Social Engineering (Phần 1) – Vấn đề cũ nhưng không bao giờ… cũ

 Vấn đề cũ nhưng không bao giờ… cũ

Phần mềm độc hại không phải là mối đe dọa trực tuyến chỉ để lo lắng. Social engineer là một mối đe dọa rất lớn, và nó có thể tấn công bạn trên bất kỳ hệ điều hành nào. Trong thực tế, Social engineer cũng có thể xảy ra qua điện thoại và trong những tình huống mặt đối mặt.

Điều quan trọng là phải nhận thức được Social engineer lộ diện với những dấu hiệu của nó. Chương trình bảo mật sẽ không bảo vệ bạn khỏi các mối đe dọa từ các Social engineer, vì vậy bạn phải tự bảo vệ mình.

null

Social engineering là gì?

Các cuộc tấn công dựa trên máy tính truyền thống thường phụ thuộc vào việc tìm kiếm một lỗ hổng trong mã của máy tính. Ví dụ, nếu bạn đang sử dụng một phiên bản out-of-date Adobe Flash – hoặc, God forbid, Java, đó là nguyên nhân của 91% các cuộc tấn công theo Cisco – bạn có thể truy cập vào một trang web độc hại và trang web sẽ khai thác lỗ hổng trong phần mềm của bạn để truy cập vào máy tính của bạn. Kẻ tấn công khai thác lỗi trong phần mềm để truy cập và thu thập thông tin cá nhân, có thể từ một keylogger do chính họ cài đặt.

Thủ đoạn các Social engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ không phải nhắm đến mục tiêu phần mềm của họ.

Có thể bạn đã nghe nói về lừa đảo – phishing- là một hình thức của Social engineer. Bạn có thể nhận được một email tự xưng là từ ngân hàng, công ty thẻ tín dụng của bạn, hoặc một doanh nghiệp đáng tin cậy. Họ có thể hướng dẫn bạn đến một trang web giả mạo và cải trang trông giống như một thực hoặc yêu cầu bạn tải về và cài đặt một chương trình độc hại. Theo đó, thấy rõ rằng thủ đoạn của Social engineer không có liên quan đến các trang web giả mạo hoặc phần mềm độc hại. Email lừa đảo có thể chỉ đơn giản là yêu cầu bạn gửi một email trả lời với thông tin cá nhân.Thay vì cố gắng khai thác một lỗi trong một phần mềm, họ cố gắng khai thác sự tương tác của con người bình thường. Spear Phishing có thể còn nguy hiểm hơn, vì nó là một hình thức lừa đảo trực tuyến được thiết kế để nhắm mục tiêu cá nhân cụ thể.

Xem Thêm Bài Viết  Tự học MCSA 2012, bài 4: Local User and Group

Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức. Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu.

Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những kẻ tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do tin tặc lợi dụng lòng tốt và sự giúp đỡ của mọi người.

Xem Thêm Bài Viết  Hướng đặt địa chỉ IP tĩnh trên Windows 7, 8 ,XP

Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ – để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Hay khi bạn nhặt được một chiếc USB bạn có thể rất vô tư cắm nó ngay vào máy tính để xem nó là của ai và chứa thông tin gì. Nhưng đó có thể chính là nguồn phát tán virus và mã độc đến bạn, tổ chức và người thân của bạn.

Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập.

 Sau đây là một ví dụ về kỹ thuật tấn công social engineering  được Kapil Raina kể lại, hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông đang làm việc tại một công ty khác trước đó: “Một buổi sáng vài năm trước, một nhóm người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển mà công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vào toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy một lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họ đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giã vờ làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được. Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện, nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết giám đóc phòng tài chính vừa có công việc phải đi xa, và những thông tin của ông này có thể giúp họ tấn công hệ thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung các thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty, họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này. Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và những thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tin tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ mình bị mất pasword, và rất cần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn công đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn công này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng…sẽ giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin quan trọng.

Xem Thêm Bài Viết  Câu hỏi phỏng vấn quản trị mạng thường gặp

 References

The Official Social Engineering Hub

http://en.wikipedia.org/wiki/Social_engineering_(security)

https://www.social-engineer.com/

The Social Engineering Infographic

null

Lượt xem (1484)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *