Trong chương này, bạn sẽ:
• Kiểm tra các loại tấn công liên quan đến kỹ thuật xã hội
• So sánh và đối chiếu các kỹ thuật xây dựng xã hội khác nhau.
Social engineering là một phương pháp sử dụng con người như một phần của quá trình tấn công. Kỹ thuật xã hội chỉ là một bước trong quy trình tấn công tổng thể, nhưng Social engineering là một cách hiệu quả để bắt đầu một cuộc tấn công vào một hệ thống. Có nhiều hình thức tấn công Social engineering khác nhau nhằm chống lại các thành phần máy tính của hệ thống, nhưng trong mỗi trường hợp, có một điểm khởi đầu mà cuộc tấn công sẽ thực hiện vào hệ thống. Trong chương này, chúng ta xem xét các loại kỹ thuật xã hội Social engineering khác nhau có thể được sử dụng để bắt đầu một chu kỳ tấn công.
Mục tiêu chứng nhận Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 1.1: So sánh và đối chiếu các loại kỹ thuật xây dựng xã hội khác nhau.
Các bài trình bày liên quan về chủ đề Social Engineering Attack
Một số phương án gải mạo trong Pentest + iLab sử dụng SEToolkit
Một số Sectool và Social Phish https://www.youtube.com/watch?v=UW51MID8uW0
Các Phương pháp Kỹ thuật Xã hội Social Engineering
Kỹ thuật xã hội Social engineering là một cuộc tấn công chống lại người dùng và thường liên quan đến một số hình thức tương tác xã hội. Điểm yếu đang được khai thác trong cuộc tấn công không nhất thiết phải là kiến thức kỹ thuật hoặc thậm chí là nhận thức về bảo mật. Kỹ thuật xã hội ở trung tâm của nó liên quan đến việc vận dụng bản chất xã hội của các mối quan hệ giữa các cá nhân. Về bản chất, Social engineering ưa thích một số đặc điểm mà chúng ta có xu hướng mong muốn.
Ví dụ, sẵn sàng giúp đỡ là một đặc điểm mà người ta muốn thấy trong môi trường đồng đội. Chúng ta muốn những nhân viên giúp đỡ lẫn nhau và chúng tôi có xu hướng khen thưởng những người có ích và trừng phạt những người không có ích.
Nếu văn hóa làm việc của chúng ta được xây dựng dựa trên sự hợp tác và làm việc theo nhóm, thì làm thế nào để có thể khai thác điều này? Không đơn giản, nhưng vấn đề có thể được thực hiện thông qua một loạt các nỗ lực tinh vi. Được xây dựng dựa trên khái niệm phát triển cảm giác thân thuộc — khiến bạn có vẻ như là một người thuộc nhóm. Ví dụ, bằng cách đưa bản thân vào một cuộc trò chuyện hoặc cuộc gặp gỡ, trang bị những từ phù hợp và thông tin chính xác, bạn có thể làm cho như thể bạn thuộc về. Thông qua việc đặt tên cẩn thận và sắp xếp câu chuyện của bạn với hiện tại sự kiện và kỳ vọng, bạn có thể bỏ qua mà không được chú ý. Một ví dụ khác là khi đến cửa cùng lúc với một người có thẻ căn cước, tay cầm thứ gì đó trên tay, bạn có thể nhờ họ mở và giữ cửa cho bạn. Một kỹ thuật thành công hơn nữa là có một cuộc trò chuyện trên đường đến cửa về một điều gì đó khiến bạn phù hợp. Mọi người muốn giúp đỡ và chiến thuật này khuyến khích người đó giúp đỡ bạn. Đây có thể là cách mà các điều tra viên thâm nhập các nhóm kín của hacker mũ đen hay tội phạm mạng.
Phương pháp thứ hai liên quan đến việc tạo ra một tình huống thù địch. Mọi người có xu hướng muốn tránh sự thù địch, vì vậy nếu bạn đang tham gia vào một cuộc tranh cãi nảy lửa với ai đó khi bạn vào nhóm mà bạn muốn tham gia — đảm bảo rằng bạn không chỉ thua trong cuộc tranh luận mà còn có vẻ hoàn toàn không công bằng — bạn ngay lập tức có thể xây dựng kết nối với bất kỳ ai từng bị ngược đãi tương tự. Chơi dựa trên sự cảm thông, mong muốn từ bi của họ, và sử dụng tình huống để bỏ qua cơ hội kết nối. Cũng có khả năng các hacker sẽ giả làm người yếu đuối mỏng manh như là giả profile con gái trên facebook nhằm dễ dàng thâm nhập hay chiếm thiện cảm của đối tượng.
Một kỹ sư vận dụng kỹ thuật xã hội Social engineering giỏi hiểu cách sử dụng ngôn ngữ cơ thể để ảnh hưởng đến người khác — cách mỉm cười đúng lúc, cách phản chiếu chuyển động, cách gây ảnh hưởng đến người khác không phải qua lời nói mà thông qua các tín hiệu ngôn ngữ cơ thể. Bất kỳ người phụ nữ nào đã sử dụng ngôn ngữ cơ thể để yêu cầu một người đàn ông làm điều gì đó mà không trực tiếp yêu cầu anh ta làm điều đó hiểu trò chơi này. Đàn ông cũng hiểu, và họ chơi vì họ cũng đang cố gắng đạt được thứ gì đó. Khi ai đó có thông tin quan trọng mà bạn cần cho một dự án, một đề xuất hoặc bất kỳ điều quan trọng nào khác, giao dịch một quid pro quo là một nghi thức bất thành văn. Và nếu bạn làm điều này với một người có ác ý, thì hãy nhớ câu nói, “Hãy coi chừng những người Hy Lạp mang quà tặng”.
LƯU Ý Phần lớn kỹ thuật xã hội Social engineering sẽ ảnh hưởng đến hành vi khuôn mẫu đã biết. Việc nêu chi tiết tài liệu này không có nghĩa là để biện minh cho các hành vi, vì chúng thực tế là sai. Nhưng điều quan trọng là phải theo dõi chúng, vì đây là những công cụ được các kỹ sư xã hội sử dụng — những đứa trẻ đang khóc, tán tỉnh, ẩn nấp trong tầm nhìn dễ thấy (người gác cổng, người tưới cây, người giao bánh pizza). Tất cả chúng ta đều bị che mắt bởi những thành kiến và điều kiện, và các kỹ sư xã hội hay hacker Social engineering biết và khai thác những điểm yếu này. Và nếu bị kêu gọi về hành vi của họ, họ thậm chí sẽ đi theo đó và phản đối quá nhiều hoặc đồng ý quá nhiều – bất cứ điều gì cần thiết để chiến thắng một người. Đừng trở thành người đó — hoặc là những định kiến gây chú ý hoặc là người trở thành con mồi cho họ. Có nhiều tình huống hacker giả mạo làm hân viên bảo trì để … đánh cắp cả ổ cứng của một sân bay tại Hà Lan là tình huống kiểu này.
Cách phòng thủ tốt nhất chống lại các cuộc tấn công kỹ thuật xã hội là một chương trình đào tạo và nâng cao nhận thức toàn diện bao gồm kỹ thuật xã hội, nhưng điều này không có nghĩa là nhân viên phải được đào tạo để trở nên ngoan cố và vô ích. Thay vào đó, đào tạo nên nhấn mạnh giá trị của việc hữu ích và làm việc theo nhóm nhưng làm như vậy trong một môi trường mà sự tin tưởng được xác minh và là một nghi thức không có sự kỳ thị của xã hội. Không ai có thể vượt qua được các nhân viên của Cục Quản lý An ninh Vận tải (TSA) với các kỹ thuật xây dựng các mối quan hệ xã hội, như khi làm thủ tục tại sân bay, họ không cẩn thận thực hiện và tuân theo các quy trình đã đặt ra, nhưng họ thường xuyên thực hiện với thái độ ân cần, lịch sự và giúp đỡ đồng thời đảm bảo rằng các thủ tục soi chiếu luôn được hoàn thành..
MẸO THI: Đối với kỳ thi, hãy làm quen với tất cả các cuộc tấn công kỹ thuật xã hội khác nhau và hiệu quả liên quan của mỗi cuộc tấn công.
Tools
Các công cụ trong hộp công cụ của kỹ sư xã hội Social engineering dựa trên kiến thức về tâm lý học và không nhất thiết phải có kiến thức phức tạp về phần mềm hoặc phần cứng. Kỹ sư xã hội sẽ sử dụng các chiến lược nhằm mục đích khai thác thành kiến và niềm tin của chính mọi người theo cách để ngay lập tức từ chối họ dịch vụ phán xét đúng đắn và việc sử dụng các thủ tục tiêu chuẩn. Việc sử dụng các công cụ kỹ thuật xã hội là bản chất thứ hai đối với một kỹ sư xã hội và với kỹ năng, họ có thể chuyển đổi các công cụ này vào và ra trong bất kỳ trường hợp cụ thể nào, giống như một thợ sửa ống nước sử dụng các công cụ cầm tay khác nhau và quản trị viên hệ thống sử dụng các lệnh OS để đạt được các nhiệm vụ phức tạp. Khi xem bất kỳ chuyên gia nào trong số này làm việc, chúng ta có thể ngạc nhiên về cách họ sử dụng và điều này cũng đúng đối với các kỹ sư xã hội — ngoại trừ các công cụ của họ tinh vi hơn và mục tiêu là con người và sự tin tưởng. Các “kỹ thuật” thường được sử dụng trong nhiều cuộc tấn công kỹ thuật xã hội được mô tả tiếp theo.
Tuy nhiên, các bạn cũng cần biết những công cụ như SET trên Kali Linux, một công cụ được trình bày trong bộ phim nổi tiếng về hacker là Mr Robot.
(Comptia Security+) Chapter 1: Social Engineering Phần 2
Biên soạn bởi CertMaster Đông Dương
Comptia Voucher – CertMaster Lab – Learn
Nguồn Comptia Việt Nam
SECUITY365 