SECUITY365

CERT MASTER

, ,
2 comments on (Comptia Security+) Chapter 1: Social Engineering Phần 2

(Comptia Security+) Chapter 1: Social Engineering Phần 2

(Comptia Security+) Chapter 1: Social Engineering Phần 1

Phishing (Lừa đảo)

Phishing               (phát âm là “fishing”) là một loại kỹ thuật xã hội trong đó kẻ tấn công cố gắng lấy thông tin nhạy cảm từ người dùng bằng cách giả dạng một thực thể đáng tin cậy trong e-mail hoặc tin nhắn tức thì được gửi đến một nhóm lớn người dùng thường ngẫu nhiên. Kẻ tấn công cố gắng lấy thông tin như tên người dùng, mật khẩu, số thẻ tín dụng và thông tin chi tiết về tài khoản ngân hàng của người dùng. Thông báo được gửi thường khuyến khích người dùng truy cập trang web dường như dành cho một tổ chức có uy tín như PayPal hoặc eBay, cả hai đều thường xuyên được sử dụng để lừa đảo. Tuy nhiên, trang web mà người dùng thực sự truy cập không thuộc sở hữu của tổ chức có uy tín và yêu cầu người dùng cung cấp thông tin có thể được sử dụng trong một cuộc tấn công sau này. Thông thường được gửi đến người dùng cho biết rằng tài khoản của người dùng đã bị xâm phạm và yêu cầu người dùng nhập thông tin tài khoản của họ để xác minh chi tiết vì mục đích bảo mật.

Trong một ví dụ rất phổ biến khác về lừa đảo, kẻ tấn công gửi một e-mail hàng loạt, được cho là từ một ngân hàng, cho người nhận biết rằng đã xảy ra vi phạm bảo mật và hướng dẫn họ nhấp vào một liên kết để xác minh rằng tài khoản của họ không bị giả mạo. Nếu cá nhân thực sự nhấp vào liên kết, họ sẽ được đưa đến một trang web dường như thuộc sở hữu của ngân hàng nhưng thực tế lại bị kẻ tấn công kiểm soát. Khi họ cung cấp tài khoản và mật khẩu của mình cho mục đích “xác minh”, cá nhân đó đang thực sự cung cấp cho kẻ tấn công. Ví dụ các email giả mạo từ Paypal có domain là Paypai hoặc ẩn link dưới các dòng chữ đầy thân thiện hoặc cảnh báo, hăm dọa

MẸO THI Lừa đảo hiện là hình thức tấn công kỹ thuật xã hội phổ biến nhất liên quan đến bảo mật máy tính. Mục tiêu có thể là một hệ thống máy tính và quyền truy cập vào thông tin được tìm thấy trên đó (như trường hợp lừa đảo yêu cầu ID người dùng và mật khẩu), hoặc nó có thể là thông tin cá nhân, nói chung là tài chính, về một cá nhân (trong trường hợp những nỗ lực lừa đảo yêu cầu thông tin ngân hàng của một cá nhân).

Smishing

Smishing              là một cuộc tấn công sử dụng Dịch vụ tin nhắn ngắn (SMS) trên điện thoại di động của nạn nhân. Nó là một phiên bản của lừa đảo qua SMS. Nó bắt đầu bằng một tin nhắn SMS hướng người dùng đến một URL có thể phân phát nhiều loại vectơ tấn công, bao gồm cả các dạng phần mềm độc hại. Cuộc tấn công này hoạt động chủ yếu do việc sử dụng tính khẩn cấp và đe dọa trong tin nhắn, có thể sử dụng cảnh báo như “Bạn đã đăng ký dịch vụ XYZ, dịch vụ này sẽ bắt đầu thanh toán thường xuyên là 2 đô la một tháng. Nhấp vào đây để hủy đăng ký trước khi thanh toán diễn ra. ” Khi người dùng nhấp vào URL, giai đoạn tiếp theo của cuộc tấn công có thể bắt đầu. Ví dụ như hình sau đây là một cảnh báo giả mạo ta thường gặp.

