HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP BẤT HỢP PHÁP 5 I HỆ THỐNG THÔNG TIN
CÁC NGUY CƠ MẤT AN TOÀN
Hacker, có thể là một cá nhân hoặc nhóm, thường tìm cách truy cập vào hệ thống thông tin vì nhiều lý do khác nhau Dưới đây là một số lý do phổ biến dẫn đến hành động này.
- Đơn giản là truy cập vào hệ thống thống thông tin đọc và tìm kiếm thông tin
- Chỉ là tò mò, giải trí hoặc muốn thể hiện khả năng cá nhân
- Để xem xét chung chung và có thể gửi cảnh báo đến người quản trị hệ thống
Kẻ gian có thể đánh cắp tài nguyên hệ thống thông tin, bao gồm thông tin tài khoản ngân hàng, bí mật thương mại, bí mật quốc gia và các thông tin độc quyền khác.
- Phát động chiến tranh thông tin trên mạng, làm tê liệt mạng
Trong mọi tình huống, mục tiêu chính của kẻ tấn công vào hệ thống thông tin là lấy được thông tin của người quản lý, đặc biệt là tên đăng nhập và mật khẩu Mặc dù mật khẩu đã được mã hóa, nhưng điều này không đảm bảo an toàn tuyệt đối cho hệ thống.
Mật khẩu luôn được bảo vệ an toàn, tuy nhiên, "hacker" có thể sử dụng chương trình giải mã mật khẩu (Password Cracker) để tìm ra mật khẩu bằng cách so sánh với các từ trong từ điển hoặc thông qua phương pháp Brute Force Mức độ thành công của chương trình giải mã phụ thuộc vào tài nguyên của CPU, chất lượng từ điển và một số yếu tố khác.
1 Các hiểm họa mất an toàn đối với hệ thống thông tin :
Các hiểm hoạ mất an toàn đối với hệ thống thông tin được phân loại thành hiểm hoạ vô tình và cố ý, cũng như chủ động và thụ động Hiểm hoạ vô tình (Unintentional Threat) xảy ra khi người sử dụng tắt nguồn hệ thống, dẫn đến chế độ single-user khi khởi động lại, cho phép họ thực hiện mọi thao tác trên hệ thống Ngược lại, hiểm hoạ cố ý (Intentional Threat) liên quan đến các tấn công tinh vi nhằm vào dữ liệu trên mạng hoặc máy tính cá nhân, sử dụng kiến thức hệ thống đặc biệt Một ví dụ điển hình về hiểm hoạ cố ý là việc truy cập hoặc sử dụng trái phép mạng doanh nghiệp (Intentional Unauthorized use of corporate network).
Hiểm hoạ thụ động, hay còn gọi là Passive Threat, không liên quan đến việc sửa đổi thông tin trong hệ thống hoặc thay đổi hoạt động và trạng thái của hệ thống.
Hiểm hoạ chủ động, hay còn gọi là Active Threat, đề cập đến việc can thiệp vào thông tin thông qua sửa đổi dữ liệu (Data Modification) hoặc thay đổi trạng thái và hoạt động của một hệ thống.
Mối đe dọa và hậu quả tiềm ẩn đối với thông tin trong giao dịch điện tử rất nghiêm trọng Rủi ro liên quan đến thông tin trong giao dịch điện tử xuất hiện trên nhiều khía cạnh, bao gồm người sử dụng, kiến trúc hệ thống công nghệ thông tin, chính sách bảo mật, công cụ quản lý và kiểm tra, cũng như quy trình phản ứng.
2 Các yêu cầu cần bảo vệ hệ thống thông tin :
Mục tiêu cuối cùng của quá trình bảo mật thông tin là nhằm bảo vệ ba thuộc tính của thông tin:
Tính bí mật (Confidential) đề cập đến thông tin chỉ được phép truy cập bởi những người có thẩm quyền Việc bảo vệ thông tin bí mật là cần thiết vì đây là tài sản sở hữu trí tuệ quan trọng.
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng nhấn mạnh rằng thông tin của tổ chức và khách hàng cần được bảo mật Những thông tin này phải được giữ kín theo các điều khoản đã thỏa thuận giữa tổ chức và khách hàng.
