Tài liệu Bảo mật mạng: Chương 4 - Nguyễn Tấn Thành

Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Mời các bạn cùng tham khảo chương 4 - Social engineering.
Nội dung trích xuất từ tài liệu:
Tài liệu Bảo mật mạng: Chương 4 - Nguyễn Tấn ThànhCHƯƠNG 4: SOCIALENGINEERINGNguyễn Tấn ThànhSocial engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng côngty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấpthông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất quantrọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phávỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thôngtin trước hoặc trong cuộc tấn công.1. Social engineering là gì?Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùngnhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thựchiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằngphương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗngười dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đóđể chống lại các chính sách an ninh của tổ chức. Bằng phương pháp này, Social engineertiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảomật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ làcơ hội cho kỹ thuật tấn công này hành động.Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại,hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ôngđang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một nhómngười lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển màcông ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vàotoàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy mộtlượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họđã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giã vờlàm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được.Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện,nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phòng tài chínhvừa có cuộc công ta xa, và những thông tin của ông này có thể giúp họ tấn công hệthống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung cácthùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty,họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểmquan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này.Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và nhữngthông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tintưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện chophòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ mình bị mất pasword, và rấtcần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn côngđã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn côngnày là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phầnmềm giám sát mạng...sẽ giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này khôngsử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sựlơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tinquan trọng.2. Nghệ thuật của sự thao túngSocial Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép,bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừamột người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có củacon người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người vàsợ những rắc rối.Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đóđồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiểnsuy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làmnhững việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiệnchút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn côngvào công ty. Có 2 loại rất thông dụng : Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơnlà phá hủy hệ thống. Psychological subversion: mục đích của hacker hay attacker khi sử dụngPsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩnbị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng vàgiọng điệu khi nói, và nó thường sử dụng trong quân đội.Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách hàng.Nếu bạn có ý đồ làm hacker thì có thể học hỏi, còn nếu bạn là người dùng thì hãy cẩnthận khi gặp tình huống tương tự.Vào một ...