Vishing

Vishing Truy cập là một biến thể của lừa đảo sử dụng công nghệ giao tiếp bằng giọng nói để lấy thông tin mà kẻ tấn công đang tìm kiếm. Vishing lợi dụng sự tin tưởng mà một số người đặt vào mạng điện thoại. Người dùng không biết rằng những kẻ tấn công có thể giả mạo (mô phỏng) các cuộc gọi từ các thực thể hợp pháp bằng cách sử dụng công nghệ Thoại qua IP (VoIP). Nhắn tin thoại cũng có thể bị xâm phạm và sử dụng trong những nỗ lực này. Chiến thuật này được sử dụng để thiết lập một hình thức tin cậy sau đó được kẻ tấn công khai thác qua điện thoại. Nói chung, kẻ tấn công hy vọng có được số thẻ tín dụng hoặc thông tin khác có thể được sử dụng để đánh cắp danh tính. Người dùng có thể nhận được một e-mail yêu cầu họ gọi đến một số được trả lời bởi một hệ thống tin nhắn thoại có khả năng bị xâm phạm. Người dùng cũng có thể nhận được một tin nhắn được ghi lại dường như đến từ một thực thể hợp pháp. Trong cả hai trường hợp, người dùng sẽ được khuyến khích phản hồi nhanh chóng và cung cấp thông tin nhạy cảm để quyền truy cập vào tài khoản của họ không bị chặn. Nếu người dùng nhận được tin nhắn tự nhận là từ một tổ chức có uy tín và yêu cầu cung cấp thông tin nhạy cảm, người dùng không nên cung cấp thông tin đó mà thay vào đó nên sử dụng Internet hoặc kiểm tra bảng sao kê tài khoản hợp pháp để tìm số điện thoại có thể được sử dụng để liên hệ thực thể. Sau đó, người dùng có thể xác minh rằng thông báo nhận được là hợp pháp và báo cáo nỗ lực truy cập.

LƯU Ý Bạn có thể tìm thấy một video tuyệt vời cho thấy việc sử dụng một số công cụ kỹ thuật xã hội tại  https://www.youtube.com/watch?v=lc7scxvKQOo   (“Đây là cách tin tặc tấn công bạn bằng kỹ thuật xã hội đơn giản”). Video này minh họa việc sử dụng khả năng hiển thị để lấy cắp thông tin đăng nhập điện thoại di động của ai đó.

MẸO THI Lừa đảo, đánh lừa, đánh lừa — đây là những cuộc tấn công chống lại trạng thái nhận thức của người dùng. Sử dụng các nguyên tắc về tính hiệu quả, được thảo luận ở phần sau của chương, người ta có thể tạo ra một thông điệp khiến khả năng trở thành nạn nhân của những cuộc tấn công này cao hơn. Cuộc tấn công là sự kết hợp của các yếu tố kỹ thuật và áp lực tâm lý, và chúng cùng nhau khiến người dùng phải cắn câu và nhấp vào liên kết.

Spam

Spam, như mọi người đều biết, là e-mail không được yêu cầu có số lượng lớn. Mặc dù thường không được nhiều người coi là một vấn đề kỹ thuật xã hội, hoặc thậm chí là một vấn đề bảo mật cho vấn đề đó, nhưng spam vẫn có thể là một mối lo ngại về bảo mật. Nó có thể hợp pháp theo nghĩa là nó được gửi bởi một công ty quảng cáo một sản phẩm hoặc dịch vụ, nhưng nó cũng có thể độc hại và có thể bao gồm một tệp đính kèm chứa phần mềm độc hại được thiết kế để gây hại cho hệ thống của bạn hoặc một liên kết đến một trang web độc hại có thể cố gắng lấy thông tin cá nhân từ bạn. Vì thư rác không được yêu cầu, nên luôn luôn xem xét nguồn trước khi nhấp vào bất kỳ liên kết nào hoặc trả lời trực tiếp. Bởi vì spam có thể dẫn đến việc người dùng nhấp vào liên kết, nó phải được coi là một hình thức thay đổi hành vi của con người hoặc kỹ thuật xã hội.

