1. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
Kĩ thuật tấn công Social Engineering
Môn học: Test xâm nhập mạng
Giảng viên: Nguyễn Ngọc Điệp
Nhóm sinh viên: Phạm Trung Đức
Nguyễn Trần Hiệp
Hà nội, ngày 11 tháng 5 năm 2017
2. Mục lục
Danh mục các thuật ngữ viết tắt..........................................................................................1
Danh sách các bảng .............................................................................................................1
Danh sách các hình ảnh .......................................................................................................2
Lời dẫn.................................................................................................................................3
Chương 1: Kĩ thuật Social Engineering là gì?.....................................................................4
1.1 Nguyên nhân Social Engineering được áp dụng....................................................5
1.2 Khai thác yếu tố cảm xúc trong SEA.....................................................................6
1.3 Tác động của Social Engineering ..........................................................................8
1.4 Đối tượng tấn công chủ yếu của tấn công Social Engineering..............................9
Chương 2: Các loại hình tấn công Social Engineering .....................................................11
2.1 Dựa trên yếu tố con người ...................................................................................11
2.2 Dựa trên yếu tố kĩ thuật........................................................................................12
Chương 3: Áp dụng tấn công Social Engineering.............................................................15
Chương 4: Cách phòng chống lại tấn công Social Engineering........................................16
4.1 Với doanh nghiệp, tổ chức nói chung:.................................................................16
4.2 Với các nguy cơ bị khai thác................................................................................17
Chương 5: Áp dụng thực thi Social Engineering trên Kali Linux.....................................20
Tổng kết.............................................................................................................................27
Danh mục tài liệu tham khảo.............................................................................................27
3. Bài tập lớn Test xâm nhập mạng
Trang 1
Danh mục các thuật ngữ viết tắt
Tên Ý nghĩa
SEA Social Engineering Attack
URL Uniform Resource Locater
IDS Intrusion Detect System
Danh sách các bảng
Trang
Bảng 1.1: Những yếu tố cảm xúc trong tấn công Social Engineering 5
Bảng 1.2: Nguyên nhân Social Engineering thành công 5
Bảng 1.3: Khai thác yếu tố cảm xúc trong Social Engineering 6
Bảng 1.4: Các hành vi phức tạp được khai thác 7
Bảng 1.5: Nguy cơ rủi ro và tác động trên Social Engineering 8
Bảng 1.6: Đối tượng được khai thác trong Social Engineering 9
Bảng 3.1: Các bước tấn công Social Engineering 15
Bảng 4.1: Cách phòng tránh mối đe dọa Social Engineering 17
Bảng 4.2: Cách phòng chống Social Engineering trên mạng 18
4. Bài tập lớn Test xâm nhập mạng
Trang 2
Danh sách các hình ảnh
Trang
Hình 2.1: Popup-window mạo danh 12
Hình 2.2: Tấn công Phishing mạo danh trang web Amazon 12
Hình 2.3: Email lừa đảo kinh điển của hoàng tử Nigeria. 13
Hình 2.4: Lừa đảo qua SMS 14
Hình 5.1: Giao diện Toolkit SET phiên bản 7.3.12 20
Hình 5.2: Danh sách các kiểu tấn công của bộ toolkit SET 20
Hình 5.3: Danh sách những lựa chọn tấn công 21
Hình 5.4: Chọn lựa chọn thứ ba để tấn công web 21
Hình 5.5: Chọn nội dung sao nhập một trang web đơn giản 22
Hình 5.6: Nhập IP host và URL cần clone 22
Hình 5.7: Dịch vụ server Apache đã sẵn sàng cho trang web được clone 23
Hình 5.8: Web Facebook clone với địa chỉ là host IP 23
Hình 5.9: Đường link host IP sau khi được Convert sang link TinyURL 24
Hình 5.10: Đường link lạ được gửi đến email nạn nhân 25
Hình 5.11: Thông tin đăng nhập được gửi trả về cho toolkit SET 26
5. Bài tập lớn Test xâm nhập mạng
Trang 3
Lời dẫn
Social Engineering là hình thức tấn công lên yếu tố con người, nhằm khiến nạn
nhân thực hiện những thông tin gây hại như là tiết lộ số điện thoại cá nhân hay tiết lộ
thông tin tối mật quan trọng. Kiểu tấn công này dựa trên yếu tố lòng tin. Tấn công
Social Engineering cũng không khác gì với các hành vi lừa đảo vốn xảy ra hàng ngày
giữa con người với con người. Ví dụ sớm nhất về Social Engineering trong lịch sử là
câu truyện nổi tiếng về con ngựa Trojan của Hi Lạp trong cuộc chiến thành Troy.
Nhờ có con ngựa Trojan thì quân đội Hi Lạp đã đổ bộ thành công khiến cho thành
Troy – vốn đứng vững trong một thập kỉ phải thất thủ trong vòng vài tiếng đồng hồ.
Quân đội Hi Lạp đã lừa gạt thành công bằng con ngựa Trojan – một kịch bản sau này
cho các cuộc chiến tranh trên mạng.
Trong bài tập lớn tìm hiểu, chúng ta sẽ cùng tìm hiểu về kĩ thuật áp dụng
chung cho tấn công Social Engineering. Bài tập lớn sẽ khái quát cách thực hiện tấn
công Social Engineering để người sử dụng có thể chuẩn bị tốt để phòng chống lại nó.
Cũng giống như nhiều kĩ thuật tấn công khác nhau, việc làm nên sự khác biệt giữa
các tội phạm Hacker mũ đen và mũ trắng nằm ở yếu tố đạo đức nghề nghiệp. Điều
này cực kì quan trọng khi mà trong thực tế thì kĩ thuật Social Engineering là phương
pháp tấn công tốt nhất để lấy được thông tin mục tiêu.
Trong bài tìm hiểu chung về kĩ thuật Social Engineering, chúng ta sẽ có các
chủ điểm chính:
A. Kĩ thuật Social Engineering là gì?
B. Áp dụng tấn công Social Engineering.
C. Cách kĩ thuật tấn công phổ biến trong test xâm nhập mạng.
D. Cách phòng chống lại tấn công Social Engineering.
E. Demo tấn công Social Engineering trên Kali Linux
6. Bài tập lớn Test xâm nhập mạng
Trang 4
Chương 1: Kĩ thuật Social Engineering là gì?
Tấn công Social Engineering bao hàm một lượng lớn các hoạt động khác nhau.
Ví dụ như Phishing là một kiểu tấn công Social Engineering (SEA – Social
Engineering Attack). Nạn nhân nhận được một email đính kèm với một đường dẫn
trông giống thật có nội dung hình ảnh hợp pháp và quen thuộc, nhằm khai thác và
tiết lộ thông tin quan trọng cho kẻ tấn công. Khi người dùng cuối nhận ra được các
hoạt động như vậy thì kĩ thuật tấn công này trở nên phức tạp hơn thế nhằm giữ tính
hiệu quả. Theo thời gian, thì kĩ thuật tấn công Social Engineering nhắm đến phạm vi
đối tượng hẹp và cụ thể, phạm vi các tổ chức công ty, nhằm đăng nhập được vào hệ
thống bằng cách lợi dụng các cá nhân làm việc trong công ty tổ chức đó. Social
Engineering có thể hiểu là một trò chơi lừa đảo tinh vi được thực hiện qua mạng, và
hình thức này rất hiệu quả với tỉ lệ thành công cao.
Những kẻ tấn công Social Engineering thường quan tâm đến việc khai thác các
thông tin thực hiện hành vi như là ăn cắp danh tính hoặc trộm mật khẩu truy nhập.
Tấn công Social Engineering cũng bao gồm yếu tố lừa đảo nhằm mục đích đảm bảo
cho nạn nhân tin rằng kẻ tấn công là người có thẩm quyền hợp pháp. Kẻ tấn công có
thể mặc đồ như thật với mục đích đánh lừa về tính hợp pháp của hắn. Mục tiêu cuối
cùng của tấn công như vậy là khiến người dùng hạ cảnh giác để kẻ tấn công có thể
lấy được thông tin.
Theo một cách hiểu nào khác, thì những kẻ tấn công Social Engineering cũng
là một kiểu nghệ sĩ lừa đảo thực thụ. Thông thường thì kẻ tấn công nhận diện các
hành vi con người như sau để tấn công:
7. Bài tập lớn Test xâm nhập mạng
Trang 5
Bảng 1.1: Những yếu tố cảm xúc trong tấn công Social Engineering
Yếu tố Tác động
Nghĩa vụ đạo đức
Kẻ tấn công bẫy nạn nhân bằng cách
gợi ra nghĩa vụ về đạo đức.
Trong yếu tố này, nạn nhân bị thôi
thúc phải làm những điều đúng với
đạo lý.
Lòng tin
Bản năng của con người là tin tưởng.
Tấn công Social Engineering khai
thác tính tin người để làm lợi.
Đe dọa
Kẻ tấn công Social Engineering có
thể đe dọa nạn nhân nếu họ không
chịu hợp tác làm theo yêu cầu.
Tính tham lam
Kẻ tấn công Social Engineering hứa
sẽ thưởng nạn nhân nếu họ làm theo
những công việc tưởng chừng rất vô
hại như nhấp vào đường link trúng
thưởng.
Thiếu hiểu biết
Nhiều nạn nhân bị khai thác SEA
không nhận thức được sự nguy hiểm
của Social Engineering, không nhìn
ra được nguy cơ gây hại cho tổ chức.
1.1 Nguyên nhân Social Engineering được áp dụng
Tấn công Social Engineering thường đem lại kết quả hiệu quả cao với nhiều lí
do khác nhau bất kể dựa trên yếu tố khai thác giữa người dùng hay kẻ tấn công. Ta
có thể phân loại ra như sau:
Bảng 1.2: Nguyên nhân Social Engineering thành công
Nguyên nhân Chi tiết
8. Bài tập lớn Test xâm nhập mạng
Trang 6
Thiếu khả năng
về kĩ thuật
Khoa học kĩ thuật có thể giải quyết
được nhiều vấn đề an ninh an toàn
thông tin, nhưng lại có tác động rất
thấp hoặc mờ nhạt để chống lại sự
tấn công Social Engineering vì kiểu
tấn công này dựa trên nền tảng con
người
Các chính sách
bảo mật kém
hiệu quả
Các chính sách của các tổ chức về
việc lưu trữ thông tin, tài nguyên số,
thẩm quyền thường không được coi
trọng và chưa đầy đủ
Khả năng phát
hiện thấp
SEA thông thường rất khó để bị phát
hiện. Ví dụ như một cuộc tấn công
trên mạng sẽ để lại file log hoặc gây
cảnh báo cho hệ thống phát hiện xâm
nhập IDS, trong khi Social
Engineering thì không.
Tận dụng việc
đào tạo kém
Các tổ chức công ty chưa có đầu tư
cụ thể cho việc nhận thức và đào tạo
việc chống lại tấn công Social
Engineering.
1.2 Khai thác yếu tố cảm xúc trong SEA
Trọng tâm của các cuộc tấn công Social Engineering SEA đánh mạnh vào tâm
lí, cảm tính của con người. Đây là yếu tố sống còn cho kĩ thuật tấn công này. Chính
cảm tính cá nhân là yếu tố thành công cho SEA, bằng cách khiến người sử dụng tạo
ngoại lệ cho kẻ tấn công với lí do chính đáng. SEA tấn công vào các cảm xúc cơ bản
như sau:
Bảng 1.3: Khai thác yếu tố cảm xúc trong Social Engineering
Yếu tố cảm
xúc
Ví dụ
Tham lam
Kẻ tấn công hứa thưởng cho người dùng
nếu làm đúng theo như hướng dẫn.
Ham muốn
Nhấp, xem các tấm hình mát mẻ có chứa
mã độc
9. Bài tập lớn Test xâm nhập mạng
Trang 7
Cảm thông
Kẻ tấn công đóng giả một người mà
người dùng quen biết, rồi giả như khó
khăn để lấy được sự đồng cảm
Tò mò
Kẻ tấn công nhận ra, hoặc chú ý đến sở
thích chung của người dùng
Tự mãn
Kẻ tấn công tâng bốc, lấy lòng người
dùng.
Các cảm xúc được liệt kê phía trên phổ biến, thường được sử dụng để thực
hiện những hành vi tưởng như vô hại như là đăng nhập vào tài khoản online hoặc
nhấp chuột truy cập một đường link tới trang web độc hại được đính kèm trong email
gửi cho người dùng. Khi thực hiện những hành vi mà kẻ tấn công mong muốn, người
dùng vô tình cài đặt phần mềm độc hại lên máy tính của mình để kẻ tấn công khai
thác thông tin hoặc thu lợi cá nhân.
Về mặt kĩ thuật, thì tấn công Social Engineering còn khai thác nhiều các cảm
xúc phức tạp khác hơn thế. Trong khi gửi một người dùng tin nhắn cụ thể với đường
link có nội dung ví dụ như “Ảnh này của cậu đẹp thế”, “Em thật là xinh đẹp” là cách
khai thác cụ thể cảm xúc tự mãn người dùng nhằm lấy lòng em thư kí trong công ty
gửi cho kẻ tấn công danh sách liên lạc của công ty, hoặc đóng giả nhân viên IT để
lấy mật khẩu truy nhập trong công ty của em ấy. Kiểu tấn công vào bản năng con
người thường khai thác được nhiều khía cạnh phức tạp của hành vi con người.
Bảng 1.4: Các hành vi phức tạp được khai thác
Hành vi phức tạp Ví dụ
Muốn cảm thấy
mình là người
hữu ích
“Nếu em không bận gì thì có thể gửi cho
anh file này vào cái USB được không?
Hầu hết mọi người đều được giáo dục từ
nhỏ về việc hợp tác, thân thiện và hữu ích
với những người xung quanh. Cảm xúc
này cũng thường có trong công việc. Khi
đó kẻ tấn công có thể tận dụng được yếu
tố như vậy.
10. Bài tập lớn Test xâm nhập mạng
Trang 8
Muốn tránh rắc
rối không đáng
có
“Nếu em không gửi anh bản thông báo
của công ty thì anh gọi cho anh X. Em
mà làm anh X phiền lòng, tốn thời gian
của anh ấy thì không hay đâu.”
Khi kẻ tấn công Social Engineering trông
có quyền chức và đe dọa, thì người dùng
thường có ý nhường, làm theo lời hắn để
tránh những phiền toái không đáng có.
Mong muốn hòa
nhập với môi
trường xung
quanh
“Em này, công ty mình có đăng kí dịch
vụ này đấy, mọi người đều join hết rồi,
em cũng tham gia vào cho vui.”
Nếu tất cả những người xung quanh đều
làm cùng một việc, thì người dùng cũng
sẽ tham gia để không cảm thấy cô độc, và
được hòa đồng.
Cho dù kẻ tấn công có dùng chiêu bài, hoặc khai thác các cảm xúc theo cách
nào đi chăng nữa thì mục tiêu của một SEA luôn giống nhau: nạn nhân sẽ không
nhận thức được tính nguy hại hay đoán ra được nguy cơ về hành động cũng như mục
đích của kẻ tấn công cho đến khi quá muộn. Bởi vì những nạn nhân bị khai thác
trong các trường hợp tấn công SEA hầu hết đều làm việc với máy tính trong một
mạng công ty, lợi dụng họ chạy một chương trình truy nhập từ xa trực tiếp hay gián
tiếp có thể làm đòn bẩy cho một cuộc tấn công xâm nhập mạng với quy mô lớn hơn.
1.3 Tác động của Social Engineering
Tấn công Social Engineering có thể xảy ra trên mọi công ty và tổ chức với
mức độ thiệt hại hơn kém khác nhau. Việc định hình, hiểu rõ được tác động của SEA
vô cùng quan trọng, bởi nó có thể gây tổn hại rất lớn cho công ty, tổ chức.
Bảng 1.5: Nguy cơ rủi ro và tác động trên Social Engineering
Nguy cơ Tác động
Thất thoát
tài chính
Một cuộc tấn công Social Engineering
có thể gây thất thoát tài chính, tiền mặt
thông qua hình thức lừa đảo, đánh cắp
sản phẩm hoặc trộm danh tính.
11. Bài tập lớn Test xâm nhập mạng
Trang 9
Khủng bố
Một dạng thức tấn công Social
Engineering chính là khủng bố. Trong
trường hợp này, nạn nhân bị kẻ tấn công
đe họa gây tổn hại về thể chất hoặc tinh
thần.
Mất quyền
riêng tư
Kẻ tấn công có thể sử dụng kĩ thuật SE
để lấy cắp thông tin cá nhân nhằm phục
vụ mục đích ăn cắp danh tính
Vi phạm
pháp luật
Tùy thuộc vào mức độ bị tấn công, một
SEA thành công có thể dẫn tới các vấn
đề liên quan tới pháp luật đến cá nhân bị
tấn công hoặc tổ chức bị tấn công.
Tạm thời
ngừng hoạt
động dịch
vụ
Tùy thuộc vào mức độ bị tấn công, nếu
hậu quả khôn lường, các dịch vụ của
một tổ chức nhỏ có thể phải ngừng hoạt
động do thất thoát tài chính hoặc liên
quan đến các vấn đè pháp luật
Mất niềm
tin công
chúng
Mặc dù việc thất thoát tài chính do SEA
có thể tránh được, nhưng tấn công Social
Engineering có thể làm mất niềm tin của
khách hàng hoặc người tiêu dùng.
1.4 Đối tượng tấn công chủ yếu của tấn công Social
Engineering
Kẻ tấn công SEA sẽ tìm kiếm các cơ hội hoặc mục tiêu tiềm tàng dễ tấng công
nhất. Một vài đối tượng phổ biến nhất cho tấn công Social Engineering như là lễ tân,
nhân viên trợ giúp, người dùng, giám đốc điều hành, các nhà quản trị hệ thống, nhà
cung cấp… Chúng ta sẽ cùng liệt kê ra một vài ví dụ về các đối tượng bị khai thác
cho kĩ thuật Social Engineering.
Bảng 1.6: Đối tượng được khai thác trong Social Engineering
Đối tượng khai
thác
Cách khai thác
12. Bài tập lớn Test xâm nhập mạng
Trang 10
Lễ tân
Nhân viên lễ tân thường là đối tượng
bị khai thác. Do có nhiều người đi ra
đi vào văn phòng, lễ tân thường có
thể nghe được nhiều chuyện. Ngoài
ra, lễ tân không phải là đối tượng
chính cho an ninh. Kẻ tấn công chỉ
cần trò chuyện khai thác với lễ tân là
có thể tìm được thông tin hiệu quả
cho tấn công
Nhân viên hành
chính
Nhân viên hành chính thường được
quản lý nhiều thông tin liên quan đến
cơ sở hạ tầng, cũng như nhiều thông
tin khác nhau, nên cũng được những
kẻ tấn công khai thác yếu tố Social
Engineering triệt để
Quản trị hệ
thống
Những người quản trị hệ thống trở
thành đối tượng béo bở bị khai thác
vì họ biết rất nhiều thông tin quan
trọng. Một số nhân viên quản trị hệ
thống với đặc quyền cao có thể biết
nhiều thông tin quan trọng đến hệ
thống mạng và hạ tầng công ty.
Giám đốc điều
hành
Giám đốc điều hành ở các vị trí kinh
doanh, sales, tài chính, marketing
thường thiếu kiến thức an ninh thông
tin, và có thể khai thác được
Người dùng
Người dùng chính là một trong
những nhân tố làm lộ thông tin lớn
nhất bởi đối tượng này giải quyết, xử
lí thông tin hàng ngày.
13. Bài tập lớn Test xâm nhập mạng
Trang 11
Chương 2: Các loại hình tấn công Social
Engineering
Trong chương trước, chúng ta đã tìm hiểu về định nghĩa chung, các đặc điểm,
yếu tố quan trọng làm nên một cuộc tấn công Social Engineering. Sang chương 2, bài
tìm hiểu sẽ tập trung thảo luận đến cách tiến hành tấn công Social Engineering. Về
cơ bản, SEA được chia ra làm hai loại: Tấn công dựa trên yếu tố con người, và tấn
công dựa trên yếu tố kĩ thuật.
2.1 Dựa trên yếu tố con người
Với kiểu tấn công dựa trên yếu tố con người, kẻ tấn công khai thác trực tiếp
đối tượng để lấy được thông tin.
Ví dụ điển hình của kiểu tấn công này là trường hợp kẻ tấn công gọi đến người
quản trị dữ liệu yêu cầu reset lại mật khẩu cho tài khoản tấn công từ một địa điểm
khác bằng cách thu thập thông tin công cộng của trang mạng xã hội của một công ty
XYZ. Tấn công dựa trên yếu tố con người được phân loại như sau:
Piggybacking: Với kiểu tấn công này, kẻ tấn công trục lợi bằng
cách lừa nhân sự có thẩm quyền để đột nhập vào khu vực cấm của
một công ty (Ví dụ: phòng Server). Một trường hợp điển hình khi
kẻ tấn công X bước chân vào công ty ABC với tư cách là thí sinh
đi xin việc nhưng sau đó lẻn vào khu vực cấm bằng cách lừa nhân
viên có thẩm quyền, rằng hắn là nhân viên của công ty sau đó trộm
thẻ ID.
Mạo danh: Kiểu tấn công mạo danh thì kẻ tấn công đóng giả làm
nhân viên chính thức của tổ chức và có quyền truy cập địa điểm.
Tấn công mạo danh có thể thực hiện được bằng cách mặc đồng
phục hoặc làm giả thẻ công ty. Sau khi đột nhập thành công, kẻ tấn
công có thể lấy được thông tin quan trọng từ máy tính cá nhân của
nhân viên.
Nghe trộm: Kẻ tấn công nghe trộm cuộc hội thoại giữa hai người
hoặc xem trộm. Có thể thực hiện kiểu tấn công này qua điện thoại
và email.
Reverse Social Engineering (SE ngược): Trường hợp xảy ra khi kể
tấn công tạo ra nhân dạng giả trông có thẩm quyền tại công ty. Khi
đó thì kẻ tấn công chỉ việc yêu cầu thông tin mà hắn muốn. Hình
14. Bài tập lớn Test xâm nhập mạng
Trang 12
thức tấn công này thường áp dụng trong mảng marketing hoặc hỗ
trợ kĩ thuật.
Lục thùng rác: Hình thức khai thác này nhằm tìm ra được thông tin
quan trọng được viết trên giấy tờ hoặc bản in hỏng. Bằng cách này,
kẻ tấn công thường tìm ra được mật khẩu, tên file quan trọng hoặc
những mẩu vụn về thông tin mật.
Đóng giả người dùng cuối: Với kiểu tấn công này, kẻ tấn công tự
nhận mình là người dùng hợp pháp rồi gọi điện cho bên hỗ trợ hỏi:
“Xin chào, tôi là X ở phòng ban Y. Tôi không nhớ mật khẩu, anh
có thể đọc mật khẩu giúp tôi không?
2.2 Dựa trên yếu tố kĩ thuật
Tấn công SE dựa trên yếu tố kĩ thuật tận dụng sự trợ giúp của phần mềm máy
tính để khai thác được thông tin cần lấy. Một vài kiểu tấn công như vậy được liệt kê
dưới đây:
Pop-up windows: các cửa sổ hiện lên lừa người dùng nhấp vào link
đổi hướng đến trang web của kẻ tấn công, yêu cầu người dùng
đăng nhập thông tin hoặc tải phần mềm có chứa mã độc.
Hình 2.1: Popup-window mạo danh
Phising: những kẻ tấn công gửi e-mail rác, hoặc quảng cáo tự nhận
là người nhận đã trúng thưởng hàng tỉ đồng. Chúng yêu cầu người
dùng nhấp vào link để điền thông tin cá nhân như số tài khoản
ngân hàng, tên, địa chỉ.
15. Bài tập lớn Test xâm nhập mạng
Trang 13
Hình 2.2: Tấn công Phishing mạo danh trang web Amazon
Hoàng tử “Nigerian 419”: Đây là một hình thức lừa đảo kinh điển
từ thời điểm thủy tổ của mạng Internet. Kẻ tấn công yêu cầu nạn
nhân gửi một số tiền nhất định. Nó được gọi là “419” bởi 4-1-9 là
mã vùng của kẻ lừa đảo Nigerian. Kẻ tấn công thường gửi một
email lừa đảo với nội dung rằng hoàng tử Nigerian có lượng tiền
đang bị kẹt lại ở đất nước có chiến tranh, cần một lượng tiền chuộc
để số tiền được giải phóng ra khỏi đất nước, nếu người dùng góp
tiền đóng phí thì sau này sẽ được chia phần. Hình thức lừa đảo này
yêu cầu nạn nhân trả tiền phí hoặc điền thông tin tài khoản ngân
hàng để giúp chúng chuyển tiền. Lượng tiền phải nộp lúc đầu có vẻ
nhỏ. Nạn nhân thường nộp tiền, nhưng không bao giờ thấy lượng
tiền thưởng hồi âm trở lại.
16. Bài tập lớn Test xâm nhập mạng
Trang 14
Hình 2.3: email lừa đảo kinh điển của hoàng tử Nigeria.
Tin nhắn SMS giả: Với kiểu tấn công này, kẻ tấn công gửi một tin
nhắn SMS giả đến điện thoại nạn nhân đóng giả phía ngân hàng.
Nếu trả lời hoặc tương tác lại theo lời hắn, nạn nhân có thể bị lấy
mất thông tin.
Hình 2.4: Lừa đảo qua SMS
17. Bài tập lớn Test xâm nhập mạng
Trang 15
Chương 3: Áp dụng tấn công Social
Engineering
Tấn công SE, cũng như nhiều kiểu tấn công khác sẽ bao gồm một lượng lớn
các bước khác nhau nhằm đạt được mục đích cuối cùng qua nhiều giai đoạn khác
nhau. Các bước được thực hiện tuần tự.
Bảng 3.1: Các bước tấn công Social Engineering
Bước Tên Nội dung
1
Nghiên cứu tìm
hiểu
Khai thác, thu thập thông tin về đối
tượng tấn công bằng cách theo dõi và
nghiên cứu.
Nguồn thông tin nghiên cứu có thể
qua các hình thức lục thùng rác,
phishing, website, mạng xã hội.
2 Phát triển
Lựa chọn một đối tượng hay nhóm có
khả năng truy cập thông tin cần thiết
để tiếp cận mục tiêu. Tìm kiếm những
nguồn tin bằng cách khai thác các
nhân viên bất mãn, những kẻ tự tin
hoặc ngây thơ. Những đối tượng bị
khai thác cũng có thể làm tay trong
cho sau này.
3 Thả câu
Tạo mối quan hệ với nạn nhân bằng
cách trò chuyện, thảo luận email.
4 Khai thác
Khai thác nạn nhân, và lấy được
thông tin đúng như ý muốn
5 Trốn thoát
Đây là bước cuối cùng của SEA, với
kẻ tấn công tẩu thoát khỏi hiện
trường, hoặc cắt đứt liên lạc với đối
tượng mà không gây ra hoài nghi.
18. Bài tập lớn Test xâm nhập mạng
Trang 16
Chương 4: Cách phòng chống lại tấn công
Social Engineering
4.1 Với doanh nghiệp, tổ chức nói chung:
Do hình thức tấn công Social Engineering dựa trên mạng xã hội trở bùng nổ,
công ty và các cá nhân có rất ít thời gian để tự thực hành chống lại SEA. Các cuộc
khảo sát thực hiện vài năm trước đã chỉ ra rằng nhiều tổ chức, công ty thậm chí còn
không có các chính sách liên quan đến tấn công SE dựa trên mạng xã hội. Cho đến
thời gian gần đây, người ta mới dần nhận ra tầm quan trọng của nó. Các chính sách
công ty cũng nên phù hợp với việc sử dụng mạng xã hội trong giờ làm việc.
Các chuyên gia bảo mật đã khuyên người sử dụng tại các công ty áp dụng các
chính sách nhằm đảm bảo họ không bị tấn công bởi kĩ thuật Social Engineering:
Khuyến nghị phân chia tài khoản mạng xã hội rạch ròi giữa cuộc
sống và công việc. Mặc dù điều này không thể loại trừ được hết
nguy cơ thông tin, nhưng nó cũng hiệu quả một phần.
Luôn luôn phải xác nhận liên lạc, và không liên lạc với người lạ.
Đây là vấn nạn phổ biến trên mạng xã hội khi hầu hết người dùng
thường chấp nhận lời mời sự kiện hoặc lời mời kết bạn từ những
người lạ không quen biết.
Tránh sử dụng một mật khẩu cho nhiều tài khoản mạng xã hội
khác nhau nhằm tránh nguy cơ lộ thông tin hàng loạt.
Hạn chế đăng mọi thứ lên mạng xã hội vì thông tin được đăng có
thể được kẻ tấn công tìm thấy, kể cả sau một thời gian dài.
Hạn chế đăng những thông tin hoặc đặc điểm cá nhân để tránh
khả năng người dùng bị kẻ tấn công mạo danh.
Còn với các công ty, tổ chức lớn cũng cần có những chính sách cụ thể để ngăn
ngừa khả năng bị khai thác tấn công Social Engineering:
Giáo dục nhân viên hạn chế đăng và để lộ thông tin cá nhân,
nhận dạng trên mạng, những thông tin quan trọng như số điện
thoại, hình ảnh nhà cửa, gia đình, địa chỉ nhà, bất kì thông tin nào
có thể được tận dụng để mạo danh.
Khuyến khích nhân viên sử dụng hai tài khoản cá nhân và công
việc trên các trang mạng xã hội.
19. Bài tập lớn Test xâm nhập mạng
Trang 17
Đào tạo nhân viên sử dụng mật khẩu phức tạp, độ bảo mật cao.
Đào tạo nhân viên cho thấy tầm quan trọng của thông tin cá nhân
trên những trang mạng xã hội như Facebook.
Đào tạo, chỉ dẫn nhân viên về các mối quan hệ nguy hiểm của tấn
công Phishing trên mạng xã hội và cách phòng tránh nó.
4.2 Với các nguy cơ bị khai thác
Nhiều mối nguy cơ tiềm ẩn có thể được sử dụng để khai thác tấn công Social
Engineering, vậy đâu là cách ngăn chặn chúng:
Bảng 4.1: Cách phòng tránh mối đe dọa Social Engineering
Mối đe dọa Cách phòng tránh
Lục thùng rác
Bằng phương pháp này, kẻ tấn
công có thể tìm được những thông
tin quan trọng làm nền tảng cho
Social Engineering. Trong thực tế,
những thông tin quan trọng như
vậy khi không sử dụng nên cho
vào máy nghiền tài liệu, đốt hoặc
phá hủy nhằm ngăn chặn rơi vào
tay kẻ tấn công.
Phishing
Tấn công Phishing sử dụng một
email trông hợp pháp để lừa người
sử dụng nhấp hoặc vào thăm một
trang web mã độc.
Mặc dù nhiều tổ chức, công ty đã
cài đặt và triển khai nhiều biện
pháp phòng chống Social
Engineering, nhưng yếu tố quan
trọng nhất vẫn là con người.
20. Bài tập lớn Test xâm nhập mạng
Trang 18
Bảng 4.2: Cách phòng chống Social Engineering trên mạng
Biện pháp Cách thực hiện
Cài đặt trình
duyệt Web mới
nhất
Là phương tiện giao tiếp Internet
thì trình duyệt web luôn nên trong
tình trạng an toàn và đảm bảo.
Người sử dụng nên thực hiện các
điều sau:
Sử dụng trình duyệt mới
nhất.
Cập nhật thường xuyên
trình duyệt.
Tránh sử dụng những Plug-
ins hoặc add-on không cần
thiết.
Sử dụng phần
mềm chặn Pop-
up
Các trình duyệt web hiện đại có
khả năng nhận diện được một cửa
sổ Pop-up nguy hiểm, thông báo
cho người dùng khi có cửa sổ Pop-
up khả nghi
Cảnh báo trang
web nguy hiểm
Nếu người dùng truy nhập một
trang web khả nghi, không đáng
tin cậy, có nhiều lỗ hổng, trình
duyệt sẽ cảnh báo trước.
Phần mềm Anti-
virus
Trình duyệt web nên có khả năng
làm việc cùng với phần mềm diệt
virus trên máy tính để rà quét nguy
cơ an ninh từ các file tải xuống.
Cập nhật tự
động
Các trình duyệt web hiện đại có
khả năng cập nhật vá lỗ hổng và
bổ sung các chức năng an ninh
21. Bài tập lớn Test xâm nhập mạng
Trang 19
Duyệt web ẩn
Chức năng này tồn tại trên bản cập
nhật mới nhất của các trình duyệt
phổ biến như Edge, Chrome,
Firefox nhằm ngăn ngừa việc lưu
lại những thông tin quan trọng như
lịch sử trình duyệt
Thay đổi thói
quen online
Không một phần mềm hay trình
duyệt nào có thể cứu hệ thống
khỏi thói quen người dùng, nếu hệ
thống đã cảnh báo mà người dùng
vẫn truy cập đường link khả nghi.
22. Bài tập lớn Test xâm nhập mạng
Trang 20
Chương 5: Áp dụng thực thi Social
Engineering trên Kali Linux
Trong chương này, thông qua bộ Toolkit đi kèm với hệ điều hành Kali Linux,
chúng ta sẽ thực hành một tấn công Social Engineering đơn giản. Trong cuộc tấn
công này, chúng ta sẽ sao chép Front-end của một trang web và gửi link giả đến máy
nạn nhân. Mục đích cuối của bản demo SET toolkit là nhằm lấy được mật khẩu từ
một trang Facebook giả.
