Tài liệu Báo cáo an ninh mạng social engineering

Trung Quốc tấn công thâm nhập cơ quan liên bang cuộc tấn công mang tên ‘Byzantime Candor’, do dò dỉ thông tin ra bên ngoài Mạng gián điệp bởi những những hacker liên kết với quân đội, một phần của cuộc tấn công mang tên “Byzantine Candor”, đã lấy đi ít nhất 50 MB tin nhắn từ từ một cơ quan liên bang cùng với một danh sách hoàn chỉ User Name và Password của cơ quan đó, một khả năng mới được công bố đó là khả năng bị dò dỉ thông tin từ bộ ngoại giao. Tiêu chuẩn cho dây cáp, chúng được gán mác SECRET//NORN và bây giờ đã là năm 2008, Byzantine Candor đã xảy ra vào cuối năm 2002, lúc đó các hacker đã xâm nhập nhiều hệ thống, bao gồm cả các nhà cung cấp dịch vụ Internet thương mại, một phần thông qua các cuộc tấn công sử dụng kỹ thuật Social Engineering, hay còn gọi là kĩ thuật lừa đảo. Theo Air Force Office of Special Investigations đã tìm thấy mối quan hệ trong dây cáp, Hacker Thượng Hải có quan hệ với quân đội Trung Quốc đã xâm nhật ít nhất 3 hệ thống, tại các ÍP của mỹ họ có thể tải về các email, file đính kèm, User Name, Passwords từ các cơ quan liên bang dấu tên trong một khoảng thời gian từ tháng 4 đến tháng 10 ngày 13 năm 2008 http://www.fiercegovernmentit.com Các chủ đề trình bày  Social Engineering là gì  Tại sao Social Engineering lại hiệu quả  Các giai đoạn trong một cuộc tấn công Social Engineering  Các mục tiêu phổ biến của Social Engineering  Social Engineering through Impersonation trên miền mạng Social  Ảnh hưởng của mạng Xã hội tới mạng doanh nghiệp  Ăn cắp ID  Thế nào là Steal Indentity  Các kiểu Social Engineering  Biện pháp đối phó Social Enginneering  Các chiến thuật xâm nhập phổ biến và  Thử nghiệm Social Engineering chiến lược phòng chống Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Engineering Ăn cắp ID Thử nghiệm xâm nhập Không có bất kz bản vá lỗi nào đối với một con người ngu ngốc Social Engineering là gì  Social Engineering là một nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật  Social Engineering phụ thuộc vào những thứ mà mọi người không biết những thông tin về chúng và bất cẩn trong việc bảo vệ nó Thông tin bí mật Chi tiết truy cập Chi tiết việc uỷ quyền Các hành vi dễ bị tấn công Sự tin tưởng là nền tảng cơ bản của tấn công Social Engineering Các mục tiêu sẽ được hỏi để trợ giúp và họ tuân theo những quy định mang tính nghĩa vụ được đưa ra Sự thiếu hiểu biết về Social Engineering và các hiệu ứng của nó trong đội ngũ nhân viên khiến cho các tổ chức là một mục tiêu dễ dàng Socal Engineers có thể đe doạ nghiêm trong đến việc mất mát trong trường hợp không tuân thủ những yêu cầu của họ (tổ chức) Social Engineers thu hút các mục tiêu tiết lộ thông tin bởi một cái gì đó đầy hứa hẹn Những yếu tố làm doanh nghiệp dễ bị tấn công Đào tạo an ninh còn thiếu Thiếu những chính sách an ninh Dễ dàng truy cập thông tin Nhiều các đơn vị tổ chức Tại sao Social Engineering Lại Hiệu Quả Chính sách bảo mật mạnh cũng sẽ là liên kết yếu nhất và con người là yếu tố nhạy cảm nhất Không có một phần mêm hay phần cứng nào có thể chống lại một cuộc tấn công Social Engineering Rất khó để phát hiện ra Social Engineering Không có một phương pháp chắc chắn nào để đảm bảo an ninh một cách đầy đủ từ các cuộc tấn công Social Engineering Những Dấu Hiệu của một cuộc tấn công Tấn công trên mạng Internet đã trở thành một ngành kinh doanh và Attacker liên tục cố gắng để xâm nhập mạng Không cung cấp số gọi lại Yêu cầu phi chính thức Yêu cầu thẩm quyền và đe doạ nếu như không cung cấp thông tin cho thấy sự vội vàng và vô tình để lại tên Bất ngờ được khen tặng hoặc ca ngợi Thấy khó chịu khi đặt câu hỏi Các giai đoạn của một cuộc tấn công Social Engineering Lựa trọn nạn nhân Nghiên cứu công ty mục tiêu Xác định