27 March 2011

[Phân tích] Kỹ thuật SOCIAL ENGINEERING


Bài viết liên quan:

Đây là một kỹ thuật được sử dụng rất phổ biến hiện nay, không chỉ trong công việc bảo mật mạng, mà trong cuộc sống chúng ta cũng nên hiểu biết về kỹ thuật này để tránh bị vướng vào trường hợp tương tự.

Và đây là đề tài của nhóm tác giả ( Trần Thị Thùy Mai và Hồ Ngọc Thiện )
Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING

1.1 Khái niệm về Social Engineering:

Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì.
Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công.
Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu.



Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu.
Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người.

Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng.

Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập.


1.2 Thủ thuật:

Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người.
Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị hay sử dụng thông tin đó.
Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối.

Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà attacker muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép attacker làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng :
Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống.
Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.

Xem xét tình huống sau đây:
Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”
Alice: “ Xin chào, tôi là Alice”.
Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này…”
Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.”
Alice: ” Của tôi à..à vâng.”
Attacker: ” Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.”
Alice: ”Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được.”
Alice: ”Password của tôi à?uhm..”
Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”
Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”
Alice: ” Có chắc là mail không bị mất không?”
Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”
Alice: ” Cảm ơn.”
Attacker: ” Chào cô.”


1.3 Điểm yếu của mọi người:

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật.
Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó.
Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại.

Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện.

Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin thì rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.

Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác hơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức nào, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao.

Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.
Chương 2:PHÂN LOẠI

Social engineering có thể chia làm 2 loại: human based và computer based.

2.1 Human-based Social engineering: là việc trao đổi giữa người với người để lấy được thông tin mong muốn. Các kỹ thuật social engineering dựa vào con người có thể đại khái chia thành:

2.1.1 Impersonation: với kiểu tấn công social engineering này, hacker giả làm một nhân viên hay người sử dụng hợp lệ trong hệ thống để đạt được quyền truy xuất. Ví dụ, hacker có thể làm quen với một nhân viên công ty , từ đó thu thập một số thông tin có liên quan đến công ty đó. Có một quy luật được thừa nhận trong giao tiếp xã hội là khi nhận được sự giúp đỡ từ một người nào đó, thì họ sẵn sàng giúp đỡ lại mà không cần điều kiện hay yêu cầu gì cả. (một ân huệ sinh ra một ân huệ ngay cả khi nó đã được đề nghị giúp đỡ mà không có bất cứ yêu cầu từ người nhận). (Điều này được biết như)Có thể xem nó như là một sự biết ơn. Sự biết ơn luôn thấy trong môi trường hợp tác. Một nhân viên (sẽ)sẵn sàng giúp đỡ người khác với (mong muốn)suy nghĩ là sau này có thể người ta sẽ giúp lại họ. Social engineers cố gắng tận dụng đặc điểm xã hội này khi mạo nhận người khác. Những mưu mẹo này đã được sử dụng trong quá khứ cũng như một sự ngụy trang để đạt được sự truy xuất vật lý. Nhiều thông tin có thể được lượm lặt từ bàn giấy, thùng rác thậm chí là sổ danh bạ và biển đề tên ở cửa.

2.1.2
Posing as Important User: Sự mạo nhận đạt tới một mức độ cao hơn bằng cách nắm lấy đặc điểm của một nhân viên quan trọng (để thêm vào một yếu tố của sự đe dọa) lời nói của họ có giá trị và thông thường đáng tin cậy hơn. Yếu tố biết ơn đóng vai trò để nhân viên vị trí thấp hơn sẽ tìm cách giúp đỡ nhân viên vị trí cao hơn để nhận lấy sự quý mến của anh ta. Kẻ tấn công giả dạng như một user quan trọng có thể lôi kéo một nhân viên - người mà (không có sự chuẩn bị rất dễ dàng) . Social engineer sử dụng quyền lực để hăm dọa thậm chí là đe dọa báo cáo nhân viên với người giám sát nhân viên đó nếu họ không cung cấp thông tin theo yêu cầu.

