Kỹ thuật xã hội và kẻ thù không đội trời chung

  1. Trang chủ
  2. Tin Tông Hợp Quốc Tế
  3. Kỹ thuật xã hội và kẻ thù không đội trời chung

iso

Bảo mật chỉ mạnh khi liên kết yếu nhất của nó và phần lớn thời gian, người dùng của một tổ chức trở thành điểm yếu nhất. Cho dù đầu tư bao nhiêu tiền vào bảo mật, cài đặt tường lửa, hệ thống ngăn chặn xâm nhập, hệ thống truy cập từ xa phức tạp, nhân viên bảo vệ, thẻ truy cập vật lý hoặc vô số các giải pháp khác kết hợp để tạo thành bảo mật nhiều lớp mạnh mẽ, nếu người dùng không được đào tạo cơ bản nguyên tắc bảo mật, tất cả đều vô nghĩa.

Một trong những rủi ro lớn nhất đối với tổ chức là khả năng một trong những người dùng của tổ chức đó có thể bị thao túng hoặc lừa dối để thực hiện một số hành động hoặc tiết lộ thông tin bí mật cho ai đó bên ngoài doanh nghiệp. Thuật ngữ An toàn thông tin định nghĩa thao tác này là “kỹ thuật xã hội”. Mặc dù thuật ngữ kỹ thuật xã hội là một thuật ngữ khá mới, nhưng kiểu tấn công này cũng lâu đời như chính loài người. Hai trong số các cuộc tấn công kỹ thuật xã hội nổi tiếng nhất là câu chuyện về con ngựa gỗ của thành Troy trong “The Odyssey” của Homer, và thậm chí có niên đại xa hơn từ đầu Kinh thánh với Adam và Eve và sự thao túng của Ác quỷ đối với Eve để thuyết phục cô ấy. để cắn một miếng táo trong Vườn Địa Đàng.

Trong câu chuyện về con ngựa gỗ của thành Troy, sau khi quân Hy Lạp không lật đổ được thành Troy, họ đã chế tạo một con ngựa gỗ khổng lồ mà họ để lại bên ngoài thành phố. Bỏ lại một người lính, quân Hy Lạp rời vùng ngoại ô thành Troy để trở về nhà. Khi bị bắt, người lính nói với người dân thành Troy rằng người Hy Lạp đã để lại con ngựa gỗ như một lễ vật dâng lên Thần linh để đảm bảo việc đi lại an toàn. Ông cũng tiết lộ rằng họ đã tạo ra con ngựa quá lớn để nó có thể di chuyển trong thành Troy vì vận rủi sẽ ập đến với quân Hy Lạp nếu điều này xảy ra. Người dân thành Troy ít ai biết rằng ẩn bên trong con ngựa là một số binh lính Hy Lạp. Tất nhiên người dân thành Troy không thể cưỡng lại việc lùa ngựa vào bên trong cánh cổng để gây xui xẻo cho quân Hy Lạp. Trong ví dụ sách văn bản về kỹ thuật xã hội này, người lính đã điều khiển người dân thành Troy thực hiện hành động di chuyển ngựa, với quân Hy Lạp bên trong, bên trong các bức tường thành, điều mà người Hy Lạp không thể tự làm được. Đêm đó, quân Hy Lạp xuống ngựa, giết lính canh và mở cổng thành để phần còn lại của quân đội Hy Lạp đánh bại thành Troy.

Mặc dù không liên quan đến CNTT, nhưng câu chuyện về Troy là một ví dụ hoàn hảo về bảo mật mạnh mẽ bị đánh bại thông qua liên kết yếu nhất, điều mà mọi người thậm chí không nhất thiết phải coi là liên quan đến bảo mật. Thành Troy đã chống chọi với các cuộc tấn công của quân Hy Lạp trong hơn một thập kỷ. Họ có lính gác và binh lính, những bức tường vững chắc không thể xuyên thủng và thức ăn để duy trì họ trong vô số năm. Chỉ thông qua liên kết yếu nhất trong mô hình an ninh của họ, cư dân của họ, thì người Hy Lạp mới có thể thành công.

