Tìm kiếm tài liệu miễn phí

Kỹ thuật SOCIAL ENGINEERING - Phần I

Chào mọi người, Mình có làm đề tài về Social Engineering. Đây là một kỹ thuật được sử dụng rất phổ biến hiện nay, không chỉ trong công việc bảo mật mạng, mà trong cuộc sống chúng ta cũng nên hiểu biết về kỹ thuật này để tránh bị vướng vào trường hợp tương tự.



Đánh giá tài liệu

4.7 Bạn chưa đánh giá, hãy đánh giá cho tài liệu này


Kỹ thuật SOCIAL ENGINEERING - Phần I Kỹ thuật SOCIAL ENGINEERING - Phần I hệ điều hành, giáo trình hệ điều hành, các vấn đề hệ điều hành, tài liệu hệ điều hành, Cấu trúc hệ đ
4.7 5 2255
  • 5 - Rất hữu ích 1.617

  • 4 - Tốt 638

  • 3 - Trung bình 0

  • 2 - Tạm chấp nhận 0

  • 1 - Không hữu ích 0

Mô tả

  1. Kỹ thuật SOCIAL ENGINEERING - Phần I Chào mọi người, Mình có làm đề tài về Social Engineering. Đây là một kỹ thuật được sử dụng rất phổ biến hiện nay, không chỉ trong công việc bảo mật mạng, mà trong cuộc sống chúng ta cũng nên hiểu biết về kỹ thuật này để tránh bị vướng vào trường hợp tương tự. Và đây là đề tài của tụi mình ( Trần Thị Thùy Mai và Hồ Ngọc Thiện ), share cho mọi người nha! Chương 1: GIỚI THIỆU TỔNG QUAN VỀ SOCIAL ENGINEERING 1.1 Khái niệm về Social Engineering: Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN, các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công. Một nhân viên có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờ liền ở quán rượu.
  2. Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kết yếu nhất. Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì. Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượng cao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản, các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng. Không có thiết bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin key trong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chí khoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu. Thông thường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họ không cố ý. Những người tấn công đặc biệt rất thích phát triển kĩ năng về Social Engineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng họ đang bị lừa. Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn có thể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người. Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin. Họ chắc chắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ, nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ. Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán. Ví dụ, khi nhìn thấy một người mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa vì họ nghĩ đây là người giao hàng. Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điện thọai, email trên Website của công ty. Ngoài ra, các công ty còn thêm danh
  3. sách các nhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIX servers. Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họ đang định xâm nhập. 1.2 Thủ thuật: Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép, bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa một người nào đó cung cấp thông tin có giá trị hay sử dụng thông tin đó. Nó tác động lên phẩm chất vốn có của con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và sợ những rắc rối. Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà attacker muốn. Nó không phải là cách điều khiển suy nghĩ người khác, và nó không cho phép attacker làm cho người nào đó làm những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công vào công ty. Có 2 loại rất thông dụng : Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn là phá hủy hệ thống. Psychological subversion: mục đích của hacker hay attacker khi sử dụng PsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suy nghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sử dụng trong quân đội.
  4. Xem xét tình huống sau đây: Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice” Alice: “ Xin chào, tôi là Alice”. Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này…” Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.” Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.” Alice: ” Của tôi à..à vâng.” Attacker: ” Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.” Alice: ”Vậy mail của tôi có bị mất không?” Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúng tôi không thể làm gì được.” Alice: ”Password của tôi à?uhm..” Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân) Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử dụng password của cô vào
  5. bất cứ mục đích nào khác.” Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456” Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.” Alice: ” Có chắc là mail không bị mất không?” Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.” Alice: ” Cảm ơn.” Attacker: ” Chào cô.” 1.3 Điểm yếu của mọi người: Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì nó không thể dùng phần cứng hay phần mềm để chống lại. Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mật máy tính. Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện. Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có thể dùng phương pháp Social engineering để thu thập
  6. thêm thông tin. Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin thì rẩt yếu. Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống. Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp, đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì. Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác hơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bị thuyết phục đến mức nào, bởi vì attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng thành công càng cao. Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.

Tài liệu cùng danh mục Hệ điều hành

Activity 6.4: Modeling Dynamic Behavior

Dynamic models provide the development team with a detailed picture of the relationships of use cases and usage scenarios. The models provide current state descriptions of the workflow processes and important task sequences. In this activity, you will develop activity, interaction, and state models for the Ferguson and Bardell, Inc. case study.


