ĐẠI HỌC Q UỐ C GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NG HIÊN
CỨU KHOA HỌC
Đề tài: Social Engineering - Phương Pháp Tấn Công
Nguy Hiểm Trong Công Tác Bảo Mật Thông Tin
Vẫn Còn Bị Chúng Ta Xem Nhẹ
Giảng viên hướng dẫn
:
G S.TSKH Hoàng Văn Kiếm
Học viên thực hiện
:
Đào Trọng Nghĩa
MSHV:
12 12 025
Lớp:
TP Hồ Chí Minh, tháng 11 năm 2012
Cao học K22-2012
Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác
Bảo Mật Thông Tin Vẫn Còn Bị Chúng Ta Xem Nhẹ
Đào Trọng Nghĩa
Khoa Công Nghệ Thông T in,
Đại Học Khoa Học T ự Nhiên, Đại Học Quốc Gia Thành Phố Hồ Chí Minh
[email protected]
Tóm tắt—Trong thời đại hiện nay, cùng với
sự phát triển mạnh mẽ của công nghệ thông tin
là sự gia tăng nhanh chóng số lượng tội phạm
an ninh mạng. Vấn đề an toàn thông tin không
còn là nỗi lo của các nước phát triển mà đã trở
thành nỗi lo chung của toàn cầu. Vào thế kỷ 21,
khi sức mạnh về phần cứng và kỹ thuật về
phần mềm đã phát triển vượt bậc nhưng vẫn
không đủ bảo vệ chúng ta thoát khỏi việc rò rỉ
thông tin. Vậy đâu là nguyên nhân? Đó chính
là con người, bởi lẽ không có bất kỳ phần cứng
hay phần mềm nào có thể khắc phục được
điểm yếu về yếu tố con người. Và đó là lý do
khiến cho kỹ thuật S ocial Engineering - một kỹ
thuật tấn công vào yếu tố con người - ngày
càng trở nên phổ biến và tinh vi hơn.
Keywords:Social
Hacking;
I.
Engineering;
như kinh tế, giáo dục, chính trị và quân sự
- những lĩnh vực trong đó sự lỏng lẻo về
công tác bảo mật thông tin sẽ khiến chúng
ta phải trả giá đắt. Chính vì thế, Social
Engineering nhận được nhiều sự quan tâm
toàn cầu, đặc biệt là trong lĩnh vực công
nghệ thông tin.
Social Engineering là một thuật ngữ liên
quan đến các ngành khoa học xã hội, tuy
nhiên chúng ta thường xuyên sử dụng và
bắt gặp nó trong ngành công nghệ thông
tin. Social Engineering được hiểu đơngiản
là một kĩ thuật tác động đến con người
nhằm mục đích lấy được một thông tin
hoặc đạt được một hành động mong muốn.
Những kĩ thuật trên dựa vào nền tảng là
những điểm yếu tâm lý, những nhận thức
sai lầm của con người về việc bảo mật
thông tin.Mục đích của các cuộc tấn công
Social Engineering có rất nhiều, chúng ta
có thể kể đến như: các lợi ích về tài chính,
tạo ra những điều có lợi cho mình, trả thù
… hoặc do áp lực bên ngoài gây ra.
Vấn đề Social Engineering đã được
quan tâm rất nhiều trên thế giới, tuy nhiên
ở Việt Nam chúng ta, đặc biệt là giới sinh
Human
GIỚI THỆU
Trên thế giới, khi nói về vấn đề bảo mật
thông tin, người ta không thể không nói
đến Social Engineering - một kỹ thuật khai
thác thông tin rất nguy hiểm, khó phát
hiện, phòng chống và gây thiệt hại to lớn
cho công tác bảomật thông tin. Ngày nay,
công nghệ thông tin đóng vai trò chủ chốt
trong nhiều lĩnh vực quan trọng của xã hội
2
viên thì tầm hiểu biết và mối quan tâm về
vấn đề này thì rất kém và ít ỏi. Mục đích
bài ngh iên cứu này của chúng tôi sẽ không
nhấn mạnh, đi sâu vào việc phân tích
Social Engineering là gì, nó hoạt động ra
sao, trên nền tảng gì; chúng tôi chỉ đưa ra
những kiến thức sơ lược, những thông tin
gần gũi với mọi người về những điều trên.
Qua đó cho mọi người biết được tác hại
thực sự của Social Engineering là không
hề nhỏ, mong muốn mọi người nâng cao
nhận thức hơn về vấn đề này và có thể
trang bị một số kiến thức cơ bản để phòng
tránh nó một cách hiệu quả nhất.
II.
số tâm lý của con người thường xuyên bị
Social Engineering lợi dụng:
Luôn mong muốn điều có lợi cho
mình và tránh khỏi các phiền hà, rắc
rối: Chúng ta có thể thấy điều này qua
ví dụ sau. Trong trường hợp một nhân
viên chăm sóc khác hàng của một
công ty dịch vụ. Chúng ta biết rằng,
họ luôn được yêu cầu rằng phải làm
cho khách hàng hài lòng nhất có thể.
Từ đó, họ sẽ được những phản hồi tốt
về chất lượng dịch vụ, được tính điểm
cao trong hệ thống... Với mục tiêu đó,
nhân viên của chúng ta sẽ luôn cố
gắng đáp ứng yêu cầu cho khách hàng
một cách tốt nhất. Chính vì lí do này,
nhiều khi họ, những người nắm giữ
thông tin, dữ liệu về hệ thống sẽ cung
cấp rất nhiều thông tin không nên
cung cấp cho khách hàng.
Có khuynh hướng giúp đỡ người
khác: Con người chúng ta là một sinh
vật sống có tình cảm. Chúng ta luôn
sẵn sàng giúp đỡ một người khi họ
gặp vấn đề gì đó.Chính đặc điểm này
của chúng ta sẽ rất dễ dàng để bị kẻ
xấu lợi dụng. Bạn đang ngồi lướt web
trong quán cà phê, có một người đến
nhờ sử dụng máy tính? Lúc đó bạn sẽ
làm thế nào? Bạn từ chối, nếu đó là
một cố gái xinh xắn thì sao? Bạn có
nghĩ về những trường hợp xấu xảy ra
khi cho người lạ mượn máy tính mình
không?
NHỮNG ĐIỂM YẾU CỦA CON
NGƯỜI
Chúng ta biết rằng phần mềm và phần
cứng của máy tính là những thứ vô cùng
phức tạp. Tuy nhiên, con người, kẻ đã tạo
ra chúng lại phức tạp hơn gấp nhiều lần.
Bởi vì con người có nhân cách, có tâm lý,
tình cảm là những thứ mà các vật nhân tạo
chưa thể có được. Đây chính là điểm vô
cùng mạnh đã giúp con người thành công
như ngày hôm nay, nhưng cũng là một
điểm yếu của con người. Và Social
Engineering chính là phương pháp tấn
công vô cùng nguy hiểm dựa trên những
điểm yếu này.
Chúng ta sẽ đặt câu hỏi, tại sao phương
pháp Social Engineering dựa vào tâm lý
con người lại nguy hiểm? Để trả lời câu
hỏi này, chúng ta hãy đi vào phân tích một
3
họ lại không biết rằng, một người
không nằm trong hệ thống bảo mật
vẫn có thể làm ảnh hưởng đến toàn bộ
hệ thống bảo mật.
Người ta đã nói rằng: “Social
Engineering is the hardest form of attack to
defend againts because it can’t be defense
with hardware or software alone” (Theo
Social Engineering:
Concepts
and
Solutions). Với những cuộc tấn công công
nghệ, chúng ta có thể phòng chống bằng
phần cứng và phần mềm, chúng sẽ tuân thủ
hoàn toàn những yêu cầu của người tạo ra,
không hỏi vì sao, không cần biết đúng
sai… Tuy nhiên, con người là một sinh
vậtvới tâm lý phức tạp, chúng ta không thể
phòng thủ đơn thuần bằng những thiết bị,
bằng những chương trình cứng nhắc.
Chúng ta cần phải có một phương pháp
hiệu quả hơn, tốt hơn. Thế nhưng, tốt đến
đâu hiệu quả đến đâu thì con người vẫn
luôn có sai lầm. Đây chính là câu trả lời
của chúng ta cần biết.
Xu hướng chấp nhận một thông tin
mới hơn là nghi ngờ tính xác thực của
thông tin đó:Hầu hết trong chúng ta ai
cũng vậy, mọi người khi nghe một
thông báo, một khẳng định, một lời
khuyên mới nào đó… chúng ta đều tin
nó là có thật. Việc này sẽ kéo dài cho
đến khi chúng ta phát hiện nó là
không thật. Quãng thời gian này có
thể không dài, tuy nhiên sẽ không
ngắn để thực hiện một số mục đích.
Lười…muốn làm nhanh một việc, cắt
bỏ giai đoạn:Vấn đề này vô cùng
nguy hiểm tuy nhiên lại xảy ra vô
cùng phổ biến trong chúng ta. Chúng
ta thường xuyên thực hiện công việc
với tâm lý như thế, tuy nhiên lại
không nhận thức được hậu quả của
việc đó. Có khi nào bạn ghi mật khẩu
của mình lên một tờ giấy, lên một
note trên máy tính chưa? Có khi nào
bạn đọc password của mình qua điện
thoại chưa?
Thái độ của một người đối với việc
bảo vệ thông tin cá nhân của mình
không cao: Đây là một tâm lý vô cùng
quan trọng và nguy hiểm để kẻ xấu
dựa vào đó có thể thực hiện mọi mưu
đồ của mình. Người ta luôn nghĩ rằng
thông tin cá nhân của mình không
quan trọng! Ai biết thì đã sao?Họ làm
được gì chứ? Nó chẳng ảnh hưởng gì
đến những thứ xung quanh mình cả…
Người ta luôn ngh ĩ như vậy, tuy nhiên
III.
CÁC PHƯƠNG PHÁP T ẤN CÔNG
Phía trên là một số những điểm yếu tâm
lý mà con người thường bị những kẻ sử
dụng Social Engineering lợi dụng. Và còn
hơn thế nữa, Social Engineering là một
quy trình có hệ thống, có thứ tự và có sự
đầu tư kỹ lưỡng, công phu. Mục tiêu của
nó có thể từ những thứ vô cùng bé, đơn
giản đến việc thực hiện những mục tiêu
cao hơn, tinh vi hơn. Chính vì vậy, một hệ
thống xác định các phương pháp tấn công
4
Social Engineering sẽ cho chúng ta dễ
dàng hình dung Social Engineering thực
hiện như thế nào? Nó dựa vào các “lỗ
hổng” về tâm lý như thế nào? Qua tiếp xúc
với một số phương pháp tấn công dưới đây
mọi người có thể thực hiện điều đó.
Về cơ bản, các phương pháp tấn công
Social Engineering nằm trong một trong
hai hình thức chính: dựa vào con người và
dựa vào kĩ thuật.Mọi người lưu ý trong
cách phân chia, con người và máy móc là
công cụ, là đối tượng tấn công chứ không
phải là cách tấn công vào con người hay
máy móc.
Các phương pháp dựa vào máy móc:
Phishing: “Phishing là phương pháp
phổ biến nhất của Social Engineering
trên thế giới trực tuyến” (Granger,
2006). Phishing là một hành động gửi
mail lừa đảo cho nạn nhân. Nội dung
email sẽ dẫn thẳng người dùng đến
các website lừa đảo giống hệt các
website thật, qua đó lừa người dùng
nhằm lấy được các thông tin về tài
khoảng người dùng.
Pop-Up Windows: Chúng ta rất dễ
gặp hình thức này khi đang sử dụng
trình duyệt web. Nội dung các PopUp này thường là thông báo chúng ta
nhận được một món tiền, giải thưởng
nào đó… Bắt đầu từ đó, nó sẽ có các
phương pháp để đi vào khai thác
thông tin của chúng ta.
Các phương pháp dựa vào con người:
Direct approach: Hỏi trực tiếp đối
tượng để khai thác thông tin. Phương
pháp đơn giản nhất, có thể không coi
đó là một phương pháp, tuy nhiên khi
một người có thái độ về bảo mật
thông tin không tốt, phương pháp này
nhiều khi mang đến hiệu quả bất ngờ.
Nhiều khi chúng ta có thể ngồi yên để
lấy được thông tin.
DumpsterDiving
and
Shoulder
Surfing: Đây là hai trong những hình
thức được sử dụng sớm nhất của
Social Engineering. Dumpster diving
có nghĩa là sẵn sàng thu thập những
thứ dơ bẩn, đã bị vứt bỏ đi để lấy
thông tin họ cần, điển hình chúng ta
có thể thấy ở đây ra rác. Rác chứa
thông tin quan trọng của chúng ta như
thế nào? Trước khi là rác, thì nó chính
là những thông tin, tài liệu chúng ta
sử dụng. Khi chúng ta không cần
dùng nữa, chúng ta sẽ vứt đi, tuy
nhiên chúng ta lại không xử lý chúng
hoặc xử lý không cẩn thận thì các
thông tin này có thể rơi vào tay những
kẻ có ý đồ xấu. Còn về Shoulder
Surfing, đó là cách nhìn trộm mật
khẩu hoặc mã pin. Mọi người có chắc
chắn rằng khi mình đánh mật khẩu tại
một nơi công cộng sẽ không có ai
nhìn thấy không? Thậm chí bạn có
đánh nhanh đến đâu, nếu người ta
quay phim về rồi phân tích thì sao.
5
Impersonation and Important User:
Phương pháp nàynhững kẻ tấn công
sẽ giả mạo một người quan trọng,
chức vụ cao, có uy tín trong tổ chức.
Hoặc họ làm ra vẻ ngu ngơ, giả vờ,
làm người ngốc nghếch mà tưởng
trừng như vô hại. Từ đó họ cầu giúp
đỡ, lợi dụng lòng tốt và sử dụng dưới
danh nghĩa của người khác. Họ không
có những thứ cần thiết để khai thác hệ
thống, họ sẽ tận dụng vào người có
thông tin mà không cần phải trải qua
bất cứ sự xác nhận nào, thử thách nào.
Third-Party Authorization: Sử dụng
tên của người có quyền để thực hiện
việc mình mong muốn hoặc đã được
chứng thực với hệ thống. Ví dụ: “Ông
A đã nói là đồng ý” hoặc là “Trước
khi đi nghỉ mát, giám đốc đã nói rằng
tớ có thể liên lạc với cậu để lấy thông
tin.”Chúng ta nên nhớ rằng hầu hết
các kĩ thuật Social Engineering thực
hiện ở trong nội bộ tổ chức và có thể
tìm thấy dễ dàng. Phương pháp này
tương đối giống phương pháp đầu
tiên.
Pretexting: Với các tấn công này, các
attacker sẽ xây dựng một kịch bản chi
tiết trước để khai thác nạn nhân: họ sẽ
làm tăng độ tin tưởng của nạn nhân
vào mình, từ đó sẽ làm nạn nhân vô ý
hoặc có chủ ý tiết lộ thông tin hoặc
thực hiện một hành động có lợi cho
mình.
IV.
TẦM ẢNH HƯỞNG CỦA SOCIAL
ENGINEERING
Social Engineering có thực sự là nguy
hiểm, đáng quan tâm và mức độ nguy hiểm
của nó đến mức nào.Chúng ta sẽ tham
khảo một khảo sát để biết được tình hình.
Báo cáo“The risk of social engineering
on information security: A survey of IT
Professionals” Đây là là một cuộc khảo sát
được thực hiện bởi Dimens ional Research
và được bảo đảm bởi tổ chức Check
1
Point , thực hiện với 853 chuyên gia IT ở
nhiều nước có ngành công nghệ thông tin
phát triển hàng đầu thế giới: Mỹ, Anh,
Canada, Úc, New Zealand và Đức trong
khoảng tháng 7 và tháng 8 năm 2011. Mục
tiêu của cuộc khảo sát là thu thập dữ liệu
về nhận thức đối với các cuộc tấn công
Social Engineering và tác động của nó đối
với các doanh nghiệp.