2.1.3
Third-person Authorization: Một kỹ thuật social engineering phổ biến khác là kẻ tấn công bày tỏ là nguồn tài nguyên này anh ta đã được chấp nhận của sự ủy quyền chỉ định. Chẳng hạn một người chịu trách nhiệm cho phép truy xuất đến thông tin nhạy cảm, kẻ tấn công có thể quan sát cẩn thận anh ta và lợi dụng sự vắng mặt của anh ta như là lợi thế để truy xuất tài nguyên. Kẻ tấn công tiếp cận với nhân viên hỗ trợ hoặc người khác và tuyên bố là anh ta đã được chấp nhận để truy xuất thông tin. Đây có thể là hiệu quả đặc biệt nếu người chịu trách nhiệm đang trong kỳ nghỉ hoặc ở ngoài - nơi mà sự xác minh không thể ngay lập tức. Người ta có khuynh hướng làm theo sự giao phó ở nơi làm việc, thậm chí họ nghi ngờ rằng những yêu cầu có thể không hợp pháp. Người ta có khuynh hướng tin rằng những người khác đang thể hiện những quan điểm đúng của họ khi họ tuyên bố. Trừ khi có bằng chứng mạnh mẽ trái ngược lại, không thì người ta sẽ tin rằng người mà họ đang nói chuyện đang nói sự thật về cái họ thấy hoặc cần.

2.1.4
Technical Support: một chiến thuật thường hay được sử dụng, đặc biệt khi nạn nhân không phải là chuyên gia về kỹ thuật. Kẻ tấn công có thể giả làm một người bán phần cứng hoặc kỹ thuật viên hoặc một nhà cung cấp liên quan máy tính và tiếp cận với nạn nhân.

2.1.5
In Person: Kẻ tấn công có thể thực sự cố gắng để tham quan vị trí mục tiêu và quan sát tình hình cho thông tin. Hắn ta có thể cải trang chính anh ta thành người phân phối thư, người lao công hoặc thậm chí rong chơi như một vị khách ở hành lang. Anh ấy có thể giả làm nhà kinh doanh, khách hoặc kỹ thuật viên. Khi ở bên trong, anh ta có thể nhìn password trên màn hình, tìm dữ liệu quan trọng nằm trên bàn hoặc nghe trộm các cuộc nói chuyện bí mật. Có 2 kỹ thuật được sử dụng bởi attacker. Đó là:

2.1.5.1
Dumpster Diving: tìm kiếm trong thùng rác, thông tin được viết trên mảnh giấy hoặc bản in máy tính. Hacker có thể tìm thấy password, filename, hoặc những mẩu thông tin bí mật.

2.1.5.2
Shoulder Surfing: là một kỹ thuật thu thập password bằng cách xem qua vai người khác khi họ đăng nhập vào hệ thống. Hacker có thể xem người sử dụng hợp lệ đăng nhập và sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống.
Khi ở bên trong, kẻ xâm nhập có cả một menu các sách lược để chọn, bao gồm đi lang thang những hành lang của tòa nhà để tìm kiếm các văn phòng trống với tên đăng nhập mà mật khẩu của nhân viên đính trên pc của họ; đi vào phòng mail để chèn các bản ghi nhớ giả mạo vào hệ thống mail server công ty; cố gắng đạt quyền truy xuất đến phòng server hay phòng điện thoại để lấy nhiều thông tin hơn từ hệ thống đang vận hành; đặt bộ phân tích protocol trong wiring closet để bắt gói dữ liệu, username, và password hay chỉ đơn giản đánh cắp thông tin nhằm đến.
Ví dụ: Một người gọi cho nhân viên hỗ trợ và nói là anh ta quên mất password. Trong sự hoảng sợ, anh ta còn nói thêm là nếu anh ta nhỡ hạn cuối của một dự án quảng cáo thì ông chủ có thể đuổi việc anh ta. Người nhân viên hỗ trợ cảm thấy thông cảm cho anh ta và nhanh chóng khởi động lại password, việc làm này giúp cho hacker xâm nhập vào hệ thống mạng của công ty.
Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại:
·Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám.
·Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.

2.2 Computer-based Social engineering: là sử dụng các phần mềm để lấy được thông tin mong muốn. Có thể chia thành các loại như sau:

2.2.1 Phising: Thuật ngữ này áp dụng cho một email xuất hiện đến từ một công ty kinh doanh, ngân hàng hoặc thẻ tín dụng yêu cầu chứng thực thông tin và cảnh báo sẽ xảy ra hậu quả nghiêm trọng nếu việc này không được làm. Lá thư thường chứa một đường link đến một trang web giả mạo trông hợp pháp với logo của công ty và nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng hoặc số pin.

2.2.2 Vishing: Thuật ngữ là sự kết hợp của “voice” và phishing. Đây cũng là một dạng phising, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và Voip tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng Voip.

2.2.3 Pop-up Windows: Một cửa sổ sẽ xuất hiện trên màn hình nói với user là anh ta đã mất kết nối và cần phải nhập lại username và password. Một chương trình đã được cài đặt trước đó bởi kẻ xâm nhập sau đó sẽ email thông tin đến một website ở xa.

2.2.4 Mail attachments: Có 2 hình thức thông thường có thể được sử dụng. Đầu tiên là mã độc hại. Mã này sẽ luôn luôn ẩn trong một file đính kèm trong email. Với mục đích là một user không nghi ngờ sẽ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova( trong trường hợp này file đính kèm tên là AnnaKournikova.jpg.vbs. Nếu tên file đó bị cắt bớt thì nó sẽ giống như file jpg và user sẽ không chú ý phần mở rộng .vbs). Thứ hai cũng có hiệu quả tương tự, bao gồm gởi một file đánh lừa hỏi user để xóa file hợp pháp. Chúng được lập kế hoạch để làm tắc nghẽn hệ thống mail bằng cách báo cáo một sự đe dọa không tồn tại và yêu cầu người nhận chuyển tiếp một bản sao đến tất cả bạn và đồng nghiệp của họ. Điều này có thể tạo ra một hiệu ứng gọi là hiệu ứng quả cầu tuyết.

2.2.5 Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạy cảm, chẳng hạn như password họ sử dụng tại nơi làm việc. Ví dụ, một website có thể tạo ra một cuộc thi hư cấu, đòi hỏi user điền vào địa chỉ email và password. Password điền vào có thể tương tự với password được sử dụng cá nhân tại nơi làm việc. Nhiều nhân viên sẽ điền vào password giống với password họ sử dụng tại nơi làm việc, vì thế social engineer có username hợp lệ và password để truy xuất vào hệ thống mạng tổ chức.

2.2.6 Interesting Software: Trong trường hợp này nạn nhân được thuyết phục tải về và cài đặt các chương trình hay ứng dụng hữu ích như cải thiện hiệu suất của CPU, RAM, hoặc các tiện ích hệ thống hoặc như một crack để sử dụng các phần mềm có bản quyền. Và một Spyware hay Malware ( chẳng hạn như Keylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trang dưới một chương trình hợp pháp.