Trong ngày nay, các cuộc tấn công kỹ thuật xã hội liên quan đến CNTT và vật lý nhằm vào người dùng nhằm cố gắng đạt được một số kết quả cụ thể. Các mục tiêu chung nhất là:

o Có được quyền truy cập vào dữ liệu bị hạn chế;

o Tiếp cận các khu vực hạn chế;

o Lãi và lãi tiền tệ; và

o Ăn cắp danh tính

Hai cách đầu tiên trong danh sách, giành quyền truy cập vào dữ liệu và các khu vực bị hạn chế, thường là nhằm đạt được quyền truy cập trái phép vào một tổ chức. Trộm cắp danh tính thường nhằm vào các cá nhân, trong khi lợi nhuận tiền tệ nhắm vào cả hai lĩnh vực. Mặc dù việc bắt đầu và thực hiện các cuộc tấn công này theo các phương pháp và đường dẫn khác nhau, nhưng tất cả chúng đều tuân theo cùng một nguyên tắc: thao túng người dùng mà họ không biết.

Mặc dù một tổ chức có thể đã triển khai bảo mật nhiều lớp mạnh mẽ, trong rất nhiều môi trường, tất cả những gì cần thiết để truy cập mạng từ mọi nơi trên thế giới là biết cách kết nối với hệ thống truy cập từ xa của tổ chức, cùng với tên người dùng và mật khẩu hợp lệ. Trước đây, điều này yêu cầu số điện thoại của modem truy cập từ xa của tổ chức, nhưng với việc sử dụng phổ biến các thiết bị Mạng riêng ảo (VPN) phức tạp trong hầu hết các tổ chức, tất cả những gì được yêu cầu là địa chỉ IP hoặc URL. Có vô số phương pháp để lấy thông tin tổ chức như số modem, thông tin truy cập VPN hoặc tên người dùng và mật khẩu có thể. Wardialing, hành động quay số liên tiếp trong một khu vực tìm kiếm modem, là nơi phổ biến khi modem là phương pháp truy cập từ xa chính. Chuyển rác là hành động đi qua thùng rác của một cá nhân hoặc tổ chức để tìm kiếm thông tin như chi tiết tài khoản của người dùng và đôi khi tìm mật khẩu tương ứng. Hack Google là hành động sử dụng công cụ tìm kiếm của Google để trích xuất càng nhiều thông tin hữu ích về người dùng hoặc tổ chức càng tốt. Và cuối cùng là Bộ phận trợ giúp của tổ chức. Nếu kẻ tấn công có tên của những người dùng hợp pháp trong tổ chức, bao gồm thông tin khác có thể giúp thiết lập uy tín, không khó để mạo danh người dùng và yêu cầu một hành động như đặt lại mật khẩu hoặc yêu cầu thông tin như chi tiết truy cập VPN hoặc số modem. Một cuộc tấn công thành công như vậy sẽ cho phép kẻ tấn công truy cập vào mạng của tổ chức từ bất kỳ đâu trên thế giới. Tùy thuộc vào quyền truy cập của người dùng mà họ đang mạo danh, điều này có thể dẫn đến những tổn hại lớn đối với các hệ thống quan trọng.

Truy cập vào các hệ thống CNTT và dữ liệu chứa trong hệ thống này không phải là mục tiêu duy nhất của các kỹ sư xã hội. Hầu hết các tổ chức vừa đến lớn hiện đã triển khai một số dạng mã thông báo truy cập vật lý để cho phép truy cập vào các tòa nhà, văn phòng và các khu vực hạn chế. Chúng có nhiều dạng khác nhau, có thể là thẻ quẹt từ, HID, RFID hoặc chỉ là các huy hiệu nhận dạng đơn giản được xác nhận bởi người dùng khác hoặc nhân viên bảo vệ. Các kỹ sư xã hội có hàng tá phương pháp để vượt qua các hệ thống này mà không cần chạm vào công nghệ. Bằng cách nhắm mục tiêu người dùng của các hệ thống này, không cần thiết. Kỹ thuật xã hội là một giải pháp công nghệ thấp cho một vấn đề công nghệ cao. Tất cả những gì được yêu cầu là kẻ tấn công phù hợp với môi trường, rằng anh ta hoặc cô ta trông giống như cô ta thuộc tổ chức hoặc đang thực hiện một nhiệm vụ hợp lệ. Theo sát, hành động theo sát phía sau một cá nhân, là một phương pháp phổ biến để bỏ qua các kiểm soát truy cập vật lý. Phương thức này cho phép kẻ tấn công theo dõi người khác qua một cánh cửa hạn chế sau khi họ đã cung cấp xác thực cần thiết. Mạo danh, hành động giả làm người khác, cực kỳ hiệu quả. Bạn có thường xuyên nhìn thấy những người thợ buôn bán, người quét dọn hoặc những cá nhân khác trong tổ chức của bạn không? Bao lâu thì bạn thực sự nhìn vào thẻ của họ hoặc yêu cầu xác minh họ là ai? Bạn đã bao giờ mở cửa cho họ khi họ lăn bánh trong xe đẩy, dụng cụ hoặc mang theo một chiếc hộp cồng kềnh? Đây là tất cả các phương pháp phổ biến của kỹ sư xã hội lành nghề.

Các tổ chức không phải là con mồi duy nhất của kỹ sư xã hội. Số lượng lớn các cuộc tấn công SPAM và Lừa đảo mà mọi người nhận được trong email của họ chỉ là một dạng khác của kỹ thuật xã hội. Các cuộc tấn công lừa đảo, hành động cố gắng lấy thông tin nhạy cảm bằng cách giả mạo là một cá nhân đáng tin cậy, là một ví dụ hoàn hảo. Sự khác biệt duy nhất giữa các cuộc tấn công được mô tả ở trên và Phishing là mục tiêu và phương pháp. Lừa đảo có xu hướng nhằm vào các cá nhân ở mức độ cá nhân, thay vì nhằm vào một cá nhân trong một nỗ lực nhằm thỏa hiệp một tổ chức. Ngoài ra, trong khi các phương pháp trên là tấn công thủ công, Phishing thường được tự động hóa và nhắm đến hàng trăm, hàng nghìn hoặc thậm chí hàng triệu người dùng. Phương pháp này cung cấp cho kẻ tấn công tỷ lệ thành công cao hơn nhiều và tương ứng, lợi nhuận nhiều hơn đáng kể.

Cách phòng thủ duy nhất chống lại kỹ thuật xã hội là giáo dục. Các tổ chức nên thực hiện một chương trình nâng cao nhận thức về bảo mật trở thành một yêu cầu khi nhân viên mới bắt đầu, bao gồm các khóa bồi dưỡng hàng năm cho nhân viên đã thành lập. Nhận thức về bảo mật là một phần không thể thiếu trong việc triển khai bảo mật tổng thể của tổ chức và do đó, là yêu cầu bắt buộc trong Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI: DSS), mục 12.6. Đào tạo và nâng cao nhận thức về bảo mật cũng được quy định trong phần 5.2.2 của tiêu chuẩn bảo mật ISO 27001. Trong khi đào tạo nâng cao nhận thức về bảo mật nên bao gồm các lĩnh vực như chính sách mật khẩu và cách sử dụng được chấp nhận, các lĩnh vực sau đây cụ thể cho kỹ thuật xã hội nên được thảo luận:

1. Luôn đeo phù hiệu nhận dạng.

Tất cả nhân viên, nhà thầu và khách tham quan đều phải đeo và nhìn thấy các phù hiệu nhận dạng. Tất cả các nhân viên phải dễ dàng nhận biết những điều này. ID khách truy cập phải được trả lại khi kết thúc chuyến thăm của họ và xử lý đúng cách.

2. Hỏi người chưa biết

Nếu nhân viên nhìn thấy ai đó trong khu vực của họ mà họ không nhận ra hoặc ai đó đang cố gắng điều chỉnh, hãy hỏi họ. Yêu cầu xem ID của họ hoặc người mà họ đến thăm và hộ tống họ đến nhân viên đó.

3. Bỏ hoặc quay lại phù hiệu nhận dạng khi ở ngoài văn phòng

Nhân viên đeo giấy tờ tùy thân ở chế độ xem đầy đủ khi bên ngoài văn phòng đang cung cấp quá đủ thông tin để kẻ tấn công bắt đầu một cuộc tấn công kỹ thuật xã hội. Trong khi một số thẻ chỉ hiển thị một bức ảnh, hầu hết đều có thông tin có giá trị cho một kỹ sư xã hội. Thông tin phổ biến được hiển thị trên thẻ ID công ty bao gồm tên đầy đủ của họ, công ty và thậm chí cả bộ phận mà người dùng thuộc về công ty đó. Khi rời khỏi cơ sở, hãy tháo huy hiệu và đặt nó vào túi hoặc túi xách của bạn, hoặc ít nhất, hãy xoay huy hiệu để không có thông tin nào được nhìn thấy.

4. Không bao giờ viết ra mật khẩu

Mật khẩu không bao giờ được viết ra, dấu chấm. Chọn mật khẩu có thể dễ nhớ mà không cần phải viết ra. Người dùng thường ghi mật khẩu và dán chúng vào màn hình, dưới bàn phím, trên tường tủ hoặc đặt chúng trong ngăn bàn của họ. Một kỹ sư xã hội, nhà thầu, khách truy cập, người dọn dẹp hoặc thậm chí các nhân viên khác có thể dễ dàng nhìn thấy những điều này khi đi ngang qua bàn làm việc hoặc bằng cách dành vài giây để tìm chúng. Giấy, đặc biệt là giấy ghi chú dễ dính vào các vật dụng khác, thường vô tình bị vứt vào thùng rác. Điều này cho phép các kỹ sư xã hội dễ dàng truy cập thực hiện các cuộc tấn công vào thùng rác.

5. Nhân viên Bộ phận trợ giúp phải luôn xác thực đầy đủ người dùng trước khi tiết lộ bất kỳ thông tin nào

Khi nói chuyện với người dùng qua điện thoại, bất kỳ yêu cầu tiết lộ hoặc sửa đổi thông tin nào đều phải yêu cầu Bộ phận trợ giúp xác nhận hoàn toàn người dùng ở đầu bên kia. Các câu hỏi xác thực phải luôn bao gồm một số dạng “câu hỏi không phải ví”. Câu hỏi không phải ví là điều gì đó về người dùng không thể phát hiện ra khi đọc nội dung trong ví của họ. Nếu các câu hỏi như DOB, địa chỉ hoặc số bằng lái xe được sử dụng, một kỹ sư xã hội đã đánh cắp ví hoặc qua thùng rác của người dùng sẽ dễ dàng lấy được thông tin này. Các câu hỏi không liên quan đến ví phải là điều mà người dùng biết và không dễ dàng tìm ra thông qua chuyển rác, Googling hoặc kỹ thuật xã hội đơn giản của người dùng để lấy thông tin.

6. Cắt nhỏ tất cả các tài liệu

Tất cả các tài liệu có bất kỳ hình thức thông tin nhạy cảm nào nên được cắt nhỏ hoặc đặt trong các thùng xử lý an toàn được băm nhỏ bởi một công ty bên thứ ba đáng tin cậy. Không một tài liệu nào có dữ liệu bí mật bị vứt vào thùng rác hoặc thùng tái chế.

7. Không mở tệp đính kèm email hoặc truy cập URL từ những người không xác định hoặc từ các email có vẻ đáng ngờ.

Người dùng phải được đào tạo về các cuộc tấn công lừa đảo cơ bản và cách họ có thể xác định một cuộc tấn công lừa đảo so với một email thực từ một nguồn hợp lệ.

Một vài ví dụ bao gồm:

o Các ngân hàng và các tổ chức tài chính khác sẽ không bao giờ gửi email yêu cầu thông tin đăng nhập của bạn hoặc đăng nhập vào tài khoản của bạn bằng cách sử dụng liên kết trong email.

o Nếu một email đáng ngờ được gửi đến yêu cầu bạn truy cập vào URL của một công ty mà bạn biết, đừng nhấp vào liên kết. Thay vào đó, hãy mở trình duyệt web của bạn và nhập thủ công URL đã biết của công ty và truy cập trang web theo cách đó.

o Không bao giờ mở tệp đính kèm do người mà bạn không biết gửi đến.

o Hãy cảnh giác với các tệp đính kèm loại thực thi, ví dụ, .exe, .com, .scr, do bạn bè gửi trừ khi bạn đang mong đợi loại tài liệu này. Họ có thể không nhận ra rằng họ đang gửi cho bạn một tệp độc hại.

Nếu một chương trình nâng cao nhận thức về bảo mật được phát triển và thực hiện, thì khả năng xảy ra các cuộc tấn công kỹ thuật xã hội thành công trở nên ít hơn rất nhiều. Nếu người dùng của một tổ chức không còn là liên kết yếu nhất, các cuộc tấn công chống lại công ty sẽ trở nên khó khăn hơn rất nhiều. Nhận thức về bảo mật không chỉ giúp bảo vệ một tổ chức mà còn giúp bảo vệ người dùng trong cuộc sống cá nhân của họ. Hiểu được các cuộc tấn công phổ biến cũng như cách nhận biết và bảo vệ chúng sẽ giúp người dùng tự bảo vệ mình trước các cuộc tấn công như lừa đảo nhằm đánh cắp tài khoản ngân hàng hoặc các chi tiết cá nhân khác của họ.


Quý khách hàng, doanh nghiệp có nhu cầu về các Tiêu chuẩn / Chứng nhận ISO xin vui lòng liên hệ chúng tôi qua:

VĂN PHÒNG CHỨNG NHẬN KIỂM SOÁT CHẤT LƯỢNG ISO QUỐC TẾ

Hotline: 0988 35 9999 | 0904 889 859 , hoặc email: isoquocte@gmail.com

Website: https://isoquocte.com

Thanks and best regards !

 

Tags:

Bài viết liên quan

Chinese (Simplified)EnglishJapaneseKoreanRussianVietnamese