Social Engineering
Các cuộc tấn công Social Engineering hiện nay đang trở thành mối đe dọa lớn nhất trong ngành an ninh mạng Mặc dù có thể phát hiện, nhưng việc ngăn chặn các cuộc tấn công này lại rất khó khăn Kẻ tấn công thường lợi dụng nạn nhân để lấy thông tin nhạy cảm, phục vụ cho nhiều mục đích như lừa đảo chuyển tiền, vay nợ, hoặc bán thông tin trên thị trường đen và cho các công ty quảng cáo Sự phát triển của Big Data càng làm tăng khả năng của kẻ tấn công trong việc thu thập và kinh doanh thông tin của hàng triệu người dùng, tạo ra lợi nhuận từ những dữ liệu này.
Mặc dù có nhiều kỹ thuật tấn công, quy trình chung có thể được tóm tắt qua các bước sau: thu thập thông tin về mục tiêu, phát triển mối quan hệ với mục tiêu, khai thác thông tin sẵn có, thực hiện tấn công và thoát ra mà không để lại dấu vết.
Hình 1 Các giai đoạn của kỹ thuật tấn công xã hội
Giai đoạn nghiên cứu là quá trình thu thập thông tin quan trọng về tổ chức mục tiêu Những thông tin này có thể được lấy từ nhiều nguồn khác nhau, bao gồm việc tìm kiếm dữ liệu qua dumpster diving, quét website của tổ chức, tìm hiểu thông tin trên mạng, và thu thập ý kiến từ nhân viên của tổ chức.
Trong giai đoạn này, kẻ tấn công thường chọn mục tiêu từ số nhân viên trong tổ chức Nhân viên cảm thấy chán nản và mệt mỏi có nguy cơ cao bị tấn công, vì họ dễ dàng lộ thông tin hơn.
Giai đoạn này tập trung vào việc xây dựng mối quan hệ với mục tiêu mà không để họ nhận ra ý định của kẻ tấn công Khi mục tiêu tin tưởng kẻ tấn công, khả năng tiết lộ thông tin của họ sẽ tăng lên Niềm tin càng sâu sắc, mục tiêu càng dễ dàng chia sẻ thông tin nhạy cảm.
Khai thác mối quan hệ để lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu, thông tin mạng…
Các kỹ thuật tấn công có thể được phân loại dựa trên các thực thể có liên quan mà kẻ xấu thực hiện các cuộc tấn công như:
Hình 2 Phân loại các kỹ thuật tấn công xã hội
Tấn công dựa trên con người là phương thức mà kẻ xấu tương tác trực tiếp với mục tiêu để thu thập thông tin, thường thông qua các chiêu trò tạo niềm tin và lợi dụng thói quen, đạo đức của nạn nhân Tuy nhiên, phương pháp này chỉ có thể nhắm đến một số lượng giới hạn các mục tiêu cụ thể Ngược lại, tấn công dựa trên kỹ thuật cho phép kẻ xấu sử dụng các bộ công cụ và thiết bị để thu thập thông tin nhanh chóng, như với công cụ SET hiện nay, có thể thực hiện hàng trăm cuộc tấn công chỉ trong vài giây.
Một số cuộc tấn công phi kỹ thuật
Phishing
Phishing là một hình thức lừa đảo tinh vi, giả mạo các tổ chức uy tín như ngân hàng và công ty thẻ tín dụng, nhằm lừa người dùng cung cấp thông tin tài chính nhạy cảm như tên đăng nhập và mật khẩu Hình thức tấn công này không chỉ đánh cắp thông tin mà còn có thể cài đặt phần mềm độc hại vào thiết bị của nạn nhân Điều này tạo ra mối nguy hiểm lớn cho những người thiếu kiến thức hoặc cảnh giác về các phương thức tấn công này.
Có nhiều kỹ thuật lừa đảo được sử dụng để thực hiện tấn công phishing Cụ thể như dưới đây
Thư rác (spam email) là một hình thức lừa đảo trực tuyến, trong đó kẻ xấu sử dụng email để lừa đảo người dùng bằng cách nhúng liên kết đến các trang web không an toàn, giả mạo địa chỉ người gửi, hoặc đính kèm mã độc dạng Trojan trong các tập tin hoặc quảng cáo Những hành động này nhằm khai thác lỗ hổng trên thiết bị của người nhận, gây ra nhiều rủi ro về bảo mật.
Các email giả mạo thường yêu cầu người dùng cập nhật thông tin tài khoản cá nhân bằng cách chuyển hướng đến các trang web giả mạo, trông giống như của tổ chức hợp pháp Những trang web này được tạo ra bởi tin tặc nhằm đánh cắp thông tin nhạy cảm của người dùng.
Chiến dịch Operation Lotus Blossom, được phát hiện bởi công ty bảo mật Palo Alto vào năm 2015, là một ví dụ điển hình về kỹ thuật tấn công gián điệp mạng nhằm vào các Chính phủ và tổ chức quân sự ở Đông Nam Á Các quốc gia như Hồng Kông, Đài Loan, Việt Nam, Philippines và Indonesia đã trở thành mục tiêu trong chiến dịch kéo dài nhiều năm này Mã độc được phát tán thông qua việc khai thác lỗ hổng của Microsoft Office, sử dụng tệp văn bản đính kèm email có nội dung liên quan đến các cơ quan mục tiêu Khi người dùng mở tệp, mã độc sẽ được kích hoạt, âm thầm đánh cắp dữ liệu và gửi về các máy chủ nước ngoài Mã độc này còn được biết đến với tên gọi Elise.
2.1.2 Website lừa đảo Đây là một kỹ thuật tấn công khác của tấn công Phishing Ví dụ, hiện nay có nhiều hình thức kiếm tiền qua mạng và người dùng phải cung cấp tài khoản ngân hàng cho những trang web này để nhận tiền công
Tin tặc thường lợi dụng lỗ hổng trong giao dịch trực tuyến để chuyển hướng người dùng đến các trang web giả mạo nhằm đánh cắp thông tin cá nhân Ngoài ra, chúng còn kích thích sự tò mò của người dùng bằng cách chèn quảng cáo hấp dẫn vào trang web, từ đó lây nhiễm mã độc.
2.1.3 Lừa đảo qua mạng xã hội Đây là hình thức lừa đảo mà tin tặc thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội khác Các tin nhắn này có thể là thông báo trúng thưởng các hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác thông tin danh sách bạn bè sử dụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại…
Pretexting Attacks
Pretexting là một kỹ thuật tấn công trong lĩnh vực Social Engineering, trong đó tin tặc xây dựng một lý do hợp lý hoặc kịch bản đã được chuẩn bị trước nhằm đánh cắp thông tin cá nhân của nạn nhân Các cuộc tấn công này thường xuất hiện dưới hình thức lừa đảo, yêu cầu người dùng cung cấp thông tin để xác nhận danh tính của họ.
Pretexting là một hình thức giả danh, thường được thực hiện bởi các thám tử, nhân viên điều tra hoặc tội phạm, nhằm thu thập thông tin cá nhân từ đối tượng qua điện thoại Những kẻ lừa đảo thường mạo danh là cảnh sát hoặc phóng viên để tiếp cận nạn nhân Trong các cuộc tấn công phức tạp hơn, tin tặc có thể giả làm kiểm toán viên từ dịch vụ CNTT bên ngoài, sử dụng lý do hợp lý để thuyết phục nhân viên an ninh cho phép họ vào cơ sở làm việc của công ty.
Khác với các email lừa đảo thường khai thác nỗi sợ hãi và sự khẩn cấp của nạn nhân, các cuộc tấn công Pretexting lại tập trung vào việc tạo dựng niềm tin với mục tiêu khai thác thông tin.
Baiting và Quid Pro Quo
Kỹ thuật tấn công Baiting khai thác sự tò mò của con người bằng cách hứa hẹn một sản phẩm hoặc mặt hàng hấp dẫn Tin tặc thường sử dụng các tệp độc hại được ngụy trang dưới dạng bản cập nhật phần mềm hoặc ứng dụng phổ biến để lừa đảo nạn nhân Ngoài ra, tấn công Baiting cũng có thể diễn ra theo hình thức vật lý, chẳng hạn như phát miễn phí thẻ USB nhiễm độc trong khu vực gần tổ chức mục tiêu, chờ đợi nhân viên cắm vào máy tính công ty và lây nhiễm phần mềm độc hại Khi được thực thi, các phần mềm độc hại này sẽ được cài đặt trên hệ thống máy tính của nạn nhân.
USB này sẽ giúp tin tặc chiếm được toàn quyền điều khiển, qua đó phục vụ cho mục đích tấn công tiếp theo
Tấn công Quid Pro Quo, hay còn gọi là tấn công Something For Something, là một biến thể của Baiting Thay vì hứa hẹn một sản phẩm, tin tặc cam kết cung cấp một dịch vụ hoặc lợi ích dựa trên việc người dùng thực hiện một hành động cụ thể Hành động này thường liên quan đến việc trao đổi thông tin hoặc quyền truy cập mà tin tặc đã thiết lập để thu hút nạn nhân.
Cuộc tấn công Quid Pro Quo thường xảy ra khi tin tặc giả mạo nhân viên CNTT của một tổ chức lớn, liên lạc qua điện thoại với nhân viên mục tiêu Chúng cung cấp thông tin về nâng cấp hoặc cài đặt phần mềm, đồng thời yêu cầu nạn nhân tạm thời vô hiệu hóa phần mềm antivirus trên máy tính Hành động này giúp tin tặc thực thi ứng dụng độc hại mà không gặp phải trở ngại nào.
Piggybacking và Tailgating
Piggybacking và Tailgating là hai kỹ thuật xâm nhập tương tự nhau Piggybacking đề cập đến việc một cá nhân không có thẩm quyền chờ đợi để đi vào khu vực hạn chế cùng với người có thẩm quyền Ngược lại, tailgating là hành động mà người không có quyền truy cập theo sau người có thẩm quyền để vào khu vực giới hạn Kỹ thuật tailgating trở nên dễ dàng hơn khi sử dụng ID giả và đi sát người dùng khi họ vượt qua các điểm kiểm tra an ninh.
Fake Software Attacks
Nhiều ứng dụng ác ý được phát hành trên cửa hàng, cho phép người dùng tải về một cách rộng rãi Những ứng dụng này thường là bản sao của các ứng dụng phổ biến, nhằm lừa đảo và gây hại cho thiết bị của người dùng.
Kẻ tấn công có thể phát triển ứng dụng độc hại giả mạo ứng dụng chính thức của Facebook, khiến người dùng vô tình tải về Khi người dùng đăng nhập vào ứng dụng này, thông tin đăng nhập sẽ được gửi đến một máy chủ xa do kẻ tấn công kiểm soát, tạo ra nguy cơ mất an toàn cho tài khoản người dùng.
Hình 3 Mô tả các cuộc tấn công giả mạo phần mềm
Tấn công nội sinh
Không phải tất cả các cuộc tấn công phi kỹ thuật đều xuất phát từ bên ngoài; một nhân viên trong tổ chức, có thể có hoặc không có quyền truy cập, cũng có thể thực hiện các hành vi thăm dò với mục đích xấu Những cuộc tấn công nội sinh này thường do những người bên trong tổ chức thực hiện, và có thể có sự hỗ trợ từ đối thủ cạnh tranh nhằm đánh cắp thông tin và bí mật của tổ chức.
Trong môi trường doanh nghiệp, sự bất mãn của nhân viên có thể dẫn đến hành vi trả thù, như việc đánh cắp thông tin mật Những nguyên nhân gây ra sự không hài lòng này thường liên quan đến quản lý kém, vấn đề tổ chức, hoặc các quyết định như giáng chức và sa thải.
Công cụ Social-Engineer Toolkit
Giới thiệu
Social-Engineer Toolkit là một bộ công cụ mã nguồn mở hữu ích cho thử nghiệm xâm nhập theo phương pháp Social Engineering, một kỹ thuật đột nhập vào hệ thống hoặc mạng của công ty Phương pháp này dựa vào việc đánh lừa người dùng hoặc thuyết phục họ cung cấp thông tin có thể giúp vượt qua các biện pháp an ninh Các hình thức tấn công trong Social Engineering chủ yếu được chia thành hai dạng chính.
• Human-base: dựa vào những kỹ thuật khai thác mối quan hệ giữa người với người
• Computer-base: tấn công dựa sự trợ giúp của máy tính Những hình thức này được biết như là phishing, fake website
Một số tính năng chính:
- Spear-Phishing Attack Vectors: Tấn công dạng lừa đảo email Spear- Phishing
- Website Attack Vectors: Cho phép tấn công dựa trên lỗ hổng web
- Infectious Media Generator: Cho phép bạn tạo những file media chứa mã độc
- Create a Payload and Listener: Tạo payload tấn công và cài mã độc
- Mass Mailer Attack: Cho phép bạn gửi email hàng loạt
- Arduino-Based Attack Vector: Tấn công dựa trên Arduino
- Wireless Access Point Attack Vector: Cho phép tấn công mạng không dây
- QRCode Generator Attack Vector: Tạo các mã QR độc
- PowerShell Attack Vector: Tấn công thông qua trình CLI của Windows
- Sms Spoofing Attack Vector: Tấn công giả mạo SMS
- Third Party Modules: Các thư viện của tổ chức khác
Hình 4 Các tính năng của SET
Mô tả chi tiết các tính năng
PowerShell Attack vector cho phép thực hiện các cuộc tấn công cụ thể thông qua PowerShell, công cụ có sẵn trên tất cả các hệ điều hành Windows Vista trở lên Với PowerShell, người dùng có thể triển khai các tải dữ liệu và thực hiện các chức năng mà không bị ngăn chặn bởi các công nghệ bảo mật hiện có.
Bước 1: Chọn 1 Social Engineering attacks
Hình 5 Chức năng của SET
Bước 2: Chọn 9 Powershell attack vectors
Hình 6 Các hình thức tấn công của SET
Bước 3 : Chọn 1 Powershell Alp vàumeric Shellcode Injector
Hình 7 Các tính năng của Powershell Attack Vector
Bước 4 : Điền địa chỉ ip máy lắng nghe gói tin và cổng đảo ngược Sau đó nhập yes để bắt đầu
Hình 8 Điền địa chỉ ip máy nạn nhân
Bước 5: Truy cập tại máy nạn nhân địa chỉ payload vừa được tạo ra Payload được tạo ra có địa chỉ /root/.set/reports/powershell/
Hình 9 Truy cập máy nạn nhân
Bước 6: URL sẽ hiển thị mã sẽ được sao chép trong dấu nhắc lệnh của máy tính windows của mục tiêu (đã cài đặt powershell)
Hình 10 Lấy được mã được sao chép trong máy nạn nhân
3.2.2 Wireless Access Point Attack Vector
Wireless Access Point Attack Vector là một tính năng mạnh mẽ trong SET, cho phép kẻ tấn công tạo ra một bản sao của mạng không dây nhằm lừa đảo người dùng Khi mục tiêu kết nối vào mạng giả mạo, trình duyệt của họ sẽ bị chuyển hướng đến một trang web độc hại Tính năng này kết hợp các công cụ như AirBase-ng và DNS Spoof để thực hiện tấn công Người dùng chỉ cần yêu cầu SET khởi động điểm truy cập không dây và chỉ định card mạng của thiết bị để bắt đầu cuộc tấn công.
Hình 11 Tấn công wireless Access Attack Vector
Chọn 8 wireless Access Attack Vector
Sau khi sử dụng Vector tấn công điểm truy cập không dây, chúng ta có thể BẮT ĐẦU hoặc DỪNG Điểm truy cập của mình Tuy nhiên, trước khi thực hiện, cần cấu hình một số ứng dụng Để sử dụng vectơ tấn công này, yêu cầu các công cụ như AirBase-NG, AirMon-NG, DNSSpoof và dhcpd3 Với cài đặt mặc định của Back Track 5, hầu hết các công cụ này đã được cấu hình đúng cách, ngoại trừ dhcpd3.
Hình 12 Các hình thức tấn công của Wireless Attack
Hình 13 Cài đặt dhcp3-server
Để cài đặt "dhcp3-server", hãy gõ lệnh "sudo apt-get install dhcp3-server" Tuy nhiên, bạn có thể gặp lỗi không cho phép dịch vụ khởi động Để khắc phục vấn đề này, hãy mở tệp cấu hình "dhcp3-server" trong thư mục "/etc/default/" bằng trình chỉnh sửa "vi" Thêm "at0" vào tệp để cho phép sử dụng một loạt địa chỉ IP.
Hình 14 Chỉnh sửa tệp cấu hình
Để bắt đầu hoặc dừng Vectơ tấn công điểm truy cập không dây, bạn chỉ cần quay trở lại thiết bị đầu cuối như hình 4 Khi nhấp vào “bắt đầu Vectơ tấn công điểm truy cập không dây”, tệp đã chỉnh sửa trước đó với trình chỉnh sửa nano sẽ mở ra, nơi bạn đã thêm tên giao diện (at0) Không cần thực hiện thay đổi nào, chỉ cần đóng tệp bằng tổ hợp phím CTR-X Bên cạnh đó, hãy chọn dải địa chỉ IP cho Điểm truy cập của bạn; trong bài viết này, tôi đã chọn dải địa chỉ 192.168.10.100-254.
Chúng tôi sẽ hướng dẫn người dùng kết nối với Điểm truy cập có địa chỉ IP Nếu quá trình kích hoạt thành công, bạn sẽ nhận được thông báo xác nhận.
Hình 16 Kích hoạt điểm truy cập giả mạo SET
Khi Access Point được mở, bạn sẽ thấy các kết quả hiển thị như trong hình Tôi đã khởi động một máy chủ Apache để kiểm tra và xác nhận rằng Access Point của mình đang hoạt động bình thường.
Hình 17 Kết quả của việc nâng cao điểm quy cập
Hình 18 Sử dụng thành công dhcp3-server
Hình 19 Tấn công Spear-Phishing Attack Vectors
Mô-đun Spearphishing cho phép gửi một lượng lớn email thủ công kèm theo tập tin độc hại Để giả mạo địa chỉ email, cần cài đặt "sendmail" và điều chỉnh cấu hình trong tệp /etc/setoolkit/config/set.config, chuyển SENDMAIL từ OFF sang ON và bật WEBATTACK_EMAIL.
Bước đầu tiên trong quy trình tấn công email là lựa chọn giữa ba tùy chọn Tùy chọn đầu tiên cho phép thực hiện một cuộc tấn công email hàng loạt bằng cách gửi tập tin độc hại đến địa chỉ email đã chỉ định, đồng thời thiết lập một listener Metasploit cho payload đã chọn Tùy chọn thứ hai cho phép tạo ra một file dữ liệu FileFormat, giúp tạo ra tập tin độc hại với trọng tải Metasploit Cuối cùng, tùy chọn thứ ba cho phép tạo một mẫu email mới để sử dụng trong cuộc tấn công SET Để tiến hành tấn công email, hãy chọn tùy chọn đầu tiên.
Hình 20 Tấn công email hàng loạt
Bước 2: SET hiển thị ra các danh sách payload, chọn các định dạng tập tin khai thác bạn muốn Mặc định là PDF nhúng EXE Ở đây chọn “18- Foxit PDF
Reader v4.1.1 Title Stack Buffer Overflow”
Hình 21 Tấn công cuộc lừa đảo
Bước 3: Tiếp tục lựa chọn “2- Windows Meterpreter Reverse_TCP”, sau đó điền địa chỉ IP máy attacker, để mặc định cổng kết nối là 443
Hình 22 Thiết lập thông số
Bước 4: Đặt tên cho file trong SETools, nơi hệ thống đã tạo sẵn file pdf với tên template.pdf Bạn có thể giữ nguyên tên này hoặc đổi tên Chọn giữ nguyên tên template.pdf, sau đó chọn hình thức tấn công là single email hoặc mass email, và sử dụng template có sẵn để thực hiện tấn công.
Hình 23 Đặt tên tệp và thiết lập tuỳ chọn tấn công
Bước 5: Thiết lập đối tượng bằng cách nhập email của nạn nhân và email của kẻ tấn công, sau đó cấu hình Metasploit Listener để nhận payload từ kẻ tấn công khi ai đó mở tệp đính kèm trong email.
Hình 24 Gửi email với SET
Khi được yêu cầu, hãy nhập địa chỉ email và mật khẩu cho tài khoản Gmail của bạn, trong khi SET nên cố gắng cung cấp thông báo Đôi khi, quá trình gửi email có thể gặp lỗi, như khi SETools từ chối gửi email Tuy nhiên, Gmail sẽ kiểm tra file đính kèm và ngăn chặn các cuộc tấn công gửi đi Đây chỉ là một nỗ lực ban đầu; kẻ tấn công có thể đạt được kết quả tốt hơn bằng cách sử dụng máy chủ thư riêng hoặc của khách hàng, nếu họ có thể thu thập hoặc đoán thông tin đăng nhập Trong ví dụ này, nhóm chỉ gửi email cho chính họ Công cụ như theHarvester có thể được sử dụng để tìm kiếm các địa chỉ email hợp lệ.
Hình 25 Lưu ý lỗi khi gửi bằng Gmail
Bước 6: Attacker cũng có thể thiết lập một Metasploit Listener để bắt trọng tải của nạn nhân nếu có ai mở tập tin đính kèm email
Hình 26 Thiết lập một Listener Email nạn nhận
Bước 7: Tại đây, kẻ tấn công sẽ chờ đợi người dùng nhấp vào tệp PDF độc hại, từ đó gửi lại một phiên cho kẻ tấn công Để kết thúc phiên nghe, người dùng có thể sử dụng tổ hợp phím Ctrl-C.
Exit để di chuyển trở lại menu trước Lựa chọn 99 sẽ đưa trở lại trình đơn tấn công kỹ thuật xã hội của SET
Hình 27 Gửi email tới máy nạn nhân
Bước 8: Khi nạn nhân tải file và tiến hành mở file đã tải về, kết nối được gửi tới máy attacker
Thông thường cách nhúng mã trong file pdf thông qua Gmail sẽ không thành công vì Gmail kiểm tra file đính kèm và bắt tấn công gửi đi
Hình 28 Truy cập vào máy nạn nhân
Bước 1: Quay trở lại menu chọn loại tấn công, tiến hành chọn mục số “2- Website Attack Vectors”
Hình 29 Tấn công Website Attack Vector
Bước 2: Trên trang web Attack Vectors, bạn sẽ thấy các phương thức tấn công HTA cho phép sao chép một trang web và thực hiện tiêm quyền hạn Các tệp HTA này có thể được sử dụng để khai thác quyền hạn dựa trên Windows thông qua trình duyệt.
● Credential Harvester Attack Method: Phương pháp tấn công đáng tin cậy
● Metasploit Browser Exploit Method: Phương pháp khai thác trình duyệt Metasploit
● Java Applet Attack Method: Phương pháp tấn công Applet Java
● Tabnabbing Attack Method: Phương pháp tấn công Tannabbing
● Web Jacking Attack Method: Phương pháp tấn công Web Jacking
● Multi-Attack Web Method: Đa tấn công trên Web
● Full Screen Attack Method: Phương pháp tấn công toàn màn hình
● HTA Attack Method: Phương pháp tấn công HTA
Bước 3: Chọn “3- Credential Harvester Attack Method”
Hình 30 Chọn Credential Harvester Attack Method
Bước 4: Lựa chọn “2-Site Cloner”
Bước 5: Tiếp tục ta nhập IP máy Attacker (192.168.30.6) vào rồi sau đó nhập địa chỉ web facebook là www.facebook.com vào (đây chính là website
Kết quả giống hình bên dưới:
Hình 32 Nhập IP và địa chỉ Website Facebook giả
Lúc này, ta có địa chỉ trang Web clone là IP host
Hình 33 Website Facebook giả được tạo ra
Để tránh gây nghi ngờ cho người bị tấn công do địa chỉ web là địa chỉ host IP, chúng ta nên sử dụng dịch vụ TinyURL để rút gọn và chỉnh sửa lại đường link trang web.
Hình 34 Đường links host IP sau khi được Convert
Bước 7: Gửi đường link web clone đến một Email nạn nhân
Hình 35 Đường link được gửi tới máy nạn nhân