Spam        over Instant     Messaging (SPIM)

Mặc dù không được biết đến nhiều nhưng một biến thể của thư rác là SPIM, về cơ bản là thư rác được gửi qua ứng dụng nhắn tin tức thời. Mục đích của SPIM thù địch cũng giống như mục đích của spam — khiến người dùng không nghi ngờ nhấp vào nội dung hoặc liên kết độc hại, do đó bắt đầu cuộc tấn công.

Spear        Phishing

Spear phishing là một thuật ngữ được tạo ra để chỉ một cuộc tấn công lừa đảo nhằm vào một người hoặc một nhóm người cụ thể có điểm chung. Bởi vì cuộc tấn công nhắm mục tiêu vào một nhóm cụ thể, chẳng hạn như các giám đốc điều hành cấp cao, tỷ lệ các cuộc tấn công thành công (tức là số phản hồi nhận được) trên tổng số e-mail hoặc tin nhắn được gửi thường tăng lên vì một cuộc tấn công có chủ đích sẽ có vẻ hợp lý hơn một tin nhắn được gửi đến người dùng một cách ngẫu nhiên.

Dumpster         Diving

Quá trình đi qua thùng rác của mục tiêu với hy vọng tìm thấy thông tin có giá trị có thể được sử dụng trong một nỗ lực thâm nhập được cộng đồng bảo mật gọi là lặn người bán phá giá. Một nơi phổ biến để tìm kiếm thông tin, nếu kẻ tấn công ở gần mục tiêu, nằm trong thùng rác của mục tiêu. Kẻ tấn công có thể tìm thấy những mẩu thông tin nhỏ có thể hữu ích cho một cuộc tấn công. Tuy nhiên, chiến thuật này không phải là duy nhất đối với cộng đồng máy tính; nó đã được sử dụng trong nhiều năm bởi những người khác, chẳng hạn như kẻ trộm danh tính, điều tra viên tư nhân và nhân viên thực thi pháp luật, để lấy thông tin về một cá nhân hoặc tổ chức. Nếu kẻ tấn công rất may mắn và quy trình bảo mật của mục tiêu rất kém, chúng có thể thực sự tìm thấy ID người dùng và mật khẩu.

Kẻ tấn công có thể thu thập nhiều loại thông tin có thể hữu ích trong một cuộc tấn công kỹ thuật xã hội. Ở hầu hết các địa điểm, thùng rác không còn được coi là tài sản riêng sau khi nó đã bị vứt bỏ (và ngay cả những nơi việc lặn biển là bất hợp pháp, việc thực thi ít xảy ra). Một tổ chức nên có các chính sách về việc loại bỏ nguyên vật liệu. Thông tin nhạy cảm nên được cắt nhỏ và tổ chức nên xem xét việc bảo vệ thùng rác để các cá nhân không thể tìm thấy nó. Mọi người cũng nên xem xét việc cắt nhỏ thông tin cá nhân hoặc thông tin nhạy cảm mà họ muốn loại bỏ vào thùng rác của riêng mình. Một máy hủy tài liệu chất lượng hợp lý không đắt và rất xứng đáng với giá tiền khi so sánh với tổn thất tiềm ẩn có thể xảy ra do hành vi trộm cắp danh tính.

Shoulder Surfing

Shoulder surfing không nhất thiết phải tiếp xúc trực tiếp với mục tiêu; thay vào đó, kẻ tấn công trực tiếp quan sát cá nhân nhập thông tin nhạy cảm trên biểu mẫu, bàn phím hoặc bàn phím. Chẳng hạn, kẻ tấn công có thể chỉ nhìn qua vai của người dùng tại nơi làm việc, hoặc có thể thiết lập camera hoặc sử dụng ống nhòm để xem người dùng đang nhập dữ liệu nhạy cảm. Kẻ tấn công có thể cố lấy thông tin như số nhận dạng cá nhân (PIN) tại máy rút tiền tự động (ATM), mã kiểm soát ra vào tại cổng hoặc cửa an toàn, hoặc số thẻ gọi điện thoại hoặc thẻ tín dụng. Nhiều địa điểm hiện sử dụng màn hình hoặc bộ lọc riêng tư để bao quanh bàn phím để khó có thể quan sát ai đó khi họ nhập thông tin. Các hệ thống phức tạp hơn thực sự có thể xáo trộn vị trí của các số để hàng trên cùng một lúc bao gồm các số 1, 2 và 3 và lần tiếp theo bao gồm 4, 8 và 0. Mặc dù điều này làm cho người dùng chậm hơn một chút. để nhập thông tin, nó ngăn chặn nỗ lực của kẻ tấn công để quan sát những số nào được nhấn và sau đó nhập cùng một mẫu nút vì vị trí của các số liên tục thay đổi.