Đầu tiên, chúng ta Click vào bộ toolkit SET có sẵn trong Kali Linux.
Hình 5.1: Giao diện Toolkit SET phiên bản 7.3.12
Chọn lựa 1) Social-Engineering Attacks để hiện lên danh sách lựa chọn tấn
công được thực hiện. Có liệt kê như sau:
23. Bài tập lớn Test xâm nhập mạng
Trang 21
Hình 5.2: Danh sách các kiểu tấn công của bộ toolkit SET
Sau khi chọn xong lựa chọn cho Social – Engineering Attacks, chương trình
tiếp tục đến bảng lựa chọn:
Hình 5.3: Danh sách những lựa chọn tấn công
24. Bài tập lớn Test xâm nhập mạng
Trang 22
Trong ví dụ thực hiện, chúng ta chọn 2) Website Attack Vectors. Nhập 2 để
đến màn hình hiển thị tiếp theo. Với danh sách tiếp theo được hiện lên, kẻ tấn công
lựa chọn 3) Credential Harvester Attack Method.
Hình 5.4: Chọn lựa chọn thứ ba để tấn công web
Bảng lựa chọn tiếp theo có ba lựa chọn khác nhau, chúng ta chọn 2) Site
Cloner để tạo ra một trang web bản sao Front-end trang đăng nhập Facebook.
25. Bài tập lớn Test xâm nhập mạng
Trang 23
Hình 5.5: Chọn nội dung sao nhập một trang web đơn giản
Sau khi chọn, ta nhập IP host của Kali Linux để tạo Service Apache đơn giản
cho trang web Clone, và nhập tên site cần Clone.
Hình 5.6: Nhập IP host và URL cần clone
26. Bài tập lớn Test xâm nhập mạng
Trang 24
Sau khi nhập IP host và URL cần clone, lúc này thì trang web đã sẵn sàng.
Hình 5.7: Dịch vụ server Apache đã sẵn sàng cho trang web được clone
Lúc này, ta có địa chỉ trang web clone là IP host.
Hình 5.8: Web Facebook clone với địa chỉ là host IP
27. Bài tập lớn Test xâm nhập mạng
Trang 25
Vì địa chỉ web là địa chỉ host IP, dễ gây ra nghi ngờ cho người bị tấn công, nên
chúng ta sử dụng dịch vụ TinyURL để chỉnh sửa lại đường link trang Web.
Hình 5.9: Đường link host IP sau khi được Convert sang link TinyURL
Tiếp theo chúng ta gửi đường link web clone đến một Email nạn nhân.
Hình 5.10: Đường link lạ được gửi đến email nạn nhân
Ngay sau khi nạn nhân click vào đường link, và đăng nhập theo form của
webclone, thông tin sẽ được gửi trả về cho máy chủ Kali Linux đang host webclone
đó.
28. Bài tập lớn Test xâm nhập mạng
Trang 26
Hình 5.11: Thông tin đăng nhập được gửi trả về cho toolkit SET
Tại mục thông tin trả về, ở dòng email, password, ta có thể thấy rõ được thông
tin tên đăng nhập cũng như mật khẩu đăng nhập mà nạn nhân vô tình nhập vào.
Từ thông tin khai thác được, kẻ tấn công Social Engineering có thể dùng để
làm lợi cho cá nhân.
29. Bài tập lớn Test xâm nhập mạng
Trang 27
Tổng kết
Hàng triệu người sử dụng các mạng xã hội Facebook, Twitter, LinkedIn ngày
nay đều có thể trở thành nạn nhân của tấn công Social Engineering. Mặc dù công
nghệ phát triển giúp con người có cơ hội liên lạc dễ dàng với nhau, nhưng cũng
chính tiện lợi đó lại gây nguy cơ khai thác tấn công.
Các trang mạng xã hội là đối tượng chính của những kẻ tấn công Social
Engineering. Bằng cách sử dụng những dữ liệu công cộng có sẵn trên mạng, kẻ tấn
công có thể nắm được sở thích, những mối quan hệ người dùng quan tâm để từ đó
lừa hoặc bẫy người dùng nhấp vào đường link hoặc làm như yêu cầu chúng muốn. Kĩ
thuật này rất phổ biến với người dùng ở độ tuổi trẻ, vốn không có nhiều kiến thức
phòng chống lại nguy cơ an toàn mạng.
Các công ty, tổ chức lớn cũng cần tổ chức nhiều cuộc tập huấn cho nhân viên
về nguy cơ tấn công Social Engineering. Nhân sự trong công ty cũng nên hiểu về
những nội dung nào nên và không nên đăng lên mạng xã hội công cộng. Tấn công
khai thác Social Engineering dựa trên yếu tố con người có thể gây nguy cơ tổn hại
đáng kể cho công ty, tổ chức được nhắm đến.
Danh mục tài liệu tham khảo
[1]. Hacker Ethical Handbook
[2]. Kali Linux Social Engineering
[3]. Certified Ethical Hacker version 9 handbook.