Báo cáo đã cho chúng ta thấy các kết
quả như sau:
Có 97% các chuyên gia bảo mật và
86% các chuyên gia ngành Công
Nghệ Thông Tin đã nhận thức được
mối đe dọa an ninh tiềm ẩn từ Social
Engineering. Sự nhận thức về mối đe
dọa này cũng được chia thành nhiều
cấp độ khác nhau:
1
Check Point Software Technologies Ltd. là nhà tiên phong trong
lĩnh v c An ninh Internet. Check Point đ xu t các gi i pháp an
ninh t ng th có tính năng m t c ng h p nh t, m t agent đi m
cu i (endpoint) đ n nh t và m t ki n trúc qu n tr duy nh t, đ c
tùy bi n đ thích ng nh t v i nhu c u kinh doanh năng đ ng c a
khách hàng.
6
ích về kinh tế và 14% nhằm vào mục
đích là để trả thủ, mâu thuẫn cá nhân.
Qua đây chúng ta có thể thấy được,
mục đích của các cuộc tấn công này là
những mục đích xấu, gây ảnh hưởng
tổn hại đến một tổ chức, một cá nhân
chứ không hề đơn giản.
Về mật độ xảy ra các vụ tấn công
trên: 32% tổng số người tham gia
cuộc khảo sát nói rằng họ thường
xuyên là đối tượng của Social
Engineering, trong vòng hai năm, họ
đã bị khai thác khoảng 25 lần hoặc
hơn thế.Và 48% các tổ chức được
khảo sát cho biết họ thường xuyên là
đối tượng bị tấn công và cho biết
trong vòng hai năm số lần họ bị khai
thác là 25 hoặc hơn thế.
Nhận thức của các chuyên gia đối với Social
Engineering
Có 43% số người được phỏng vấn cho
biết rằng họ đã là đối tượng bị khai
thác bởi Social Engineering. Chỉ có
16% có thể khẳng định rằng họ không
phải là đối tượng của Social
Engineering, trong khi 41% không
nhận thức được rằng họ đã bị tấn công
hay chưa.
Tần suất bị tấn công Social Engineering của các công
ty và nhân viên
Mức độ nhận biết đã bị tấn công bởi Social
Engineering hay chưa
Qua báo cáo cho thấy thiệt hại từ các
cuộc tấn công này tương đối lớn:
Khảo sát về mục đích của các cuộc
tấn công cho thấy: 51% mục đích của
các cuộc tấn công là nhằm vào các lợi
7
hành khảo sát, chúng tôi đặt mình vào vị
trí của người thực hiện tấn công đang tiến
hành thu thập dữ liệu phục vụ cho việc tấn
công mục tiêu. Chúng tôi dùng một kỹ
thuật nhỏ trong Social Engineering bằng
cách tiến hành dưới danh nghĩa một cuộc
khảo sát tìm hiểu về thói quen, phong cách
sống của sinh viên trong thời đại công
nghệ thông tin. Trong đó, đó các câu hỏi
mang tính chất khai thác thông tin nhưng
bề ngoài lại hoàn toàn vô hại với người
làm khảo sát.
Mức thiệt hại khi bị tấn công bởi Social Engineering
Các tổ chức được khảo sát cho biết, các
thiệt hại bao gồm chi phí về sự gián đoạn
kinh doanh, chi phí đối với khách hàng,
mất doanh thu, lao động và các chi phí
khác…Gần một nửa trong số họ (48%) cho
biết rằng thiệt hại là hơn 25,000$ và 30%
các tổ chức lớn cho biết thiệt hại của họ
lên tới hơn 100,000$.
Báo cáo còn cho biết nhiều con số nữa,
chúng tôi không đi sâu vào việc nó diễn ra
như thế nào, ở đâu, tuy nhiên chúng tôi
đưa ra những con số nhằm cho mọi người
thấy về độ nguy hiểm và tầm ảnh hưởng
của Social Engineering. Cho mọi người
thấy được rằng: trên thế giới, Social
Engineering là một vấn đề rất được quan
tâm, nó xảy ra rất thường xuyên và thiệt
hai của nó gây ra là không hề nhỏ.
V.
A.
Dữ liệu thực nghiệm
Đối tượng khảo sát là 142 bạn sinh viên
đến từ nhiều trường khác nhau. Kết cấu
nội dung của cuộc khảo sát được nghiên
cứu, và thực hiện theo hai hướng: Đầu t iên
là các câu hỏi lấy thông tin người tham gia.
Thứ hai là các câu hỏi để đánh giá nhận
thức của mọi người đối với vấn đề bảo mật
thông tin. Các câu hỏi đã được hệ thống và
chuẩn bị từ trước, qua việc xem xét các
thông tin thu thập được, chúng tôi sẽ thực
hiện khai thác thông của một số người
tham gia khảo sát.
Đối với các
thông tin cơ bản, người
dùng được yêu cầu cung cấp các
thông tin về họ. Ngoài ra còn có yêu
cầu cung cấp thông tin liên lạc để
nhận được kết quả khảo sát, việc này
nhằm mục đích tăng tình hiếu kì của
người tham gia khảo sát. Trong đó các
thông tin họ tên, email, số điện thoại
dùng để khai thác thông tin. Các
THỰC NGHIỆM
Để kiểm chứng lại mức độ nguy hiểm
của Social Engineering cũng như nhận
thức của mọi người về an toàn thông tin,
chúng tôi làm một cuộc khảo sát. Khi tiến
8
1. Câu hỏi: Bạn có tham gia mạng xã hội
hay không?
Mạng xã hội là nguồn khai thác thông
tin ưa thích của các kẻ tấn công, đó là nơi
kẻ tấn công có thể phác thảo bạn một cách
toàn diện nhất về hình dạng cũng như tính
cách. Mạng xã hội mang mọi người đến
gần bạn hơn, trong đó có cả những “Social
Engineer”
thông tin về trường và chuyên ngành
dùng để phân loại đối tượng.
Thống kê thể hiện số lượng cung cấp thông tin
Những thông tin trên sẽ giúp ích rất
nhiều trong việc khai thác đối tượng cũng
như trả lời các câu hỏi bảo mật, truy tìm
các tài khoản, các thông tin liên quan, giả
mạo đối tượng để thu thập thông tin bạn
bè, người thân đối phương....Kết quả khảo
sát phản ánh được nhận thức của mọi
người về việc cung cấp các thông tin cá
nhân của mình trên mạng internet và nhận
thức về việc bảo mật thông tin cá nhân.
Tiếp theo vô phần chính là các câu
hỏi đánh vào phần nhận thức của mọi
người.
Thống kê mức độ sử dụng Mạng xã hội
2. Bạn có thói quen trao đổi chuyện học
hành, công việc với bạn bè, thầy cô,
đồng nghiệp ... qua email hay không?
Kết quả thực nghiệm
Sau khi khảo sát, chúng tôi thu được
142 dòng dữ liệu, kết quả của bảng khảo
sát được chúng tôi chia thành hai nhóm:
Nhóm những người chuyên ngành về Công
Nghệ Thông Tin (55 người), và nhóm
những người không chuyên (87 người).
Kết quả được chúng tôi thống kê như
sau:
B.
Thống kê thể hiện mức độ trao đổi chuyện học hành,
công việc
Việc này cho chúng ta biết được thói
quen trao đổi thông tin của đối tượng, qua
đó đánh giá được tầm quan trọng của email
họ sử dụng cũng như lượng thông tin giá
trị ẩn chứa trong tài khoản email của họ.
9
3. Bạn thường download phần mềm bằng
cách nào?
Việc nắm được thói quen cài đặt phần
mềm của đối tượng giúp ta dễ dàng tiếp
cận với máy tính của đối tượng hơn. Đây
là cách giúp kẻ tấn công có thể đưa các
phần mềm có chứa mã độc hại vào máy
tính của nạn nhân qua đó kiểm sóat máy
tính đó và khai thác được nhiều thông tin
có giá trị khác.
5. Bạn sẽ làm gì nếu nhặt được một USB,
việc đầu tiên bạn sẽ làm là?
Lợi dụng sự tò mò của con người , kẻ
tấn công hoàn toàn có thể dàn cảnh bỏ
quên USB ở một nơi mà đối tượng dễ dàng
nhìn thấy và không quên kèm theo một
chút mã độc hại. Vì tò mò, rất nhiều người
rất muốn biết nội dung bên trong USB, con
số 91/142 không phải là con số nhỏ ,trong
đó có ½ là dân công nghệ thông tin.
Thống kê cách thức cài đặt một chương trình mới
4. Đa phần chúng ta đều gặp khó khăn
trong việc ghi nhớ các password, bạn
thường giải quyết cách này thế nào?
Thống kê cách xử lý khi nhận được một usb
6. Bạn đang ngồi quán trong quán cafe và
sử dụng laptop, có một cô gái xinh đẹp
có chuyện gấp cần mượn laptop của
bạn để gửi email cá nhân, bạn sẽ?
Bạn sẵn sàng giúp đỡ người khác không
một chút phòng bị, việc gì sẽ xảy ra nếu cô
gái ấy là một hacker hoặc là người của tổ
chức đối thủ?
Một thói quen chết người của nhiều
người là “Dùng một password cho nhiều
tài khoản” dẫn đến tình trạng mất thông tin
hàng loạt. Hãy tưởng tượng nếu kẻ tấn
công dụ bạn đăng ký thành viên ở một
website do họ tạo ra?
Thống kê cách thức lưu trữ, ghi nhớ password
10
8. Người yêu bạn có yêu cầu bạn cho cô
ấy/anh ấy biết password của bạn hay
không?
Thống kê thể hiện mức độ tin tưởng đối với một người
lạ
7. Bạn có thường chia sẻ các chuyện
"tuyệt mật" của mình, của công ty cho
người yêu biết không ?
Thống kê thể hiện độ tin cậy đối với người yêu
Một lần nữa , mục tiêu của kẻ tấn công
cần là thông tin có giá trị đối với hệ thống ,
và thông này không nhất thiết phải khai
thác từ những người quản trị hệ thống những người luôn có ý thức cao trong bảo
mật.
Khai thác thông tin
Với các thông tin thu thập trên, chúng
tôi đã tiến hành chọn một số đối tượng làm
nạn nhân và khai thác thông tin. Số lượng
chọn: 15 người (15 dòng dữ liệu). Số
lượng khai thác thành công: 3 người
Chúng tôi đã khai thác được các thông
tin sau: email yahoo, gmail, facebook, ID
đăng nhập web trường, trang thông tin
môn học, các website, diễn đàn trên mạng,
internet. Chúng tôi đã đăng nhập vào nick
yahoo, xem danh sách bạn, lấy được danh
sách bạn bè, log chat của nạn nhân. Đăng
nhập vào email, thu được một số tài liệu
trao đổi với người khác, đăng nhập vào
C.
Thống kê thể hiện mức độ chia sẽ thông tin với người
yêu
Với Social Engineering , mục đích của
kẻ tấn công cần là thông tin và thông tin đó
không nhất thiết là phải khai thác tự bạn nhất là khi kẻ tấn công biết bạn là một
người có hiểu biết và nhận thức về bảo
mật. Tuy nhiên bạn có chắc rằng người
yêu của bạn cũng có nhận thức và cảnh
giác tốt như bạn ?
11
web trường, trang thông tin môn học
Moodle, lấy được các bài nộp của các môn
mà nạn nhân đã nộp. (Moodle trang web
môn học của trường đại học Khoa học tự
nhiên). Có thể mở rộng dùng các tài khoản
trên để phishing bạn bè trong friend list
của họ , tuy nhiên trong giới hạn tìm hiểu ,
chúng tôi dừng việc khai thác tại đây.