những nhân viên không hài lòng về chính sách trong công ty mục tiêu Durmpster diving, trang web, nhân sự, lịch trình, vv Nghiên cứu Phát triển mối quan hệ Phát triển mối quan hệ với những nhân viên đã được lựa chọn Phát triển Khai thác Khai thác mối quan hệ Tập hợp thông tin tài khoản nhạy cảm, thông tin tài chính, và công nghệ hiện tại Những ảnh hưởng lên tổ chức Những mất mát về kinh tế chính sách khủng bố Tổn hại uy tín Mất sự riêng tư Tạm thời hoặc vĩnh viễn đóng cửa Các vụ kiện và các thủ tục Tấn công bằng các câu lênh Injection Kết nối Internet cho phép kẻ tấn công tiếp cận nhân viên từ một nguồn internet ẩn danh và thuyết phục họ cung cấp những thông tin thông qua một User đáng tin cậy Yêu cầu thông tin, thông thường bằng cách giả mạo người dùng hợp pháp, mà người đó có thể truy cập tới hệ thống điện thoại hoặc có thể truy cập từ xa vào hệ thống máy tính Trong việc tiếp cận đối tượng, kẻ tấn công sẽ lấy thông tin bằng cách trực tiếp hỏi đối tượng đó Giả sử hai đối tượng “Rebecca” và “Jessica” là hai nạn nhân của kỹ thuật Social Engineering Rebeca và Jessica là những mục tiêu dễ dàng lừa đảo, chẳng hạn như nhân viên tiếp tân của công ty Ví dụ • “có một người tên là Rebecca làm tại một ngân hàng và tôi gọi cho cô ấy để tìm hiểu các thông tin về cô ta” • “Tôi gặp cô Jessica, cô ta là một đối tượng dễ dàng lừa đảo” • “Hỏi cô ta: có phải trong công ty của cô có một người tên là Rebecca phải không” Những mục tiêu chung của Social Engineering Nhân viên tiếp tân và nhân viên hỗ trợ User và Client Người bán hàng của tổ chức mục tiêu Giám đốc hỗ trợ kỹ thuật Người quản trị hệ thống Những mục tiêu chung của Social Engineering: Nhân viên văn phòng Kẻ tấn công cố gắng làm cho giống một nhân viên hợp pháp để khai thác lượng thông tin lớn từ những nhân viên của công ty Nhân viên nạn nhân sẽ cung cấp những thông tin chở lại cho nhân viên giả mạo mặc dù có tường lửa tốt nhất, phát hiện xâm nhập, và hệ thống chống virut, thì bạn vẫn bị tấn công bởi những lỗ hổng bảo mật kẻ tấn công có thể cố gắng tấn công Social Engineering lên những nhân viên văn phòng để thu thập những dữ liệu nhạy cảm như: • • • • Những chính sách bảo mật Những tài liệu nhạy cảm Cấu trúc mạng văn phòng Những mật khẩu Khái niệm Social Engineering Mạo danh trên mạng xã hội Kỹ thuật Social Engineering Biện pháp đối phó Social Engineering Ăn cắp Identity Thử nghiệm xâm nhập Các kiểu Social Engineering Human-based Tập hợp những thông tin nhạy cảm bằng cách khai thác sự tin tưởng, sợ hãi, và sự giúp đỡ Computer-based Social Engineering được thực hiện bởi sự giúp đỡ của máy tính giả như một người sử dụng đầu cuối hợp pháp Nhận dạng và yêu cầu thông tin nhạy cảm “chào ! Đây là John, từ bộ phận X, tôi đã quên password của tôi. Bạn có thể lấy lại nó dùm tôi được chứ ?” Giả như một User quan trọng giả làm nhân viên hỗ trợ kỹ thuật Giả làm một VIP của một công tư, khách hàng quan trọng, ….. “ chào tôi là kevin, thư kí giám đốc kinh doanh. Tôi đang làm một dự án cấp bách và bị mất mật khẩu hệ thống của mình. Bạn có thể giúp tôi được chứ?” nói như mộtnhân viên hỗ trợ kỹ thuật và yêu cầu ID và Password cho việc khôi phục dữ liệu “ thưa ngài, tôi là Mathew, nhân viên hỗ trợ kỹ thuật, công ty X, tối qua chúng rôi có một hệ thống bị sập ở đây, và chúng tôi đến để kiểm tra có bị mất dữ liệu hay không. Ngài có thể lấy cho tôi ID và Password không” Ví dụ về việc hỗ trợ kỹ thuật “ Một người đàn ông gọi đến bàn hỗ trợ của công ty và nói rằng ông ta đã quên mật khẩu của ông ta. Ông ta nói thêm rằng nếu ông ta bỏ lỡ mất dự án quảng cáo lớn trên thì sẽ bị xếp của ông ta đuổi việc. Nhân viên bàn trợ giúp cảm lấy tiếc cho anh ta và nhanh chóng resets lại mật khẩu, vậy là vô tình tạo ra một lối vào mạng bên trong của công ty”