Tìm kiếm tài liệu miễn phí

Kỹ thuật SOCIAL ENGINEERING - Phần I

Chào mọi người, Mình có làm đề tài về Social Engineering. Đây là một kỹ thuật được sử dụng rất phổ biến hiện nay, không chỉ trong công việc bảo mật mạng, mà trong cuộc sống chúng ta cũng nên hiểu biết về kỹ thuật này để tránh bị vướng vào trường hợp tương tự.



Đánh giá tài liệu

4.7 Bạn chưa đánh giá, hãy đánh giá cho tài liệu này


Kỹ thuật SOCIAL ENGINEERING - Phần I Kỹ thuật SOCIAL ENGINEERING - Phần I hệ điều hành, giáo trình hệ điều hành, các vấn đề hệ điều hành, tài liệu hệ điều hành, Cấu trúc hệ đ
4.7 5 2255
  • 5 - Rất hữu ích 1.617

  • 4 - Tốt 638

  • 3 - Trung bình 0

  • 2 - Tạm chấp nhận 0

  • 1 - Không hữu ích 0

Mô tả

  1. Kỹ thuật SOCIAL ENGINEERING - Phần I Chào mọi người, Mình có làm đề tài về Social Engineering. Đây là một kỹ thuật được sử dụng rất phổ biến hiện nay, không chỉ trong công việc bảo mật mạng, mà trong cuộc sống chúng ta cũng nên hiểu biết về kỹ thuật này để tránh bị vướng vào trường hợp tương tự. Và đây là đề tài của tụi mình ( Trần Thị Thùy Mai và Hồ Ngọc Thiện ), share cho mọi người nha! Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Khái niệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu.
  2. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh
  3. sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 1.2 Thủ thuật: Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị hay sử dụng thông tin đó. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà attacker muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép attacker làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng : Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống. Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.
  4. Xem xét tình huống sau đây: Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice” Alice: “ Xin chào, tôi là Alice”. Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này…” Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.” Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.” Alice: ” Của tôi à..à vâng.” Attacker: ” Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.” Alice: ”Vậy mail của tôi có bị mất không?” Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được.” Alice: ”Password của tôi à?uhm..” Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân) Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào
  5. bất cứ mục đích nào khác.” Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456” Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.” Alice: ” Có chắc là mail không bị mất không?” Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.” Alice: ” Cảm ơn.” Attacker: ” Chào cô.” 1.3 Điểm yếu của mọi người: Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện. Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập
  6. thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin thì rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống. Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác hơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức nào, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.

Tài liệu cùng danh mục Hệ điều hành

o reilly Unix Backup and Recovery phần 6

Thay thế dksc (1,3,8) và dksc (1,3,7) với ổ đĩa CD-ROM thích hợp từ sản lượng hinv của hệ thống đang được phục hồi, và sashARCS và fx.ARCS với tên độc lập chương trình thích hợp từ bảng . Một số tên tập tin sash và fx có bộ vi xử lý


Cấu hình cho Ubuntu tự động cập nhật

Một trong những tính năng hay nhất của Ubuntu là tính năng tự động cập nhật, nó giúp cho máy tính của bạn cập nhật những phần mềm mới nhất và cập nhật bảo mật


Hướng dẫn kích hoạt tính năng gia tốc 3D trên VirtualBox (Phần 2)

Hướng dẫn kích hoạt tính năng gia tốc 3D trên VirtualBox (Phần 2) .Thực hiện cài đặt cho đến khi gặp cửa sổ Choose Components. Tích vào tùy chọn Direct3D Support (Experimental). Một thông báo hiện ra hỏi xem liệu người dùng có muốn cài đặt hỗ trợ Direct3D cơ bản thay thế hay không. Nhấn No để cài đặt driver WDDM (hỗ trợ giao diện Aero của Windows). Lưu ý rằng, nếu muốn cài đặt driver Direct3D cơ bản, bạn sẽ cần cài đặt trong chế độ Safe Mode. Khởi động lại máy ảo, nhấn F8 trong lúc máy đang .khởi động,...


Redhat Linux

Linux là một hệ điều hành mã nguồn mở rất mạnh về việc quản lý tài nguyên cũng như bảo mật hệ thống. Giáo trình sẽ giúp bạn làm quen và tiếp cận với hệ điều hành đặc biệt này, Linux là miễn phí (free). Đối với chúng ta hôm nay không quan trọng vì ngay WindowsNT server cũng “free”. Nhưng trong tương lai, khi chúng ta muốn hòa nhập vào thế giới, khi chúng ta muốn có một thu nhập chính đáng cho người lập trình, hiện tượng sao chép trộm phần mềm cần phải chấm dứt....


iBooks & ePeriodicals on the iPad

The Missing Manual is a registered trademark of O’Reilly Media, Inc. The Missing Manual logo, and “The book that should have been in the box” are trademarks of O’Reilly Media, Inc. Many of the designations used by manufacturers and sellers to distinguish their products are claimed as trademarks. Where those designations appear in this book, and O’Reilly Media is aware of a trademark claim, the designations are capitalized. While every precaution has been taken in the preparation of this book, the publisher assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained...


Bài giảng môn Hệ điều hành: Chương 3 - GV. Nguyễn Thị Ngọc Vinh

Bài giảng môn Hệ điều hành - Chương 3: Quản lý bộ nhớ giới thiệu địa chỉ và các vấn đề liên quan, một số cách tổ chức chương trình, các yêu cầu quản lý bộ nhớ, phân chương bộ nhớ, phân trang bộ nhớ, phân đoạn bộ nhớ, bộ nhớ ảo.


5 mẹo bảo vệ điện thoại Android của bạn khỏi malware

5 mẹo bảo vệ điện thoại Android của bạn khỏi malware Số lượng ứng dụng Android chứa malware đã tăng lên đến 50 ứng dụng, và ngày càng tăng tiếp. Hãy cẩn thận khi cài các ứng dụng miễn phí cho điện thoại Android của bạn. 1. Luôn luôn chú ý đến hãng sản xuất của ứng dụng bạn muốn download. Hãng đó còn có những ứng dụng nào nữa? Có ứng dụng nào của hãng đó đáng nghi không? Nếu có, hãy tránh xa hãng đó ra. 2. Đọc các nhận xét trên mạng. Các nhận xét trên Android Market chưa chắc...


Railo 3

Part of Packt's Beginner's Guide series, this book uses practical examples and screenshots to steadily guide the reader through setting up and using Railo. If you want to develop your own dynamic web applications using CFML, then this book is for you. No prior experience with Railo or CFML is required, although you will be expected to have some web application development experience and knowledge of HTML.


Tài liệu window: Những bí quyết tuyệt vời cho Window Vista phần 8

Khắc phục lỗi lưu tệp tin trên ổ cứng Windows Vista Trong Windows Vista, khi bạn lưu một tệp tin trên ổ cứng hoặc một thiết bị lưu trữ dữ liệu, bạn nhận được một trong hai thông báo sau


The Second Internet

This book provides a succinct, in-depth tour of all the new features and functions in IPv6. It guides you through everything you need to know to get started, including how to configure IPv6 on hosts and routers and which applications currently support IPv6. The new IPv6 protocols offers extended address space, scalability, improved support for security, real-time traffic support, and auto-configuration so that even a novice user can connect a machine to the Internet. Aimed at system and network administrators, engineers, network designers, and IT managers, this book will help you understand, plan for, design, and integrate IPv6 into your...


Tài liệu mới download

Writing for FCE
  • 02/08/2016
  • 54.089
  • 551

Từ khóa được quan tâm

Có thể bạn quan tâm

Windows Errors part 17
  • 08/10/2010
  • 70.613
  • 685
Windows PowerShell Unleashed
  • 02/05/2013
  • 29.071
  • 251

Bộ sưu tập

Danh mục tài liệu