Pharming

Pharming            bao gồm việc chuyển hướng người dùng sai đến các trang web giả mạo được tạo ra để trông chính thức. Bằng cách sử dụng lừa đảo, những kẻ tấn công nhắm mục tiêu từng cá nhân, từng người một, bằng cách gửi e-mail. Để trở thành nạn nhân, người nhận phải thực hiện một hành động (ví dụ: phản hồi bằng cách cung cấp thông tin cá nhân). Trong dược phẩm, người dùng sẽ được chuyển hướng đến trang web giả mạo do kết quả của hoạt động như nhiễm độc DNS (một cuộc tấn công làm thay đổi URL trong bảng tên miền của máy chủ) hoặc sửa đổi tệp máy chủ cục bộ (được sử dụng để chuyển đổi URL cho phù hợp Địa chỉ IP). Khi truy cập trang web giả mạo, người dùng có thể cung cấp thông tin cá nhân, tin rằng họ được kết nối với trang web hợp pháp..

Tailgating

Tailgating (or piggybacking) là chiến thuật đơn giản theo dõi sát sao một người vừa sử dụng thẻ truy cập hoặc mã PIN của chính họ để có quyền truy cập thực tế vào một căn phòng hoặc tòa nhà. Mọi người thường vội vàng và thường sẽ không tuân theo các quy trình và thủ tục an ninh thể chất tốt. Những kẻ tấn công biết điều này và có thể cố gắng khai thác đặc điểm này trong hành vi của con người. Do đó, kẻ tấn công có thể truy cập vào cơ sở mà không cần biết mã truy cập hoặc phải có thẻ truy cập. Nó tương tự như lướt vai ở chỗ nó dựa vào việc kẻ tấn công lợi dụng một người dùng được ủy quyền không tuân theo các quy trình bảo mật. Thông thường, kẻ tấn công thậm chí có thể bắt đầu cuộc trò chuyện với mục tiêu trước khi đến cửa để người dùng có thể thoải mái hơn khi cho phép cá nhân vào mà không thách thức họ. Theo nghĩa này, cõng có liên quan đến các cuộc tấn công kỹ thuật xã hội.

Cả kỹ thuật tấn công cõng và lướt vai đều dựa vào các phương pháp bảo mật kém của người dùng được ủy quyền để thành công. Do đó, cả hai kỹ thuật này có thể dễ dàng chống lại bằng cách đào tạo nhân viên sử dụng các quy trình đơn giản để đảm bảo không ai theo dõi họ quá chặt chẽ hoặc có thể quan sát hành động của họ. Một biện pháp đối phó phức tạp hơn đối với việc cõng rắn chắc là sử dụng một chiếc áo choàng, sử dụng hai cánh cửa để vào được cơ sở. Cánh cửa thứ hai không mở cho đến khi cánh cửa thứ nhất đóng lại, và các cánh cửa được đặt cách nhau gần nhau để tạo thành một vòng vây chỉ cho phép một cá nhân đi qua tại một thời điểm..

Eliciting Information

Các cuộc gọi đến hoặc từ bộ phận trợ giúp và đơn vị hỗ trợ kỹ thuật có thể được sử dụng để thu thập thông tin. Một kỹ sư xã hội lành nghề có thể sử dụng một loạt các kỹ thuật tâm lý để thuyết phục mọi người, những người có công việc chính là giúp đỡ người khác, thực hiện các nhiệm vụ dẫn đến các thỏa hiệp an ninh. Trong vai một nhân viên, kẻ tấn công có thể lấy lại mật khẩu, thông tin về một số hệ thống hoặc thông tin hữu ích khác. Cuộc gọi cũng có thể đi theo hướng khác, nơi mà kỹ sư xã hội đang đóng vai trò là người trợ giúp hoặc người hỗ trợ công nghệ. Sau đó, bằng cách gọi nhân viên, kẻ tấn công có thể nhận được thông tin về trạng thái hệ thống và các yếu tố thú vị khác mà chúng có thể sử dụng sau này.