Oracle Database 11g Performance Tuning Recipes: A Problem-Solution Approach

Oracle Database 11g Performance Tuning Recipes is a ready reference for database administrators in need of immediate help with performance issues relating to Oracle Database. The book takes an example-based approach, wherein each chapter covers a specific problem domain. Within each chapter are "recipes," showing by example how to perform common tasks in that chapter’s domain. Solutions in the recipes are backed by clear explanations of background and theory from the author team. Whatever the task, if it’s performance-related, you’ll probably find a recipe and a solution in this book....


Smart Home Automation with Linux- P25

Smart Home Automation with Linux- P25:I will end on a note of carefree abandon—learn to steal! Once you’ve learned the pieces of the puzzle and how to combine them, there is very little new to invent. Every new idea you discover is a mere permutation of the old ideas. And ideas are free! Every cool feature discussed on TV shows or presented in the brochures or web sites of commercial HA companies can be taken, adapted, and implemented with the information presented here using very little effort....


Ebook Update Windows XP's Problem part 22

Tham khảo tài liệu 'ebook update windows xp's problem part 22', công nghệ thông tin, hệ điều hành phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả


ADVANCED SERVER VIRTUALIZATION VMware and Microsoft Platforms in the Virtual Data center phần 2

và phức tạp cần thiết để khôi phục lại hệ thống quan trọng trong trường hợp của một sự kiện thảm khốc, cải thiện cơ hội tiếp tục kinh doanh. Ảo hóa máy chủ cũng có thể giúp giảm các chi phí liên quan trong việc tạo ra các hệ thống được đánh giá cao có sẵn, cũng giúp đỡ trong việc tiếp tục kinh doanh thông qua tăng khả năng chịu lỗi.


The C# Programming Language Fourth Edition

The popular C# programming language combines the high productivity of rapid application development languages with the raw power of C and C++. Updated to cover the new features of C# 4.0, including dynamic binding, named and optional parameters, and covariant and contravariant generic types, this release takes the language to the next level by adding the ability to cleanly write programs that don't rely on static type definitions. This allows dynamic programming languages such as Python, Ruby, and JavaScript to feel native to C#. The C# Programming Language, Fourth Edition, continues to be the authoritative and annotated technical reference for...


Cách cài đặt Ubuntu trên Windows 8

Cài đặt Ubuntu trên Windows 8 .Bài viết sẽ hướng dẫn người dùng cài đặt hệ điều hành Ubuntu trên nền Windows 8 bằng phần mềm tạo máy ảo Hyper-V tích hợp sẵn trong Windows 8. Mở Hyper-V Manager từ màn hình Start Screen. Ở phía bên phải trong khung Actions, kích vào New và chọn Virtual Machine từ thực đơn ngữ cảnh.


Tải dữ liệu dễ dàng hơn từ Rapidshare, Hotfile, Filesonic

Nhiều người thường gặp khó khăn khi sử dụng dịch vụ lưu trữ và chia sẻ dữ liệu như Rapidshare, Hotfile, Filesonic, Fileserver... Với add-on miễn phí DebridMax dành cho Firefox và Google Chrome, bạn có thể tải dữ liệu từ các dịch vụ này vô cùng dễ dàng.


Môt số câu lệnh thường găp trong ubuntu-linux

Đây là môṭ sô ́ câu lêṇ h(shell) ma ̀ tać gia ̉ đa ̃ sưu tâm̀ và test thử trên Linux: Khi mở một shell, bạn cần đến tài khoản kích hoạt vào thư mục chủ (thông thường nằm trong /home/tên_người_dùng).


Quản lý Server với công cụ Servermanager.exe mới của Windows Server 2008

Quản lý Server với công cụ Servermanager.exe mới của Windows Server 2008 Trong Windows Server 2008 có nhiều khái niệm mới đối với Roles. Ví dụ về các Role cho máy chủ của bạn như:      DNS DHCP Web Server (IIS) Sharepoint Server Windows Active Directory (AD) Server Bạn có thể hoàn toàn dễ dàng bổ sung thêm các role trong Windows Server 2008 GUI (xem hình 1 bên dưới để thấy thêm chi tiết), nhưng bạn phải thực hiện những gì nếu muốn add & remove các role từ dấu nhắc lệnh của Windows Server 2008? Thực hiện nó...


Tài liệu mới download

Bài giảng Kỹ năng kiểm tra
  • 26/05/2014
  • 54.335
  • 547

Từ khóa được quan tâm

Có thể bạn quan tâm

Activity 6.3: Using Models
  • 12/08/2009
  • 83.327
  • 569
Hệ Điều Hành Linux (P12)
  • 10/12/2010
  • 36.872
  • 957
Tài liệu Hệ thời gian thực
  • 24/04/2014
  • 74.266
  • 781

Bộ sưu tập

Danh mục tài liệu