Tấn công Social Engineering toàn tập (Phần 2)

422

Bài viết được sự cho phép của tác giả Trần Nhật Trường

Phân loại Social Engineering

Social Engineering có thể được chia thành hai loại phổ biến:

Human-Based Social Engineering

Human-based là kỹ thuật Social Engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu. Kỹ thuật Human Based có thể chia thành các loại như sau:

Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác cổng, nhân viên, đối tác, đột nhập vào công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.

Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.

Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.

Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social Engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.

Shoulder Surfing: là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.

Dumpster Diving: là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẻ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.

Một số thứ mà dumpster có thể mang lại: Thứ nhất là sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. Hai là các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.

Phương pháp nâng cao hơn trong kỹ thuật Social Engineering là Reverse Social Engineering (Social Engineering ngược).  Trong kỹ thuật này, hacker trở thành người cung cấp thông tin. Điều đó không có gì là ngạc nhiên, khi hacker bây giờ chính là nhân viên phòng help desk. Người dùng bị mất password, và yêu cầu nhân viên helpdesk cung cấp lại.

Computer-Based Social Engineering

Computer Based là kỹ thuật liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo). Có thể chia thành các loại như sau:

Phishing: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.

Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gửi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.

Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware (chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

  Giới thiệu 15 website học và luyện hack hợp pháp

  Top 20 công cụ Hack được Hacker và Chuyên gia bảo mật sử dụng

Các bước tấn công trong Social Engineering

1.Thu thập thông tin

Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay,… có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,…

Social Engineering
Các bước tấn công trong Social Engineering

2.Chọn mục tiêu

Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó.

Mục tiêu thông thường là nhân viên hổ trợ kỹ thuật, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.

Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý.

3.Tấn công

Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”. Gồm có 3 loại chính:

Ego attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.

Sympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ.

Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ.Intimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm.

Phòng chống các mối đe dọa từ social engineering

Với cá nhân

– Tuyệt đối không click vào những đường link lạ trên mạng xã hội

– Khi nhận được tin nhắn Facebook hoặc tin nhắn trong Email của người lạ có file đính kèm dàn .zip, .dll, .exe thì chớ vội click. Nếu click vào tệp đó, thiết bị bạn sẽ bị nhiễm mã độc.

– Không nên chia sẻ thông tin, tài liệu của công ty và doanh nghiệp lên mạng sã hội nếu chưa được phép.

– Không click vào những cửa sổ Pop-up trúng thưởng.

– Khi bạn đã lỡ truy cập vào trang web giả mạo với trang web gốc hoặc bị điều hướng tới trang web giả mạo thì không nên điền thông tin tài khoản ngân hàng, số chứng minh thư hay những thông tin mật cá nhân khác.

– Sử dụng  một số thanh công cụ chống lừa đảo như : Netcraft, PhishTank để phát hiện trang web lừa đảo.

Với doanh nghiệp, tổ chức nói chung

Do hình thức tấn công Social Engineering dựa trên mạng xã hội trở nên bùng nổ, công ty và các cá nhân có rất ít thời gian để tự thực hành chống lại SEA. Các cuộc khảo sát thực hiện vài năm trước đã chỉ ra rằng nhiều tổ chức, công ty thậm chí còn không có các chính sách liên quan đến tấn công SEA dựa trên mạng xã hội. Cho đến thời gian gần đây, người ta mới dần nhận ra tầm quan trọng của nó. Các chính sách công ty cũng nên phù hợp với việc sử dụng mạng xã hội trong giờ làm việc.

Các chuyên gia bảo mật đã khuyên người sử dụng tại các công ty áp dụng các chính sách nhằm đảm bảo họ không bị tấn công bởi kỹ thuật Social Engineering:

– Khuyến nghị phân chia tài khoản mạng xã hội rạch ròi giữa cuốc sống và công việc. Mặc dù điều này không thể loại trừ được hết nguy cơ thông tin, nhưng nó cũng hiệu quả một phần.

– Luôn luôn phải xác nhận liên lạc, và không liên lạc với người lạ. Đây là vấn nạn phổ biến trên mạng xã hội khi hầu hết người dùng thường chấp nhận lời mời sự kiện hoặc lời mời kết bạn từ những người lạ không quen biết.

– Tránh sử dụng một mật khẩu cho nhiều tài khoản mạng xã hội khác nhau nhằm tránh nguy cơ lộ thông tin hàng loạt.

– Hạn chế đăng mọi thứ lên mạng xã hội vì thông tin được đăng có thể được kẻ tấn công tìm thấy, kể cả sau một thời gian dài.

– Hạn chế đăng những thông tin hoặc đặc điểm cá nhân để tránh khả năng người dùng bị kẻ tấn công mạo danh.

Còn với các công ty, tổ chức lớn cũng cần có những chính sách cụ thể để ngăn ngừa khả năng bị khai thác tấn công Social Engineering:

– Giáo dục nhân viên hạn chế đăng ký và để lộ thông tin cá nhân, nhận dạng trên mạng, những thông tin quan trọng như số điện thoại, hình ảnh nhà cửa, gia đình, địa chỉ nhà, bất kì thông tin nào có thể được tận dụng để mạo danh.

– Khuyến khích nhân viên sử dụng hai tài khoản cá nhân và công việc trên các trang mạng xã hội.

– Đào tạo nhân viên sử dụng mật khẩu phức tạp, độ bảo mật cao.

– Đào tạo nhân viên cho thấy tầm quan trọng của thông tin cá nhân trên những trang mạng xã hội như Facebook.

– Đào tạo, chỉ dẫn nhân viên về các mối quan hệ nguy hiểm của tấn công Phishing trên mạng xã hội và cách phòng tránh nó.