Whaling

Các mục tiêu có giá trị cao được gọi là cá voi. Do đó, một cuộc tấn công săn bắt cá voi là một cuộc tấn công mà mục tiêu là một người có giá trị cao, chẳng hạn như Giám đốc điều hành hoặc Giám đốc tài chính. Các cuộc tấn công săn bắt cá voi không được thực hiện bằng cách tấn công nhiều mục tiêu và hy vọng nhận được phản hồi, mà là các cuộc tấn công tùy chỉnh được xây dựng để tăng tỷ lệ thành công. Lừa đảo qua lời nói là một phương pháp phổ biến được sử dụng để chống lại cá voi, vì thông tin liên lạc được thiết kế để có vẻ là hoạt động kinh doanh thông thường cho mục tiêu, được tạo ra để có vẻ không nguy hiểm. Cá voi có thể bị lừa theo cách tương tự như bất kỳ người nào khác; sự khác biệt là nhóm mục tiêu bị giới hạn, vì vậy kẻ tấn công không thể dựa vào lợi nhuận ngẫu nhiên từ một nhóm mục tiêu rộng.

Prepending

Prepending được định nghĩa là hành động thêm một thứ khác vào đầu một mục. Khi được sử dụng trong bối cảnh kỹ thuật xã hội, chi tiêu trước là hành động cung cấp thông tin mà người khác sẽ hành động, thường xuyên trước khi họ yêu cầu, nhằm cố gắng hợp pháp hóa yêu cầu thực tế, yêu cầu này đến sau đó. Bằng cách sử dụng các cấu trúc tâm lý của quyền hạn, kẻ tấn công có thể sử dụng quyền ưu tiên bằng cách nói rằng họ được gửi bởi sếp của mục tiêu hoặc một nhân vật có thẩm quyền khác, như một phương tiện để biện minh tại sao mục tiêu nên thực hiện một hành động action—typically là hành động đó, trong trường hợp không có chi tiêu trước, sẽ không bình thường.

Identity Fraud (Gian lận danh tính)

Identity fraud     là một cuộc tấn công sử dụng Dịch vụ tin nhắn ngắn (SMS) trên điện thoại di động của nạn nhân. Nó là một phiên bản của lừa đảo qua SMS. Nó bắt đầu bằng một tin nhắn SMS hướng người dùng đến một URL có thể cung cấp nhiều loại vectơ tấn công, bao gồm cả các dạng phần mềm độc hại. Cuộc tấn công này hoạt động chủ yếu do sử dụng tính cấp bách và lời đe dọa trong tin nhắn, có thể sử dụng cảnh báo chẳng hạn như “Bạn đã đăng ký dịch vụ XYZ, sẽ bắt đầu các hóa đơn thường xuyên là 2 đô la một tháng. Nhấp vào đây để hủy đăng ký trước khi thanh toán diễn ra. ” Khi người dùng nhấp vào URL, giai đoạn tiếp theo của cuộc tấn công có thể bắt đầu.

Invoice Scams

Invoice scams sử dụng một hóa đơn giả để cố gắng yêu cầu một công ty thanh toán cho những thứ mà họ đã không đặt hàng. Tiền đề rất đơn giản: gửi một hóa đơn giả và sau đó được thanh toán. Trên thực tế, vì hầu hết các công ty đều có các biện pháp kiểm soát kế toán khá chặt chẽ, nên trò lừa đảo liên quan đến việc nhờ ai đó bên ngoài nhóm kế toán bắt đầu quy trình, cho thấy tính hợp pháp. Tất cả điều này có vẻ như sẽ không hoạt động, nhưng tội phạm mạng thu về hàng tỷ đô la theo nghĩa đen bằng cách sử dụng phương pháp này. Các mặt hàng phổ biến được sử dụng trong các trò gian lận là các sản phẩm văn phòng như mực in và đồ dùng văn phòng điển hình, sản phẩm tẩy rửa, tư cách thành viên tổ chức và một loạt các dịch vụ công ty. Đôi khi, để thêm phần khẩn cấp, một thông báo cuối cùng được bao gồm, đe dọa sẽ báo cáo tổ chức với cơ quan thu phí, do đó khiến một người do dự trước khi vứt bỏ hóa đơn..

