Báo cáo tốt nghiệp Đánh giá thực trạng an toàn vệ sinh lao động và rủi ro lao...
Tài liệu hacker dịch social engineering
1.
2. Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài
Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn
từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị
dò dỉ thông tin từ bộ ngoại giao.
Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các
hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật
Social Engineering, hay còn gọi là kĩ thuật lừa đảo.
Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm
nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một
khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008
http://www.fiercegovernmentit.com
3. Các chủ đề trình bày
Social Engineering là gì
Tại sao Social Engineering lại hiệu quả
Các giai đoạn trong một cuộc tấn công Social Engineering
Các mục tiêu phổ biến của Social Engineering
Các kiểu Social Engineering
Các chiến thuật xâm nhập phổ biến và chiến lược phòng chống
Social Engineering through Impersonation trên miền mạng Social
Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp
Ăn cắp ID
Thế nào là Steal Indentity
Biện pháp đối phó Social Enginneering
Thử nghiệm Social Engineering
4. Khái niệm Social Engineering
Kỹ thuật Social Engineering
Mạo danh trên mạng xã hội
Ăn cắp ID
Biện pháp đối phó Social
Engineering
Thử nghiệm xâm nhập
5. Không có bất kỳ bản vá lỗi nào đối với một con người
ngu ngốc
6. Social Engineering là gì
Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật
Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó
Thông tin bí mật
Chi tiết việc uỷ quyền
Chi tiết truy cập
7. Sự tin tưởng là nền tảng cơ bản của tấn
công Social Engineering
Sự thiếu hiểu biết về Social
Engineering và các hiệu ứng của nó
trong đội ngũ nhân viên khiến cho các
tổ chức là một mục tiêu dễ dàng
Socal Engineers có thể đe doạ
nghiêm trong đến việc mất mát trong
trường hợp không tuân thủ những
yêu cầu của họ (tổ chức)
Social Engineers thu hút các mục tiêu
tiết lộ thông tin bởi một cái gì đó đầy
hứa hẹn
Các mục tiêu sẽ được hỏi để trợ giúp
và họ tuân theo những quy định mang
tính nghĩa vụ được đưa ra
Các hành vi dễ bị tấn công
8. Những yếu tố làm doanh nghiệp dễ bị tấn công
Đào tạo an ninh
còn thiếu
Dễ dàng truy cập
thông tin
Thiếu những chính
sách an ninh
Nhiều các đơn vị tổ
chức
9. Tại sao Social Engineering Lại Hiệu Quả
Không có một phần mêm hay phần cứng nào có
thể chống lại một cuộc tấn công Social
Engineering
Chính sách bảo mật mạnh cũng sẽ là liên kết yếu
nhất và con người là yếu tố nhạy cảm nhất
Rất khó để phát hiện ra Social Engineering
Không có một phương pháp chắc chắn nào để
đảm bảo an ninh một cách đầy đủ từ các cuộc tấn
công Social Engineering
10. Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng
cho thấy sự vội vàng và vô tình để lại tên
Bất ngờ được khen tặng hoặc ca ngợi
Thấy khó chịu khi đặt câu hỏi
Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp
thông tin
Yêu cầu phi chính thức
Không cung cấp số gọi lại
11. Các giai đoạn của một cuộc tấn công Social Engineering
Nghiên cứu công ty mục tiêu
Durmpster diving, trang web, nhân sự, lịch
trình, vv
Lựa trọn nạn nhân
Xác định những nhân viên không hài lòng
về chính sách trong công ty mục tiêu
Phát triển mối quan hệ
Phát triển mối quan hệ với những nhân
viên đã được lựa chọn
Khai thác
Phát triển
Nghiên cứu
Khai thác mối quan hệ
Tập hợp thông tin tài khoản nhạy cảm,
thông tin tài chính, và công nghệ hiện tại
12. Những ảnh hưởng lên tổ chức
Những mất mát về kinh
tế
Mất sự riêng tư
chính sách khủng bố
Các vụ kiện và các thủ
tục
Tổn hại uy tín
Tạm thời hoặc vĩnh viễn
đóng cửa
13. Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết
phục họ cung cấp những thông tin thông qua một User đáng tin cậy
Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể
truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó
14. Giả sử hai đối tượng “Rebecca” và “Jessica” là
hai nạn nhân của kỹ thuật Social Engineering
Ví dụ
• “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta”
• “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”
• “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”
Rebeca và Jessica là những mục tiêu dễ dàng
lừa đảo, chẳng hạn như nhân viên tiếp tân
của công ty
15. Những mục tiêu chung của Social Engineering
Giám đốc hỗ trợ kỹ thuật
Người quản trị hệ thống
Người bán hàng của tổ chức
mục tiêu
User và Client
Nhân viên tiếp tân và nhân viên hỗ
trợ
16. Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những
nhân viên của công ty
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo
mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và
hệ thống chống virut, thì bạn vẫn bị tấn công bởi những
lỗ hổng bảo mật
kẻ tấn công có thể cố gắng tấn công Social Engineering lên
những nhân viên văn phòng để thu thập những dữ liệu
nhạy cảm như:
• Những chính sách bảo mật
• Những tài liệu nhạy cảm
• Cấu trúc mạng văn phòng
• Những mật khẩu
17. Kỹ thuật Social Engineering
Khái niệm Social Engineering
Mạo danh trên mạng xã hội
Thử nghiệm xâm nhập
Biện pháp đối phó Social
Engineering
Ăn cắp Identity
18. Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng,
sợ hãi, và sự giúp đỡ
Computer-based
Social Engineering được thực hiện bởi sự giúp đỡ của máy tính
19. giả như một người sử dụng đầu cuối hợp
pháp
giả như một người sử dụng đầu cuối hợp
pháp
Nhận dạng và yêu cầu thông tin nhạy cảm
“chào ! Đây là John, từ bộ phận X, tôi đã
quên password của tôi. Bạn có thể lấy lại nó
dùm tôi được chứ ?”
Nhận dạng và yêu cầu thông tin nhạy cảm
“chào ! Đây là John, từ bộ phận X, tôi đã
quên password của tôi. Bạn có thể lấy lại nó
dùm tôi được chứ ?”
Giả như một User quan trọng
Giả như một User quan trọng giả làm nhân viên hỗ trợ kỹ thuật
giả làm nhân viên hỗ trợ kỹ thuật
nói như mộtnhân viên hỗ trợ kỹ thuật và yêu
cầu ID và Password cho việc khôi phục dữ liệu
“ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ
thuật, công ty X, tối qua chúng rôi có một hệ
thống bị sập ở đây, và chúng tôi đến để kiểm tra
có bị mất dữ liệu hay không. Ngài có thể lấy cho
tôi ID và Password không”
nói như mộtnhân viên hỗ trợ kỹ thuật và yêu
cầu ID và Password cho việc khôi phục dữ liệu
“ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ
thuật, công ty X, tối qua chúng rôi có một hệ
thống bị sập ở đây, và chúng tôi đến để kiểm tra
có bị mất dữ liệu hay không. Ngài có thể lấy cho
tôi ID và Password không”
Giả làm một VIP của một công tư, khách hàng
quan trọng, …..
“ chào tôi là kevin, thư kí giám đốc kinh
doanh. Tôi đang làm một dự án cấp bách và
bị mất mật khẩu hệ thống của mình. Bạn có
thể giúp tôi được chứ?”
Giả làm một VIP của một công tư, khách hàng
quan trọng, …..
“ chào tôi là kevin, thư kí giám đốc kinh
doanh. Tôi đang làm một dự án cấp bách và
bị mất mật khẩu hệ thống của mình. Bạn có
thể giúp tôi được chứ?”
20. Ví dụ về việc hỗ trợ kỹ thuật
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu
của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị
xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là
vô tình tạo ra một lối vào mạng bên trong của công ty”
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu
của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị
xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là
vô tình tạo ra một lối vào mạng bên trong của công ty”
21. “chào, tôi là John Brown. Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson. Chúng
tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm
họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một
website sau khi bị tai nạn
”
“chào, tôi là John Brown. Tôi đang ở cùng với kiểm soát viên ngài Arthur Sanderson. Chúng
tôi đã nói với công ty làm một cuộc kiểm tra bất ngờ đối với bạn nhằm khắc phục các thảm
họa xảy ra từ bạn
Bộ phận của bạn có 10 phút để chỉ cho tôi biết làm cách nào bạn khôi phục một
website sau khi bị tai nạn
”
Ví dụ về việc giả mạo cơ quan hỗ trợ
22. Ví dụ về việc giả mạo cơ quan hỗ trợ
Ví dụ về việc giả mạo cơ quan hỗ trợ
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo
ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được
thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các
cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký
họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua. Dường như đã
có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi
”
“Chào, tôi là Sharon, là đại diện bán hàng của văn phong New York. Tôi biết đây là một thông báo
ngắn, nhưng tôi có một nhóm khách hàng tiềm năng được thử nghiệm trong nhiều tháng và được
thêu ngoài được đào tạo an ninh cần thiết đối với chúng ta.
họ chỉ ở vài dặm quanh đây và tôi nghĩ rằng nếu tôi có thể sử dụng họ cho một chuyến đi tới các
cơ sở của chúng ta, nó nên được đưa lên cao hơn và để chúng tôi đăng ký
họ đặc biệt quan tâm đến những biện pháp an ninh, chúng tôi đã được thông qua. Dường như đã
có một số người sâm nhập vào trong website, đó là lý do mà họ quan tâm đến công ty của chúng tôi
”
23. “chào, tôi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phòng
máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể
thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được
quyền truy cập vào tài nguyên mục tiêu.
“chào, tôi với dịch vụ chuyển phát nhanh Aircon. Chúng tôi nhận được cuộc gọi rằng phòng
máy tính bị quá nóng và cần được kiểm tra hệ thống HVAC của bạn ”
sử dụng hệ thống mang tên HVAC ( hệ thống sưởi, thông gió và điều hòa nhiệt độ) có thể
thêm độ tin cậy đủ để giả mạo một kẻ xâm nhập cho phép anh ta hoặc cô ta để đạt được
quyền truy cập vào tài nguyên mục tiêu.
ví dụ cơ quan hỗ trợ
24. Eavesdropping
Nghe lén hoặc nghe trái phép các cuộc hội thoại
hoặc đọc tin nhắn
Chặn lại bất kỳ các hình thức như âm thanh, video
hoạc văn bản.
Eavesdropping cũng sử dụng với những kênh truyền
thông khác như đường dây điện thoại, email, tin
nhắn tức thời, vv…
Eavesdropping
Nghe lén hoặc nghe trái phép các cuộc hội thoại
hoặc đọc tin nhắn
Chặn lại bất kỳ các hình thức như âm thanh, video
hoạc văn bản.
Eavesdropping cũng sử dụng với những kênh truyền
thông khác như đường dây điện thoại, email, tin
nhắn tức thời, vv…
Shoulder Surfing
Shoulder Surfing là tên cho quy trình mà kẻ
trộm sử dụng để tìm ra mật khẩu, số chứng
minh nhân dân, số tài khoản, vv …..
Kẻ trộm nhìn qua vai của bạn hoặc thậm chí
quan sát từ một khoảng cách xa bằng cách sử
dụng ống nhòm, để có được một chút thông tin.
Shoulder Surfing
Shoulder Surfing là tên cho quy trình mà kẻ
trộm sử dụng để tìm ra mật khẩu, số chứng
minh nhân dân, số tài khoản, vv …..
Kẻ trộm nhìn qua vai của bạn hoặc thậm chí
quan sát từ một khoảng cách xa bằng cách sử
dụng ống nhòm, để có được một chút thông tin.
25. Dumpster diving là tìm kiếm kho báu của người khác tròng thùng giác
Hóa đơn điện
thoại
thùng giác
hộp
thư
ghi chú
Thùng
máy
in
Thông tin liên lạc
Thông tin các hoạt
động
Thông tin tài
chính
26. Tailgating
Một người trái phép, deo một thẻ id giả đi vào
một khu vực được dảm bảo chặt chẽ, đó là
một người có thẩm quyền thông qua cách cửa
yêu cầu truy cập
In Person
Khảo sát một công ty để thu thập những thông
tin vể:
- công nghệ hiện tại
- Thông tin liên lạc
Bên ủy quyền thứ ba
Đề cập đến một người quan trong trong một tổ chức và cố gắn thu
thập thông tin:
“Mr.George, Giám đốc tài chính của chúng tôi đã yêu cầu tôi lấy một
bản báo cáo tài chính. Vui lòng bạn có thể cúng cấp cho tôi chứ”
27. Reverse Social Engineering
Điều này là khi kẻ tấn công đóng giả một người người
đó ở một vị trí quyền lực vì vậy các nhân viên sẽ cho
anh ta các thông tin mà không cần các cách khác.
Tấn công Reverse Social Engineering liên quan đến sự phá
hoại, tiếp thị, và hỗ trợ công nghệ
Tôi quên thẻ ID ở nhà. Vui lòng hãy giúp tôi
Piggybacking
Một người có thẩm quyền cho phép truy cập cho
một người trái phép bằng cách cho cách cửa
luôn được mở
28.
29. Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào
một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống
lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình
hoạt động đã thu về hơn một triệu đô la
bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động
của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ
thông tin bí mật
Trong năm 2003 bộ phim “Matchstick Men”, do Micolas Cage thủ vai vào
một nghệ sĩ cư chú tại Los Angeles và điều hành việc bán sổ xố, bán hệ thống
lọc nước đắt đỏ cho khách hàng mà không hề bị nghi ngơ trong quá trình
hoạt động đã thu về hơn một triệu đô la
bộ phim này là một nghiên cứu xuất sắc của Social Engineering, hành động
của người thao tác đã tác động lên hành động của người khác hoặc tiết lộ
thông tin bí mật
30. Những lá thư Hoax là những email cảnh báo các vấn đề cho
người dùng về virut, Troijan, sâu có thể làm tổn hại đến hệ
thống máy tính người sử dụng
Thu thập thông tin cá nhân bằng cách nói chuyện với
người dùng trực tuyến đã được lựa chọn để lấy thông tin
như ngày sinh hoặc tên thời con gaí
Một cửa sổ window tự động bật lên khi lướt web và yêu
cầu thông tin của người dùng để đăng nhập hoặc đăng ký
Chain Letters là những lá thư cung cấp quà tặng miễn phí
như tiền hay phần mềm kèm theo điều kiện là người dùng
phải chuyển tiếp thư này đến một số người khác.
Không liên quan, không mong muốn và những email không
được yêu cầu này dùng để thu thập thông tin tài chính, các
số an ninh, và thông tin mạng.
31. Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải
trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp
Cửa sổ pop-ups lừa đảo bật liên khi click chuột vào một liên kết sẽ chuyển hướng chúng đến các trang web giả mạo yêu cầu thông tin cá nhân hoặc tải
trương trình độc hại như Keyloggers, Troijan, hoặc phần mềm gián điệp
Tải bản FULL (75 trang): https://bit.ly/32iPYDU
Dự phòng: fb.com/TaiHo123doc.net
32. Một email giả bất hợp pháp tự nhận là đến từ một web hợp pháp và cố gắng để có được thông tin cá nhân hoặc tài khoản người dùng
Các email Phishing hoặc các Pop-Up chuyển hướng người dùng tới những trang web giả mạo bắt trước trang web đáng tin cậy và yêu cầu họ gửi thông tin các nhân của họ
33.
34. Social Engineering sử dụng SMS
Social Engineering sử dụng SMS
Tracy nhận được một tinh nhắn SMS, mạo nhận từ bộ phận bảo mật tại ngân hang XIM. Trong đó nói có việc khẩn cấp và Traycy nên gọi ngay một cuộc điện thoại ngay
lập tức, cô lo lắng và đã gọi để kiểm tra tài khoản của mình
Cô đã gọi cho số đó và ngĩ đó là số điện thoại của dịch vụ khách hàng của ngân hàng XIM, và nó đang được ghi âm đồng thời yêu cầu cô cung cấp thẻ tín dụng hoặc số
thẻ debit
Không có gì ngạc nhiên, Jonny đã tiết lộ những thông tin nhạy cảm do tin nhắn giả mạo trên gây ra
3123499