Tính toàn vẹn (Integrity) đề cập đến việc thông tin phải được bảo đảm không bị sai lệch, suy giảm hay thay đổi Để duy trì tính toàn vẹn, thông tin cần được xử lý một cách cẩn thận nhằm bảo vệ khỏi các sự cố không mong muốn hoặc những thay đổi có chủ đích.
Tính sẵn sàng (Tiếng anh là: Availability): Thông tin phải luôn đƣợc giữ trong trạng thái sẵn sàng cung cấp cho người có thẩm quyền khi họ cần
3 Các biện pháp đảm bảo an toàn hệ thống thông tin :
Trong phần này, chúng ta sẽ khám phá các biện pháp bảo mật cho hệ thống tin học Cần lưu ý rằng không có biện pháp nào hoàn hảo và mỗi biện pháp đều có những hạn chế riêng Để áp dụng biện pháp hiệu quả, cần căn cứ vào đặc điểm của từng hệ thống và đưa ra phương thức thực hiện cụ thể.
Thiết lập quy tắc quản lý
Mỗi tổ chức cần thiết lập quy tắc quản lý riêng để bảo vệ an toàn thông tin trong hệ thống Các quy tắc này có thể được phân chia thành nhiều phần khác nhau, nhằm đảm bảo tính hiệu quả và bảo mật tối ưu cho hệ thống thông tin.
- Quy tắc quản lý đối với hệ thống máy chủ
- Quy tắc quản lý đối với hệ thống máy trạm
Quy tắc quản lý thông tin là rất quan trọng trong việc trao đổi giữa các bộ phận trong hệ thống, giữa hệ thống máy tính và người sử dụng, cũng như giữa các thành phần của hệ thống với các tác nhân bên ngoài Việc thiết lập các quy tắc này không chỉ giúp cải thiện hiệu quả giao tiếp mà còn đảm bảo an toàn và bảo mật thông tin trong toàn bộ hệ thống.
Chọn thiết bị lưu trữ đáng tin cậy là rất quan trọng để bảo vệ dữ liệu an toàn Hãy phân loại dữ liệu theo mức độ quan trọng để xây dựng chiến lược mua sắm thiết bị và kế hoạch sao lưu hợp lý.
- Sử dụng các hệ thống cung cấp, phân phối và bảo vệ nguồn điện một cách hợp lý
- Tuân thủ chế độ bảo trì định kỳ đối với các thiết bị
Thiết lập biện pháp bảo mật
CÁC KIỂU TẤN CÔNG CƠ BẢN
SNIFFERS
Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng
Sniffing là một kỹ thuật chặn dữ liệu Đối tƣợng mà sniffing lấy:
Mật khẩu (Tiếng anh là: Password) (từ Email, Web, SMB, FTP, SQL hoặc Telnet)
Các thông tin về các thẻ tín dụng
Các tập tin đang đi trên mạng (tập tin Email, FTP hoặc SMB)
2 Mục đích sử dụng Sniffers:
Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau
Theo hướng tích cực nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình
Chương trình tiêu cực có thể được cài đặt vào hệ thống mạng máy tính nhằm mục đích chặn dữ liệu và thông tin lưu thông trong mạng đó.
Một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :
Tính năng tự động chụp các tên người sử dụng và mật khẩu không được mã hoá thường được các Hacker lợi dụng để tấn công hệ thống Việc này đặt ra nguy cơ lớn cho an ninh thông tin, vì thông tin nhạy cảm có thể bị rò rỉ dễ dàng.
- Chuyển đổi dữ liệu trên đường truyền để những quản trị mạng có thể đọc và hiểu đƣợc ý nghĩa của những dữ liệu đó
Việc phân tích lưu lượng hệ thống giúp quản trị mạng xác định các lỗi trong quá trình truyền tải dữ liệu Chẳng hạn, một trong những vấn đề phổ biến là gói tin từ máy A không thể gửi đến máy B, từ đó cần có những biện pháp khắc phục kịp thời để đảm bảo hiệu suất mạng.