Credential        Harvesting (Thu hoạch thông tin xác thực)

Credential harvesting liên quan đến việc thu thập thông tin xác thực, chẳng hạn như ID người dùng, mật khẩu, v.v., cho phép kẻ tấn công chuyển một loạt quyền truy cập vào hệ thống. Một hình thức thu thập thông tin đăng nhập phổ biến bắt đầu bằng một e-mail lừa đảo thuyết phục người dùng nhấp vào một liên kết và đáp lại, đưa ra một bản sao của trang web ngân hàng của họ. Người dùng thường không kiểm tra cài đặt bảo mật của kết nối trình duyệt của họ và khi họ nhập ID người dùng và mật khẩu, thông tin đăng nhập của họ sẽ bị tội phạm thu thập và lưu trữ để sử dụng sau này.

Mục tiêu của thu hoạch chứng chỉ là để có được chứng chỉ. Khi tội phạm đã lừa bạn cung cấp thông tin đăng nhập của bạn, chúng sẽ chuyển hướng bạn đến đúng trang web hoặc cung cấp lỗi và kết nối mới đến đúng trang web để bạn thử lại. Họ muốn che giấu sự thật rằng họ đã đánh cắp thông tin đăng nhập của bạn. Phương pháp tấn công này đã rất thành công và hiện nay các công ty tài chính đang thực hiện tiêu chuẩn theo một ID người dùng và mật khẩu thông thường với truy vấn yếu tố thứ hai, nằm ngoài băng tần để ngăn chặn việc sử dụng thông tin đăng nhập đã thu thập được sau này. Mặc dù điều này tạo thêm một lớp phức tạp và bất tiện cho người dùng, nhưng nó đã trở thành một thông lệ được chấp nhận và cần thiết để ngăn chặn việc tái sử dụng thông tin đăng nhập đã thu hoạch.

LƯU Ý Nhiều cuộc tấn công được thiết kế để lấy thông tin đăng nhập của người dùng. Bất kỳ thông tin đăng nhập nào bạn có thể chia sẻ đều là rủi ro và để chống lại rủi ro này, các tổ chức đã áp dụng xác thực hai yếu tố. Yếu tố thứ hai là một phương pháp xác định người dùng khác và thường là duy nhất và chỉ có giá trị trong một thời gian giới hạn. Một ví dụ là khi bạn đăng nhập vào trang web ngân hàng của mình, bạn sẽ nhận được một tin nhắn văn bản có mã để cho phép bạn nhập. Việc sử dụng mã này làm phức tạp đáng kể vấn đề đối với kẻ tấn công nếu họ lấy được thông tin đăng nhập của bạn.

Reconnaissance

Reconnaissance là một thuật ngữ quân sự được sử dụng để mô tả các hành động khảo sát chiến trường để thu thập thông tin trước khi xảy ra chiến sự. Trong lĩnh vực an ninh mạng, khái niệm cũng giống nhau: kẻ thù sẽ kiểm tra các hệ thống mà chúng định tấn công, sử dụng một loạt các phương pháp. Một số phương pháp này nằm ngoài tầm ngắm của nạn nhân: tìm kiếm trên Google, tìm kiếm hồ sơ công khai, v.v. Nhưng các khía cạnh khác liên quan đến việc trực tiếp thao túng mọi người để đạt được thông tin. Khảo sát biểu đồ tổ chức của công ty, gọi điện và hỏi thông tin liên lạc của mọi người và xây dựng danh bạ nhân sự, đặt câu hỏi về phần cứng và phần mềm thông qua khảo sát và đọc thông cáo báo chí đều có thể được sử dụng để thu thập thông tin mô tả về hệ thống sẽ bị tấn công. Mặc dù hầu hết các hoạt động do thám được chấp nhận là không thể tránh khỏi, nhưng một số trong số đó được hỗ trợ thông qua các thông cáo báo chí cho thế giới biết đối tác bảo mật của bạn là ai, bạn đang sử dụng sản phẩm nào, v.v. Mỗi mục thông tin này sẽ được sử dụng sau này như một phần của quá trình tấn công. Những điểm yếu đã biết đối với các sản phẩm cụ thể có thể được sử dụng và dễ dàng tìm thấy hơn nếu kẻ tấn công biết công ty đang sử dụng sản phẩm nào. Thực hiện trinh sát chắc chắn trước khi tấn công cung cấp cho kẻ tấn công các yếu tố thông tin quan trọng sau này khi cần đến các vật phẩm này.

