LOGO
Social Engineering
E-Commerce
Lý Tiến Phúc 50902005
Nguyễn Ngọc Sơn 50902278
Phạm Duy Tiến 50902759
Lê Anh Vũ 50903340
Social Engineering
Nội dung
Giới thiệu về Social Engineering1
Phân loại Social Engineering2
Các bước tấn công3
Các mối đe dọa4
Phòng tránh Social Engineering5
Social Engineering
Nội dung
Giới thiệu về Social Engineering1
Phân loại Social Engineering2
Các bước tấn công3
Các mối đe dọa4
Phòng tránh Social Engineering5
Social Engineering
Giới thiệu về Social Engineering

Social Engineering là việc lợi dụng
lòng tin của người khác để thao
túng hành vi của họ hoặc bắt họ
tiết lộ thông tin bí mật
Social Engineering
Giới thiệu về Social Engineering


Mục tiêu của hình thức tấn công
Social Engineering:

Lừa gạt

Xâm nhập vào hệ thống

Tình báo công nghiệp

Đánh cắp danh tính

Phá hoại
Social Engineering
Giới thiệu về Social Engineering
Social Engineering
Giới thiệu về Social Engineering

Con người:

Muốn trở thành người có ích cho tổ
chức

Tin tưởng người khác

Sợ gặp rắc rối
=> Dễ dàng bị những
kẻ tấn công lợi dụng
Social Engineering
Giới thiệu về Social Engineering


Không thể phòng chống hình thức
tấn công Social Engineering bằng
các phần cứng hoặc phần mềm
thông dụng

Social Engineering là hình thức
tấn công khó phòng chống nhất
Social Engineering
Nội dung
Giới thiệu về Social Engineering1
Phân loại Social Engineering2
Các bước tấn công3
Các mối đe dọa4
Phòng tránh Social Engineering5
Social Engineering
Phân loại Social Engineering

Social engineering có thể chia
làm 2 loại:

Human based: là việc trao đổi giữa
người với người để lấy được thông
tin mong muốn.

Computer based: là sử dụng các
phần mềm để lấy được thông tin
mong muốn.
Social Engineering
Phân loại Social Engineering


Các kỹ thuật social engineering
dựa vào con người có thể đại khái
chia thành:

Impersonation

Posing as Important User

Third-person Authorization

Technical Support

In Person
•
Dumpster Diving
•
Shoulder Surfing
Social Engineering
Phân loại Social Engineering

Impersonation:

Hacker giả làm một nhân viên hay người sử dụng
hợp lệ trong hệ thống để đạt được quyền truy xuất.
Ví dụ, hacker có thể làm quen với một nhân viên
công ty , từ đó thu thập một số thông tin có liên
quan đến công ty đó.
Social Engineering
Phân loại Social Engineering


Impersonation:

Lợi dụng quy luật được thừa nhận trong giao
tiếp xã hội là khi nhận được sự giúp đỡ từ một
người nào đó, thì họ sẵn sàng giúp đỡ lại mà
không cần điều kiện hay yêu cầu gì cả.
Social Engineering
Phân loại Social Engineering

Impersonation:

Social engineers cố gắng tận dụng đặc điểm xã
hội này khi mạo nhận người khác. Những mưu
mẹo này đã được sử dụng để ngụy trang để đạt
được sự truy xuất thông tin vật lý.
Social Engineering
Phân loại Social Engineering

Impersonation:

Nhiều thông tin cá nhân có thể được thu thập từ
người dùng thậm chí là sổ danh bạ và biển đề
tên ở cửa, hoặc những thứ người dùng đã xóa đi.
Social Engineering
Phân loại Social Engineering

Posing as Important User:

Sự mạo nhận đạt tới một mức độ cao hơn bằng
cách nắm lấy đặc điểm của một nhân viên quan

trọng (để thêm yếu tố đe dọa), lời nói của họ có
giá trị và thông thường đáng tin cậy hơn.