Một số Sniffer hiện đại được trang bị tính năng tự động phát hiện và cảnh báo các cuộc tấn công đang diễn ra trên hệ thống mạng mà chúng hoạt động, giúp nâng cao khả năng bảo mật và phản ứng kịp thời trước các mối đe dọa.
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 10
Ghi lại thông tin về các gói dữ liệu và các phiên truyền giống như hộp đen của máy bay, giúp quản trị mạng xem lại dữ liệu sau sự cố Điều này hỗ trợ cho việc phân tích và khắc phục các sự cố trên hệ thống mạng hiệu quả hơn.
3.Các giao thức có thể sử dụng Sniffing:
Các Hacker có thể sử dụng Sniffing để tấn công vào các giao thức sau:
Telnet và Rlogin: Ghi lại các thông tin nhƣ: Password, Ussernames
HTTP: Các dữ liệu gửi đi mà không mã hóa
SMTP, POP, FTP, IMAP: Password và dữ liệu gửi đi không mã hóa
1.1 Sniffing thụ động: Đây là loại Sniffing lấy dữ liệu chủ yếu qua Hub Nó đƣợc gọi là Sniffing thụ động là vì rất khó có thể phát hiện ra loại Sniffing này Hacker sử dụng máy tính của mình kết nối đến Hub và bắt đầu Sniffing
1.2 Sniffing chủ động: Đây là loại Sniffing lấy dữ liệu chủ yếu qua Switch, nó rất khó thực hiện và dễ bị phát hiện Hacker thực hiện loại Sniffing này nhƣ sau:
1 Hacker kết nối đến Switch bằng cách gửi địa chỉ MAC nặc danh
2 Switch xem địa chỉ kết hợp với mỗi khung (Tiếng anh là: Frame)
3 Máy tính trong LAN gửi dữ liệu đến cổng kết nối
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 11
5 Tìm hiểu về MAC, ARP và một số kiểu tấn công:
Mỗi thiết bị mạng đều sở hữu một địa chỉ vật lý duy nhất gọi là địa chỉ MAC (Medium Access Control Address) Trong cùng một mạng, các thiết bị thường sử dụng địa chỉ MAC để giao tiếp với nhau ở tầng liên kết dữ liệu (Data Link Layer) Giao thức ARP (Address Resolution Protocol) được sử dụng để chuyển đổi địa chỉ này.
IP thành địa chỉ vật lý – địa chỉ MAC
Nguyên tắc làm việc của ARP trong một mạng LAN:
Khi một thiết bị mạng cần biết địa chỉ MAC của một thiết bị khác đã biết địa chỉ IP, nó sẽ gửi một yêu cầu ARP (ARP request) đến toàn bộ miền quảng bá Mỗi thiết bị nhận yêu cầu này sẽ so sánh địa chỉ IP trong yêu cầu với địa chỉ IP của chính nó Nếu trùng khớp, thiết bị đó sẽ gửi lại một gói tin chứa địa chỉ MAC của mình Ví dụ, khi PC A muốn gửi gói tin đến PC B chỉ biết địa chỉ IP của B, PC A sẽ phát một yêu cầu ARP đến toàn mạng để hỏi "địa chỉ MAC của thiết bị với địa chỉ IP này là gì?" Khi PC B nhận được yêu cầu này và xác nhận địa chỉ IP là của mình, nó sẽ gửi lại cho PC A gói tin chứa địa chỉ MAC của B Sau đó, PC A sẽ tiến hành gửi gói tin đến PC B.
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 12
Nguyên tắc hoạt động của ARP trong môi trường hệ thống mạng :
Trong môi trường mạng phức tạp, khi máy A thuộc mạng A muốn gửi gói tin đến máy B thuộc mạng B qua Router C, máy A xem Router C như một trung gian để truyền dữ liệu Để thực hiện việc này, máy A cần biết địa chỉ IP của Router C (địa chỉ Gateway) và nhận thức rằng gói tin phải đi qua Router C để đến được máy B Tất cả thông tin cần thiết được lưu trữ trong bảng định tuyến, chứa thông tin về các Gateway để truy cập vào các hệ thống mạng khác nhau Bảng định tuyến này được lưu giữ trong mỗi máy, giúp xác định các tuyến đường cần thiết để truyền dữ liệu hiệu quả.
B phải qua port X của Router C Bảng định tuyến sẽ có chứa địa chỉ IP của port X Quá trình truyền dữ liệu theo từng bước sau :
- Máy A gửi một ARP request (broadcast) để tìm địa chỉ MAC của port X
- Router C trả lời, cung cấp cho máy A địa chỉ MAC của port X
- Máy A truyền gói tin đến port X của Router
The router receives a data packet from device A and forwards it through port Y This packet contains the IP address of device B, prompting the router to send an ARP request to discover the MAC address of device B.
- Máy B sẽ trả lời cho Router biết địa chỉ MAC của mình Sau khi nhận đƣợc địa chỉ MAC của máy B, Router C gửi gói tin của A đến B
Ngoài bảng định tuyến, phương pháp proxy ARP cũng được sử dụng, trong đó một thiết bị sẽ chịu trách nhiệm phân giải địa chỉ cho tất cả các thiết bị khác Nhờ đó, các máy trạm không cần duy trì bảng định tuyến nữa.
C sẽ có nhiệm vụ thực hiện, trả lời tất cả các ARP request của tất cả các máy
ARP cache là một bảng lưu trữ mối quan hệ giữa các phần cứng và địa chỉ IP Mỗi thiết bị trong mạng đều có cache riêng của nó Có hai phương pháp để lưu giữ các mục trong cache, giúp việc phân giải địa chỉ diễn ra nhanh chóng.
* Các entry ARP Cache tĩnh Ở đây, sự phân giải địa chỉ phải đƣợc thêm một cách thủ công vào bảng cache và đƣợc duy trì lâu dài
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 13
Các entry ARP Cache động là những địa chỉ IP và phần cứng được lưu trữ tạm thời bởi phần mềm sau khi hoàn thành quá trình phân giải Những địa chỉ này sẽ được giữ trong cache một thời gian nhất định trước khi bị xóa.
ARP Cache giúp tối ưu hóa thời gian xử lý bằng cách biến một quá trình tốn thời gian thành một quá trình hiệu quả hơn Tuy nhiên, việc duy trì bảng cache là cần thiết, và đôi khi các mục trong cache có thể gặp phải một số vấn đề.
“cũ” theo thời gian, vì vậy cần phải thực thi hết hiệu lực đối với các entry cache sau một quãng thời gian nào đó
5.2 Tấn công kiểu giả mạo ARP:
TẤN CÔNG TỪ CHỐI DỊCH VỤ
1 Tấn công từ chối dịch vụ (DoS):
Tấn công từ chối dịch vụ (DoS) là một hình thức tấn công nhằm vào hệ thống mục tiêu, do một cá nhân hoặc nhóm thực hiện Khi xảy ra tấn công DoS, người dùng không thể truy cập dữ liệu hoặc thực hiện các hoạt động trên hệ thống bị tấn công.
2 Mục đích tấn công từ chối dịch vụ:
Tấn công từ chối dịch vụ nhằm ngăn chặn quyền truy cập hợp pháp vào máy hoặc dữ liệu, khiến người dùng không thể truy cập dịch vụ của hệ thống Trong quá trình tấn công, hacker có thể thực hiện nhiều hành động khác nhau để đạt được mục tiêu này.
Cố gắng làm ngập hệ thống, ngăn chặn việc trao đổi thông tin giữa các kết nối hợp lệ
Phá vỡ các kết nối giữa hai máy, ngăn chặn các truy cập đến dịch vụ
Ngăn chặn các thiết lập đặc biệt đến dịch vụ
Phá vỡ hệ thống của một người hoặc một hệ thống chỉ định
3 Ảnh hưởng của phương thức tấn công:
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 25 Ảnh hưởng:
- Mạng mục tiêu bị vô hiệu hóa
- Vô hiệu hóa việc tổ chức
- Ảnh hưởng đến uy tín và tài chính của tổ chức bị tấn công
- Khi cuộc tấn công sảy ra sẽ:
Làm khan hiếm, giới hạn và không thể phục hồi tài nguyên Ảnh hưởng đến băng thông, bộ nhớ, không gian đĩa, CPU và cấu trúc dữ liệu
Không thể truy cập đến máy tính khác và mạng
- Phá hủy, thay thế các thông tin cấu hình
- Phá hủy ở mức vật lý, thay thế các thành phần mạng
4 Các loại tấn công từ chối dịch vụ:
Tấn công từ chối dịch vụ chia làm hai loại tấn công:
- Tấn công DoS (Denial of Service): Tấn công từ một cá thể hay tập hợp các cá thể
A Distributed Denial of Service (DDoS) attack involves a coordinated effort from multiple computers to overwhelm and disrupt a targeted system or network.
4.1 Các dạng tấn công DoS:
Kẻ tấn công phát động một lượng lớn giao tiếp ICMP (Internetwork Control Message Protocol) đến địa chỉ mạng broadcast, sử dụng địa chỉ IP giả và đồng thời gửi đến máy chủ của nạn nhân.
Máy tính nạn nhất mất thời gian hồi đáp lại các thông điệp ICMP giả mạo, dẫn đến tình trạng quá tải
Khi hồi đáp số lƣợng lớn các ICMP dẫn đến tình trạng ngập tràn mạng và kết nối không thể thực hiện đƣợc nữa
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 26
Hình 2.17: Tấn công theo kiểu Smurf
4.1.2 Tấn công tràn bộ đệm - Buffer Overflow Attack:
Tấn công tràn bộ đệm xảy ra khi một chương trình ghi dữ liệu vào bộ đệm vượt quá dung lượng cho phép, dẫn đến việc ghi đè lên các vùng nhớ khác.
Hacker thực hiện ghi đè các dữ liệu vào các chương trình để chiếm quyền điều khiển và thực hiện các đoạn mã của Hacker
Nếu gửi thông điệp email mà số tập tinh đính kèm lên đến 256 tập tin thì có thể là nguyên nhân dẫn đến tình trạng tràn bộ đệm
4.1.3 Tấn công tràn bộ đệm bằng Ping – Ping of Death:
Hacker chủ ý gửi một gói dữ liệu lớn hơn 65536 bytes mà giao thức IP cho phép Phân mảnh gói dữ liệu IP thành những đoạn nhỏ hơn
Phân đoạn có khả năng chứa hơn 65536 bytes, nhưng hệ điều hành không thể quản lý các gói dữ liệu quá lớn, điều này có thể gây ra tình trạng đóng băng, khởi động lại hoặc thậm chí làm hỏng hệ thống.
Rất khó có thể nhận dạng Hacker khi họ gửi dữ liệu vì địa chỉ của họ đã ngụy trang
Khi một địa chỉ IP nào đó yêu cầu một gói dữ liệu nhƣng gói này quá lớn để gửi
Hệ thống router sẽ chia nhỏ gói dữ liệu trước khi chuyển tiếp, và điều này tạo cơ hội cho hacker chèn các địa chỉ vào những mảnh nhỏ đó Địa chỉ IP của hacker thường được ẩn giấu trong các offset khó hiểu, làm cho việc phát hiện trở nên khó khăn hơn.
Hệ điều hành không có khả năng nhận những gói tin không thích hợp, vì vậy hệ thống bị treo
4.1.5 Tấn công SYN – SYN Attack:
Kẻ tấn công gửi nhiều yêu cầu TCP SYN đến server của nạn nhân, thực hiện kiểu tấn công Exploit dựa trên cơ chế Three-Way Handshake Tấn công này sử dụng một loạt gói TCP SYN lớn với địa chỉ IP giả mạo, gây ra tình trạng từ chối dịch vụ (DoS) trên hệ thống của nạn nhân.
Lợi thế của tấn công này là khai thác sai lầm trong hầu hết các host thực thi TCP Three – Way handshake
Khi host B nhận yêu cầu SYN từ host A, nó mở một phần kết nối và đƣa vào hàng đợi
Các host nguy hiểm chứa các Exploits nhỏ trong hàng đợi, cho phép chúng gửi nhiều yêu cầu đến các host khác Tuy nhiên, khi nhận phản hồi từ các host này, chúng không gửi lại thông báo SYN/ACK.
Hàng đợi trên hệ thống của nạn nhân sẽ nhanh chóng bị lấp đầy, dẫn đến tình trạng từ chối dịch vụ.
Thiết lập kết nối thông thường
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 28
Tấn công từ chối dịch vụ phân tán (DDoS) là một hình thức tấn công mạng, trong đó nhiều hệ thống đồng loạt tấn công một mục tiêu, dẫn đến việc hệ thống của nạn nhân bị quá tải Kết quả là, người dùng hợp pháp không thể truy cập vào tài nguyên và dịch vụ bị từ chối.
- Khi sử dụng một công cụ tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ
Khi bạn sử dụng công cụ Ping of Death để tấn công một máy chủ có kết nối mạng 100Mbps trong khi bạn chỉ có kết nối 3Mbps, thì cuộc tấn công của bạn sẽ không có hiệu quả.
Nếu 1000 người cùng lúc tấn công vào một máy chủ với tổng băng thông tối đa đạt 3Gbps, trong khi tốc độ kết nối của máy chủ chỉ là 100 Mbps, thì máy chủ sẽ không thể xử lý hết lưu lượng truy cập Kết quả là máy chủ sẽ bị quá tải, dẫn đến tình trạng chậm chạp hoặc thậm chí ngừng hoạt động hoàn toàn.
- Nhƣng làm cách nào để có 1000 máy tính kết nối với mạng ? Chúng ta không
Kẻ tấn công có thể tạo ra một mạng lưới gồm hàng nghìn máy tính kết nối Internet, với khả năng xây dựng mạng BOT lên tới 400.000 máy, để thực hiện các cuộc tấn công mà không cần ai sử dụng trực tiếp.
Khi kẻ tấn công sở hữu mạng BOT, họ có thể sử dụng các công cụ tấn công đơn giản để nhắm vào hệ thống máy tính Bằng cách tận dụng những truy cập hợp lệ, kẻ tấn công có thể cùng lúc ra lệnh cho hàng trăm nghìn máy chủ tải một file từ trang web của bạn, dẫn đến tình trạng quá tải Đây chính là hình thức tấn công từ chối dịch vụ phân tán, hay còn gọi là DDoS (Distributed Denial of Service).
- BOT từ viết tắt của từ RoBOT
SOCIAL ENGINEERING
Không có giải pháp bảo mật nào hoàn hảo để bảo vệ khỏi các lỗ hổng do con người gây ra Kỹ thuật lừa đảo, hay còn gọi là Social Engineering, đã ra đời để khai thác những yếu điểm này từ chính bản thân con người.
1 Tìm hiểu về Social Engineering:
Social Engineering là một phương pháp tấn công vào các mục như: Quá trình ủy quyền, tường lửa, mạng riêng ảo, phần mềm theo dõi màn hình
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 38
Có nhiều phương pháp và mẹo để thu thập thông tin nhạy cảm, bao gồm việc khai thác sự tin tưởng trong môi trường làm việc, tạo ra nỗi sợ hãi cho nhân viên và đưa ra các yêu cầu hỗ trợ.
Social Engineering có thể lấy các thông tin nhƣ: Các thông tin nhạy cảm, ủy quyền, truy cập,
2 Đặc điểm của Social Engineering:
Các tổ chức thường gặp phải những điểm yếu trong hệ thống bảo mật, do đó, để tăng cường khả năng phòng thủ, việc xây dựng chính sách đào tạo nhân viên hợp lý là rất cần thiết.
Social Engineering là một trong những hình thức tấn công khó khăn nhất vì nó không phụ thuộc nhất định vào phần cứng hay phần mềm
Hacker thường sử dụng hai từ "Rebecca" và "Jessica" để chỉ kỹ thuật tấn công Social Engineering, ám chỉ những nạn nhân dễ bị tổn thương như nhân viên tiếp tân của công ty, giúp chúng dễ dàng thực hiện các cuộc tấn công.
Mỗi công ty đều có một nhân viên tiếp tân, và đây là đối tượng mà các hacker thường liên hệ qua điện thoại hoặc gặp trực tiếp để thu thập thông tin sơ bộ về mục tiêu.
Một hacker có thể gọi điện cho cô Rebecca, nhân viên tiếp tân hoặc tổng đài, để thu thập thông tin sơ bộ về ngân hàng mà hắn dự định xâm nhập.