Chúng tôi đã lọc danh sách kết quả (142
dòng dữ liệu), lọc ra các dòng dữ liệu có
khai báo email.
Với những người trả lời cầu hỏi số 4
(khó khăn trong việc lưu trữ password) là
“Mỗi site đặt một password nhưng đơn
giản”, chúng tôi đã tiến hành đoán
password của họ và nhận thấy các
password được sử dụng chính là : chữ lót
và tên, số điện thọai di động (họ cung cấp
ở phần thông tin liên lạc). Nếu không đoán
được password thì dùng tính năng quên
mật khẩu của mail box: các câu hỏi bảo
mật thường là “số điện thoại của bạn”,
“nơi bạn sinh ra” … các thông tin này
hoàn toàn có thể có được thông qua thông
tin liên lạc họ cung cấp hoặc trên các mạng
xã hội mà hộ tham gia.
Tiếp theo, chúng tôi đăng nhập vào mail
box, xem các thông tin mà nạn nhân có: tài
liệu, liên kết với website khác (diễn đàn,
mạng xã hội, yahoo, hộp mail khác, …);
vào security của mailbox kiểm tra các tài
khoản đang kết nối.
Sử dụng các thông tin khác từ bài khảo
sát như: “Vấn đề lưu trữ password” được
trả lời là “Dùng chung một password” để
khai thác các thông tin cần thiết.
D.
Kết luận
Rất nhiều người tham gia khảo sát vẫn
chưa có đánh giá đúng về vấn đề bảo mật
thông tin. Đặc biệt trong đó có một số lớn
những người đang có chuyên ngành là
công nghệ thông tin.
VI.
TỔNG KẾT VÀ HƯỚNG PHÁT
TRIỂN
Social Engineering thực sự là một kĩ
thuật tấn công nguy hiểm. Nguy hiểm vì
nó rất khó nhận biết, cách thức sử dụng
của nó rất nhiều, từ đơn giản đến phức tạp.
Nguy hiểm vì nó có thể được sử dụng từ
bất kì ai xung quanh chúng ta. Trên thế
giới và ở Việt Nam ta, ở lĩnh vực chuyên
sâu, cái nhìn về Social Engineering cũng
đã tương đối tốt. Tuy nhiên đối với bộ
phận lớp trẻ, kể cả những người học về
Công nghệ thông tin thì nhận thức vấn đề
này vấn còn rất là mơ hồ.
Qua báo cáo chúng tôi muốn mô tả một
cách dễ hiểu nhất về Social Engineering.
Từ đây mong muốn mọi người có thể nâng
cao nhận thức hơn về vấn đề bảo mật
thông tin cá nhân của mình nói riêng và
trang bị những kiến thức để phòng tránh
khỏi kĩ thuật Social Engineering nói riêng.
Mong muốn của nhóm tác giả chúng tôi
là có thể đưa ra một hệ thống cách phòng
tránh ảnh hưởng của Social Engineering
đối với một cá nhân. Từ đó giúp cho việc
12
App lications International Corporation200
Harry
S
Truman
ParkwayAnnapolis,
M aryland 21401
[3] “The risk of social engineering on information
security: a survey of it professionals” Check
Point.
[4] ThomasR.Peltier,“Social
Engineering:
Concepts and Solutions”,in Information
Security and Risk M anagement
[5] Aaron Dolan,"Social Engineering" in G SEC
Option 1 version 1.4b February 10, 2004
bảo vệ an ninh của tổ chức có thể được
nâng cao hơn. Vấn đề này hi vọng có thể
gặp lại với mọi người vào dịp khác.
TÀI LIỆU THAM KHẢO
[1] M alcolm Allen,“Social Engineering: A M eans
To Violate A ComputerSystem”,updated June
2006
[2] Ira S. Winkler, Brian Dealy,“Information
Security Technology?...Don’t Rely on ItA
Case Study in Social Engineering”, inScience
13
.PDF 
13 
106 
68 
