Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 09-08-2009, 11:47 PM   #1
adminphuong
Administrator
 
Avatar của adminphuong
 
Gia nhập: Jul 2009
Trả Lời: 152
Kỹ thuật lừa đảo Social Engineering
Social Engineering

“Social Engineering” có thể được định nghĩa là các hình thức dụ dỗ, lừa đảo và khiến người khác tiết lộ các thông tin nhạy cảm. Các hình thức dụ dỗ này được phát triển dựa vào các yếu tố tâm lý hoặc các thói quen xấu của con người. Điển hình cho các phương thức lừa đảo theo dạng “Social Engineering” là phishing email, phone phishing, fake identity (giả danh), pretexing (dàn cảnh), baiting (thả mồi)… Các hình thức này thường được dùng kết hợp với nhau.




Cha đẻ của thuật ngữ này là Kevin Mitnick – một hacker huyền thoại và nay là một nhà tư vấn bảo mật- ông ta chỉ ra rằng việc bẫy một người nào đó để lấy những thông tin cần thiết của hệ thống là dễ dàng hơn nhiều so với việc thực hiện các kỹ thuật đột nhập vào những hệ thống bảo mật. Trong một hệ thống bảo mật, có thể nói rằng con người là mắt xích yếu nhất.

Để dễ hiểu hơn, chúng ta hãy thử tưởng tượng các tình huống sau (giả thuyết rằng bạn đang là nạn nhân của các hành động lừa đảo).
Bạn đang ngồi ở quán café wifi với chiếc máy laptop, có một người ngồi bàn bên cạnh vừa nghe xong một cuộc điện thoại mà bạn nghe loáng thóang là sếp của người đó đang rất giận. Người đó nhìn quanh và tiến về phía bạn ( một cô gái rất xinh chẳng hạn), hỏi mượn bạn máy tính để gửi một email khẩn cấp. Bạn thông cảm và đưa máy cho cô ấy. Vì đây là một email công việc riêng tư nên bạn không nhìn vào màn hình lúc cô ấy thao tác. Nếu cô ấy là một hacker và cô ấy đang dùng máy tính cá nhân của bạn với tài khoản có quyền Admin, bạn hãy tưởng tượng xem.
Hành động lừa đảo này là pretexing, thay vì cô ta thâm nhập vào máy tính của bạn thông qua hệ thống wifi trong trường hợp này cô gái đã dàn cảnh rất khôn khéo để bạn cho cô ta mượn chiếc máy tính.



Một ngày đẹp trời, bạn nhận được một bưu phẩm chuyển phát nhanh. Theo các thông tin trên bưu phẩm thì công ty ABC Software đang có khuyến mãi cho các khách hàng một vài sản phẩm của mình. Bạn ký nhận và cài đặt thử để dùng. Sau đó, bạn gọi điẹn đến công ty ABC Software( trong trường hợp có công ty này) và được trả lời rằng họ ghi nhận ý tưởng Marketing xuất sắc của bạn nhưng mà họ chưa thực hiện điều này bao giờ.

Hành động này là baiting, hacker gửi một loạt các bưu phẩm như vậy đến các đối tượng được nhắm trước. Khi đối tượng dùng chiếc CD đó cũng là lúc họ mắc bẫy.

Bạn ra quán Internet công cộng để lên mạng như thường lệ, sau khi chat với bạn bè xong, bạn trả tiền và đi về nhà. Hôm sau, bạn nhận được một tin nhắn từ một người bạn là “mình hết tiền nên không cho bạn mượn được, thông cảm nghen”. Bạn đang thắc mắc thì một cậu bạn thân của bạn gọi điện đến báo rằng nó đã chuyển số tiền bạn cần vào số tài khoản mà bạn gửi cho nó trên mạng hôm qua, và nhắc bạn rằng nhớ trả tiền cả vốn lẫn lãi. Bạn sực nhớ ra là hôm qua bạn đã không “sign out” trước khi rời khỏi quán Internet.

Hành động này gọi là “fake identity”, hacker lợi dụng sự đảng trí của bạn để tiến hành lừa đảo. Trong một trường hợp khác, nếu hacker sử dụng một số kỹ thuật nào đó để lấy được nick YH hay email của bạn, và sau đó thực hiện hành động lừa đảo thì cũng được gọi là “fake identity”.

Một cô hoa hậu đang dính vào một vụ bùm xum nào đó. Một buổi sáng bạn nhận được một email nói rằng “Thông tin đầy đủ nhất của vụ XYZ click vào đây”. Bạn có thể là nạn nhân của “email phishing”.

Trích “tạp chí bảo mật số 1”
adminphuong vắng mặt   Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 04:05 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.