Social engineering nghệ thuật thuyết phục người khác tiết lộ thông tin bí mật. •Thực tế một người bị tấn công không hề biết là thông tin cần được bảo mật.Attacker đóng giả một doanh nhân liên tục tìm cách xâm nhập đánh cắp thông tin trong hệ thống mạng.Internet cho phép Attacker tiếp cận nhân viên công ty từ một nguồn khó xác định, và khuyên họ tiết lộ thông tin bằng việc giả danh một người dùng đáng tin cậy
49 trang |
Chia sẻ: franklove | Lượt xem: 3256 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - Social Engineering, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Institute of Network Security – www.istudy.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security – www.istudy.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa
tấn c
Institute of Network Security – www.istudy.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow
Institute of Network Security – www.istudy.vn
Social Engineering
4
Institute of Network Security – www.istudy.vn
Nội dung
• Khái niệm Social Engineering
• Tác động của Social Engineering
• Phân loại Social Engineering
• Social Engineering trong mạng xã hội
• Trộm cắp tài khoản
• Phòng chống Social Engineering
• Thực nghiệm
Institute of Network Security – www.istudy.vn
Không cách nào có thể sửa chữa
cho sự ngây thơ của con người
Institute of Network Security – www.istudy.vn
Confidential Information
Authorization Details Access Details
Social Engineering là gì?
• Social engineering nghệ thuật thuyết phục người khác
tiết lộ thông tin bí mật.
• Thực tế một người bị tấn công không hề biết là thông tin
cần được bảo mật.
Gather
Information
Institute of Network Security – www.istudy.vn
Tính cách con người là điểm dễ bị tấn công
Attacker làm
cho nạn nhân
tiết lộ thông tin
bằng cách hứa
hẹn những điều
không có thực
Các doanh
nghiệp dễ bị tấn
công nếu bỏ
qua Social
Engineering và
tác động của nó
Social
Engineering có
thể gây ra thiệt
hại nghiêm
trọng nếu
không sớm
phát hiện
Nền tảng của
Social
Engineering là
bản năng tin
tưởng của con
người
Nạn nhân được
yêu cầu giúp đỡ
và họ thực hiện
dựa trên đạo
đức con người
Institute of Network Security – www.istudy.vn
Application
Servers
Lỗ hổng
chính sách
bảo mật
Nhiều đơn vị
trong tổ chức
Các yếu tố làm tổ chức dễ bị tấn công
Dễ dàng
truy cập
tài nguyên
Thiếu sót
trong đào tạo
bảo mật
Institute of Network Security – www.istudy.vn
Không có phương pháp nào đảm bảo hoàn toàn
chống lại Social Engineering
Rất khó để phát hiện
tấn công Social
Engineering
Chính sách bảo mật mạnh mẽ,
nhưng con người lại là yếu tố nhạy cảm nhất
Không có phần cứng hoặc
phần mềm đặc trưng chống
lại Social Engineering
Tại sao Social Engineering lại có tác
động rất lớn?
Institute of Network Security – www.istudy.vn
Các dấu hiệu cảnh báo
một cuộc tấn công
• Attacker đóng giả một doanh nhân liên tục tìm cách xâm
nhập đánh cắp thông tin trong hệ thống mạng.
Tỏ thái độ khó chịu khi
được hỏi
Khen ngợi hoặc
thân thiết bất thường
Thái độ vội vàng, lúng
túng khi được hỏi tên
Yêu cầu bồi thường và
đe dọa nếu không cấp
thông tin
Thực hiện yêu cầu
không thường lệ
Cung cấp số điện thoại
gọi lại
Institute of Network Security – www.istudy.vn
Các bước trong tấn công Social
Engineering
Nghiên cứu mục tiêu
Website, nhân sự,
phòng ban, cách hoạt
động, v..v..