Hoax

Thoạt nhìn, có vẻ như một trò lừa bịp liên quan đến bảo mật sẽ được coi là một sự phiền toái và không phải là một vấn đề an ninh thực sự. Đây có thể là trường hợp của một số trò lừa bịp, đặc biệt là những trò lừa bịp thuộc kiểu truyền thuyết đô thị, nhưng thực tế của tình huống là một trò lừa bịp có thể rất nguy hiểm nếu nó khiến người dùng thực hiện một số hành động làm suy yếu tính bảo mật. Ví dụ, một trò lừa bịp thực sự đã mô tả một phần mềm độc hại mới, có tính phá hoại cao. Nó hướng dẫn người dùng kiểm tra sự tồn tại của một tệp nhất định và xóa nó nếu tệp được tìm thấy. Trên thực tế, tệp được đề cập là một tệp quan trọng được hệ điều hành sử dụng và việc xóa nó sẽ gây ra sự cố vào lần khởi động hệ thống tiếp theo. Thiệt hại do người dùng sửa đổi cài đặt bảo mật có thể nghiêm trọng. Cũng như các hình thức kỹ thuật xã hội khác, đào tạo và nâng cao nhận thức là tuyến phòng thủ đầu tiên và tốt nhất cho cả người dùng và quản trị viên. Người dùng nên được đào tạo để nghi ngờ về những e-mail và câu chuyện bất thường và nên biết liên hệ với ai trong tổ chức để xác minh tính hợp lệ của chúng nếu chúng được nhận. Một trò lừa bịp thường khuyên người dùng gửi nó cho bạn bè của họ để họ cũng biết về vấn đề này — và bằng cách đó, người dùng sẽ giúp phát tán trò lừa bịp. Người dùng cần phải nghi ngờ về bất kỳ email nào yêu cầu họ “truyền bá thông tin”.

Impersonation (mạo danh)

Impersonation là một kỹ thuật xã hội phổ biến và có thể được sử dụng theo nhiều cách. Nó có thể xảy ra trực tiếp, qua điện thoại hoặc trực tuyến. Trong trường hợp tấn công mạo danh, kẻ tấn công giả định một vai trò được người bị tấn công nhận ra và khi giả định vai trò đó, kẻ tấn công sử dụng thành kiến của nạn nhân tiềm năng chống lại phán đoán tốt hơn của họ để làm theo các quy trình. Mạo danh có thể xảy ra theo nhiều cách — từ các bên thứ ba, để trợ giúp các nhà điều hành bàn, đến các nhà cung cấp hoặc thậm chí các nguồn trực tuyến.

Third-Party          Authorization (Ủy quyền của bên thứ ba)

Sử dụng thông tin thu được trước đó về một dự án, thời hạn, ông chủ, v.v., kẻ tấn công (1) đến với thứ mà nạn nhân gần như mong đợi hoặc sẽ thấy là bình thường, (2) sử dụng chiêu bài của một dự án đang gặp khó khăn hoặc một số thứ khác tình huống mà kẻ tấn công sẽ được coi là hữu ích hoặc như một người nào đó không làm phiền, và (3) bỏ tên người liên hệ “Mr. Big, ”người tình cờ không có mặt tại văn phòng và không thể liên lạc được vào lúc này, do đó tránh được việc kiểm tra tài liệu tham khảo. Ngoài ra, kẻ tấn công hiếm khi yêu cầu bất cứ điều gì có vẻ không hợp lý hoặc không có khả năng được chia sẻ dựa trên hoàn cảnh. Những hành động này có thể tạo ra sự ủy quyền của bên thứ ba, trong khi thực tế là không có.

