Social engineering - Phương pháp tấn công nguy hiểm trong công tác bảo mật thông tin vẫn còn bị chúng ta xem nhẹ

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NGHIÊN CỨU KHOA HỌC Đề tài: Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác Bảo Mật Thông Tin Vẫn Còn Bị Chúng Ta Xem Nhẹ Giảng viên hướng dẫn : GS.TSKH Hoàng Văn Kiếm Học viên thực hiện : Đào Trọng Nghĩa MSHV: 12 12 025 Lớp: Cao học K22-2012 TP Hồ Chí Minh, tháng 11 năm 2012 2 Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác Bảo Mật Thông Tin Vẫn Còn Bị Chúng Ta Xem Nhẹ Đào Trọng Nghĩa Khoa Công Nghệ Thông T in, Đại Học Khoa Học Tự Nhiên, Đại Học Quốc Gia Thành Phố Hồ Chí Minh daotrongnghia@rocketmail.com Tóm tắt—Trong thời đại hiện nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin là sự gia tăng nhanh chóng số lượng tội phạm an ninh mạng. Vấn đề an toàn thông tin không còn là nỗi lo của các nước phát triển mà đã trở thành nỗi lo chung của toàn cầu. Vào thế kỷ 21, khi sức mạnh về phần cứng và kỹ thuật về phần mềm đã phát triển vượt bậc nhưng vẫn không đủ bảo vệ chúng ta thoát khỏi việc rò rỉ thông tin. Vậy đâu là nguyên nhân? Đó chính là con người, bởi lẽ không có bất kỳ phần cứng hay phần mềm nào có thể khắc phục được điểm yếu về yếu tố con người. Và đó là lý do khiến cho kỹ thuật Social Engineering - một kỹ thuật tấn công vào yếu tố con người - ngày càng trở nên phổ biến và tinh vi hơn. Keywords:Social Engineering; Human Hacking; I. GIỚI THỆU Trên thế giới, khi nói về vấn đề bảo mật thông tin, người ta không thể không nói đến Social Engineering - một kỹ thuật khai thác thông tin rất nguy hiểm, khó phát hiện, phòng chống và gây thiệt hại to lớn cho công tác bảomật thông tin. Ngày nay, công nghệ thông tin đóng vai trò chủ chốt trong nhiều lĩnh vực quan trọng của xã hội như kinh tế, giáo dục, chính trị và quân sự - những lĩnh vực trong đó sự lỏng lẻo về công tác bảo mật thông tin sẽ khiến chúng ta phải trả giá đắt. Chính vì thế, Social Engineering nhận được nhiều sự quan tâm toàn cầu, đặc biệt là trong lĩnh vực công nghệ thông tin. Social Engineering là một thuật ngữ liên quan đến các ngành khoa học xã hội, tuy nhiên chúng ta thường xuyên sử dụng và bắt gặp nó trong ngành công nghệ thông tin. Social Engineering được hiểu đơngiản là một kĩ thuật tác động đến con người nhằm mục đích lấy được một thông tin hoặc đạt được một hành động mong muốn. Những kĩ thuật trên dựa vào nền tảng là những điểm yếu tâm lý, những nhận thức sai lầm của con người về việc bảo mật thông tin.Mục đích của các cuộc tấn công Social Engineering có rất nhiều, chúng ta có thể kể đến như: các lợi ích về tài chính, tạo ra những điều có lợi cho mình, trả thù … hoặc do áp lực bên ngoài gây ra. Vấn đề Social Engineering đã được quan tâm rất nhiều trên thế giới, tuy nhiên ở Việt Nam chúng ta, đặc biệt là giới sinh 3 viên thì tầm hiểu biết và mối quan tâm về vấn đề này thì rất kém và ít ỏi. Mục đích bài nghiên cứu này của chúng tôi sẽ không nhấn mạnh, đi sâu vào việc phân tích Social Engineering là gì, nó hoạt động ra sao, trên nền tảng gì; chúng tôi chỉ đưa ra những kiến thức sơ lược, những thông tin gần gũi với mọi người về những điều trên. Qua đó cho mọi người biết được tác hại thực sự của Social Engineering là không hề nhỏ, mong muốn mọi người nâng cao nhận thức hơn về vấn đề này và có thể trang bị một số kiến thức cơ bản để phòng tránh nó một cách hiệu quả nhất. II. NHỮNG ĐIỂM