ĐỒ ÁN MÔN HỌC: Social Engineering

ĐỒ ÁN MÔN HỌC:SOCIAL ENGINEERING
Nội dung trích xuất từ tài liệu:
ĐỒ ÁN MÔN HỌC:Social Engineering HỌC VIỆN CÔNG NGHỆ B ƯU CHÍNH VI ỄN THÔNG CƠ SỞ TPHCM ĐỒ ÁN MÔN HỌC: SOCIAL ENGINEERING GVHD: Ths. Lê Phúc SVTH: Hồ Ngọc Thiện Trần Thị Th ùy Mai TP.Hồ Chí Minh, 4/ 2009Social Engineering 1 MỤC LỤCChương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERIN G 1.1 Khái niệm về Social Engineering 1.2 Thủ thuật 1.3 Điểm yếu của con ng ườiChương 2: PHÂN LO ẠI 2.1 Human – based 2.1.1 Impersonation 2.1.2 Important User 2.1.3 Third-party Aut horization 2.1.4 Technical Support 2.1.5 In Person 2.2 Computer – based 2.2.1 Phising 2.2.2 Vishing 2.2.3 Pop-up Windows 2.2.4 Mail attachments 2.2.5 Websites 2.2.6 Interesting SoftwareChương 3: CÁC BƯ ỚC TẤN CÔNG TRONG SOCIAL ENGINEERING 3.1 Thu thập thông tin 3.2 Chọn mục ti êu 3.3 Tấn côngChương 4: CÁC M ỐI ĐE DỌA TỪ SOCIAL ENGINEERING 4.1 Các mối đe dọa trực tuyến (Online Threats) 4.1.1 Các mối đe dọa từ E -mail (E-mail Threats) 4.1.2 Các ứng dụng pop -up và hộp hội thoại( Pop -Up Applicatio ns and DialogBoxes) 4.1.3 Instant Mesaging 4.2 Telephone -Based Threats 4.2.1 Private Branch Exchange 4.2.2 Service Desk 4.3 Waste Management Threats 4.4 Personal Approaches 4.4.1 Virtual Approaches 4.4.2 Physical Approaches 4.5 Reverse Socia l EngineeringChương 5: THIẾT KẾ SỰ PH ÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIALENGINEERING 5.1 Xây dựng một framework quản lý an ninh 5.2 Đánh giá r ủi ro 5.3 Social engineering trong chính sách an ninhSocial Engineering 2Chương 6: THỰC THI SỰ PH ÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCI ALENGINEERING 6.1 Sự nhận thức 6.2 Quản lý sự cố 6.3 Xem xét s ự thực thi 6.4 Social Engineering và mô hình phân l ớp phòng thủ chiều sâuSocial Engineering 3Social Engineering 41.1 Khái ni ệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty mặc dù áp dụng các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email ho ặc trả lời điện thoại của một người mà họ không quen bi ết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Bảo mật được xem là tốt nhất nếu nó có thể phát huy tr ên cả những li ên kết yếu nhất. Social Engineering l à lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, m ạng riêng ảo VPN và các phần mềm giám sát mạng. Không c ó thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay tr ả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang v ề dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong vi ệc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering v à có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong c ông ty, nh ưng họ vẫn có thể bị hại do hacker l ợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. H ọ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngo ài để phán đoán. Ví dụ, khi nh ìn thấy một ng ười mặc đồng phục m àu nâu và mang theo nhi ều hộp c ơm, mọi người sẽ mở cửa v ì họ nghĩ đây l à người giao h àng. Một số công ty liệt k ê danh sách nhân viên trong công ty kèm theo s ố điện thọai, email tr ên Website c ủa công ty. Ngo ài ra, các công ty còn thêm danh sác ...