Contractors/Outside   Parties (Nhà thầu / Bên ngoài)

Việc để các nhà thầu bên ngoài dọn dẹp tòa nhà, tưới cây và thực hiện các công việc thường ngày khác là điều phổ biến ở nhiều tổ chức. Trong nhiều tình huống như vậy, nếu không có các biện pháp bảo vệ thích hợp, kẻ tấn công có thể chỉ cần mặc quần áo phù hợp với đồng phục của nhà thầu, xuất hiện để thực hiện công việc vào một thời điểm hơi khác so với thường lệ và, nếu bị thách thức, hãy chơi dựa trên sự thông cảm của người lao động bằng cách nói rằng họ đang điền vào X hoặc che chở cho Y. Sau đó kẻ tấn công đi lang thang trong các hành lang mà không bị chú ý vì họ đột nhập, trong khi chụp ảnh bàn làm việc và giấy tờ và tìm kiếm thông tin.

Online        Attacks (Tấn công trực tuyến)

Mạo danh cũng có thể được sử dụng trong các cuộc tấn công trực tuyến. Trong những trường hợp này, công nghệ đóng vai trò trung gian trong chuỗi truyền thông. Một số hình thức cũ hơn, chẳng hạn như cửa sổ bật lên, ngày nay có xu hướng kém hiệu quả hơn vì người dùng cảnh giác với chúng. Tuy nhiên, có rất nhiều nỗ lực lừa đảo qua e-mail và các trò gian lận trên mạng xã hội.

Defenses (Phòng thủ)

Trong tất cả các trường hợp mạo danh, cách bảo vệ tốt nhất là đơn giản — có các quy trình yêu cầu nhân viên yêu cầu xem ID của một người trước khi tương tác với họ nếu nhân viên không biết họ. Điều đó bao gồm những người thách thức như tài xế giao hàng và nhân viên hợp đồng. Không để mọi người qua cửa, cõng mà không kiểm tra giấy tờ tùy thân của họ. Nếu đây là quy trình tiêu chuẩn, thì không ai bị xúc phạm, và nếu ai đó phạm tội, thì điều đó càng trở nên đáng ngờ. Việc đào tạo và nâng cao nhận thức có tác dụng, như đã được chứng minh bởi các xu hướng như hiệu quả giảm dần của cửa sổ bật lên. Nhưng chìa khóa cho sự bảo vệ này là tiến hành đào tạo một cách thường xuyên và điều chỉnh nó cho phù hợp với những gì đang trải qua, chứ không phải là đọc chung chung các phương pháp hay nhất.

MẸO KIỂM TRA Một chương trình đào tạo và nâng cao nhận thức vẫn là cách bảo vệ tốt nhất chống lại các cuộc tấn công kỹ thuật xã hội.

Biên soạn bởi CertMaster Đông Dương

Comptia Voucher – CertMaster Lab – Learn

Nguồn Comptia Việt Nam

Posted by:

CERT MASTER

CERT MASTER

2 responses to “(Comptia Security+) Chapter 1: Social Engineering Phần 2”

  1. (Comptia Security+) Chapter 1: Social Engineering Phần 3 – COMPTIA ELEARNING – CERTMASTER LAB VÀ VOUCHER THI CHỨNG CHỈ QUỐC TẾ – LIÊN HỆ ZALO CERTMASTER 0948432780

    […] (Comptia Security+) Chapter 1: Social Engineering Phần 2 […]

    Like

    Reply
  2. (Comptia Security+) Chapter 1: Social Engineering Phần 1 – COMPTIA ELEARNING – CERTMASTER LAB VÀ VOUCHER THI CHỨNG CHỈ QUỐC TẾ – LIÊN HỆ ZALO CERTMASTER 0948432780

    […] (Comptia Security+) Chapter 1: Social Engineering Phần 2 […]

    Like

    Reply

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: