4.2 Physical Approaches Ít phổ biến, nhưng hiệu quả hơn cho hacker, trực tiếp, cá nhân tiếp xúc với mục ti êu. Chỉ có những nhân viên đáng ngờ nhất sẽ nghi ngờ tính hợp lệ của một người nào đó mà tự giới thiệu về mình và yêu cầu hay trợ giúp cho hệ thống máy tính. Mặc dù những tiếp cận này có độ rủi ro lớn hơn cho thủ phạm, các lợi ích vẫn rõ ràng. Hacker có thể được truy xuất tự do đến hệ thống máy tính trong công ty, bên trong chu vi có sự phòng thủ tồn tại. Sự phát triển trong việc sử dụng công nghệ mobile, giúp những user kết nối với hệ thống mạng công ty trong khi đang tr ên đường hay ở nhà của họ, là mối đe dọa chính khác cho tài nguyên IT công ty. Các cuộc tấn công có thể có được ở đây bao gồm tấn công quan sát dễ nhất, chẳng hạn một hacker xem qua vai một người sử dụng máy tình di động trên xe lửa để thấy ID và password, tới những sự tấn công phức tạp hơn ở chỗ đọc thẻ hay nâng cấp bộ định tuyến được gởi và cài đặt bởi một kỹ sư dịch vụ người đạt quyền truy xuất đến hệ thống mạng doanh nghiệp bằng cách hỏi user ID, password. 4.5 Reverse Social Engineering Là một hình thức cao hơn social engineering mà giải quyết các khó khăn phổ biến của social engineering bình thường. Hình thức này có thể mô tả là một user hợp pháp của hệ thống hỏi hacker các câu hỏi cho thông tin. Trong RSE, hacker được cho là có vị trí cao hơn user hợp pháp, người thực sự là mục tiêu. Để thực hiện một tấn công RSE, kẻ tấn công phải có sự hiểu biết về hệ thống và luôn luôn phải có quyền truy xuất trước đó mà được cấp cho anh ta, thường là do social engineering bình thường tiến hành. Ta có sự so sánh SE và RSE: o Social engineering: hacker tiến hành cuộc gọi và phụ thuộc vào user o Reverse Social Engineering: user tiến hành cuộc gọi và phụ thuộc vào hacker o Social engineering: user cảm thấy là hacker mang nợ họ o Reverse Social engineering: user cảm thấy mang nợ hacker o Social engineering: các câu hỏi thường vẫn chưa giải quyết cho nạn nhân o Reverse Social engineering: tất cả các vấn đề được giải quyết, những kết thúc không đáng nghi ngờ Social Engineering 22
  23. o Social engineering: user có kiểm soát bằng cách cung cấp thông tin o Reverse Social engineering: hacker hoàn toàn điều khiển. o Social engineering: ít hoặc không cần sự chuẩn bị. o Reverse Social engineering: nhiều kế hoạch và sự truy xuất cần thiết lập trước Tấn công RSE tiêu biểu bao gồm 3 phần chính: sự phá hoại, sự quảng cáo, sự giúp đỡ. Sau khi đạt quyền truy xuất bằng các ph ương tiện khác, hacker phá hoại workstation bằng làm hư station, hoặc làm cho nó có vẻ là hư hỏng. với sự phong phú các thông báo lỗi, chuyển các tham số/tùy chọn, hoặc chương trình giả mạo có thể thực hiện việc phá hoại. Người sử dụng thấy các trục trặc và sau đó tìm kiếm sự giúp đỡ. Để là người được user gọi tới, kẻ tấn công phải quảng bá l à hắn ta có khả năng sửa được lỗi. Sự quảng bá có thể bao gồm đặt các thẻ kinh doanh giả mạo xung quanh các văn ph òng hay thậm chí cung cấp số điện thoại để gọi đến trong thông báo lỗi. Một thông báo lỗi ví dụ có thể: ERROR 03 - Restricted Access Denied - File access not allowed by user. Consult with Mr. Downs at (301) 555-1414 for file permission information. Trong trường hợp này, user sẽ gọi “Mr. Downs” đề được giúp đỡ, và tiết lộ thông tin tài khoản mà không nghi ngờ tính hợp pháp của “Mr. Downs” . Phương pháp khác của sự quảng bá có thể bao gồm social engineering. Một ví dụ của điều này là hacker gọi đến mục tiêu và thông báo với họ là số điện thoại hỗ trợ kỹ thuật mới đã thay đổi, và sau đó hacker sẽ đưa cho họ số của riêng mình. Phần thứ ba ( và dễ nhất) của một cuộc tấn công RSE là cho hacker giúp đỡ giải quyết vấn đề. Bởi vì hacker là kẻ chủ mưu của sự phá hoại, vấn đề dễ dàng để sửa, và mục tiêu không nghi ngờ người giúp đỡ bở vì hắn ta thể hiện là một user am hiểu hệ thống. Trách nhiệm của hacker chỉ là lấy thông tin tài khoản từ mục tiêu trong khi giúp đỡ họ. Sau khi thông tin đạt được, hacker giải quyết vấn đề và sau đó kết thúc cuộc trò chuyện với mục tiêu. Social Engineering 23
  24. Social Engineering 24
  25. Sau khi hiểu được phạm vi rộng lớn của các mối đe dọa, có ba b ước cần thiết để thiết kế sự phòng vệ chống lại mối đe dọa từ social engineering đối với nhân viên trong công ty. Sự phòng vệ hiệu quả là một chức năng của lập kế hoạch. Thường sự phòng vệ là phản ứng lại – bạn khám phá ra một cuộc tấn công thành công và dựng lên một hàng rào để đảm bảo là vấn đề không xảy ra lần nữa. Mặc dù các tiếp cận này minh chứng một mức độ nhận thức, giải pháp đến quá trễ nếu vấn đề lớn hoặc tốn kém. Để chặn trước kịch bản như thế, có ba bước tiến hành như sau: Xây dựng một framework quản lý an ninh. Phải xác định tập hợp các mục đích của an ninh social engineering và đội ngũ nhân viên những người chịu trách nhiệm cho việc phân phối những mục đích này. Đánh giá thực hiện quản lý rủi ro. Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa social engineering và hợp lý hóa mối nguy hiểm trong tổ chức. Thực thi phòng vệ social engineering trong chính sách bảo mật. Phát triển một văn bản thiết lập các chính sách và thủ tục quy định nhân viên xử trí tình huống mà có thể là tấn công social engineering. Bước này giả định là chính sách bảo mật đã có, bên ngoài những mối đe dọa của social engineering. Nếu hiện tại không có chính sách bảo mật, thì cần phải phát triển chúng. 5.1 Xây dựng một framework quản lý an ninh Một khung quản lý an ninh xác định một cái nhìn tổng quan các mối đe dọa có thể xảy ra đối với tổ chức từ social engineering và cấp phát tên công việc có vai trò chịu trách nhiệm cho việc xây dựng chính sách và thủ tục để làm giảm bớt các mối đe dọa này. Cách tiếp cận này không có nghĩa là bạn phải sử dụng nhân viên chỉ có chức năng đảm bào an ninh của tài sản công ty. Security sponsor. Quản lý cấp cao, người có thể cung cấp chứng thực cần thiết để đảm bảo tất cả nhân viên tham gia nghiêm chỉnh về bảo mật cho công ty. Security manager. Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí sự phát triển và bảo dưỡng của chính sách bảo mật. IT security officer. Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho sự phát triển c ơ sở hạ tầng và thực thi chính sách và thủ tục bảo mật. Facilities security officer. Một thành viên của đội thiết bị chịu trách nhiệm cho phát triển vùng và thực thi chính sách và thủ tục bảo mật Security awareness officer. Một thành viên của đội ngũ quản lý nhân viên – thường từ bộ phận phát triển nhân sự hay nguồn nhân lực – người chịu trách nhiệm cho sự phát triển và thực thi chiến dịch nâng cao nhận thức về an ninh. Nhóm này – Security Steering Committee – đại diện cho ban cố vấn trong công ty. Như là những ứng viên được lựa chọn cho hệ thống an ninh, Security Steering Committee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh. Nếu không có tập các định nghĩa các mục tiêu, thì khó để khuyến khích sự tham gia của nhân viên hoặc đo mức độ thành công của dự án. Nhiệm vụ ban đầu của Security Steering Committee là xác định các rủi ro do social engineering tồn tại trong công ty. Security Steering Committee cần phải xác định những vùng có thể tồn tại nguy cơ với công ty. Quá trình này có thể bao gồm các yếu tố tấn công đ ược xác định trên Social Engineering 25
  26. giấy tờ và các yếu tố riêng biệt của công ty, chẳng hạn như sử dụng terminal công cộng hay các thủ tục quản lý văn ph òng. Ví dụ: Company Social Engineering Attack Vector Vulnerabilities Attack vector Describe company usage Comments Online E-mail All users have Microsoft Outlook® on desktop computers. Internet Mobile users have Outlook Web Access (OWA) in addition to Outlook client access. Pop-up applications There is currently no technological barrier implemented against pop-ups. Instant Messaging The company allows unmanaged use of a variety of IM products. Telephone PBX Service Desk Currently the “Service Desk” is a We need to extend support provisions casual support function provided beyond the IT area. by the IT department. Waste management Internal All departments manage their own waste disposal. External Dumpsters are placed outside the We do not currently have any space for company site. Garbage collection dumpsters within the site. is on Thursday. Personal approaches Physical Security Office security All offices remain unlocked 25 percent of staff works from home. throughout the day. We have no written standards for home worker security. Home workers We have no protocols of home worker onsite maintenance. Other/Company-specific In-house franchisees All catering is managed through a We do not know anything about these staff, franchise. and there is no security policy for them. 5.2 Đánh giá rủi ro Tất cả các yêu cầu về an ninh để đánh giá mức độ rủi ro mà một cuộc tấn công tiến hành trong công ty. Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, nhưng nó không phải cần tiêu tốn nhiều thời gian. Dựa trên công việc đã làm trong khi xác định các yếu tố cốt lõi của khung quản lý an ninh bởi Security Steering Committee, bạn có thể phân loại v à ưu tiên các rủi ro. Phân loại rủi ro bao gồm: Bí mật thông tin Sự tín nhiệm kinh doanh Social Engineering 26
  27. Sự sẵn sàng kinh doanh Tài nguyên Chi phí Có thể thiết lập các ưu tiên bằng cách xác định rủi ro và tính toán chi phí để làm giảm bớt rủi ro – nếu sự giảm bớt rủi ro tốn nhiều chi phí hơn là xảy ra rủi ro, nó có thể là không hợp lý. Giai đoạn đánh giá rủi ro có thể rất hữu í ch trong sự phát triển sau cùng của chính sách an ninh. Ví dụ: Steering Committee Security Requirement and Risk Matrix Attack Vector Possible Policy Risk Type Risk Level Action Requirement Confidential High = 5 information Low = 1 Business credibility Business availability Resources Money Written set of social engineering security policies Changes to make policy compliance part of the standard employee contract Changes to make policy compliance part of the standard contractor contract Online E-mail Policy on types of attachments and how to manage them Internet Internet usage policy Pop-up applications Policy for Internet usage, with specific focus on what to do with unexpected dialog boxes Instant Messaging Policy on supported and allowable IM clients Telephone PBX Policy for PBX support management Service Desk Policy for the provision of data access Social Engineering 27
  28. Attack Vector Possible Policy Risk Type Risk Level Action Requirement Confidential High = 5 information Low = 1 Business credibility Business availability Resources Money Waste Management Paper Policy for waste paper management Dumpster management guidelines Electronic Policy for the management of electronic media waste materials Personal Approaches Physical Security Policy for visitor management Office security Policy for user ID and password management – no writing passwords on a sticky note and attaching it to a screen, for example Home workers Policy for the use of mobile computers outside the company Other/ Company-Specific In-house franchisees Policy for screening in-house franchise employees 5.3 Social engineering trong chính sách an ninh Một cá nhân IT và quản lý công ty phải phát triển và giúp đỡ thực thi một chính sách an ninh có hiệu quả trong tổ chức. Đôi khi, trọng tâm của chính sách an ninh l à sự điều khiển công nghệ sẽ giúp bảo vệ chống lại các mối đe dọa về công nghệ, chẳng hạn virus và worm. Điều khiển công nghệ giúp bảo vệ các công nghệ, chẳng hạn các tập tin dữ liệu, tập tin chương trình, và hệ điều hành. Security Steering Committee có vùng an ninh cốt lõi và đánh giá rủi ro mà nó phải ủy quyền sự phát triển của tài liệu kinh doanh, tiến trình, thủ tục. Ví dụ: Steering Committee Procedure and Document Requirements Social Engineering 28
  29. Policy requirement Procedure / document Action on / date requirement Written set of social engineering security None policies Changes to make policy compliance part 1. Wording for new contract of the standard employee contract requirements (Legal) 2. New format for contractor contracts Changes to make policy compliance part 1. Wording for new contract of the standard contractor contract requirements (Legal) 2. New format for contractor contracts Policy for visitor management 1. Procedure for visitor sign in and sign out 2. Procedure for visitor accompaniment Dumpster management guidelines 1. Procedure for waste paper disposal (see Data) 2. Procedure for electronic media disposal (see Data) Policy for the provision of data access Policy for waste paper management Policy for the management of electronic media waste materials Policy for Internet usage, with specific focus on what to do with unexpected dialog boxes Policy for user ID and password management – no writing passwords on a sticky note and attaching it to a screen, etc. Policy for the use of mobile computers outside the company Policy for managing issues when connecting to partner applications (banking, financial, buying, stock management) Social Engineering 29
  30. Social Engineering 30
  31. Sau khi bạn viết và đồng ý với chính sách an ninh, bạn phải thực hiện các chính sách dành cho nhân viên và bắt họ tuân theo. Mặc dù bạn có thể thực thi các điều khiển kỹ thuật mà không cần sự hiểu biết của nhân viên, bạn phải có được sự hỗ trợ của họ nếu bạn muốn thực thi sự phòng vệ thành công. 6.1 Sự nhận thức Không có sự thay thế cho một cuộc vận động nhận thức tốt khi bạn thực thi các yếu tố social engineering của chính sách an ninh. Phải đào tạo nhân viên đề họ hiểu về chính sách, hiểu tại sao phải có nó, và biết làm thế nào để phản ứng lại một cuộc tấn công nghi ngờ. Yếu tố then chốt của một cuộc tấn công social engineering l à sự tin tưởng – mục tiêu sẽ tin tưởng hacker. Để chống lại hình thức tấn công này, phải kích thích chủ nghĩa hoài nghi lành mạnh trong nhân viên của bất kỳ điều gì ngoài việc bình thường và gây ra sự tin tưởng của họ với cơ sở hạ tầng IT hỗ trợ công ty. Các yếu tố của một cuộc vận động nhận thức phụ thuộc vào cách bạn trao đổi thông tin cho nhân viên trong công ty. Bạn có thể chọn cơ cấu đào tạo, các cuộc họp không quá quan trọng, poster, hoặc các sự kiện khác để công bố chính sách an ninh. Càng tăng cường nội dung trong chính sách, thì càng thành công trong thực thi. Mặc dù có thể khởi đầu sự nhận thức về an ninh với một sự kiện lớn, điều quan trọng là giữ sự an toàn nổi bật trên chương trình nghị sự của quản lý và nhân viên. 6.2 Quản lý sự cố Khi một cuộc tấn công social engineering xảy ra, chắc chắn rằng nhân viên service desk biết làm cách nào để xử lý sự cố. Các giao thức phản ứng lại nên tồn tại trong các thủ tục liên quan đến chính sách an ninh, nhưng quản lý sự cố nghĩa là sử dụng tấn công để khởi đầu cho việc xem xét lại sự an ninh. Bảo mật là một hành trình chứ không phải là một điểm đến bởi vì yếu tố tấn công luôn thay đổi. Mỗi sự cố cung cấp đầu vào mới cho sự xem xét liên tục về bảo mật trong mô hình hồi đáp sự cố, như hình minh họa dưới đây: Social Engineering 31
