Mô tả:
Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên
‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài
Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn
công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan
liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một
khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao.
Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm
2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập
nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần
thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật
lừa đảo.
Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp,
Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống,
tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các
cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13
năm 2008
http://www.fiercegovernmentit.com
Các chủ đề trình bày
Social Engineering là gì
Tại sao Social Engineering lại hiệu quả
Các giai đoạn trong một cuộc tấn công
Social Engineering
Các mục tiêu phổ biến của Social
Engineering
Social Engineering through Impersonation
trên miền mạng Social
Ảnh hưởng của mạng Xã hội tới mạng
doanh nghiệp
Ăn cắp ID
Thế nào là Steal Indentity
Các kiểu Social Engineering
Biện pháp đối phó Social Enginneering
Các chiến thuật xâm nhập phổ biến và
Thử nghiệm Social Engineering
chiến lược phòng chống
Khái niệm Social
Engineering
Mạo danh trên
mạng xã hội
Kỹ thuật Social
Engineering
Biện pháp đối phó
Social Engineering
Ăn cắp ID
Thử nghiệm
xâm nhập
Không có bất kz bản vá lỗi nào
đối với một con người ngu ngốc
Social Engineering là gì
Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật
Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về
chúng và bất cẩn trong việc bảo vệ nó
Thông tin bí mật
Chi tiết truy cập
Chi tiết việc uỷ
quyền
Các hành vi dễ bị tấn công
Sự tin tưởng là nền
tảng cơ bản của tấn
công Social
Engineering
Các mục tiêu sẽ được
hỏi để trợ giúp và họ
tuân theo những quy
định mang tính nghĩa
vụ được đưa ra
Sự thiếu hiểu biết về
Social Engineering và
các hiệu ứng của nó
trong đội ngũ nhân
viên khiến cho các tổ
chức là một mục tiêu
dễ dàng
Socal Engineers có
thể đe doạ nghiêm
trong đến việc mất
mát trong trường
hợp không tuân thủ
những yêu cầu của họ
(tổ chức)
Social Engineers thu
hút các mục tiêu tiết
lộ thông tin bởi một
cái gì đó đầy hứa hẹn
Những yếu tố làm doanh
nghiệp dễ bị tấn công
Đào tạo
an ninh
còn thiếu
Thiếu
những
chính sách
an ninh
Dễ dàng
truy cập
thông tin
Nhiều các
đơn vị tổ
chức
Tại sao Social Engineering Lại Hiệu Quả
Chính sách bảo mật mạnh
cũng sẽ là liên kết yếu nhất
và con người là yếu tố nhạy
cảm nhất
Không có một phần mêm
hay phần cứng nào có thể
chống lại một cuộc tấn công
Social Engineering
Rất khó để phát hiện ra
Social Engineering
Không có một phương pháp
chắc chắn nào để đảm bảo
an ninh một cách đầy đủ từ
các cuộc tấn công Social
Engineering
Những Dấu Hiệu của một cuộc tấn công
Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker
liên tục cố gắng để xâm nhập mạng
Không cung cấp số gọi lại
Yêu cầu phi chính thức
Yêu cầu thẩm quyền và đe doạ nếu
như không cung cấp thông tin
cho thấy sự vội vàng và vô
tình để lại tên
Bất ngờ được khen tặng hoặc
ca ngợi
Thấy khó chịu khi đặt câu hỏi
Các giai đoạn của một cuộc tấn công Social
Engineering
Lựa trọn nạn nhân
Nghiên cứu công ty mục
tiêu
Xác định những nhân
viên không hài lòng về
chính sách trong công ty
mục tiêu
Durmpster diving, trang
web, nhân sự, lịch trình,
vv
Nghiên cứu
Phát triển mối quan hệ
Phát triển mối quan hệ
