Saturday , 27 February 2021
Home » Bài theo kỳ » Social Engineering (Phần 2) – Nghệ thuật của sự thao túng

Social Engineering (Phần 2) – Nghệ thuật của sự thao túng

Bạn có thể tham khảo bài viết  Social Engineering là gì?

Nghệ thuật của sự thao túng

null

Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết kẻ tấn công thường dùng để tấn công vào tổ chức. Có 2 loại rất thông dụng :

  1. Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống.
  2. Psychological subversion: mục đích của tin tặc hay kẻ tấn công khi sử dụng PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.

Sau đây là một tình huống mà một kẻ tấn công đã đánh cắp mật khẩu của một khách hàng. Mọi người hãy cẩn thận khi gặp tình huống tương tự:

Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi. (Attacker là một kẻ lừa đảo đang tấn công cô Alice)

Attacker : “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”

Alice: “Xin chào, tôi là Alice”.

Attacker: “Chào cô Alice, tôi gọi từ trung tâm ứng cứu dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm như vậy…”

Alice: “Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”

Attacker: “Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.”

Alice: “Của tôi à..à vâng.”

Attacker: “Tôi thông báo với cô về việc Mail Server vừa bị đánh sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước.”

Alice: “Vậy mail của tôi có bị mất không?”

Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có mật khẩu của cô, nếu không chúng tôi không thể làm gì được.”

Alice: “Mật khẩu của tôi à? uhm…”

Attacker: “Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” (nỗ lực làm tăng sự tin tưởng từ nạn nhân)

Attacker: “Tên đăng nhập của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi tên đăng nhập và số điện thoại của cô, nhưng họ không đưa mật khẩu cho chúng tôi. Không có mật khẩu thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng mật khẩu của cô vào bất cứ mục đích nào khác.”

Alice: “uhm, mật khẩu này cũng không riêng tư lắm đâu, mật khẩu của tôi là AliceDxb123456

Attacker: Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”

Alice: “Có chắc là mail không bị mất không?”

Attacker: “Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”

Alice: “Cảm ơn.”

Attacker: “Chào cô.”

 

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.

Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.

Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.

Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao.

Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.

 Bài viết tiếp theo tôi sẽ tập trung vào các kỹ thuật Social Engineering cũng như các tools mà attacker thường sử dụng

 

References

The Official Social Engineering Portal

http://en.wikipedia.org/wiki/Social_engineering_(security)

Social-Engineer.com Home

https://www.youtube.com/watch?v=DrFKA_jZq2k

Lượt xem (688)

About Nguyên Ngọc

Networking and Communications

Xem thêm

Năm 2017: Người dùng Việt Nam thiệt hại 12.300 tỉ đồng vì virus máy tính

(NLĐO) – Năm 2017, thiệt hại do virus máy tính gây ra đối với người …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *