Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn cơng mang tên ‘Byzantime Candor’, do dị dỉ thơng tin ra bên ngồi

Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn cơng mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn
từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được cơng bố đó là khả năng bị
dị dỉ thơng tin từ bộ ngoại giao.

Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các
hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật
Social Engineering, hay còn gọi là kĩ thuật lừa đảo.

Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm
nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một
khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008



Các chủ đề trình bày



Social Engineering là gì



Social Engineering through Impersonation trên miền mạng Social



Tại sao Social Engineering lại hiệu quả



Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp



Các giai đoạn trong một cuộc tấn công Social Engineering



Ăn cắp ID



Các mục tiêu phổ biến của Social Engineering



Thế nào là Steal Indentity



Các kiểu Social Engineering



Biện pháp đối phó Social Enginneering




Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống



Thử nghiệm Social Engineering


Khái niệm Social Engineering

Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

Biện pháp đối phó Social
Ăn cắp ID

Engineering

Thử nghiệm xâm nhập


Khơng có bất kỳ bản vá lỗi nào đối với một con người
ngu ngốc


Social Engineering là gì


Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thơng tin bí mật




Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó

Thơng tin bí mật

Chi tiết truy cập

Chi tiết việc uỷ quyền


Các hành vi dễ bị tấn công

Sự tin tưởng là nền tảng cơ bản của tấn
công Social Engineering

Sự thiếu hiểu biết về Social

Socal Engineers có thể đe doạ

Engineering và các hiệu ứng của nó

nghiêm trong đến việc mất mát trong

trong đội ngũ nhân viên khiến cho các

trường hợp không tuân thủ những

tổ chức là một mục tiêu dễ dàng


yêu cầu của họ (tổ chức)

Các mục tiêu sẽ được hỏi để trợ giúp
và họ tuân theo những quy định mang

Social Engineers thu hút các mục tiêu

tính nghĩa vụ được đưa ra

tiết lộ thơng tin bởi một cái gì đó đầy
hứa hẹn


Những yếu tố làm doanh nghiệp dễ bị tấn công

Đào tạo an ninh
cịn thiếu

Thiếu những chính

Dễ dàng truy cập

sách an ninh

thông tin

Nhiều các đơn vị tổ
chức



Tại sao Social Engineering Lại Hiệu Quả

Chính sách bảo mật mạnh cũng sẽ là liên kết yếu
nhất và con người là yếu tố nhạy cảm nhất

Khơng có một phần mêm hay phần cứng nào có
thể chống lại một cuộc tấn cơng Social
Engineering

Rất khó để phát hiện ra Social Engineering

Khơng có một phương pháp chắc chắn nào để
đảm bảo an ninh một cách đầy đủ từ các cuộc tấn
công Social Engineering


Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng

cho thấy sự vội vàng và vơ tình để lại tên
Khơng cung cấp số gọi lại

Yêu cầu phi chính thức

Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp
thông tin

Bất ngờ được khen tặng hoặc ca ngợi

Thấy khó chịu khi đặt câu hỏi



Các giai đoạn của một cuộc tấn công Social Engineering

Lựa trọn nạn nhân

Nghiên cứu công ty mục tiêu
Durmpster diving, trang web, nhân sự, lịch

Xác định những nhân viên không hài lịng

trình, vv

về chính sách trong cơng ty mục tiêu

Nghiên cứu

Phát triển mối quan hệ

Phát triển

Khai thác

Khai thác mối quan hệ

Phát triển mối quan hệ với những nhân

Tập hợp thông tin tài khoản nhạy cảm,

viên đã được lựa chọn


thông tin tài chính, và cơng nghệ hiện tại


Những ảnh hưởng lên tổ chức

Những mất mát về kinh
tế

chính sách khủng bố
Tổn hại uy tín

Mất sự riêng tư

Tạm thời hoặc vĩnh viễn
đóng cửa

Các vụ kiện và các thủ
tục


Tấn công bằng các câu lênh Injection

Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết
phục họ cung cấp những thông tin thông qua một User đáng tin cậy

Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể
truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính

Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó



Giả sử hai đối tượng “Rebecca” và “Jessica” là

Rebeca và Jessica là những mục tiêu dễ dàng

hai nạn nhân của kỹ thuật Social Engineering

lừa đảo, chẳng hạn như nhân viên tiếp tân
của cơng ty

Ví dụ

•

“có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thơng tin về cơ ta”

•

“Tơi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”

•

“Hỏi cơ ta: có phải trong cơng ty của cơ có một người tên là Rebecca phải khơng”


Những mục tiêu chung của Social Engineering

Nhân viên tiếp tân và nhân viên hỗ
trợ

User và Client
Giám đốc hỗ trợ kỹ thuật

Người bán hàng của tổ chức
mục tiêu

Người quản trị hệ thống


Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những
nhân viên của công ty

Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo

kẻ tấn cơng có thể cố gắng tấn cơng Social Engineering lên
những nhân viên văn phòng để thu thập những dữ liệu
mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và
hệ thống chống virut, thì bạn vẫn bị tấn cơng bởi những
lỗ hổng bảo mật

nhạy cảm như:

•
•
•
•

Những chính sách bảo mật

Những tài liệu nhạy cảm
Cấu trúc mạng văn phòng
Những mật khẩu


Khái niệm Social Engineering

Mạo danh trên mạng xã hội

Kỹ thuật Social Engineering

Biện pháp đối phó Social
Ăn cắp Identity

Engineering

Thử nghiệm xâm nhập


Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng,
sợ hãi, và sự giúp đỡ

Computer-based
Social Engineering được thực hiện bởi sự giúp đỡ của máy tính


giả
giả như

như một
một người
người sử
sử dụng
dụng đầu
đầu cuối
cuối hợp
hợp

Giả
Giả như
như một
một User
User quan
quan trọng
trọng

giả
giả làm
làm nhân
nhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ thuật
thuật

pháp
pháp


Nhận
Nhận dạng
dạng và
và yêu
yêu cầu
cầu thông
thông tin
tin nhạy
nhạy cảm
cảm

Giả
Giả làm
làm một
một VIP
VIP của
của một
một công
công tư,
tư, khách
khách hàng
hàng

“chào
“chào !! Đây
Đây là
là John,
John, từ
từ bộ
bộ phận

phận X,
X, tôi
tôi đã
đã

quan
quan trọng,
trọng, …..
…..

quên
quên password
password của
của tơi.
tơi. Bạn
Bạn có
có thể
thể lấy
lấy lại
lại nó
nó
dùm
dùm tơi
tơi được
được chứ
chứ ?”
?”

““ chào
chào tơi

tơi là
là kevin,
kevin, thư
thư kí
kí giám
giám đốc
đốc kinh
kinh

nói
nói như
như mộtnhân
mộtnhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ thuật
thuật và
và yêu
yêu

doanh.
doanh. Tôi
Tôi đang
đang làm
làm một
một dự
dự án
án cấp
cấp bách

bách và
và

cầu
cầu ID
ID và
và Password
Password cho
cho việc
việc khôi
khôi phục
phục dữ
dữ liệu
liệu

bị
bị mất
mất mật
mật khẩu
khẩu hệ
hệ thống
thống của
của mình.
mình. Bạn
Bạn có
có

““ thưa
thưa ngài,
ngài, tôi

tôi là
là Mathew,
Mathew, nhân
nhân viên
viên hỗ
hỗ trợ
trợ kỹ
kỹ

thể
thể giúp
giúp tôi
tôi được
được chứ?”
chứ?”

thuật,
thuật, cơng
cơng ty
ty X,
X, tối
tối qua
qua chúng
chúng rơi
rơi có
có một
một hệ
hệ
thống
thống bị

bị sập
sập ở
ở đây,
đây, và
và chúng
chúng tôi
tôi đến
đến để
để kiểm
kiểm tra
tra
có
có bị
bị mất
mất dữ
dữ liệu
liệu hay
hay khơng.
khơng. Ngài
Ngài có
có thể
thể lấy
lấy cho
cho
tơi
tơi ID
ID và
và Password
Password khơng”
khơng”



Ví dụ về việc hỗ trợ kỹ thuật

“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ơng ta đã qn mật khẩu
của ơng ta. Ơng ta nói thêm rằng nếu ơng ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị
xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là
vơ tình tạo ra một lối vào mạng bên trong của công ty”


Ví dụ về việc giả mạo cơ quan hỗ trợ

“chào, tôi là John Brown. Tôi đang ở cùng với kiểm sốt viên ngài Arthur Sanderson. Chúng
tơi đã nói với cơng ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm
họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tơi biết làm cách nào bạn khôi phục một
website sau khi bị tai nạn
””


Ví dụ về việc giả mạo cơ quan hỗ trợ

“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo
ngắn, nhưng tơi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được
thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tơi có thể sử dụng họ cho một chuyến đi tới các
cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký
họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tơi đã được thơng qua. Dường như đã
có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi

””


ví dụ cơ quan hỗ trợ

“chào, tơi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phịng
máy tính bị q nóng và cần được kiểm tra hệ thống HVAC của bạn ””
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thơng gió và điều hịa nhiệt độ) có thể
thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được
quyền truy cập vào tài nguyên mục tiêu.


Eavesdropping





Nghe
Nghe lén
lén hoặc
hoặc nghe
nghe trái
trái phép
phép các
các cuộc
cuộc hội
hội thoại
thoại
hoặc

hoặc đọc
đọc tin
tin nhắn
nhắn

Shoulder Surfing



trộm
trộm sử
sử dụng
dụng để
để tìm
tìm ra
ra mật
mật khẩu,
khẩu, số
số chứng
chứng

Chặn
Chặn lại
lại bất
bất kỳ
kỳ các
các hình
hình thức
thức như
như âm

âm thanh,
thanh, video
video
hoạc
hoạc văn
văn bản.
bản.
Eavesdropping
Eavesdropping cũng
cũng sử
sử dụng
dụng với
với những
những kênh
kênh truyền
truyền

Shoulder
Shoulder Surfing
Surfing là
là tên
tên cho
cho quy
quy trình
trình mà
mà kẻ
kẻ




minh
minh nhân
nhân dân,
dân, số
số tài
tài khoản,
khoản, vv
vv …..
…..
Kẻ
Kẻ trộm
trộm nhìn
nhìn qua
qua vai
vai của
của bạn
bạn hoặc
hoặc thậm
thậm chí
chí

thơng
thơng khác
khác như
như đường
đường dây
dây điện
điện thoại,
thoại, email,
email, tin

tin

quan
quan sát
sát từ
từ một
một khoảng
khoảng cách
cách xa
xa bằng
bằng cách
cách sử
sử

nhắn
nhắn tức
tức thời,
thời, vv…
vv…

dụng
dụng ống
ống nhịm,
nhịm, để
để có
có được
được một
một chút
chút thông
thông tin.

tin.


Dumpster diving là tìm kiếm kho báu của người khác trịng thùng giác

thùng giác

Hóa đơn điện

Thơng tin liên lạc

Thùng máy in

hộp thư

thoại

Thơng tin các hoạt

Thơng tin tài

động

chính

ghi chú