với những nhân viên đã
được lựa chọn
Phát triển
Khai thác
Khai thác mối quan hệ
Tập hợp thông tin tài
khoản nhạy cảm, thông
tin tài chính, và công
nghệ hiện tại
Những ảnh hưởng lên tổ chức
Những mất
mát về kinh
tế
chính sách
khủng bố
Tổn hại uy tín
Mất sự riêng
tư
Tạm thời
hoặc vĩnh
viễn đóng
cửa
Các vụ kiện và
các thủ tục
Tấn công bằng các câu lênh Injection
Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên
từ một nguồn internet ẩn danh và thuyết phục họ cung
cấp những thông tin thông qua một User đáng tin cậy
Yêu cầu thông tin, thông thường bằng cách giả mạo
người dùng hợp pháp, mà người đó có thể truy cập tới
hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ
thống máy tính
Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông
tin bằng cách trực tiếp hỏi đối tượng đó
Giả sử hai đối tượng
“Rebecca” và “Jessica” là
hai nạn nhân của kỹ thuật
Social Engineering
Rebeca và Jessica là
những mục tiêu dễ dàng
lừa đảo, chẳng hạn như
nhân viên tiếp tân của
công ty
Ví dụ
•
“có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin
về cô ta”
•
“Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo”
•
“Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không”
Những mục tiêu chung của Social Engineering
Nhân viên tiếp tân
và nhân viên hỗ trợ
User và Client
Người bán hàng
của tổ chức mục
tiêu
Giám đốc hỗ
trợ kỹ thuật
Người quản trị
hệ thống
Những mục tiêu chung của Social Engineering:
Nhân viên văn phòng
Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để
khai thác lượng thông tin lớn từ những nhân viên của công ty
Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho
nhân viên giả mạo
mặc dù có tường lửa tốt nhất,
phát hiện xâm nhập, và hệ thống
chống virut, thì bạn vẫn bị tấn
công bởi những lỗ hổng bảo mật
kẻ tấn công có thể cố gắng tấn
công Social Engineering lên những
nhân viên văn phòng để thu thập
những dữ liệu nhạy cảm như:
•
•
•
•
Những chính sách bảo mật
Những tài liệu nhạy cảm
Cấu trúc mạng văn phòng
Những mật khẩu
Khái niệm Social
Engineering
Mạo danh trên
mạng xã hội
Kỹ thuật Social
Engineering
Biện pháp đối phó
Social Engineering
Ăn cắp Identity
Thử nghiệm
xâm nhập
Các kiểu Social Engineering
Human-based
Tập hợp những thông tin nhạy cảm
bằng cách khai thác sự tin tưởng, sợ
hãi, và sự giúp đỡ
Computer-based
Social Engineering được thực hiện bởi
sự giúp đỡ của máy tính
giả như một người sử
dụng đầu cuối hợp pháp
Nhận dạng và yêu cầu
thông tin nhạy cảm
“chào ! Đây là John, từ bộ
phận X, tôi đã quên
password của tôi. Bạn có
thể lấy lại nó dùm tôi
được chứ ?”
Giả như một User quan
trọng
giả làm nhân viên hỗ trợ
kỹ thuật
Giả làm một VIP của một
công tư, khách hàng quan
trọng, …..
“ chào tôi là kevin, thư
kí giám đốc kinh doanh.
Tôi đang làm một dự án
cấp bách và bị mất mật
khẩu hệ thống của mình.
Bạn có thể giúp tôi được
chứ?”
nói như mộtnhân viên hỗ
trợ kỹ thuật và yêu cầu ID
và Password cho việc khôi
phục dữ liệu
“ thưa ngài, tôi là Mathew,
nhân viên hỗ trợ kỹ thuật,
công ty X, tối qua chúng rôi
có một hệ thống bị sập ở
đây, và chúng tôi đến để
kiểm tra có bị mất dữ liệu
hay không. Ngài có thể lấy
cho tôi ID và Password
không”
Ví dụ về việc hỗ trợ kỹ thuật
“ Một người đàn ông gọi đến bàn hỗ trợ của công ty
và nói rằng ông ta đã quên mật khẩu của ông ta. Ông
ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng
cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc.
Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và
nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra
một lối vào mạng bên trong của công ty”
- Xem thêm -