Thiết kế lớp phòng thủ chiều sâu

Mô hình phân lớp phòng thủ chiều sâu phân loại các giải pháp bảo mật chống các yếu tố tấn công – những vùng điểm yếu – mà hacker có thể sử dụng để đe dọa môi trường máy tính. Các yếu tố tấn công bao gồm:

– Chính sách, thủ tục, nhận thức: các văn bản quy định rằng bạn phát triển để quản lý tất cả các lĩnh vực bảo mật, và chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, và thực thi các quy định này.

– Bảo mật vật lý: các rào cản mà quản lý truy cập đến tài sản và tài nguyên. Điều quan trọng để nhớ các yếu tố sau cùng; ví dụ, nếu bạn đặt giỏ rác bên ngoài công ty, sau đó chúng ở bên ngoài sự bảo mật vật lý của công ty.

– Dữ liệu: thông tin kinh doanh – tài khoản, e-mail, … khi xem xét các mối đe dọa, thì phải bao gồm cả hard và soft copy tài liệu trong kế hoạch bảo mật dữ liệu.

– Ứng dụng: các chương trình chạy bởi user. Phải đánh giá các hacker Social Engineering có thể phá vỡ chương trình như thế nào, chẳng hạn email hoặc IM.

– Host: các máy tính server và client được sử dụng trong tổ chức. Sự trợ giúp đảm bảo rằng bạn bảo vệ các user chống lại các cuộc tấn công trực tiếp vào các máy tính này bằng cách xác định chặt chẽ các nguyên tắc chỉ đạo phần mềm để sử dụng máy tính và làm thế nào quản lý các thiết bị bảo mật, chẳng hạn như user ID và password.

– Mạng nội bộ: hệ thống mạng mà hệ thống máy tính công ty truyền thông. Nó có thể là local, wireless, hoặc WAN. Các mạng nội bộ đã trở nên ít “nội bộ” trong vài năm qua, với sự hoạt động tại nhà và di động đã phổ biến. Vì thế phải làm cho chắc chắn là user hiểu rằng họ phải làm việc bảo mật trong tất cả các môi trường nối mạng.

– Chu vi: điểm tiếp xúc giữa mạng nội bộ và mạng bên ngoài, chẳng hạn như Internet hay hệ thống mạng là phụ thuộc vào các đối tác kinh doanh, có thể một phần của extranet. Các tấn công Social Engineering thường cố gắng xuyên thủng chu vi để khởi đầu tấn công vào dữ liệu, ứng dụng, và các host xuyên qua hệ thống mạng nội bộ.

Mô hình phòng vệ chiều sâu
Mô hình phòng vệ chiều sâu

Khi thiết kế sự phòng vệ, mô hình phòng vệ chiều sâu giúp hình dung các lĩnh vực kinh doanh có thể bị đe dọa. Mô hình này không đặc tả các mối đe dọa Social Engineering, nhưng mỗi lớp phải nên có sự phòng vệ.

Tóm lại để xác định được phương pháp đối phó với Social Engineering là điều rất quan trọng trong các kỹ thuật phòng thủ và tấn công. Nó có liên quan đến vấn đề về xã hội nên việc phòng chống nó có chút rắc rối về cách tư cách của con người. Có một số cách để làm điều này.

Chính sách (policy) an ninh trong công ty quyết định vấn đề an toàn của hệ thống. Bạn cần đặt ra những quy định, giới hạn quyền truy cập cho các nhân viên trong công ty.

Huấn luyện tốt cho nhân viên về an ninh là điều rất cần thiết. Khi nhân viên của bạn hiểu ra các vấn đề an ninh, họ sẽ tự trách các rủi ro trước khi có sự can thiệt của phòng an ninh.

Vấn đề về con người cũng không kém quan trọng. Vì kỹ thuật tấn công này chủ yếu liên quan đến tư tưởng con người. Sự lơ là của nhân viên, sự mất lòng tin của nhân viên cũng là nguy cơ mất an toàn cho hệ thống.

Xây dựng một framework quản lý an ninh: Phải xác định tập hợp các mục đích của an ninh Social Engineering và đội ngũ nhân viên những người chịu trách nhiệm cho việc phân phối những mục đích này.

Đánh giá rủi ro: Các mối đe dọa không thể hiện cùng một mức độ rủi ro cho các công ty khác nhau. Ta phải xem xét lại mỗi một mối đe dọa Social Engineering và hợp lý hóa mối nguy hiểm trong tổ chức.

Social Engineering trong chính sách an ninh: Phát triển một văn bản thiết lập các chính sách và thủ tục quy định nhân viên xử trí tình huống mà có thể là tấn công Social Engineering. Bước này giả định là chính sách bảo mật đã có, bên ngoài những mối đe dọa của Social Engineering. Nếu hiện tại không có chính sách bảo mật, thì cần phải phát triển chúng.

Tóm lại, thông qua những vấn đề nêu trên chúng ta có thể tóm gọn như sau:

– Social engineering là kỹ thuật xã hội, dùng mối quan hệ con người để thu thập tin cần thiết phục vụ cho những cuộc tấn công phía sau.

– Quan trọng nhất trong kỹ thuật này là dựa vào điểm yếu của con người.

– Các bước thực hiện một cuộc tấn công Social engineering  là: Thu thập thông tin, chọn mục tiêu, tấn công.

– Các kiểu tấn công phổ biến có thể kể đến như: Insider Attack, Indentify Theft, Online Scam, Phising… – Và cuối cùng là để phòng chống lại kiểu tấn công này, không có cách nào hiểu quả bằng cách giáo dục cho nhân viên của bạn những thù đoạn lừa đảo để họ tự cảnh giác

Bài viết gốc được đăng tải tại nhattruong.blog

Xem thêm: 

Tham khảo các vị trí tuyển dụng ngành CNTT tại Topdev