Lợi dụng sự biết ơn đóng vai trò để nhân viên vị
trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí
cao hơn để nhận lấy sự quý mến của anh ta.
Social Engineering
Phân loại Social Engineering

Posing as Important User:

Kẻ tấn công giả dạng như một user quan trọng có
thể lôi kéo một nhân viên – những người không
đề phòng rất dễ dàng bị tấn công . Social
engineer sử dụng quyền lực để hăm dọa thậm
chí là đe dọa báo cáo nhân viên với người giám
sát nhân viên đó nếu họ không cung cấp thông tin
theo yêu cầu.
Social Engineering
Phân loại Social Engineering

Third-person Authorization:

Một kỹ thuật social engineering phổ biến khác là
kẻ tấn công thể hiện một nguồn tài nguyên này
anh ta đã được chấp nhận của sự ủy quyền chỉ
định.
Social Engineering
Phân loại Social Engineering


Third-person Authorization:

Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc
người khác và tuyên bố là anh ta đã được chấp
nhận để truy xuất thông tin, mang lại hiệu quả
cao nếu người chịu trách nhiệm đang trong kỳ
nghỉ hoặc ở ngoài - nơi mà sự xác minh không
thể ngay lập tức.
Social Engineering
Phân loại Social Engineering

Third-person Authorization:

Lợi dụng việc:
•
Mọi người có khuynh hướng làm theo sự giao phó ở
nơi làm việc, mặc dù họ nghi ngờ rằng những yêu cầu
có thể không hợp pháp.
•
Mọi người có khuynh hướng tin rằng những người
khác đang thể hiện những quan điểm đúng mỗi khi họ
tuyên bố.
•
Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không
thì người ta sẽ tin rằng người mà họ đang nói chuyện
đang nói sự thật về cái họ thấy hoặc cần.
Social Engineering
Phân loại Social Engineering

Technical Support:


Một chiến thuật thường hay được sử dụng, đặc
biệt khi nạn nhân không phải là chuyên gia về kỹ
thuật.
Social Engineering
Phân loại Social Engineering

Technical Support:

Kẻ tấn công có thể giả làm một người bán phần
cứng hoặc kỹ thuật viên hoặc một nhà cung cấp
liên quan máy tính và tiếp cận với nạn nhân.
Social Engineering
Phân loại Social Engineering

In Person:

Kẻ tấn công cố gắng để tham quan vị trí mục tiêu
và quan sát tình hình cho thông tin. Họ có thể cải
trang thành người phân phối thư, người lao công
hoặc thậm chí rong chơi như một vị khách ở
hành lang, có thể giả làm nhà kinh doanh, khách
hoặc kỹ thuật viên.

Khi ở bên trong, anh ta có thể nhìn password trên
màn hình, tìm dữ liệu quan trọng nằm trên bàn
hoặc nghe trộm các cuộc nói chuyện bí mật.
Social Engineering
Phân loại Social Engineering


In Person:

Có 2 kỹ thuật được sử dụng đó là:
•
Dumpster Diving: tìm kiếm trong thùng rác, thông tin
được viết trên mảnh giấy hoặc bản in máy tính. Hacker
có thể tìm thấy password, filename, hoặc những mẩu
thông tin bí mật.
•
Shoulder Surfing: là một kỹ thuật thu thập password
bằng cách xem qua vài người khác khi họ đăng nhập
vào hệ thống. Hacker có thể xem người sử dụng hợp
lệ đăng nhập và sau đó sử dụng password đó đề
giành được quyền truy xuất đến hệ thống.
Social Engineering
Phân loại Social Engineering

In Person:

Hành động:
•
Khi ở bên trong, kẻ xâm nhập có thể đi lang thang
những hành lang của tòa nhà để tìm kiếm các văn
phòng trống lấy tên đăng nhập mà mật khẩu của nhân
viên đính trên PC của họ
•
Đi vào phòng mail để chèn các bản ghi nhớ giả mạo
vào hệ thống mail server công ty; cố gắng đạt quyền
truy xuất đến phòng server hay phòng điện thoại để lấy
nhiều thông tin hơn từ hệ thống đang vận hành

•
Đặt bộ phân tích protocol trong wiring closet để bắt gói
dữ liệu, username, và password hay chỉ đơn giản
đánh cắp thông tin nhằm đến.