Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 02: Kỹ thuật tấn công - Lesson 07: Social engineering

Nội dung text: Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 02: Kỹ thuật tấn công - Lesson 07: Social engineering

1. KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security – www.istudy.vn
2. NỘI DUNG • Module 01: Tổng quan An ninh mạng • ModuleModule 02:02: KỹKỹ thuậtthuật tấntấn côngcông • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa Institute of Network Security – www.istudy.vn
3. Module 02: KỸ THUẬT TẤN CÔNG • Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow Institute of Network Security – www.istudy.vn
4. Social Engineering Institute of Network Security – www.istudy.vn 4
5. Nội dung • Khái niệm Social Engineering • Tác động của Social Engineering • Phân loại Social Engineering • Social Engineering trong mạng xã hội • Trộm cắp tài khoản • Phòng chống Social Engineering • Thực nghiệm Institute of Network Security – www.istudy.vn
6. Không cách nào có thể sửa chữa cho sự ngây thơ của con người Institute of Network Security – www.istudy.vn
7. Social Engineering là gì? • Social engineering nghệ thuật thuyết phục người khác tiết lộ thông tin bí mật. • Thực tế một người bị tấn công không hề biết là thông tin cần được bảo mật. Confidential Information Gather Information Access Details Authorization Details Institute of Network Security – www.istudy.vn
8. Tính cách con người là điểm dễ bị tấn công Social Nền tảng của Các doanh Engineering có Social nghiệp dễ bị tấn thể gây ra thiệt Engineering là công nếu bỏ hại nghiêm bản năng tin qua Social trọng nếu tưởng của con Engineering và không sớm người tác động của nó phát hiện Attacker làm Nạn nhân được cho nạn nhân yêu cầu giúp đỡ tiết lộ thông tin và họ thực hiện bằng cách hứa dựa trên đạo hẹn những điều đức con người không có thực Institute of Network Security – www.istudy.vn
9. Các yếu tố làm tổ chức dễ bị tấn công Thiếu sót trong đào tạo bảo mật Lỗ hổng Dễ dàng chính sách truy cập bảo mật tài nguyên Application Servers Nhiều đơn vị trong tổ chức Institute of Network Security – www.istudy.vn
10. Tại sao Social Engineering lại có tác động rất lớn? Chính sách bảo mật mạnh mẽ, nhưng con người lại là yếu tố nhạy cảm nhất Không có phần cứng hoặc Rất khó để phát hiện phần mềm đặc trưng chống tấn công Social lại Social Engineering Engineering Không có phương pháp nào đảm bảo hoàn toàn chống lại Social Engineering Institute of Network Security – www.istudy.vn
11. Các dấu hiệu cảnh báo một cuộc tấn công • Attacker đóng giả một doanh nhân liên tục tìm cách xâm nhập đánh cắp thông tin trong hệ thống mạng. Cung cấp số điện thoại Thái độ vội vàng, lúng gọi lại túng khi được hỏi tên Thực hiện yêu cầu Khen ngợi hoặc không thường lệ thân thiết bất thường Yêu cầu bồi thường và Tỏ thái độ khó chịu khi đe dọa nếu không cấp được hỏi thông tin Institute of Network Security – www.istudy.vn
12. Các bước trong tấn công Social Engineering 1 2 Nghiên cứu mục tiêu Lựa chọn nạn nhân Website, nhân sự, Tìm kiếm một nhân viên phòng ban, cách hoạt đang thất vọng, bất mãn động, v v về công ty Research Develop Exploit 3 4 Phát triển mối quan hệ Khai thác mối quan hệ Xây dựng mối quan hệ Thu thập các thông tin thân thiết với nhân viên nhạy cảm về tài khoản, được chọn tài chính và công nghệ sử dụng Institute of Network Security – www.istudy.vn
13. Các tác động lên một tổ chức Thiệt hại Kinh tế Lợi dụng Nguy cơ Thiện chí Khủng bố Đánh mất Quyền lợi Đóng cửa tạm thời hoặc vĩnh viễn Kiện tụng Institute of Network Security – www.istudy.vn
14. Môi trường tấn công Internet cho phép Attacker tiếp cận nhân viên ONLINE công ty từ một nguồn khó xác định, và khuyên họ tiết lộ thông tin bằng việc giả danh một người dùng đáng tin cậy Dò hỏi thông tin từ việc gọi điện thoại, đóng TELEPHONE vai trò là người sử dụng thông tin hợp pháp, từ đó xâm nhập vào hệ thống máy tính Personal Attacker lấy thông tin bằng cách tiếp cận, hỏi Approaches trực tiếp vào thông tin đó Institute of Network Security – www.istudy.vn
15. Mục tiêu phổ biến của Social Engineering Giám đốc hỗ trợ Kỹ thuật User và Client Tiếp tân và Help desk Các nhà cung cấp của tổ chức System Admin Institute of Network Security – www.istudy.vn
16. Mục tiêu phổ biến của Social Engineering: Officer Wokers Attacker tập trung vào Mặc dù có Firewall tốt những người làm văn nhất, IPS/IDS và các phòng, thu thập các dữ hệ thống AntiVirus, bạn liệu nhạy cảm, bao vẫn có thể bị tấn công gồm: bằng những lỗ hổng . Chính sách bảo mật . Tài liệu nhạy cảm bảo mật khó lường . Sơ đồ hạ tầng mạng . Mật khẩu Institute of Network Security – www.istudy.vn
17. Module Flow Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
18. Kỹ thuật Social Engineering Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
19. Kỹ thuật Social Engineering 1 Human-Based • Khai thác thông tin nhạy cảm bằng cách tương tác, tiếp xúc • Loại tấn công này khai thác vào sự tin tưởng, sợ hãi, và bản năng tự nhiên giúp đỡ người khác Computer-Based • Social Engineering được thực hiện bằng sự giúp đỡ của máy tính 2 Institute of Network Security – www.istudy.vn
20. Human-Based Social Engineering Giả mạo Giả mạo Giả mạo User hợp pháp User quan trọng Hỗ trợ kỹ thuật Giới thiệu bản Giới thiệu bản Giới thiệu bản thân như một thân như một thân trong bộ nhân viên của VIP có ảnh phận hỗ trợ kỹ công ty và yêu hưởng lớn tới thuật, yêu cầu cầu các dữ liệu các hoạt động ID và nhạy cảm của công ty để Password để yêu cầu thông lấy dữ liệu cần tin xử lý Institute of Network Security – www.istudy.vn
21. Human-Based Social Engineering Nghe lén Nhìn lén • Nghe trộm cuộc đàm • Một cách để lấy trộm thoại hoặc tin nhắn, Account, Password, audio, video,v v thông tin cá nhân v v Institute of Network Security – www.istudy.vn
22. Human-Based Social Engineering: Dumpster Diving • Những thông tin hữu ích có thể tìm ra từ thùng rác và hòm thư của nạn nhân. Hóa đơn Thông tin điện thoại liên lạc Thông tin Thông tin điều hành tài chính Institute of Network Security – www.istudy.vn
23. Human-Based Social Engineering: Piggybacking Tôi để quên thẻ từ ra vào cửa ở nhà, anh có thể cho tôi theo vào phía sau không? Vâng, xin mời theo tôi, tôi sẽ giúp anh! Institute of Network Security – www.istudy.vn
24. Human-Based Social Engineering: Third-party Authorization Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không? Vâng, anh cứ hỏi! Institute of Network Security – www.istudy.vn
25. Human-Based Social Engineering: Phòng chống Xin chào, tôi thuộc đối tác vàng, tôi có thể hỏi anh vài điều để củng cố hợp tác không? Anh thuộc đối tác vàng nào? Đã ký với chúng tôi hợp đồng số hiệu bao nhiêu? Đã cùng chúng tôi làm những gì? Institute of Network Security – www.istudy.vn
26. Computer-Based Social Engineering Mail báo về một Virus, Thu thập thông tin như Trojan, Worm mới có thể ngày sinh, bệt danh thông gây hại cho máy tính qua Nick chat Online Instant Pop-up Hoax Chain Spam Chat Letters Letters Email Windows Message Window đột nhiên Mail thông báo về những món Những Email không xuất hiện những quà hoặc phền mềm miễn phí mong muốn thu trang Pop-up yêu với điều kiện người đọc mail thập thông tin tài cầu đăng nhập phải chuyển tiếp cho một số chính, thông tin cá hoặc điền thông tin lượng người kế tiếp nhân v v Institute of Network Security – www.istudy.vn
27. Computer-Based Social Engineering Pop-up • Pop-up dụ dỗ User bằng những thông điệp hấp dẫn kèm theo Link, chuyển hướng User tới một Website giả yêu cầu điền thông tin cá nhân hoặc kích hoạt Virus, Trojan, Spyware Phishing (Lừa đảo) • Attacker gửi một Email hợp lệ vào hòm thư User yêu cầu cập nhật lại thông tin hoặc thông tin tài khoản • Cả Pop-up và Phishing đều chuyển hướng User tới những trang Web giả Institute of Network Security – www.istudy.vn
28. Computer-Based Social Enginnering SMS Text Message SMS từ Chứng khoán Đông Á: Tài khoản của quí khách không đủ thông tin cho phiên giao dịch, xin vui lòng gọi 08.xxxx001 để bổ sung thông tin Gọi 08.xxxx001: Xin chào, tôi là ABC, tôi xin bổ sung số tài khoản là 207-231-5782, mật khẩu giao dịch là “P@ssw0rd” Institute of Network Security – www.istudy.vn
29. Human & Computer-Based Social Engineering Spying (Gián điệp) • Nếu đối thủ cạnh tranh muốn gây tổn hại tới công ty của bạn, họ có thể cài người vào xin việc rồi lấy các thông tin nhạy cảm gửi ra bên ngoài Revenge (Tư thù) • Nhân viên làm việc bất mãn với các chính sách, đãi ngộ, nên lấy toành bộ thông tin nhạy cảm của công ty gửi ra bên ngoài cho các đối tượng cần chúng như đối thủ, khủng bố, tống tiền Institute of Network Security – www.istudy.vn
30. Human & Computer-Based Social Engineering Phân công công việc cụ thể Phân loại Ưu tiên dữ liệu quyền hạn Chính Quản lý sách luật nhập xuất pháp Ghi nhận thao tác Institute of Network Security – www.istudy.vn
31. Human & Computer-Based Social Engineering Đối tượng Xu hướng tấn công Biện pháp phòng chống Đào tạo cho các nhân viên không Phone Mạo danh và thuyết phục chia sẻ thông tin mật qua điện thoại Thực hiển chứng thực tại lối vào: Lối vào trụ sở Thâm nhập bất hợp pháp Thẻ từ, vân tay Không sử dụng Password nếu có Văn phòng Nhìn lén người lạ hiện diện Phone (Help desk) Mạo danh Thiết lập PIN cho tất cả nhân viên Lang thang tìm kiếm các văn Văn phòng Hộ tống tất cả các khách vào công ty phòng mở Phòng thư Chèn hoặc giả mạo nội dung Giám sát cẩn thận Chiếm quyền điều khiển, di Thường xuyên cập nhật danh mục Phòng máy chuyển thiết bị, đặt thiết bị thiết bị, khóa cửa cẩn thật theo dõi Đánh cắp danh sách số điện Phone-PBX Gíam sát tất cả các cuộc gọi thoại, gọi lén Institute of Network Security – www.istudy.vn
32. Giả mạo trên Mạng xã hội Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
33. Social Engineering trên Mạng xã hội Giả mạo tính Thông tin Giả mạo thu cách và hành Tổ chức thập thông tin động của người trên mạng xã khác hội Thông tin Thông tin Cá nhân nhạy cảm Attacker sử dụng Attacker sử dụng thông tin thu thập Kết nối và profile của người được như một Liên lạc khác kết bạn và dạng của Social thu thập thông tin Engineering Institute of Network Security – www.istudy.vn
34. Social Engineering trên Mạng xã hội Tumblr Google Plus My Space Facebook Twitter Institute of Network Security – www.istudy.vn
35. Social Engineering trên Mạng xã hội Mạng xã hội là một CSDL khổng lồ truy Đánh cắp dữ liệu cập bởi nhiều cá nhân, tăng nguy cơ bị khai thác thông tin Thông tin nhạy Nhân viên có thể vô tình mang dữ liệu nhạy cảm bị rò rỉ cảm của công ty lên mạng xã hội nếu không có chính sách mạnh mẽ Những thông tin trên mạng xã hội có Tấn công nạn nhân thể được dùng cho việc khảo sát sơ bộ nạn nhân Tất cả các trang mạng xã hội có thể Lổng hổng hệ thống mạng sai sót dẫn đến tạo ra lỗ hổng trong hệ hệ thống mạng của công ty Institute of Network Security – www.istudy.vn
36. Trộm cắp tài khoản Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
37. Trộm cắp tài khoản Y tế/Bảo hiểm/Đầu tư Thẻ tín dụng 24% 20% Identity Thief 13% Ngân hàng/Vốn vay 2011 15% 13% 15% Điện thoại và các tiện ích Việc làm Tài liệu chính phủ Institute of Network Security – www.istudy.vn
38. Trộm cắp tài khoản (Bước 1/3) • Lấy toàn bộ thông tin trong các hóa đơn nạn nhân Institute of Network Security – www.istudy.vn
39. Trộm cắp tài khoản (Bước 2/3) CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9 Họ tên: iSTUDY Bản gốc Sinh ngày: 14-12-2011 Nguyên quán: TP.Hồ Chí Minh Nơi ĐKHK th ườn g trú: 240 Võ Văn Ngân - Phường Bình Thọ, Quận 9, TP.HCM Tạo một giấy CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM CMND giả Độc lập - Tự do - Hạnh phúc GIẤY CHỨNG MINH NHÂN DÂN SỐ 273XXXXX9 Họ tên: iSTUDY Bản giả Sinh ngày: 14-12-2011 Nguyên quán: TP.Hồ Chí Minh Nơi ĐKHK th ườn g trú: 240 Võ Văn Ngân - Phường Bình Thọ, Quận 9, TP.HCM Institute of Network Security – www.istudy.vn
40. Trộm cắp tài khoản (Bước 3/3) Có tiền là có gần Tới Bank nơi mà nạn nhân đăng ký mở hết mọi thứ!!! khoản để đăng ký làm lại tài khoản Nói với họ bạn không nhớ số tài khoản cũ và nhờ họ tìm thông qua số CMND Bank sẽ yêu cầu bạn xuất trình CMND, đưa ra CMND giả và bạn sẽ được cấp lại tài khoản Bây giờ, SHOPPING!!! Institute of Network Security – www.istudy.vn
41. Trộm cắp tài khoản: Vấn nạn nghiêm trọng • Trộm cắp tài khoản có xu hướng ngày càng tăng mạnh. • Cẩn thận thông tin khi ở công ty và ở nhà, đồng thời kiểm tra tài khoản thường xuyên góp phần làm giảm vấn nạn này. Institute of Network Security – www.istudy.vn
42. Biện pháp phòng chống Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
43. Biện pháp phòng chống: Chính sách • Chính sách bảo mật tốt cùng biện pháp xử lý nhân viên vi phạm mạnh sẽ giúp giảm thiểu Social Engineering. • Sau quá trình đào tạo, nhân viên nên ký một bản cam kết chịu trách nhiệm bảo đảm thông tin. Institute of Network Security – www.istudy.vn
44. Biện pháp phòng chống: Chính sách Password Policies Physical Security Polocies • Đổi Password định kỳ • Xác định nhân viên hợp • Đặc Password phức tạp pháp bằng thẻ ra vào, 24/7 • Account bị khóa sau đồng phục, v v một vài lần đăng nhập • Giám sát khách đi vào thất bại • Định ra khu vực cấm • Tuyệt đối không tiết lộ • Tiêu hủy tài liệu không Password dùng • Thuê vệ sĩ Institute of Network Security – www.istudy.vn
45. Biện pháp phòng chống: Chính sách Phân loại thông Phân quyền truy tin cập Phân loại thông tin Chính sách phân mật, tuyệt mật, quyền rõ ràng cho công cộng, v v từng đối tượng Dễ quản lý và loại Tính toán trước đề bỏ các trường hợp phòng có Social nghi ngờ Engineering xảy ra Kiểm tra thật kỹ Thời gian phục hồ sơ nhân viên hồi dữ liệu Institute of Network Security – www.istudy.vn
46. Biện pháp phòng chống: Phát hiện Phishing Email • Thường dẫn đến một trang Web yêu cầu điền thông tin cá nhân. • Lấy tên các ngân hàng, công ty chứng khoán, mạng xã hội v v • Nhìn giống như được gửi từ một người có trong mail list. • Gọi trực tiếp đến số điện thoại trong Email để kiểm chứng. • Quan sát Logo thật so với Logo đi kèm mail. Institute of Network Security – www.istudy.vn
47. Biện pháp phòng chống: Trộm cắp tài khoản Bảo mật tất cả các tài liệu, cả cá nhân và công ty Để đảm bảo cho Mailbox, hãy xóa ngay khi có thể Chắc chắn rằng tên bạn không nằm trong danh sách tiếp thị Luôn cảnh giác với các yêu cầu cá nhân Thường xuyên kiểm tra thông tin tài khoản Luôn giữ thẻ tín dụng bên mình Bảo vệ thông tin cá nhân với các mạng xã hội Không hiển thị tài khoản/số điện thoại nếu không cần thiết Không bao giờ cho thông tin cá nhân qua điện thoại Institute of Network Security – www.istudy.vn
48. Kỹ thuật Social Engineering Social Engineering Concepts Kỹ thuật Giả mạo trên Social Engineering Mạng xã hội Trộm cắp Biện pháp Tài khoản phòng chống Thực nghiệm Institute of Network Security – www.istudy.vn
49. Tóm lược bài học • Social Engineering là nghệ thuật dụ dỗ người khác nói ra những thông tin nhạy cảm của cá nhân hay tổ chức. • Social Engineering lợi dụng những bản chất đạo đức tự nhiên của con người. • Không thể hoàn toàn chống lại Social Engineering mà người chỉ có thể dùng các biện pháp giảm thiểu tối đa có thể. Institute of Network Security – www.istudy.vn