Hacker cũng có thể giả dạng là một khách hàng trực tiếp đến ngân hàng gặp Jessica tìm hiểu về một số chính sách của ngân hàng
Mặc dù đã áp dụng các biện pháp bảo mật như tường lửa, hệ thống phát hiện xâm nhập và phần mềm chống virus, nhưng hacker vẫn có khả năng khai thác các lỗ hổng bảo mật.
Nếu công ty bạn thiếu động lực và chính sách khuyến khích cống hiến, nhân viên có thể trở thành mục tiêu cho hacker khai thác thông tin Đặc biệt, với nhân viên văn phòng, hacker có thể sử dụng kỹ thuật Social Engineering để thu thập các thông tin quan trọng như chính sách bảo mật, tài liệu nhạy cảm, cấu trúc mạng văn phòng và mật khẩu.
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 39
Kỹ thuật này cho phép Hacker thu thập thông tin nhạy cảm bằng cách khai thác các yếu tố như lòng tin, nỗi sợ hãi và nhu cầu trợ giúp của người dùng Một trong những phương thức phổ biến là gửi thông điệp đến người dùng hợp lệ, tạo ra sự tin tưởng và khuyến khích họ chia sẻ thông tin cá nhân.
Với kỹ thuật Hacker thường lấy các thông tin nhạy cảm
Chào chị X, tôi là Y, nhân viên văn phòng Z Tôi quên mật khẩu để đăng nhập vào hệ thống và rất mong chị có thể giúp tôi khôi phục lại mật khẩu này.
5.1.2 Gửi thông điệp cho người dùng quan trọng:
Hacker thường sử dụng kỹ thuật này để lấy các thông tin quan trọng như: Danh sách khách hàng, những tài liệu liên quan đến chiến lƣợc của côngty,
Xin chào, tôi là C, thư ký của công ty X, hiện đang tham gia vào dự án của công ty Tôi đã quên mật khẩu hệ thống và mong ông có thể giúp tôi khôi phục lại nó.
5.1.3 Gửi thông điệp cho người hỗ trợ kỹ thuật:
Hacker có thể yêu cầu nhân viên kỹ thuật cấp lại tài khoản và mật khẩu hệ thống bằng cách gửi thông điệp yêu cầu
Kính gửi ông A, giám đốc kỹ thuật công ty B Hệ thống của chúng ta đã gặp sự cố treo vào tối qua Hiện tại, chúng ta cần kiểm tra xem dữ liệu có bị mất hay không Đồng thời, xin ông vui lòng cấp lại tài khoản và mật khẩu cho tôi.
5.1.4 Nghe lén cuộc đàm thoại:
Nghe lén cuộc đàm thoại cũng là một trong những kỹ năng quan trọng của kỹ thuật Social Engineering Cách này đƣợc Hacker đánh rất cao
Kỹ thuật nghe lén được thực hiện bằng cách đặt thiết bị nghe trộm tại vị trí có cuộc đàm thoại, theo dõi sóng tín hiệu của đối phương, lắp đặt camera giám sát hoạt động của họ, hoặc hóa trang thành nhân viên phục vụ để thu thập thông tin một cách bí mật.
5.1.5 Nhìn lén từ phía sau:
Kỹ thuật Social Engineering có thể được áp dụng thông qua việc nhìn lén từ phía sau lưng Khi có cơ hội vào phòng làm việc của một công ty, hacker sử dụng phương pháp này để theo dõi tài khoản và mật khẩu đăng nhập vào hệ thống.
Cách nhìn lén không chỉ đơn thuần là quan sát bằng mắt thường mà còn bao gồm cả việc sử dụng công nghệ Các hacker thường lắp đặt camera ở những vị trí kín đáo và thuận lợi trên người để theo dõi quá trình đăng nhập của nhân viên.
Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 40 lại và phân tích những thông tin trong những điều kiện phù hợp
Những thông tin theo dõi bằng cách này có thể là: tài khoản và mật khẩu hệ thống, mật khẩu ngân hàng, mật khẩu cơ sở dữ liệu
5.1.6 Tìm thông tin từ rác văn phòng: