Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - Social Engineering

Institute of Network Security – www.istudy.vn KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security – www.istudy.vn NỘI DUNG • Module 01: Tổng quan An ninh mạng • Module 02: Kỹ thuật tấn công • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa tấn c Institute of Network Security – www.istudy.vn Module 02: KỸ THUẬT TẤN CÔNG • Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow Institute of Network Security – www.istudy.vn Social Engineering 4 Institute of Network Security – www.istudy.vn Nội dung • Khái niệm Social Engineering • Tác động của Social Engineering • Phân loại Social Engineering • Social Engineering trong mạng xã hội • Trộm cắp tài khoản • Phòng chống Social Engineering • Thực nghiệm Institute of Network Security – www.istudy.vn Không cách nào có thể sửa chữa cho sự ngây thơ của con người Institute of Network Security – www.istudy.vn Confidential Information Authorization Details Access Details Social Engineering là gì? • Social engineering nghệ thuật thuyết phục người khác tiết lộ thông tin bí mật. • Thực tế một người bị tấn công không hề biết là thông tin cần được bảo mật. Gather Information Institute of Network Security – www.istudy.vn Tính cách con người là điểm dễ bị tấn công Attacker làm cho nạn nhân tiết lộ thông tin bằng cách hứa hẹn những điều không có thực Các doanh nghiệp dễ bị tấn công nếu bỏ qua Social Engineering và tác động của nó Social Engineering có thể gây ra thiệt hại nghiêm trọng nếu không sớm phát hiện Nền tảng của Social Engineering là bản năng tin tưởng của con người Nạn nhân được yêu cầu giúp đỡ và họ thực hiện dựa trên đạo đức con người Institute of Network Security – www.istudy.vn Application Servers Lỗ hổng chính sách bảo mật Nhiều đơn vị trong tổ chức Các yếu tố làm tổ chức dễ bị tấn công Dễ dàng truy cập tài nguyên Thiếu sót trong đào tạo bảo mật Institute of Network Security – www.istudy.vn Không có phương pháp nào đảm bảo hoàn toàn chống lại Social Engineering Rất khó để phát hiện tấn công Social Engineering Chính sách bảo mật mạnh mẽ, nhưng con người lại là yếu tố nhạy cảm nhất Không có phần cứng hoặc phần mềm đặc trưng chống lại Social Engineering Tại sao Social Engineering lại có tác động rất lớn? Institute of Network Security – www.istudy.vn Các dấu hiệu cảnh báo một cuộc tấn công • Attacker đóng giả một doanh nhân liên tục tìm cách xâm nhập đánh cắp thông tin trong hệ thống mạng. Tỏ thái độ khó chịu khi được hỏi Khen ngợi hoặc thân thiết bất thường Thái độ vội vàng, lúng túng khi được hỏi tên Yêu cầu bồi thường và đe dọa nếu không cấp thông tin Thực hiện yêu cầu không thường lệ Cung cấp số điện thoại gọi lại Institute of Network Security – www.istudy.vn Các bước trong tấn công Social Engineering Nghiên cứu mục tiêu Website, nhân sự, phòng ban, cách hoạt động, v..v.. Lựa chọn nạn nhân Tìm kiếm một nhân viên đang thất vọng, bất mãn về công ty Research Develop Exploit Phát triển mối quan hệ Xây dựng mối quan hệ thân thiết với nhân viên được chọn Khai thác mối quan hệ Thu thập các thông tin nhạy cảm về tài khoản, tài chính và công nghệ sử dụng 1 3 2 4 Institute of Network Security – www.istudy.vn Các tác động lên một tổ chức Thiệt hại Kinh tế Lợi dụng Thiện chí Đóng cửa tạm thời hoặc vĩnh viễn Kiện tụng Đánh mất Quyền lợi Nguy cơ Khủng bố Institute of Network Security – www.istudy.vn Môi trường tấn công ONLINE Internet cho phép Attacker tiếp cận nhân viên công ty từ một nguồn khó xác định, và khuyên họ tiết lộ thông tin bằng việc giả danh một người dùng đáng tin cậy TELEPHONE Dò hỏi thông tin từ việc gọi điện thoại, đóng vai trò là người sử dụng thông tin hợp pháp, từ đó xâm nhập vào hệ thống máy tính Personal Approaches Attacker lấy thông tin bằng cách tiếp cận, hỏi trực tiếp vào thông tin đó Institute of Network Security – www.istudy.vn Mục tiêu phổ biến của Social Engineering User và Client Các nhà cung cấp của tổ chức System Admin Giám đốc hỗ trợ Kỹ thuật Tiếp tân và Help desk Institute of Network Security – www.istudy.vn Mục tiêu phổ biến của Social Engineering: Officer Wokers Attacker tập trung vào những người làm văn phòng, thu thập các dữ liệu nhạy cảm, bao gồm:  Chính sách bảo mật  Tài liệu nhạy cảm  Sơ đồ hạ tầng mạng  Mật khẩu Mặc dù có Firewall tốt nhất, IPS/IDS và các hệ thống AntiVirus, bạn vẫn có thể bị tấn công bằng những lỗ hổng bảo mật khó lường Institute of Network Security – www.istudy.vn Module Flow Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Kỹ thuật Social Engineering Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Kỹ thuật Social Engineering 1 2 Human-Based • Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc • Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và bản năng tự nhiên giúp đỡ người khác Computer-Based • Social Engineering được thực hiện bằng sự giúp đỡ của máy tính Institute of Network Security – www.istudy.vn Giới thiệu bản thân trong bộ phận hỗ trợ kỹ thuật, yêu cầu ID và Password để lấy dữ liệu cần xử lý Giới thiệu bản thân như một VIP có ảnh hưởng lớn tới các hoạt động của công ty để yêu cầu thông tin Giới thiệu bản thân như một nhân viên của công ty và yêu cầu các dữ liệu nhạy cảm Human-Based Social Engineering Giả mạo User hợp pháp Giả mạo User quan trọng Giả mạo Hỗ trợ kỹ thuật Institute of Network Security – www.istudy.vn Human-Based Social Engineering Nghe lén • Nghe trộm cuộc đàm thoại hoặc tin nhắn, audio, video,v..v... Nhìn lén • Một cách để lấy trộm Account, Password, thông tin cá nhân..v..v... Institute of Network Security – www.istudy.vn Human-Based Social Engineering: Dumpster Diving • Những thông tin hữu ích có thể tìm ra từ thùng rác và hòm thư của nạn nhân. Thông tin liên lạc Thông tin tài chính Thông tin điều hành Hóa đơn điện thoại Institute of Network Security – www.istudy.vn Human-Based Social Engineering: Piggybacking Tôi để quên thẻ từ ra vào cửa ở nhà, anh có thể cho tôi theo vào phía sau không? Vâng, xin mời theo tôi, tôi sẽ giúp anh! Institute of Network Security – www.istudy.vn Human-Based Social Engineering: Third-party Authorization Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không? Vâng, anh cứ hỏi! Institute of Network Security – www.istudy.vn Human-Based Social Engineering: Phòng chống Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không? Anh thuộc đối tác vàng nào? Đã ký với chúng tôi hợp đồng số hiệu bao nhiêu? Đã cùng chúng tôi làm những gì? Institute of Network Security – www.istudy.vn Computer-Based Social Engineering Pop-up Windows Hoax Letters Chain Letters Instant Chat Message Spam Email Window đột nhiên xuất hiện những trang Pop-up yêu cầu đăng nhập hoặc điền thông tin Mail báo về một Virus, Trojan, Worm mới có thể gây hại cho máy tính Mail thông báo về những món quà hoặc phền mềm miễn phí với điều kiện người đọc mail phải chuyển tiếp cho một số lượng người kế tiếp Thu thập thông tin như ngày sinh, bệt danh thông qua Nick chat Online Những Email không mong muốn thu thập thông tin tài chính, thông tin cá nhân..v..v… Institute of Network Security – www.istudy.vn Computer-Based Social Engineering • Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm theo Link, chuyển hướng User tới một Website giả yêu cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan, Spyware Pop-up • Attacker gửi một Email hợp lệ vào hòm thư User yêu cầu cập nhật lại thông tin hoặc thông tin tài khoản • Cả Pop-up và Phishing đều chuyển hướng User tới những trang Web giả Phishing (Lừa đảo) Institute of Network Security – www.istudy.vn Computer-Based Social Enginnering SMS Text Message SMS từ Chứng khoán Đông Á: Tài khoản của quí khách không đủ thông tin cho phiên giao dịch, xin vui lòng gọi 08.xxxx001 để bổ sung thông tin Gọi 08.xxxx001: Xin chào, tôi là ABC, tôi xin bổ sung số tài khoản là 207-231-5782, mật khẩu giao dịch là “P@ssw0rd” Institute of Network Security – www.istudy.vn Human & Computer-Based Social Engineering • Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của bạn, họ có thể cài người vào xin việc rồi lấy các thông tin nhạy cảm gửi ra bên ngoài Spying (Gián điệp) • Nhân viên làm việc bất mãn với các chính sách, đãi ngộ, nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra bên ngoài cho các đối tượng cần chúng như đối thủ, khủng bố, tống tiền… Revenge (Tư thù) Institute of Network Security – www.istudy.vn Human & Computer-Based Social Engineering Phân loại dữ liệu Chính sách luật pháp Ghi nhận thao tác Ưu tiên quyền hạn Phân công công việc cụ thể Quản lý nhập xuất Institute of Network Security – www.istudy.vn Human & Computer-Based Social Engineering Đối tượng Xu hướng tấn công Biện pháp phòng chống Phone Mạo danh và thuyết phục Đào tạo cho các nhân viên không chia sẻ thông tin mật qua điện thoại Lối vào trụ sở Thâm nhập bất hợp pháp Thực hiển chứng thực tại lối vào: Thẻ từ, vân tay… Văn phòng Nhìn lén Không sử dụng Password nếu có người lạ hiện diện Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên Văn phòng Lang thang tìm kiếm các văn phòng mở Hộ tống tất cả các khách vào công ty Phòng thư Chèn hoặc giả mạo nội dung Giám sát cẩn thận Phòng máy Chiếm quyền điều khiển, di chuyển thiết bị, đặt thiết bị theo dõi Thường xuyên cập nhật danh mục thiết bị, khóa cửa cẩn thật Phone-PBX Đánh cắp danh sách số điện thoại, gọi lén Gíam sát tất cả các cuộc gọi Institute of Network Security – www.istudy.vn Giả mạo trên Mạng xã hội Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Social Engineering trên Mạng xã hội Thông tin Cá nhân Kết nối và Liên lạc Thông tin nhạy cảm Thông tin Tổ chức Giả mạo thu thập thông tin trên mạng xã hội Attacker sử dụng profile của người khác kết bạn và thu thập thông tin Giả mạo tính cách và hành động của người khác Attacker sử dụng thông tin thu thập được như một dạng của Social Engineering Institute of Network Security – www.istudy.vn Twitter Facebook My Space Google Plus Tumblr Social Engineering trên Mạng xã hội Institute of Network Security – www.istudy.vn Mạng xã hội là một CSDL khổng lồ truy cập bởi nhiều cá nhân, tăng nguy cơ bị khai thác thông tin Tất cả các trang mạng xã hội có thể sai sót dẫn đến tạo ra lỗ hổng trong hệ hệ thống mạng của công ty Những thông tin trên mạng xã hội có thể được dùng cho việc khảo sát sơ bộ nạn nhân Nhân viên có thể vô tình mang dữ liệu nhạy cảm của công ty lên mạng xã hội nếu không có chính sách mạnh mẽ Đánh cắp dữ liệu Thông tin nhạy cảm bị rò rỉ Tấn công nạn nhân Lổng hổng hệ thống mạng Social Engineering trên Mạng xã hội Institute of Network Security – www.istudy.vn Trộm cắp tài khoản Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Trộm cắp tài khoản 20% 13% 13% 15% 15% 24% Identity Thief 2011 Ngân hàng/Vốn vay Tài liệu chính phủ Điện thoại và các tiện ích Việc làm Y tế/Bảo hiểm/Đầu tư Thẻ tín dụng Institute of Network Security – www.istudy.vn Trộm cắp tài khoản (Bước 1/3) • Lấy toàn bộ thông tin trong các hóa đơn nạn nhân Institute of Network Security – www.istudy.vn Tạo một giấy CMND giả Bản giả Bản gốc Trộm cắp tài khoản (Bước 2/3) CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9 Họ tên:………………………………………......... ……………………………………………………... Sinh ngày:………………………………………… Nguyên quán:…………………………………….. ……………………………………………………… Nơi ĐKHK thường trú:…………………………... ……………………………………………………… iSTUDY 14-12-2011 TP.Hồ Chí Minh 240 Võ Văn Ngân - Phường Bình Thọ, Quận 9, TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9 Họ tên:………………………………………......... ……………………………………………………... Sinh ngày:………………………………………… Nguyên quán:…………………………………….. ……………………………………………………… Nơi ĐKHK thường trú:…………………………... ……………………………………………………… iSTUDY 14-12-2011 TP.Hồ Chí Minh 240 Võ Văn Ngân - Phường Bình Thọ, Quận 9, TP.HCM Institute of Network Security – www.istudy.vn Trộm cắp tài khoản (Bước 3/3) Tới Bank nơi mà nạn nhân đăng ký mở khoản để đăng ký làm lại tài khoản Nói với họ bạn không nhớ số tài khoản cũ và nhờ họ tìm thông qua số CMND Bank sẽ yêu cầu bạn xuất trình CMND, đưa ra CMND giả và bạn sẽ được cấp lại tài khoản Bây giờ, SHOPPING!!! Có tiền là có gần hết mọi thứ!!! Institute of Network Security – www.istudy.vn Trộm cắp tài khoản: Vấn nạn nghiêm trọng • Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh. • Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời kiểm tra tài khoản thường xuyên góp phần làm giảm vấn nạn này. Institute of Network Security – www.istudy.vn Biện pháp phòng chống Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Biện pháp phòng chống: Chính sách • Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên vi phạm mạnh sẽ giúp giảm thiểu Social Engineering. • Sau quá trình đào tạo, nhân viên nên ký một bản cam kết chịu trách nhiệm bảo đảm thông tin. Institute of Network Security – www.istudy.vn Biện pháp phòng chống: Chính sách • Xác định nhân viên hợp pháp bằng thẻ ra vào, đồng phục,..v..v… • Giám sát khách đi vào • Định ra khu vực cấm • Tiêu hủy tài liệu không dùng • Thuê vệ sĩ • Đổi Password định kỳ • Đặc Password phức tạp • Account bị khóa sau một vài lần đăng nhập thất bại • Tuyệt đối không tiết lộ Password Password Policies Physical Security Polocies 24/7 Institute of Network Security – www.istudy.vn Chính sách phân quyền rõ ràng cho từng đối tượng Tính toán trước đề phòng có Social Engineering xảy ra Dễ quản lý và loại bỏ các trường hợp nghi ngờ Phân loại thông tin mật, tuyệt mật, công cộng,..v..v.... Biện pháp phòng chống: Chính sách Phân loại thông tin Kiểm tra thật kỹ hồ sơ nhân viên Phân quyền truy cập Thời gian phục hồi dữ liệu Institute of Network Security – www.istudy.vn Biện pháp phòng chống: Phát hiện Phishing Email • Thường dẫn đến một trang Web yêu cầu điền thông tin cá nhân. • Lấy tên các ngân hàng, công ty chứng khoán, mạng xã hội..v..v... • Nhìn giống như được gửi từ một người có trong mail list. • Gọi trực tiếp đến số điện thoại trong Email để kiểm chứng. • Quan sát Logo thật so với Logo đi kèm mail. Institute of Network Security – www.istudy.vn Biện pháp phòng chống: Trộm cắp tài khoản Bảo mật tất cả các tài liệu, cả cá nhân và công ty Để đảm bảo cho Mailbox, hãy xóa ngay khi có thể Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị Luôn cảnh giác với các yêu cầu cá nhân Thường xuyên kiểm tra thông tin tài khoản Luôn giữ thẻ tín dụng bên mình Bảo vệ thông tin cá nhân với các mạng xã hội Không bao giờ cho thông tin cá nhân qua điện thoại Không hiển thị tài khoản/số điện thoại nếu không cần thiết Institute of Network Security – www.istudy.vn Kỹ thuật Social Engineering Social Engineering Concepts Kỹ thuật Social Engineering Giả mạo trên Mạng xã hội Trộm cắp Tài khoản Biện pháp phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn Tóm lược bài học • Social Engineering là nghệ thuật dụ dỗ người khác nói ra những thông tin nhạy cảm của cá nhân hay tổ chức. • Social Engineering lợi dụng những bản chất đạo đức tự nhiên của con người. • Không thể hoàn toàn chống lại Social Engineering mà người chỉ có thể dùng các biện pháp giảm thiểu tối đa có thể.