  32. Khi các sự cố mới xảy ra, Security Steering Committee xem xét nó tương ứng rủi ro mới hay thay đổi đối với công ty và tạo hay làm mới chính sách và thủ tục dựa trên kết quả mới thu thập được. Tất cả sự sửa đổi cần tuân thủ chính sách an ninh cho công ty thay đổi theo tiêu chuẩn quản lý. Để quản lý sự cố, nhân viên service desk phải có một quy trình báo cáo sự cố linh hoạt mà ghi lại các thông tin dưới đây: Tên mục tiêu Khu vực mục tiêu Ngày Yếu tố tấn công Mô tả tấn công Kết quả tấn công Hiệu quả tấn công Các kiến nghị Bằng cách ghi lại các sự cố, có thể xác định các mẫu và có thể ngăn chặn các cuộc tấn công sau này. 6.3 Xem xét sự thực thi Khi xem xét lại mặt an ninh, nó có thể trở nên quá nhạy cảm đối với vô số các mối đe dọa tiềm tàng. Chính sách an ninh phải duy trì một sự đánh giá là doanh nghiệp làm kinh doanh. Nếu đề xuất bảo mật có ảnh hưởng xấu đến lợi nhuận hay sự linh động thương mại của tổ chức, thì cần phải đánh giá lại rủi ro. Bạn phải đạt được sự cân bằng giữa bảo mật và tính khả dụng của thực thi. Đó cũng là điều quan trọng để đánh giá danh tiếng nh ư là một công ty có ý thức bảo mật có lợi ích thương mại. Nó không chỉ ngăn cản hacker, mà nó còn cải thiện profile kinh doanh của công ty với khách hàng và đối tác. 6.4 Social Engineering và mô hình phân lớp phòng thủ chiều sâu Mô hình phân lớp phòng thủ chiều sâu phân loại các giải pháp bảo mật chống các yếu tố tấn công – những vùng điểm yếu – mà hacker có thể sử dụng để đe dọa môi trường máy tính. Các yếu tố tấn công bao gồm: o Chính sách, thủ tục, nhận thức: các văn bản quy định rằng bạn phát triển để quản lý tất cả các lĩnh vực bảo mật, và chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, và thực thi các quy định này. o Bảo mật vật lý: các rào cản mà quản lý truy cập đến tài sản và tài nguyên. Điều quan trọng để nhớ các yếu tố sau cùng; ví dụ, nếu bạn đặt giỏ rác bên ngoài công ty, sau đó chúng ở bên ngoài sự bảo mật vật lý của công ty. o Dữ liệu: thông tin kinh doanh – tài khoản, e-mail, khi xem xét các mối đe dọa, thì phải bao gồm cả hard và soft copy tài liệu trong kế hoạch bảo mật dữ liệu. o Ứng dụng: các chương trình chạy bởi user. Phải đánh giá các hacker social engineering có thể phá vỡ chương trình như thế nào, chẳng hạn e-mail hoặc IM. o Host: các máy tính server và client được sử dụng trong tổ chức. Sự trợ giúp đảm bảo rằng bạn bảo vệ các user chống lại các cuộc tấn công trực tiếp v ào các máy tính này bằng cách xác định chặt chẽ các nguyên tắc chỉ đạo phần mềm để Social Engineering 32
  33. sử dụng máy tính và làm thế nào quản lý các thiết bị bảo mật, chẳng hạn nh ư user IDs và password. o Mạng nội bộ: hệ thống mạng mà hệ thống máy tính công ty truyền thông. Nó có thể là local, wireless, hoặc WAN. Các mạng nội bộ đã trở nên ít “nội bộ” trong vài năm qua, với sự hoạt động tại nhà và di động đã phổ biến. Vì thế phải làm cho chắc chắn là user hiểu rằng họ phải làm việc bảo mật trong tất cả các môi trường nối mạng. o Chu vi: điểm tiếp xúc giữa mạng nội bộ và mạng bên ngoài, chẳng hạn như Internet hay hệ thống mạng là phụ thuộc vào các đối tác kinh doanh, có thể một phần của extranet. Các tấn công social engineering thường cố gắng xuyên thủng chu vi để khởi đầu tấn công vào dữ liệu, ứng dụng, và các host xuyên qua hệ thống mạng nội bộ. Khi thiết kế sự phòng vệ, mô hình phòng vệ chiều sâu giúp hình dung các lĩnh vực kinh doanh có thể bị đe dọa. Mô hình này không đặc tả các mối đe dọa social engineering, nhưng mỗi lớp phải nên có sự phòng vệ. Social Engineering 33