Social Engineering_group2

Download Report

Transcript Social Engineering_group2 

Social Engineering
 GVGD: Lê Thị Kim Tuyến
Group 2
1
Nội dung
1. Giới thiệu & Phân loại
2. Social engineering dựa trên con người & máy tính
3. Mục tiêu chung của mạng xã hội
4. Các mối đe dọa từ mạng xã hội
5. Một số vấn đề khác
6. Tổng kết & tài liệu tham khảo
2
1
Giới thiệu & Phân loại
3
1. Giới thiệu - Social engineering là gì?
Social engineering là nghệ thuật thuyết phục người
khác để lộ thông tin bí mật
Các công ty với các quá trình xác thực, tường lửa,
mạng riêng ảo và phần mền giám sát mạng vẫn bị
tấn công.
Một nhân viên có thể vô tình cho đi thông tin quan
trọng trong một email hoặc bằng cách trả lời các câu
hỏi qua điện thoại với ai đó họ không biết, hoặc
thậm chí bằng cách nói về một dự án với đồng
nghiệp tại một quán rượu địa phương sau giờ làm.
4
Social engineering là gì?
Social là chiến thuật hay thủ
thuật
thu thập thông tin nhạy cảm
bằng các khai thác bản chất cơ
bản của con người.
5
Thông tin bị khai thác
Social engineers cố gắng thu thập các
thông tin chẳng hạn như:
Tài liệu nhạy cảm.
Chi tiết ủy quyền.
Thông tin truy cập chi tiết.
Chính sách bảo mật.
Cơ sở hạ tầng mạng lưới văn phòng.
Mật khẩu.
6
Phân loại Social engineering
Social engineering được chia làm hai
loại:
Dựa trên máy tính
Dựa trên con người
7
2
Social engineering dựa trên con người & máy tính
8
2. Social engineering dựa trên con người
Giả làm người dung cuối hợp pháp
Giả làm một người dung quan trọng
Giả làm một nhân viên hỗ trợ kỹ thuật
9
Các vấn đề về mạng xã hội từ con người (tt)
Nghe lén hội thoại
Nhìn trộm password
Thu thập thông tin nhạy cảm
10
Các vấn đề về mạng xã hội từ con người (tt)
1
2
3
Thu thập
thông tin trực
tiếp qua tương
tác giữa con
người với
nhau
Bên thứ 3 sử
dụng thông
tin bất hợp
pháp.
Một số vấn đề
khác:
11
•Xâm nhập trái
phép
•Sử dụng mạng
xã hội làm công
cụ phá hoại, tiếp
thị
2. Các vấn đề về mạng xã hội từ máy tính
Pop-up Windows
B
Mail/IM
Attachment
Others
A
C
ComputerBased Social
Engineering
D
E
12
Websites/Swee
p-stakes
Spam Mail
Các vấn đề về mạng xã hội từ máy tính (tt)
Lấy cắp
thông tin
Thông tin
quảng cáo
Phát tán
virus
Mục đích tấn công
từ bên ngoài
Thông điệp
lừa đảo
Phá hoại
hệ thống
13
Các vấn đề về mạng xã hội từ máy tính (tt)
Tấn công
từ bên trong
14
Giải pháp ngăn chặn mối đe dọa từ bên trong
1.
Phân chia trách nhiệm công việc
2.
Hoán đổi trách nhiệm công việc
3.
Gán ít quyền lực nhất
4.
Kiểm soát truy cập
5.
Hệ thống đăng nhập vs Kiểm toán
6.
Chính sách luật pháp
7.
Lưu trữ các dữ liệu quan trọng
15
3
Mục tiêu chung của mạng xã hội
16
3. Mục tiêu chung của mạng xã hội
 Mục tiêu thông thường là nhân viên
hỗ trợ kỹ thuật, nhân viên lễ tân, bàn
trợ giúp, các nhà cung cấp của tổ
chức mục tiêu, người quản trị hệ
thống và người sử dụng.
17
4
Các mối đe dọa từ mạng xã hội
18
4. Các mối đe dọa từ mạng xã hội
Các mối đe dọa trực tuyến như: email, ứng dụng pop-up và tấn
công instant message, sử dụng
Trojan horses, worms hay viruses.
19
Các mối đe dọa
Các mối đe dọa từ điện thoại: Gọi
điện thoại đến nạn nhân, thuyết
phục họ cung cấp thông tin bằng 1
kịch bản giả.
Private Branch Exchange(PBX).
20
Các mối đe dọa
Tiếp cận cá nhân:
Cách đơn giản nhất và rẻ nhất cho kẻ
tấn công là yêu cầu trực tiếp để có
được thông tin.
Bốn phương pháp tiếp cận chính là:
 Đe dọa
 Thuyết phục
 Lấy lòng
 Hỗ trợ
21
Các mối đe dọa
Reverse Social Engineering
 Là một hình thức cao hơn social
engineering mà giải quyết các khó
khăn phổ biến của social
engineering bình thường
 Hình thức này có thể mô tả là một
user hợp pháp của hệ thống hỏi
hacker các câu hỏi cho thông tin.
 Trong RSE, hacker được cho là có
vị trí cao hơn user hợp pháp, người
thực sự là mục tiêu.
22
5
Một số vấn đề khác
23
Bảo vệ chống lại Social Engineering
 Ba bước để phòng tránh:
 Phát triển một framework quản lý
an ninh
 Đánh giá thực hiện quản lý rủi ro
 Thực hiện phòng vệ social
engineering trong chính sách bảo
mật
24
Dấu hiệu cảnh báo của một cuộc tấn công
Một kẻ tấn công có thể:
 Không có khả năng cung cấp cho số
gọi lại hợp lệ.
 Thực hiện yêu cầu chính thức
 Quyền yêu cầu bồi thường
 Thể hiện một cách vội vàng
 Bất thường khen hay ca ngợi
 Khó chịu khi được hỏi
25
Dấu hiệu cảnh báo của một cuộc tấn công
 Bỏ tên một cách tình cờ
 Đe dọa sẽ xảy ra hậu quả thảm khốc
nếu thông tin không được cung cấp
26
Các giai đoạn tấn công trong Social
Có bốn bước chính:
 Nguyên cứu công ty mục tiêu
 Chọn nạn nhân
 Phát triển các mối quan hệ
 Khai thác các mối quan hệ để đạt
được mục tiêu
27
Hành vi dễ bị tấn công
Sự tin tưởng
Sự thiếu hiểu biết
Sợ hãi
Sự tham lam
Trách nhiệm đạo đức
28
Tác động lên các tổ chức
 Thiệt hại về kinh tế
 Thiệt hại về uy tín
 Mất sự riêng tư
 Nguy hiểm của chủ nghĩa khủng bố
 Các vụ kiện cáo và xét xử
 Đóng của tạm thời hoặc vĩnh viễn
29
Impact on the Organization
Economic losses
Damage of
goodwill
Loss of privacy
30
Impact on the Organization
Dangers of
terrorism
Lawsuits and
arbitrations
Temporary or
permanent
closure
31
Countermeasures
Training
Password
policies
Operational
guidelines
Physical security
policies
32
Countermeasures
Classification of
Information
Access privileges
Background
check of
employees and
proper
termination
process
Proper incidence
response system
33
Policies and Procedures
Policy is the most
critical component
Good policies and
procedures are
ineffective if they
are not taught and
reinforced by the
employees
Employees need to
emphasize their
importance
34
Identity theft
Là hành động đánh cắp thông tin cá
nhân nhằm mục đích trục lợi phi pháp
35
Identity theft
Bước 1:
Lấy thông tin cá nhân của nạn
nhân
Bước 2:
Làm giả giấy tờ, thẻ tín dụng với
thông tin của nạn nhân để tiến hành
trục lợi
36
Identity theft
Tội phạm có thể biến cuộc sống của nạn
nhân thành địa ngục
Nạn nhân phải chịu mọi hậu quả từ
những hành động mà tội phạm thực
hiện dưới danh tính của họ
37
Identity theft
Tín hiệu nhận biết đang là nạn nhân của
identity theft
Tài khoản ngân hàng của bạn bị mất mát hay
dọn sạch.
Không nhận được thư, hoá đơn hay báo cáo hằng
tháng của ngân hàng hay các công ty tín dụng.
Nhận được thẻ tín dụng từ các công ty bán lẻ và
công ty tín dụng mà bạn không yêu cầu cung cấp
Nhận được thông báo về những món hàng mà
bạn chưa hề mua.
38
Identity theft
Cách phòng chống
Thường xuyên theo dõi tài khoản tín dụng
Không tiết lộ thông tin cá nhân cho những
đối tượng không chắc chắn
Cất giữ giấy tờ, dữ liệu cá nhân một cách
an toàn
Khi biết mình đã là nạn nhân
Thông báo cho cảnh sát yêu cầu giúp đỡ
Đóng tài khoản tín dụng ở ngân hàng và
yêu cầu không mở mới
Liên lạc với những nơi kẻ gian mua sắm,
thông báo bạn bị hại
39
6. Tổng kết
40
Tài liệu tham khảo
Slides bài giảng Thương mại điện tử. Website:
http://www.cse.hcmut.edu.vn/~tuyenltk/
downloaded: 20/01/2014.
EC-Council Module 11: Social Engineering
Copyright © by EC-Council
41