YẾU CỦA CON NGƯỜI Chúng ta biết rằng phần mềm và phần cứng của máy tính là những thứ vô cùng phức tạp. Tuy nhiên, con người, kẻ đã tạo ra chúng lại phức tạp hơn gấp nhiều lần. Bởi vì con người có nhân cách, có tâm lý, tình cảm là những thứ mà các vật nhân tạo chưa thể có được. Đây chính là điểm vô cùng mạnh đã giúp con người thành công như ngày hôm nay, nhưng cũng là một điểm yếu của con người. Và Social Engineering chính là phương pháp tấn công vô cùng nguy hiểm dựa trên những điểm yếu này. Chúng ta sẽ đặt câu hỏi, tại sao phương pháp Social Engineering dựa vào tâm lý con người lại nguy hiểm? Để trả lời câu hỏi này, chúng ta hãy đi vào phân tích một số tâm lý của con người thường xuyên bị Social Engineering lợi dụng:  Luôn mong muốn điều có lợi cho mình và tránh khỏi các phiền hà, rắc rối: Chúng ta có thể thấy điều này qua ví dụ sau. Trong trường hợp một nhân viên chăm sóc khác hàng của một công ty dịch vụ. Chúng ta biết rằng, họ luôn được yêu cầu rằng phải làm cho khách hàng hài lòng nhất có thể. Từ đó, họ sẽ được những phản hồi tốt về chất lượng dịch vụ, được tính điểm cao trong hệ thống... Với mục tiêu đó, nhân viên của chúng ta sẽ luôn cố gắng đáp ứng yêu cầu cho khách hàng một cách tốt nhất. Chính vì lí do này, nhiều khi họ, những người nắm giữ thông tin, dữ liệu về hệ thống sẽ cung cấp rất nhiều thông tin không nên cung cấp cho khách hàng.  Có khuynh hướng giúp đỡ người khác: Con người chúng ta là một sinh vật sống có tình cảm. Chúng ta luôn sẵn sàng giúp đỡ một người khi họ gặp vấn đề gì đó.Chính đặc điểm này của chúng ta sẽ rất dễ dàng để bị kẻ xấu lợi dụng. Bạn đang ngồi lướt web trong quán cà phê, có một người đến nhờ sử dụng máy tính? Lúc đó bạn sẽ làm thế nào? Bạn từ chối, nếu đó là một cố gái xinh xắn thì sao? Bạn có nghĩ về những trường hợp xấu xảy ra khi cho người lạ mượn máy tính mình không? 4  Xu hướng chấp nhận một thông tin mới hơn là nghi ngờ tính xác thực của thông tin đó:Hầu hết trong chúng ta ai cũng vậy, mọi người khi nghe một thông báo, một khẳng định, một lời khuyên mới nào đó… chúng ta đều tin nó là có thật. Việc này sẽ kéo dài cho đến khi chúng ta phát hiện nó là không thật. Quãng thời gian này có thể không dài, tuy nhiên sẽ không ngắn để thực hiện một số mục đích.  Lười…muốn làm nhanh một việc, cắt bỏ giai đoạn:Vấn đề này vô cùng nguy hiểm tuy nhiên lại xảy ra vô cùng phổ biến trong chúng ta. Chúng ta thường xuyên thực hiện công việc với tâm lý như thế, tuy nhiên lại không nhận thức được hậu quả của việc đó. Có khi nào bạn ghi mật khẩu của mình lên một tờ giấy, lên một note trên máy tính chưa? Có khi nào bạn đọc password của mình qua điện thoại chưa?  Thái độ của một người đối với việc bảo vệ thông tin cá nhân của mình không cao: Đây là một tâm lý vô cùng quan trọng và nguy hiểm để kẻ xấu dựa vào đó có thể thực hiện mọi mưu đồ của mình. Người ta luôn nghĩ rằng thông tin cá nhân của mình không quan trọng! Ai biết thì đã sao?Họ làm được gì chứ? Nó chẳng ảnh hưởng gì đến những thứ xung quanh mình cả… Người ta luôn nghĩ như vậy, tuy nhiên họ lại không biết rằng, một người không nằm trong hệ thống bảo mật vẫn có thể làm ảnh hưởng đến toàn bộ hệ thống bảo mật. Người ta đã nói rằng: “Social Engineering is the hardest form of attack to defend againts because it can’t be defense with hardware or software alone” (Theo Social Engineering: Concepts and Solutions). Với những cuộc tấn công công nghệ, chúng ta có thể phòng chống bằng phần cứng và phần mềm, chúng sẽ tuân thủ hoàn toàn những yêu cầu của người tạo ra, không hỏi vì sao, không cần biết đúng sai… Tuy nhiên, con người là một sinh vậtvới tâm lý phức tạp, chúng ta không thể phòng thủ đơn thuần bằng những thiết bị, bằng những chương trình cứng nhắc. Chúng ta cần phải có một phương pháp hiệu quả hơn, tốt hơn. Thế nhưng, tốt đến đâu hiệu quả đến đâu thì con người vẫn luôn có sai lầm. Đây chính là câu trả lời của chúng ta cần biết. III. CÁC PHƯƠNG PHÁP TẤN CÔNG Phía trên là một số những điểm yếu tâm lý mà con người thường bị những kẻ sử dụng Social Engineering lợi dụng. Và còn hơn thế nữa, Social Engineering là một quy trình có hệ thống, có thứ tự và có sự đầu tư kỹ lưỡng, công phu. Mục tiêu của nó có thể từ những thứ vô cùng bé, đơn giản đến việc thực hiện những mục tiêu cao hơn, tinh vi hơn. Chính vì vậy, một hệ thống xác định các phương pháp tấn công 5 Social Engineering sẽ cho chúng ta dễ dàng hình dung Social Engineering thực hiện như thế nào? Nó dựa vào các “lỗ hổng” về tâm lý như thế nào? Qua tiếp xúc với một số phương pháp tấn công dưới đây mọi người có thể thực hiện điều đó. Về cơ bản, các phương pháp tấn công Social Engineering nằm trong một trong hai hình thức chính: dựa vào con người và dựa vào kĩ thuật.Mọi người lưu ý trong cách phân chia, con người và máy móc là công cụ, là đối tượng tấn công chứ không phải là cách tấn công vào con người hay máy móc. Các phương pháp dựa vào máy móc:  Phishing: “Phishing là phương pháp phổ biến nhất của Social Engineering trên thế giới trực tuyến” (Granger, 2006). Phishing là một hành động gửi mail lừa đảo cho nạn nhân. Nội dung email sẽ dẫn thẳng người dùng đến các website lừa đảo giống hệt các website thật, qua đó lừa người dùng nhằm lấy được các thông tin về tài khoảng người dùng.  Pop-Up Windows: Chúng ta rất dễ gặp hình thức này khi đang sử dụng trình duyệt web. Nội dung các Pop- Up này thường là thông báo chúng ta nhận được một món tiền, giải thưởng nào đó… Bắt đầu từ đó, nó sẽ có các phương pháp để đi vào khai thác thông tin của chúng ta. Các phương pháp dựa vào con người:  Direct approach: Hỏi trực tiếp đối tượng để khai thác thông tin. Phương pháp đơn giản nhất, có thể không coi đó là một phương pháp, tuy nhiên khi một người có thái độ về bảo mật thông tin không tốt, phương pháp này nhiều khi mang đến hiệu quả bất ngờ. Nhiều khi chúng ta có thể ngồi yên để lấy được thông tin.  DumpsterDiving and Shoulder Surfing: Đây là hai trong những hình thức được sử dụng sớm nhất của Social Engineering. Dumpster diving có nghĩa là sẵn sàng thu thập những thứ dơ bẩn, đã bị vứt bỏ đi để lấy thông tin họ cần, điển hình chúng ta có thể thấy ở đây ra rác. Rác chứa thông tin quan trọng của chúng ta như thế nào? Trước khi là rác, thì nó chính là những thông tin, tài liệu chúng ta sử dụng. Khi chúng ta không cần dùng nữa, chúng ta sẽ vứt đi, tuy nhiên chúng ta lại không xử lý chúng hoặc xử lý không cẩn thận thì các thông tin này có thể rơi vào tay những kẻ có ý đồ xấu. Còn về Shoulder Surfing, đó là cách nhìn trộm mật khẩu hoặc mã pin. Mọi người có chắc chắn rằng khi mình đánh mật khẩu tại một nơi công cộng sẽ không có ai nhìn thấy không? Thậm chí bạn có đánh nhanh đến đâu, nếu người ta quay phim về rồi phân tích thì sao. 6  Impersonation and Important User: Phương pháp nàynhững kẻ tấn công sẽ giả mạo một người quan trọng, chức vụ cao, có uy tín trong tổ chức. Hoặc họ làm ra vẻ ngu ngơ, giả vờ, làm người ngốc nghếch mà tưởng trừng như vô hại. Từ đó họ cầu giúp đỡ, lợi dụng lòng tốt và sử dụng dưới danh nghĩa của người khác. Họ không có những thứ cần thiết để khai thác hệ thống, họ sẽ tận dụng vào người có thông tin mà không cần phải trải qua bất cứ sự xác nhận nào, thử thách nào.  Third-Party Authorization: Sử dụng tên của người có quyền để thực hiện việc mình mong muốn hoặc đã được chứng thực với hệ thống. Ví dụ: “Ông A đã nói là đồng ý” hoặc là “Trước khi đi nghỉ mát, giám đốc đã nói rằng tớ có thể liên lạc với cậu để lấy thông tin.”Chúng ta nên nhớ rằng hầu hết các kĩ thuật Social Engineering thực hiện ở trong nội bộ tổ chức và có thể tìm thấy dễ dàng. Phương pháp này tương đối giống phương pháp đầu tiên.  Pretexting: Với các tấn công này, các attacker sẽ xây dựng một kịch bản chi tiết trước để khai thác nạn nhân: họ sẽ làm tăng độ tin tưởng của nạn nhân vào mình, từ đó sẽ làm nạn nhân vô ý hoặc có chủ ý tiết lộ thông tin hoặc thực hiện một hành động có lợi cho mình. IV. TẦM ẢNH HƯỞNG CỦA SOCIAL ENGINEERING Social Engineering có thực sự là nguy hiểm, đáng quan tâm và mức độ nguy hiểm của nó đến mức nào.Chúng ta sẽ tham khảo một khảo sát để biết được tình hình. Báo cáo“The risk of social engineering on information security: A survey of IT Professionals” Đây là là một cuộc khảo sát được thực hiện bởi Dimensional Research và được bảo đảm bởi tổ chức Check Point 1 , thực hiện với 853 chuyên gia IT ở nhiều nước có ngành công nghệ thông tin phát triển hàng đầu thế giới: Mỹ, Anh, Canada, Úc, New Zealand và Đức trong khoảng tháng 7 và tháng 8 năm 2011. Mục tiêu của cuộc khảo sát là thu thập dữ liệu về nhận thức đối với các cuộc tấn công Social Engineering và tác động của nó đối với các doanh nghiệp. Báo cáo đã cho chúng ta thấy các kết quả như sau:  Có 97% các chuyên gia bảo mật và 86% các chuyên gia ngành Công Nghệ Thông Tin đã nhận thức được mối đe dọa an ninh tiềm ẩn từ Social Engineering. Sự nhận thức về mối đe dọa này cũng được chia thành nhiều cấp độ khác nhau: 1 Check Point Software Technologies Ltd. là nhà tiên phong trong lĩnh vc An ninh Internet. Check Point đ xut các gii pháp an ninh tng th có tính năng mt cng hp nht, mt agent đim cui (endpoint) đn nht và mt kin trúc qun tr duy nht, đc tùy bin đ thích ng nht vi nhu cu kinh doanh năng đng ca khách hàng. 7 Nhận thức của các chuyên gia đối với Social Engineering  Có 43% số người được phỏng vấn cho biết rằng họ đã là đối tượng bị khai thác bởi Social Engineering. Chỉ có 16% có thể khẳng định rằng họ không phải là đối tượng của Social Engineering, trong khi 41% không nhận thức được rằng họ đã bị tấn công hay chưa. Mức độ nhận biết đã bị tấn công bởi Social Engineering hay chưa  Khảo sát về mục đích của các cuộc tấn công cho thấy: 51% mục đích của các cuộc tấn công là nhằm vào các lợi ích về kinh tế và 14% nhằm vào mục đích là để trả thủ, mâu thuẫn cá nhân. Qua đây chúng ta có thể thấy được, mục đích của các cuộc tấn công này là những mục đích xấu, gây ảnh hưởng tổn hại đến một tổ chức, một cá nhân chứ không hề đơn giản.  Về mật độ xảy ra các vụ tấn công trên: 32% tổng số người tham gia cuộc khảo sát nói rằng họ thường xuyên là đối tượng của Social Engineering, trong vòng hai năm, họ đã bị khai thác khoảng 25 lần hoặc hơn thế.Và 48% các tổ chức được khảo sát cho biết họ thường xuyên là đối tượng bị tấn công và cho biết trong vòng hai năm số lần họ bị khai thác là 25 hoặc hơn thế. Tần suất bị tấn công Social Engineering của các công ty và nhân viên Qua báo cáo cho thấy thiệt hại từ các cuộc tấn công này tương đối lớn: 8 Mức thiệt hại khi bị tấn công bởi Social Engineering Các tổ chức được khảo sát cho biết, các thiệt hại bao gồm chi phí về sự gián đoạn kinh doanh, chi phí đối với khách hàng, mất doanh thu, lao động và các chi phí khác…Gần một nửa trong số họ (48%) cho biết rằng thiệt hại là hơn 25,000$ và 30% các tổ chức lớn cho biết thiệt hại của họ lên tới hơn 100,000$. Báo cáo còn cho biết nhiều con số nữa, chúng tôi không đi sâu vào việc nó diễn ra như thế nào, ở đâu, tuy nhiên chúng tôi đưa ra những con số nhằm cho mọi người thấy về độ nguy hiểm và tầm ảnh hưởng của Social Engineering. Cho mọi người thấy được rằng: trên thế giới, Social Engineering là một vấn đề rất được quan tâm, nó xảy ra rất thường xuyên và thiệt hai của nó gây ra là không hề nhỏ. V. THỰC NGHIỆM Để kiểm chứng lại mức độ nguy hiểm của Social Engineering cũng như nhận thức của mọi người về an toàn thông tin, chúng tôi làm một cuộc khảo sát. Khi tiến hành khảo sát, chúng tôi đặt mình vào vị trí của người thực hiện tấn công đang tiến hành thu thập dữ liệu phục vụ cho việc tấn công mục tiêu. Chúng tôi dùng một kỹ thuật nhỏ trong Social Engineering bằng cách tiến hành dưới danh nghĩa một cuộc khảo sát tìm hiểu về thói quen, phong cách sống của sinh viên trong thời đại công nghệ thông tin. Trong đó, đó các câu hỏi mang tính chất khai thác thông tin nhưng bề ngoài lại hoàn toàn vô hại với người làm khảo sát. A. Dữ liệu thực nghiệm Đối tượng khảo sát là 142 bạn sinh viên đến từ nhiều trường khác nhau. Kết cấu nội dung của cuộc khảo sát được nghiên cứu, và thực hiện theo hai hướng: Đầu t iên là các câu hỏi lấy thông tin người tham gia. Thứ hai là các câu hỏi để đánh giá nhận thức của mọi người đối với vấn đề bảo mật thông tin. Các câu hỏi đã được hệ thống và chuẩn bị từ trước, qua việc xem xét các thông tin thu thập được, chúng tôi sẽ thực hiện khai thác thông của một số người tham gia khảo sát.  Đối với các thông tin cơ bản, người dùng được yêu cầu cung cấp các thông tin về họ. Ngoài ra còn có yêu cầu cung cấp thông tin liên lạc để nhận được kết quả khảo sát, việc này nhằm mục đích tăng tình hiếu kì của người tham gia khảo sát. Trong đó các thông tin họ tên, email, số điện thoại dùng để khai thác thông tin. Các 9 thông tin về trường và chuyên ngành dùng để phân loại đối tượng. Thống kê thể hiện số lượng cung cấp thông tin Những thông tin trên sẽ giúp ích rất nhiều trong việc khai thác đối tượng cũng như trả lời các câu hỏi bảo mật, truy tìm các tài khoản, các thông tin liên quan, giả mạo đối tượng để thu thập thông tin bạn bè, người thân đối phương....Kết quả khảo sát phản ánh được nhận thức của mọi người về việc cung cấp các thông tin cá nhân của mình trên mạng internet và nhận thức về việc bảo mật thông tin cá nhân.  Tiếp theo vô phần chính là các câu hỏi đánh vào phần nhận thức của mọi người. B. Kết quả thực nghiệm Sau khi khảo sát, chúng tôi thu được 142 dòng dữ liệu, kết quả của bảng khảo sát được chúng tôi chia thành hai nhóm: Nhóm những người chuyên ngành về Công Nghệ Thông Tin (55 người), và nhóm những người không chuyên (87 người). Kết quả được chúng tôi thống kê như sau: 1. Câu hỏi: Bạn có tham gia mạng xã hội hay không? Mạng xã hội là nguồn khai thác thông tin ưa thích của các kẻ tấn công, đó là nơi kẻ tấn công có thể phác thảo bạn một cách toàn diện nhất về hình dạng cũng như tính cách. Mạng xã hội mang mọi người đến gần bạn hơn, trong đó có cả những “Social Engineer” Thống kê mức độ sử dụng Mạng xã hội 2. Bạn có thói quen trao đổi chuyện học hành, công việc với bạn bè, thầy cô, đồng nghiệp ... qua email hay không? Thống kê thể hiện mức độ trao đổi chuyện học hành, công việc Việc này cho chúng ta biết được thói quen trao đổi thông tin của đối tượng, qua đó đánh giá được tầm quan trọng của email họ sử dụng cũng như lượng thông tin giá trị ẩn chứa trong tài khoản email của họ. 10 3. Bạn thường download phần mềm bằng cách nào? Việc nắm được thói quen cài đặt phần mềm của đối tượng giúp ta dễ dàng tiếp cận với máy tính của đối tượng hơn. Đây là cách giúp kẻ tấn công có thể đưa các phần mềm có chứa mã độc hại vào máy tính của nạn nhân qua đó kiểm sóat máy tính đó và khai thác được nhiều thông tin có giá trị khác. Thống kê cách thức cài đặt một chương trình mới 4. Đa phần chúng ta đều gặp khó khăn trong việc ghi nhớ các password, bạn thường giải quyết cách này thế nào? Một thói quen chết người của nhiều người là “Dùng một password cho nhiều tài khoản” dẫn đến tình trạng mất thông tin hàng loạt. Hãy tưởng tượng nếu kẻ tấn công dụ bạn đăng ký thành viên ở một website do họ tạo ra? Thống kê cách thức lưu trữ, ghi nhớ password 5. Bạn sẽ làm gì nếu nhặt được một USB, việc đầu tiên bạn sẽ làm là? Lợi dụng sự tò mò của con người , kẻ tấn công hoàn toàn có thể dàn cảnh bỏ quên USB ở một nơi mà đối tượng dễ dàng nhìn thấy và không quên kèm theo một chút mã độc hại. Vì tò mò, rất nhiều người rất muốn biết nội dung bên trong USB, con số 91/142 không phải là con số nhỏ ,trong đó có ½ là dân công nghệ thông tin. Thống kê cách xử lý khi nhận được một usb 6. Bạn đang ngồi quán trong quán cafe và sử dụng laptop, có một cô gái xinh đẹp có chuyện gấp cần mượn laptop của bạn để gửi email cá nhân, bạn sẽ? Bạn sẵn sàng giúp đỡ người khác không một chút phòng bị, việc gì sẽ xảy ra nếu cô gái ấy là một hacker hoặc là người của tổ chức đối thủ? 11 Thống kê thể hiện mức độ tin tưởng đối với một người lạ 7. Bạn có thường chia sẻ các chuyện "tuyệt mật" của mình, của công ty cho người yêu biết không ? Thống kê thể hiện mức độ chia sẽ thông tin với người yêu Với Social Engineering , mục đích của kẻ tấn công cần là thông tin và thông tin đó không nhất thiết là phải khai thác tự bạn - nhất là khi kẻ tấn công biết bạn là một người có hiểu biết và nhận thức về bảo mật. Tuy nhiên bạn có chắc rằng người yêu của bạn cũng có nhận thức và cảnh giác tốt như bạn ? 8. Người yêu bạn có yêu cầu bạn cho cô ấy/anh ấy biết password của bạn hay không? Thống kê thể hiện độ tin cậy đối với người yêu Một lần nữa , mục tiêu của kẻ tấn công cần là thông tin có giá trị đối với hệ thống , và thông này không nhất thiết phải khai thác từ những người quản trị hệ thống - những người luôn có ý thức cao trong bảo mật. C. Khai thác thông tin Với các thông tin thu thập trên, chúng tôi đã tiến hành chọn một số đối tượng làm nạn nhân và khai thác thông tin. Số lượng chọn: 15 người (15 dòng dữ liệu). Số lượng khai thác thành công: 3 người Chúng tôi đã khai thác được các thông tin sau: email yahoo, gmail, facebook, ID đăng nhập web trường, trang thông tin môn học, các website, diễn đàn trên mạng, internet. Chúng tôi đã đăng nhập vào nick yahoo, xem danh sách bạn, lấy được danh sách bạn bè, log chat của nạn nhân. Đăng nhập vào email, thu được một số tài liệu trao đổi với người khác, đăng nhập vào 12 web trường, trang thông tin môn học Moodle, lấy được các bài nộp của các môn mà nạn nhân đã nộp. (Moodle trang web môn học của trường đại học Khoa học tự nhiên). Có thể mở rộng dùng các tài khoản trên để phishing bạn bè trong friend list của họ , tuy nhiên trong giới hạn tìm hiểu , chúng tôi dừng việc khai thác tại đây. Chúng tôi đã lọc danh sách kết quả (142 dòng dữ liệu), lọc ra các dòng dữ liệu có khai báo email. Với những người trả lời cầu hỏi số 4 (khó khăn trong việc lưu trữ password) là “Mỗi site đặt một password nhưng đơn giản”, chúng tôi đã tiến hành đoán password của họ và nhận thấy các password được sử dụng chính là : chữ lót và tên, số điện thọai di động (họ cung cấp ở phần thông tin liên lạc). Nếu không đoán được password thì dùng tính năng quên mật khẩu của mail box: các câu hỏi bảo mật thường là “số điện thoại của bạn”, “nơi bạn sinh ra” … các thông tin này hoàn toàn có thể có được thông qua thông tin liên lạc họ cung cấp hoặc trên các mạng xã hội mà hộ tham gia. Tiếp theo, chúng tôi đăng nhập vào mail box, xem các thông tin mà nạn nhân có: tài liệu, liên kết với website khác (diễn đàn, mạng xã hội, yahoo, hộp mail khác, …); vào security của mailbox kiểm tra các tài khoản đang kết nối. Sử dụng các thông tin khác từ bài khảo sát như: “Vấn đề lưu trữ password” được trả lời là “Dùng chung một password” để khai thác các thông tin cần thiết. D. Kết luận Rất nhiều người tham gia khảo sát vẫn chưa có đánh giá đúng về vấn đề bảo mật thông tin. Đặc biệt trong đó có một số lớn những người đang có chuyên ngành là công nghệ thông tin. VI. TỔNG KẾT VÀ HƯỚNG PHÁT TRIỂN Social Engineering thực sự là một kĩ thuật tấn công nguy hiểm. Nguy hiểm vì nó rất khó nhận biết, cách thức sử dụng của nó rất nhiều, từ đơn giản đến phức tạp. Nguy hiểm vì nó có thể được sử dụng từ bất kì ai xung quanh chúng ta. Trên thế giới và ở Việt Nam ta, ở lĩnh vực chuyên sâu, cái nhìn về Social Engineering cũng đã tương đối tốt. Tuy nhiên đối với bộ phận lớp trẻ, kể cả những người học về Công nghệ thông tin thì nhận thức vấn đề này vấn còn rất là mơ hồ. Qua báo cáo chúng tôi muốn mô tả một cách dễ hiểu nhất về Social Engineering. Từ đây mong muốn mọi người có thể nâng cao nhận thức hơn về vấn đề bảo mật thông tin cá nhân của mình nói riêng và trang bị những kiến thức để phòng tránh khỏi kĩ thuật Social Engineering nói riêng. Mong muốn của nhóm tác giả chúng tôi là có thể đưa ra một hệ thống cách phòng tránh ảnh hưởng của Social Engineering đối với một cá nhân. Từ đó giúp cho việc 13 bảo vệ an ninh của tổ chức có thể được nâng cao hơn. Vấn đề này hi vọng có thể gặp lại với mọi người vào dịp khác. TÀI LIỆU THAM KHẢO [1] Malcolm Allen,“Social Engineering: A Means To Violate A ComputerSystem”,updated June 2006 [2] Ira S. Winkler, Brian Dealy,“Information Security Technology?...Don’t Rely on ItA Case Study in Social Engineering”, inScience Applications International Corporation200 Harry S Truman ParkwayAnnapolis, Maryland 21401 [3] “The risk of social engineering on information security: a survey of it professionals” Check Point. [4] ThomasR.Peltier,“Social Engineering: Concepts and Solutions”,in Information Security and Risk Management [5] Aaron Dolan,"Social Engineering" in GSEC Option 1 version 1.4b February 10, 2004