Lựa chọn nạn nhân
Tìm kiếm một nhân viên
đang thất vọng, bất mãn
về công ty
Research Develop Exploit
Phát triển mối quan hệ
Xây dựng mối quan hệ
thân thiết với nhân viên
được chọn
Khai thác mối quan hệ
Thu thập các thông tin
nhạy cảm về tài khoản,
tài chính và công nghệ
sử dụng
1
3
2
4
Institute of Network Security – www.istudy.vn
Các tác động lên một tổ chức
Thiệt hại
Kinh tế
Lợi dụng
Thiện chí
Đóng
cửa tạm
thời hoặc
vĩnh viễn
Kiện
tụng
Đánh mất
Quyền lợi
Nguy cơ
Khủng bố
Institute of Network Security – www.istudy.vn
Môi trường tấn công
ONLINE
Internet cho phép Attacker tiếp cận nhân viên
công ty từ một nguồn khó xác định, và
khuyên họ tiết lộ thông tin bằng việc giả danh
một người dùng đáng tin cậy
TELEPHONE
Dò hỏi thông tin từ việc gọi điện thoại, đóng
vai trò là người sử dụng thông tin hợp pháp,
từ đó xâm nhập vào hệ thống máy tính
Personal
Approaches
Attacker lấy thông tin bằng cách tiếp cận, hỏi
trực tiếp vào thông tin đó
Institute of Network Security – www.istudy.vn
Mục tiêu phổ biến của
Social Engineering
User và Client
Các nhà cung cấp
của tổ chức
System Admin
Giám đốc hỗ trợ Kỹ thuật
Tiếp tân và Help desk
Institute of Network Security – www.istudy.vn
Mục tiêu phổ biến của
Social Engineering: Officer Wokers
Attacker tập trung vào
những người làm văn
phòng, thu thập các dữ
liệu nhạy cảm, bao
gồm:
Chính sách bảo mật
Tài liệu nhạy cảm
Sơ đồ hạ tầng mạng
Mật khẩu
Mặc dù có Firewall tốt
nhất, IPS/IDS và các
hệ thống AntiVirus, bạn
vẫn có thể bị tấn công
bằng những lỗ hổng
bảo mật khó lường
Institute of Network Security – www.istudy.vn
Module Flow
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Kỹ thuật Social Engineering
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Kỹ thuật Social Engineering
1
2
Human-Based
• Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc
• Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và
bản năng tự nhiên giúp đỡ người khác
Computer-Based
• Social Engineering được
thực hiện bằng sự giúp đỡ
của máy tính
Institute of Network Security – www.istudy.vn
Giới thiệu bản
thân trong bộ
phận hỗ trợ kỹ
thuật, yêu cầu
ID và
Password để
lấy dữ liệu cần
xử lý
Giới thiệu bản
thân như một
VIP có ảnh
hưởng lớn tới
các hoạt động
của công ty để
yêu cầu thông
tin
Giới thiệu bản
thân như một
nhân viên của
công ty và yêu
cầu các dữ liệu
nhạy cảm
Human-Based Social Engineering
Giả mạo
User hợp pháp
Giả mạo
User quan trọng
Giả mạo
Hỗ trợ kỹ thuật
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering
Nghe lén
• Nghe trộm cuộc đàm
thoại hoặc tin nhắn,
audio, video,v..v...
Nhìn lén
• Một cách để lấy trộm
Account, Password,
thông tin cá nhân..v..v...
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Dumpster Diving
• Những thông tin hữu ích có thể tìm ra từ thùng rác và
hòm thư của nạn nhân.
Thông tin
liên lạc
Thông tin
tài chính
Thông tin
điều hành
Hóa đơn
điện thoại
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Piggybacking
Tôi để quên thẻ từ ra vào
cửa ở nhà, anh có thể cho tôi
theo vào phía sau không?
Vâng, xin mời theo tôi, tôi sẽ
giúp anh!
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Third-party Authorization
Xin chào, tôi thuộc đối tác
vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác
không?
Vâng, anh cứ hỏi!
Institute of Network Security – www.istudy.vn
Human-Based Social Engineering:
Phòng chống
Xin chào, tôi thuộc đối tác
vàng, tôi có thể hỏi anh vài
điều để củng cố hợp tác
không?
Anh thuộc đối tác vàng nào?
Đã ký với chúng tôi hợp đồng
số hiệu bao nhiêu? Đã cùng
chúng tôi làm những gì?
Institute of Network Security – www.istudy.vn
Computer-Based Social Engineering
Pop-up
Windows
Hoax
Letters
Chain
Letters
Instant
Chat
Message
Spam
Email
Window đột nhiên
xuất hiện những
trang Pop-up yêu
cầu đăng nhập
hoặc điền thông tin
Mail báo về một Virus,
Trojan, Worm mới có thể
gây hại cho máy tính
Mail thông báo về những món
quà hoặc phền mềm miễn phí
với điều kiện người đọc mail
phải chuyển tiếp cho một số
lượng người kế tiếp
Thu thập thông tin như
ngày sinh, bệt danh thông
qua Nick chat Online
Những Email không
mong muốn thu
thập thông tin tài
chính, thông tin cá
nhân..v..v…
Institute of Network Security – www.istudy.vn
Computer-Based Social Engineering
• Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm
theo Link, chuyển hướng User tới một Website giả yêu
cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan,
Spyware
Pop-up
• Attacker gửi một Email hợp lệ vào hòm thư User yêu cầu
cập nhật lại thông tin hoặc thông tin tài khoản
• Cả Pop-up và Phishing đều chuyển hướng User tới những
trang Web giả
Phishing (Lừa đảo)
Institute of Network Security – www.istudy.vn
Computer-Based Social Enginnering
SMS Text Message
SMS từ Chứng khoán Đông Á: Tài khoản của
quí khách không đủ thông tin cho phiên giao dịch,
xin vui lòng gọi 08.xxxx001 để bổ sung thông tin
Gọi 08.xxxx001: Xin chào, tôi
là ABC, tôi xin bổ sung số tài
khoản là 207-231-5782, mật
khẩu giao dịch là “P@ssw0rd”
Institute of Network Security – www.istudy.vn
Human & Computer-Based
Social Engineering
• Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của
bạn, họ có thể cài người vào xin việc rồi lấy các thông tin
nhạy cảm gửi ra bên ngoài
Spying (Gián điệp)
• Nhân viên làm việc bất mãn với các chính sách, đãi ngộ,
nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra
bên ngoài cho các đối tượng cần chúng như đối thủ,
khủng bố, tống tiền…
Revenge (Tư thù)
Institute of Network Security – www.istudy.vn
Human & Computer-Based
Social Engineering
Phân loại
dữ liệu
Chính
sách luật
pháp
Ghi nhận
thao tác
Ưu tiên
quyền hạn
Phân công
công việc
cụ thể
Quản lý
nhập xuất
Institute of Network Security – www.istudy.vn
Human & Computer-Based
Social Engineering
Đối tượng Xu hướng tấn công Biện pháp phòng chống
Phone Mạo danh và thuyết phục
Đào tạo cho các nhân viên không
chia sẻ thông tin mật qua điện thoại
Lối vào trụ sở Thâm nhập bất hợp pháp
Thực hiển chứng thực tại lối vào:
Thẻ từ, vân tay…
Văn phòng Nhìn lén
Không sử dụng Password nếu có
người lạ hiện diện
Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên
Văn phòng
Lang thang tìm kiếm các văn
phòng mở
Hộ tống tất cả các khách vào công ty
Phòng thư Chèn hoặc giả mạo nội dung Giám sát cẩn thận
Phòng máy
Chiếm quyền điều khiển, di
chuyển thiết bị, đặt thiết bị
theo dõi
Thường xuyên cập nhật danh mục
thiết bị, khóa cửa cẩn thật
Phone-PBX
Đánh cắp danh sách số điện
thoại, gọi lén
Gíam sát tất cả các cuộc gọi
Institute of Network Security – www.istudy.vn
Giả mạo trên Mạng xã hội
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Social Engineering trên Mạng xã hội
Thông tin
Cá nhân
Kết nối và
Liên lạc
Thông tin
nhạy cảm
Thông tin
Tổ chức
Giả mạo thu
thập thông tin
trên mạng xã
hội
Attacker sử dụng
profile của người
khác kết bạn và
thu thập thông tin
Giả mạo tính
cách và hành
động của người
khác
Attacker sử dụng
thông tin thu thập
được như một
dạng của Social
Engineering
Institute of Network Security – www.istudy.vn
Twitter
Facebook My Space
Google Plus Tumblr
Social Engineering trên Mạng xã hội
Institute of Network Security – www.istudy.vn
Mạng xã hội là một CSDL khổng lồ truy
cập bởi nhiều cá nhân, tăng nguy cơ bị
khai thác thông tin
Tất cả các trang mạng xã hội có thể
sai sót dẫn đến tạo ra lỗ hổng trong
hệ hệ thống mạng của công ty
Những thông tin trên mạng xã hội có
thể được dùng cho việc khảo sát
sơ bộ nạn nhân
Nhân viên có thể vô tình mang dữ liệu nhạy
cảm của công ty lên mạng xã hội nếu không
có chính sách mạnh mẽ
Đánh cắp
dữ liệu
Thông tin nhạy
cảm bị rò rỉ
Tấn công nạn nhân
Lổng hổng hệ thống mạng
Social Engineering trên Mạng xã hội
Institute of Network Security – www.istudy.vn
Trộm cắp tài khoản
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Trộm cắp tài khoản
20%
13%
13%
15%
15%
24%
Identity
Thief
2011
Ngân hàng/Vốn vay
Tài liệu chính phủ
Điện thoại và các tiện ích
Việc làm
Y tế/Bảo hiểm/Đầu tư
Thẻ tín dụng
Institute of Network Security – www.istudy.vn
Trộm cắp tài khoản (Bước 1/3)
• Lấy toàn bộ thông tin trong các hóa đơn nạn nhân
Institute of Network Security – www.istudy.vn
Tạo một giấy
CMND giả
Bản giả
Bản gốc
Trộm cắp tài khoản (Bước 2/3)
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
GIẤY CHỨNG MINH NHÂN DÂN
SỐ 273XXXXX9
Họ tên:……………………………………….........
……………………………………………………...
Sinh ngày:…………………………………………
Nguyên quán:……………………………………..
………………………………………………………
Nơi ĐKHK thường trú:…………………………...
………………………………………………………
iSTUDY
14-12-2011
TP.Hồ Chí Minh
240 Võ Văn Ngân
- Phường Bình Thọ, Quận 9, TP.HCM
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
GIẤY CHỨNG MINH NHÂN DÂN
SỐ 273XXXXX9
Họ tên:……………………………………….........
……………………………………………………...
Sinh ngày:…………………………………………
Nguyên quán:……………………………………..
………………………………………………………
Nơi ĐKHK thường trú:…………………………...
………………………………………………………
iSTUDY
14-12-2011
TP.Hồ Chí Minh
240 Võ Văn Ngân
- Phường Bình Thọ, Quận 9, TP.HCM
Institute of Network Security – www.istudy.vn
Trộm cắp tài khoản (Bước 3/3)
Tới Bank nơi mà nạn nhân đăng ký mở
khoản để đăng ký làm lại tài khoản
Nói với họ bạn không nhớ số tài khoản cũ
và nhờ họ tìm thông qua số CMND
Bank sẽ yêu cầu bạn xuất trình CMND,
đưa ra CMND giả và bạn sẽ được cấp lại
tài khoản
Bây giờ, SHOPPING!!!
Có tiền là có gần
hết mọi thứ!!!
Institute of Network Security – www.istudy.vn
Trộm cắp tài khoản:
Vấn nạn nghiêm trọng
• Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh.
• Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời
kiểm tra tài khoản thường xuyên góp phần làm giảm vấn
nạn này.
Institute of Network Security – www.istudy.vn
Biện pháp phòng chống
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Biện pháp phòng chống: Chính sách
• Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên
vi phạm mạnh sẽ giúp giảm thiểu Social Engineering.
• Sau quá trình đào tạo, nhân viên nên ký một bản cam
kết chịu trách nhiệm bảo đảm thông tin.
Institute of Network Security – www.istudy.vn
Biện pháp phòng chống: Chính sách
• Xác định nhân viên hợp
pháp bằng thẻ ra vào,
đồng phục,..v..v…
• Giám sát khách đi vào
• Định ra khu vực cấm
• Tiêu hủy tài liệu không
dùng
• Thuê vệ sĩ
• Đổi Password định kỳ
• Đặc Password phức tạp
• Account bị khóa sau
một vài lần đăng nhập
thất bại
• Tuyệt đối không tiết lộ
Password
Password Policies Physical Security Polocies
24/7
Institute of Network Security – www.istudy.vn
Chính sách phân
quyền rõ ràng cho
từng đối tượng
Tính toán trước đề
phòng có Social
Engineering xảy ra
Dễ quản lý và loại
bỏ các trường hợp
nghi ngờ
Phân loại thông tin
mật, tuyệt mật,
công cộng,..v..v....
Biện pháp phòng chống: Chính sách
Phân loại thông
tin
Kiểm tra thật kỹ
hồ sơ nhân viên
Phân quyền truy
cập
Thời gian phục
hồi dữ liệu
Institute of Network Security – www.istudy.vn
Biện pháp phòng chống:
Phát hiện Phishing Email
• Thường dẫn đến một trang Web yêu cầu điền thông tin
cá nhân.
• Lấy tên các ngân hàng, công ty chứng khoán, mạng xã
hội..v..v...
• Nhìn giống như được gửi từ một người có trong mail list.
• Gọi trực tiếp đến số điện thoại trong Email để kiểm
chứng.
• Quan sát Logo thật so với Logo đi kèm mail.
Institute of Network Security – www.istudy.vn
Biện pháp phòng chống:
Trộm cắp tài khoản
Bảo mật tất cả các tài liệu, cả cá nhân và công ty
Để đảm bảo cho Mailbox, hãy xóa ngay khi có thể
Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị
Luôn cảnh giác với các yêu cầu cá nhân
Thường xuyên kiểm tra thông tin tài khoản
Luôn giữ thẻ tín dụng bên mình
Bảo vệ thông tin cá nhân với các mạng xã hội
Không bao giờ cho thông tin cá nhân qua điện thoại
Không hiển thị tài khoản/số điện thoại nếu không cần thiết
Institute of Network Security – www.istudy.vn
Kỹ thuật Social Engineering
Social Engineering
Concepts
Kỹ thuật
Social Engineering
Giả mạo trên
Mạng xã hội
Trộm cắp
Tài khoản
Biện pháp
phòng chống
Thực nghiệm
Institute of Network Security – www.istudy.vn
Tóm lược bài học
• Social Engineering là nghệ thuật dụ dỗ người khác nói ra
những thông tin nhạy cảm của cá nhân hay tổ chức.
• Social Engineering lợi dụng những bản chất đạo đức tự
nhiên của con người.
• Không thể hoàn toàn chống lại Social Engineering mà
người chỉ có thể dùng các biện pháp giảm thiểu tối đa có
thể.