Chương 3: CÁC BƯỚC TẤN CÔNG TRONG SOCIAL ENGINEERING3.1Thu thập thông tin: Một trong những chìa khóa thành công của Social Engineering là thông tin. Đáng ngạc nhiên là dễ dàng thu thập đầy đủ thông tin của một tổ chức và nhân viên trong tổ chức đó. Các tổ chức có khuynh hướng đưa quá nhiều thông tin lên website của họ như là một phần của chiến lược kinh doanh. Thông tin này thường mô tả hay đưa ra các đầu mối như là các nhà cung cấp có thể ký kết; danh sách điện thoai và email; và chỉ ra có chi nhánh hay không nếu có thì chúng ở đâu. Tất cả thông tin này có thể là hữu ích với các nhà đầu tư tiềm năng, nhưng nó cũng có thể bị sử dụng trong tấn công Social Engineering. Những thứ mà các tổ chức ném đi có thể là nguồn tài nguyên thông tin quan trọng. Tìm kiếm trong thùng rác có thể khám phá hóa đơn, thư từ, sổ tay,.. có thể giúp cho kẻ tấn công kiếm được các thông tin quan trọng. Mục đích của kẻ tấn công trong bước này là hiểu càng nhiều thông tin càng tốt để làm ra vẻ là nhân viên, nhà cung cấp, đối tác chiến lược hợp lệ,… 
3.2Chọn mục tiêu: Khi khối lượng thông tin phù hợp đã được tập hợp, kẻ tấn công tìm kiếm điểm yếu đáng chú ý trong nhân viên của tổ chức đó. Mục tiêu thông thường là nhân viên hỗ trợ, được tập luyện để đưa sự giúp đỡ và có thể thay đổi password, tạo tài khoản, kích hoạt lại tài khoản,… Mục đích của hầu hết kẻ tấn công là tập hợp thông tin nhạy cảm và lấy một vị trí trong hệ thống. Kẻ tấn công nhận ra là khi chúng có thể truy cập, thậm chí là cấp độ khách, thì chúng có thể nâng quyền lên, bắt đầu tấn công phá hoại và che giấu vết.Trợ lý administrator là mục tiêu kế tiếp. Đó là vì các cá nhân này có thể tiếp cận với các dữ liệu nhạy cảm thông thường được lưu chuyển giữa các thành viên quản trị cấp cao. Nhiều các trợ lý này thực hiện các công việc hàng ngày cho quản lý của họ mà các công việc này yêu cầu đặc quyền tài khoản của người quản lý. 
3.3Tấn công: Sự tấn công thực tế thông thường dựa trên cái mà chúng ta gọi đó là “sự lường gạt”. Gồm có 3 loại chính: 
oEgo attack: trong loại tấn công đầu tiên này, kẻ tấn công dựa vào một vài đặc điểm cơ bản của con người. Tất cả chúng ta thích nói về chúng ta thông minh như thế nào và chúng ta biết hoặc chúng ta đang làm hoặc hiệu chỉnh công ty ra sao. Kẻ tấn công sẽ sử dụng điều này để trích ra thông tin từ nạn nhân của chúng. Kẻ tấn công thường chọn nạn nhân là người cảm thấy bị đánh giá không đúng mức và đang làm việc ở vị trí mà dưới tài năng của họ. Kẻ tấn công thường có thể phán đoán ra điều này chỉ sau một cuộc nói chuyện ngắn.
 oSympathy attacks: Trong loại tấn công thứ hai này, kẻ tấn công thường giả vờ là nhân viên tập sự, một nhà thầu, hoặc một nhân viên mới của một nhà cung cấp hoặc đối tác chiến lược, những người này xảy ra tình huống khó xử và cần sự giúp đỡ đề thực hiện xong nhiệm vụ. Sự quan trọng của bước thu thập trở nên rõ ràng ở đây, khi kẻ tấn công sẽ tạo ra sự tin cậy với nạn nhân bằng cách dùng các từ chuyên ngành thích hợp hoặc thể hiện kiến thức về tổ chức. Kẻ tấn công giả vờ là hắn đang bận và phải hoàn thành một vài nhiệm vụ mà yêu cầu truy xuất, nhưng hắn không thể nhớ username và password,… Một cảm giác khẩn cấp luôn luôn là phần trong kịch bản. Với bản tính con người là thông cảm nên trong hầu hết các trường hợp yêu cầu sẽ được chấp nhận. Nếu kẻ tấn công thất bại khi lấy truy xuất hoặc thông tin từ một nhân viên, hắn sẽ tiếp tục cố gắng cho đến khi tìm thấy người thông cảm, hoặc cho đến khi hắn nhận ra là tổ chức nghi ngờ. 
oIntimidation attacks: Với loại thứ ba, kẻ tấn công giả vờ là là một nhân vật có quyền, như là một người có ảnh hưởng trong tổ chức. Kẻ tấn công sẽ nhằm vào nạn nhân có vị trí thấp hơn vị trí của nhân vật mà hắn giả vờ. Kẻ tấn công tạo một lý do hợp lý cho các yêu cầu như thiết lập lại password, thay đổi tài khoản, truy xuất đến hệ thống, hoặc thông tin nhạy cảm

0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))