Social engineering là gì? Phân loại kỹ thuật tấn công Social engineering

 Nguyễn Thị Hà    
Social engineering là gì? Phân loại kỹ thuật tấn công Social engineering
5 (100%) 3 votes

Social engineering là gì? Phân loại kỹ thuật tấn công Social engineering

1/ Social engineering là gì?

Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh.

Social engineering là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công.

Social engineering là gì? Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó.

Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.

Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cỏi sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Social engineering là gì?

Social engineering là gì?

Hiện tại, chúng tôi đang cung cấp dịch vụ viết thuê luận văn cao học, luận văn thạc sĩ, khóa luận tốt nghiệp, đồ án tốt nghiệp, dịch vụ chạy SPSS,… chuyên nghiệp nhất thị trường. Hãy liên hệ ngay với chúng tôi để được hỗ trợ từ A-Z

2/ Phân loại kỹ thuật tấn công Social engineering

Social engineering có thể được chia thành hai loại phổ biến:

Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).

a/ Human-Based Social Engineering

Kỹ thuật Human Based có thể chia thành các loại như sau:

Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.

Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.

Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.

Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.

Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.

Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.

Phương pháp nâng cao hơn trong kỹ thuật Social engineering là Reverse Social Engineering (Social engineering  ngược). Trong kỹ thuật này, hacker trở thành người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên helpdesk cung cấp lại.

Phân loại kỹ thuật tấn công Social engineering

Phân loại kỹ thuật tấn công Social engineering

b/ Computer-Based Social Engineering

Computer Based: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau:

Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.

Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, những kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.

Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.

Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gửi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết.

Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.

Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

Bạn đã hiểu “Social engineering là gì?” chưa? Chúc các bạn học tập tốt!