Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT

Bài 2:
Phần mềm độc hại và các dạng
tấn công sử dụng kỹ nghệ xã hội

Củng cố lại bài 1
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 2

Mục tiêu của bài học
Mô tả sự khác nhau giữa vi rút và sâu máy tính
Liệt kê các kiểu phần mềm độc hại giấu mình
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội
Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xã
hội

Tấn công sử dụng
phần mềm độc hại
Phần mềm độc hại (malware)
Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhân
Dùng để chỉ một loạt các phần mềm gây hại hoặc gây
phiền nhiễu
Mục đích chính của phần mềm độc hại
Lây nhiễm các hệ thống
Che dấu mục đích
Thu lợi
Phần mềm độc hại (malware)
Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhân
Dùng để chỉ một loạt các phần mềm gây hại hoặc gây
phiền nhiễu
Mục đích chính của phần mềm độc hại
Lây nhiễm các hệ thống
Che dấu mục đích
Thu lợi

Phần mềm độc hại lan truyền
Dạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lan
truyền
Có hai dạng phần mềm độc hại lan truyền:
Vi rút (virus)
Sâu (worm)

- Vi rút
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách

- Vi rút (tiếp)
Khi chương trình nhiễm vi rút được khởi động:
Tự nhân bản (lây lan sang các file khác trên máy tính)
Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễu
thực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rút
Làm cho máy tính lặp đi lặp lại một sự cố
Xóa các file hoặc định dạng lại ổ cứng
Tắt các thiết lập bảo mật của máy tính
Khi chương trình nhiễm vi rút được khởi động:
Tự nhân bản (lây lan sang các file khác trên máy tính)
Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễu
thực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rút
Làm cho máy tính lặp đi lặp lại một sự cố
Xóa các file hoặc định dạng lại ổ cứng
Tắt các thiết lập bảo mật của máy tính

- Vi rút (tiếp)
Hình 2-4 Một thông điệp phiền nhiễu do vi rút gây ra
© Cengage Learning 2012

- Vi rút (tiếp)
Vi rút không thể tự động lây lan sang máy tính khác
Nó phụ thuộc vào hành động của người dùng để lây lan
Các vi rút được đính kèm theo file
Vi rút lan truyền bằng cách truyền nhận các file bị nhiễm
vi rút

- Vi rút (tiếp)
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành

- Sâu
Sâu (Worm)
Chương trình độc hại
Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành
Gửi các bản sao của chính mình sang các thiết bị mạng
khác
Sâu có thể:
Sử dụng các tài nguyên
Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâu
Xóa các file trên máy tính
Cho phép kẻ tấn công có thể điều khiển máy tính bị hại
từ xa
Sâu (Worm)
Chương trình độc hại
Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành
Gửi các bản sao của chính mình sang các thiết bị mạng
khác
Sâu có thể:
Sử dụng các tài nguyên
Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâu
Xóa các file trên máy tính
Cho phép kẻ tấn công có thể điều khiển máy tính bị hại
từ xa

Virus và Sâu
Hành động vi rút Sâu
Lây lan sang
các máy tính
khác
Do gười dùng truyền
những file bị lây nhiễm
sang máy tính khác
Sử dụng hệ thống
mạng để di chuyển
sang máy tính khác
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Bảng 2-1 Sự khác nhau giữa vi rút và sâu
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Cần tác động
từ phía người
dùng
Có Không
Khả năng điều
khiển từ xa
Không Có

Phần mềm độc hại giấu mình
Phần mềm độc hại giấu mình (concealing malware)
Dạng phần mềm độc hại có mục tiêu chính là che giấu sự
có mặt của chúng trước người dùng
Khác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm các
Trojan
Rootkit
Bom lôgíc (logic bomb)
Cửa hậu (backdoor)
Phần mềm độc hại giấu mình (concealing malware)
Dạng phần mềm độc hại có mục tiêu chính là che giấu sự
có mặt của chúng trước người dùng
Khác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm các
Trojan
Rootkit
Bom lôgíc (logic bomb)
Cửa hậu (backdoor)

- Trojan
Trojan (ngựa thành Troy)
Là chương trình thực hiện những mục đích nằm ngoài
những điều quảng cáo
Thường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn công
Đôi khi có thể ở dạng một file dữ liệu
Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng
Trojan (ngựa thành Troy)
Là chương trình thực hiện những mục đích nằm ngoài
những điều quảng cáo
Thường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn công
Đôi khi có thể ở dạng một file dữ liệu
Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng

- Rootkit
Rootkit (công cụ gốc)
Là các công cụ phần mềm được kẻ tấn công sử dụng để
che dấu các hành động hoặc sự hiện diện của các phần
mềm độc hại khác (trojan, sâu…)
Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục
nhật ký
Có thể thay đổi hoặc thay thế các file của hệ điều hành
bằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại
Rootkit (công cụ gốc)
Là các công cụ phần mềm được kẻ tấn công sử dụng để
che dấu các hành động hoặc sự hiện diện của các phần
mềm độc hại khác (trojan, sâu…)
Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục
nhật ký
Có thể thay đổi hoặc thay thế các file của hệ điều hành
bằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại

- Rootkit (tiếp)
Có thể phát hiện Rootkit bằng cách sử dụng các chương
trình so sánh nội dung file với file gốc ban đầu
Rootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiện
Việc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hành
Định dạng và cài đặt lại hệ điều hành
Có thể phát hiện Rootkit bằng cách sử dụng các chương
trình so sánh nội dung file với file gốc ban đầu
Rootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiện
Việc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hành
Định dạng và cài đặt lại hệ điều hành

- Bom lô gíc
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.

(tiếp tục.)
Mô tả Lý do tấn công Hậu quả
Bom lôgic, phát tán trong
mạng cung cấp dịch vụ
tài chính, xóa sạch dữ
liệu quan trọng của 1000
máy tính
Một nhân viên bất mãn
muốn làm giảm giá trị cổ
phiếu của công ty; để
kiếm lợi từ việc giảm giá
đó.
Bom lôgic đã phát nổ,
nhân viên đó đã phải
chịu mức án 8 năm tù,
và phải bồi thường 3.1
triệu đô la.
Một nhà thầu quốc
phòng thiết kế một bom
lôgic nhằm xóa sạch các
dữ liệu quan trọng về tên
lửa
Nhà thầu đó muốn được
thuê để phá bom lôgic
với mức lương cao
Bom lôgic đã được phát
hiện và vô hiệu hóa; nhà
thầu bị buộc tội giả mạo
và lừa đảo, bị phạt 5000
đô la.
Bảng 2-2 Các bom lôgic nổi tiếng
Một nhà thầu quốc
phòng thiết kế một bom
lôgic nhằm xóa sạch các
dữ liệu quan trọng về tên
lửa
Bom lôgic đã được phát
hiện và vô hiệu hóa; nhà
thầu bị buộc tội giả mạo
và lừa đảo, bị phạt 5000
đô la.
Một bom logic đã phát
nổ tại công ty dịch vụ
sức khỏe vào đúng ngày
sinh nhật của nhân viên.
Nhân viên đó bực tức vì
nghĩ mình có thể bị sa
thải (mặc dù thực tế anh
ta không bị sa thải)
Nhân viên đó đã bị kết
án 30 tháng tù và phải
bồi thường 81.200 đô la

- Cửa hậu
Cửa hậu (Backdoor)
Mã phần mềm có mục đích né tránh các thiết lập bảo mật
Cho phép chương trình có thể truy cập nhanh chóng
Thường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất
Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn
công đã dùng chúng để qua mặt (bypass) bảo mật .
Các phần mềm độc hại từ những kẻ tấn công cũng có
thể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quay
lại máy tính, và qua mặt mọi thiết lập bảo mật.
Cửa hậu (Backdoor)
Mã phần mềm có mục đích né tránh các thiết lập bảo mật
Cho phép chương trình có thể truy cập nhanh chóng
Thường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất
Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn
công đã dùng chúng để qua mặt (bypass) bảo mật .
Các phần mềm độc hại từ những kẻ tấn công cũng có
thể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quay
lại máy tính, và qua mặt mọi thiết lập bảo mật.

Phần mềm độc hại
nhằm kiếm lợi
Các kiểu phần mềm độc hại nhằm kiếm lợi
Botnet
Phần mềm gián điệp (Spyware)
Phần mềm quảng cáo (Adware)
Bộ ghi lưu bàn phím (KeyLogger)

Phần mềm độc hại nhằm kiếm lợi
- Botnet
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
21

- Botnet (tiếp)
Lợi ích của Botnet đối với những kẻ tấn công
Hoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tại
Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
Có thể duy trì hoạt động trong nhiều năm
Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều
thây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
Lợi ích của Botnet đối với những kẻ tấn công
Hoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tại
Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
Có thể duy trì hoạt động trong nhiều năm
Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều
thây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
22

Kiểu tấn công Mô tả
Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớn
thư rác; một số botnet có thể thu thập các địa chỉ e-mail
Phát tán phần
mềm độc hại
Các botnet có thể được sử dụng để phát tán phần mềm
độc hại, tạo ra các zombie, botnet mới; các zombie có thể
tải và thực thi một file do kẻ tấn công gửi đến
Tấn công các
mạng IRC
Botnet thường được dùng để tấn công mạng IRC; chương
trình điều khiển ra lệnh cho mỗi botnet kết nối một số
lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,
do đó không thể thực hiện chức năng của mình
Bảng 2-3 Những mục đích sử dụng của botnet
Botnet thường được dùng để tấn công mạng IRC; chương
trình điều khiển ra lệnh cho mỗi botnet kết nối một số
lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,
do đó không thể thực hiện chức năng của mình
Thao túng bầu cử
trực tuyến
Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tương
đương như “lá phiếu” của một cử tri thực; các trò chơi trực
tuyến có thể được thao túng theo cách tương tự
Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm
server bị quá tải, không đáp ứng được yêu cầu hợp pháp

- Phần mềm gián điệp
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
24

- Phần mềm gián điệp (tiếp)
Những tác động tiêu cực của phần mềm gián điệp
Làm giảm hiệu năng máy tính
Làm cho hệ thống bất ổn định
Có thể cài đặt các menu trên thanh công cụ của trình
duyệt
Có thể tạo ra các đường dẫn mới (shortcut)
Chiếm đoạt trang chủ
Làm tăng các cửa sổ quảng cáo
Những tác động tiêu cực của phần mềm gián điệp
Làm giảm hiệu năng máy tính
Làm cho hệ thống bất ổn định
Có thể cài đặt các menu trên thanh công cụ của trình
duyệt
Có thể tạo ra các đường dẫn mới (shortcut)
Chiếm đoạt trang chủ
Làm tăng các cửa sổ quảng cáo
25

Công nghệ Mô tả Ảnh hưởng
Tự động tải
phần mềm
Được dùng để tải và cài đặt phần
mềm, không cần tương tác của
người dùng
Có thể được sử dụng để
cài đặt phần mềm trái
phép
Các công
nghệ theo dõi
thụ động
Được sử dụng để thu thập thông tin
về các hoạt động của người dùng
mà không cần cài đặt bất cứ phần
mềm nào
Có thể thu thập các
thông tin riêng tư như
các Web site mà người
dùng truy cập
Phần mềm
thay đổi hệ
thống
Điều chỉnh hoặc thay đổi các cấu
hình người dùng
Thay đổi các thiết lập
cấu hình mà không có sự
chấp thuận của người
dùng
Bảng 2-4 Các công nghệ sử dụng trong phần mềm gián điệp
Phần mềm
thay đổi hệ
thống
Điều chỉnh hoặc thay đổi các cấu
hình người dùng
Thay đổi các thiết lập
cấu hình mà không có sự
chấp thuận của người
dùng
Phần mềm
theo dõi
Được dùng để kiểm soát các hành vi
của người dùng hoặc thu thập thông
tin người dùng
Có thể thu thập thông tin
cá nhân với mục đích
chia sẻ rộng rãi hoặc
đánh cắp

- Phần mềm quảng cáo
Phần mềm quảng cáo (adware)
Chương trình cung cấp các nội dung quảng cáo:
Theo cách người dùng không mong muốn
Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ
quảng cáo
Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên
Có thể theo dõi các hoạt động trực tuyến của người dùng
Phần mềm quảng cáo (adware)
Chương trình cung cấp các nội dung quảng cáo:
Theo cách người dùng không mong muốn
Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ
quảng cáo
Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên
Có thể theo dõi các hoạt động trực tuyến của người dùng
27

- Phần mềm quảng cáo (tiếp)
Yếu tố bất lợi đối với người dùng
Có thể hiển thị các nội dung chống đối
Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suất
làm việc
Các cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiện
tượng treo máy
Những quảng cáo không mong muốn gây ra sự phiền
nhiễu
Yếu tố bất lợi đối với người dùng
Có thể hiển thị các nội dung chống đối
Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suất
làm việc
Các cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiện
tượng treo máy
Những quảng cáo không mong muốn gây ra sự phiền
nhiễu
28

- Bộ ghi lưu bàn phím
Bộ ghi lưu bàn phím (keylogger)
Sao chụp lại các thao tác gõ phím của người dùng
Thông tin sau đó được truy xuất bởi kẻ tấn công
Kẻ tấn công có thể tìm ra những thông tin hữu ích
Mật khẩu
Số tài khoản tín dụng
Thông tin cá nhân
Có thể là một thiết bị phần cứng gọn nhẹ
Được cài cắm vào giữa bàn phím máy tính và bộ kết nối
Khó bị phát hiện
Kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới
có thể thu thập được thông tin
Bộ ghi lưu bàn phím (keylogger)
Sao chụp lại các thao tác gõ phím của người dùng
Thông tin sau đó được truy xuất bởi kẻ tấn công
Kẻ tấn công có thể tìm ra những thông tin hữu ích
Mật khẩu
Số tài khoản tín dụng
Thông tin cá nhân
Có thể là một thiết bị phần cứng gọn nhẹ
Được cài cắm vào giữa bàn phím máy tính và bộ kết nối
Khó bị phát hiện
Kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới
có thể thu thập được thông tin
29

- Bộ ghi lưu bàn phím (tiếp)
Hình 2-6 Phần cứng theo dõi thao tác bàn phím

Phần mềm độc hại
nhằm kiếm lợi (tiếp tục)
Hình 2-7 Thông tin được chụp lại bởi phần mềm theo dõi thao tác bàn phím

kỹ nghệ xã hội
Kỹ nghệ xã hội (social engineering)
là phương tiện thu thập thông tin cho một cuộc tấn công
bằng cách dựa trên những điểm yếu của các cá nhân.
Không cần đến công nghệ
Tấn công dùng kỹ nghệ xã hội có thể bao gồm
các phương pháp tâm lý
các phương pháp vật lý.
Kỹ nghệ xã hội (social engineering)
là phương tiện thu thập thông tin cho một cuộc tấn công
bằng cách dựa trên những điểm yếu của các cá nhân.
Không cần đến công nghệ
Tấn công dùng kỹ nghệ xã hội có thể bao gồm
các phương pháp tâm lý
các phương pháp vật lý.

kỹ nghệ xã hội – Ví dụ
Một kẻ tấn công gọi cho phòng nhân sự
Hỏi và có được tên của các nhân sự chủ chốt
Một nhóm những kẻ tấn công tiếp cận một tòa nhà
Bám sau nhân viên để thâm nhập các khu vực bảo mật
Do biết giám đốc tài chính không có mặt tại tòa nhà
Đột nhập vào phòng giám đốc tài chính
Thu thập thông tin từ chiếc máy tính không được bảo vệ
Lục lọi thùng rác để tìm kiếm các tài liệu hữu ích
Một nhân viên gọi điện từ bàn giám đốc tài chính
Mạo danh giám đốc tài chính hỏi lấy mật khẩu
Nhóm tấn công đã rời khỏi tòa nhà và thực hiện thành
công việc truy cập mạng
Một kẻ tấn công gọi cho phòng nhân sự
Hỏi và có được tên của các nhân sự chủ chốt
Một nhóm những kẻ tấn công tiếp cận một tòa nhà
Bám sau nhân viên để thâm nhập các khu vực bảo mật
Do biết giám đốc tài chính không có mặt tại tòa nhà
Đột nhập vào phòng giám đốc tài chính
Thu thập thông tin từ chiếc máy tính không được bảo vệ
Lục lọi thùng rác để tìm kiếm các tài liệu hữu ích
Một nhân viên gọi điện từ bàn giám đốc tài chính
Mạo danh giám đốc tài chính hỏi lấy mật khẩu
Nhóm tấn công đã rời khỏi tòa nhà và thực hiện thành
công việc truy cập mạng

Các phương pháp tâm lý
Phương pháp tâm lý (psychology).
Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vật
chất.
Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc
thuyết phục họ hành động.
Các phương pháp tâm lý thường được sử dụng
Thuyết phục (Persuasion)
Mạo danh (Impersonation)
Phishing (lừa đảo)
Thư rác (Spam)
Cảnh báo giả (Hoax)
Phương pháp tâm lý (psychology).
Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vật
chất.
Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc
thuyết phục họ hành động.
Các phương pháp tâm lý thường được sử dụng
Thuyết phục (Persuasion)
Mạo danh (Impersonation)
Phishing (lừa đảo)
Thư rác (Spam)

- Thuyết phục
Những phương pháp thuyết phục cơ bản bao gồm
lấy lòng (tâng bốc hay giả vờ)
a dua (những người khác cũng đang làm vậy)
thân thiện
Kẻ tấn công sẽ hỏi một vài thông tin nhỏ
Tập hợp thông tin từ vài nạn nhân khác nhau
Đưa ra những yêu cầu đáng tin
Kẻ tấn công có thể “tạo vỏ bọc” để có được thông tin
Trước khi nạn nhân bắt đầu cảm thấy nghi ngờ
Kẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từ
nạn nhân
Những phương pháp thuyết phục cơ bản bao gồm
lấy lòng (tâng bốc hay giả vờ)
a dua (những người khác cũng đang làm vậy)
thân thiện
Kẻ tấn công sẽ hỏi một vài thông tin nhỏ
Tập hợp thông tin từ vài nạn nhân khác nhau
Đưa ra những yêu cầu đáng tin
Kẻ tấn công có thể “tạo vỏ bọc” để có được thông tin
Trước khi nạn nhân bắt đầu cảm thấy nghi ngờ
Kẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từ
nạn nhân

- Mạo danh
Mạo danh (impersonation)
tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.
Những vai phổ biến thường được mạo danh
Trợ lý hỗ trợ kỹ thuật
Công nhân sửa chữa
Bên thứ ba đáng tin cậy
Các cá nhân có quyền lực
nạn nhân có thể nói “không” với người có quyền lực.
Mạo danh (impersonation)
tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.
Những vai phổ biến thường được mạo danh
Trợ lý hỗ trợ kỹ thuật
Công nhân sửa chữa
Bên thứ ba đáng tin cậy
Các cá nhân có quyền lực
nạn nhân có thể nói “không” với người có quyền lực.

- Phishing
Phishing (Lừa đảo)
Gửi thư điện tử tự xưng là một nguồn hợp pháp
Thư điện tử có thể chứa logo và lý lẽ hợp pháp
Cố gắng đánh lừa người dùng để họ cung cấp các thông
tin riêng tư
Người dùng được yêu cầu
trả lời e-mail
cập nhật thông tin cá nhân trên một trang Web
Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tài
khoản ngân hàng, hoặc các thông tin khác.
Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh và
được lập nên nhằm đánh cắp thông tin của người sử dụng.
Phishing (Lừa đảo)
Gửi thư điện tử tự xưng là một nguồn hợp pháp
Thư điện tử có thể chứa logo và lý lẽ hợp pháp
Cố gắng đánh lừa người dùng để họ cung cấp các thông
tin riêng tư
Người dùng được yêu cầu
trả lời e-mail
cập nhật thông tin cá nhân trên một trang Web
Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tài
khoản ngân hàng, hoặc các thông tin khác.
Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh và
được lập nên nhằm đánh cắp thông tin của người sử dụng.

- Phishing (tiếp)
Những biến thể của Fishing
Pharming (nuôi cá)
Tự động chuyển hướng tới một website giả mạo
Spear phishing (xiên cá)
Gửi e-mail hoặc tin nhắn đến những người dùng xác định
Whaling (câu cá voi)
Nhằm vào những người giàu có
Vishing (lừa đảo bằng gọi điện thoại)
Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía
“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điện
thoại do hắn cung cấp
Nạn nhân sau đó gọi vào số điện thoại của kẻ tấn công và
nhập các thông tin riêng tư
Những biến thể của Fishing
Pharming (nuôi cá)
Tự động chuyển hướng tới một website giả mạo
Spear phishing (xiên cá)
Gửi e-mail hoặc tin nhắn đến những người dùng xác định
Whaling (câu cá voi)
Nhằm vào những người giàu có
Vishing (lừa đảo bằng gọi điện thoại)
Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía
“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điện
thoại do hắn cung cấp
Nạn nhân sau đó gọi vào số điện thoại của kẻ tấn công và
nhập các thông tin riêng tư

Hình 2-8 Một tin nhắn lừa đảo

- Phishing (tiếp)
Một số cách nhận diện Phishing
Những liên kết Web
Thường có dấu @ ở chính giữa
Các biến thể của địa chỉ hợp pháp
Sự xuất hiện của logo nhà cung cấp trông giống hợp pháp
Những địa chỉ người gửi giả mạo
Những yêu cầu khẩn cấp
Một số cách nhận diện Phishing
Những liên kết Web
Thường có dấu @ ở chính giữa
Các biến thể của địa chỉ hợp pháp
Sự xuất hiện của logo nhà cung cấp trông giống hợp pháp
Những địa chỉ người gửi giả mạo
Những yêu cầu khẩn cấp

- Thư rác
Thư rác (Spam)
Thư điện tử không mong muốn
Là phương tiện chủ yếu phát tán phần mềm độc hại
Gửi thư rác là một nghề béo bở
Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắn
tin
Ảnh rác
Sử dụng các hình ảnh tạo thành từ văn bản
Né tránh các bộ lọc văn bản
Thường chứa những nội dung vô nghĩa
Thư rác (Spam)
Thư điện tử không mong muốn
Là phương tiện chủ yếu phát tán phần mềm độc hại
Gửi thư rác là một nghề béo bở
Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắn
tin
Ảnh rác
Sử dụng các hình ảnh tạo thành từ văn bản
Né tránh các bộ lọc văn bản
Thường chứa những nội dung vô nghĩa

- Thư rác (tiếp)
Các kỹ thuật được áp dụng bởi kẻ gửi thư rác
Lớp phủ GIF (GIF Layering)
Hình ảnh rác được phân chia thành nhiều ảnh khác nhau
Các lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng
Chia tách từ (Word spliting)
Phân tách các từ theo chiều ngang
Vẫn có thể đọc được bằng mắt thường
Biến đổi hình học (Geometric variance)
Dùng speckling (điểm lốm đốm) và màu sắc khác nhau sao
cho không có hai thư điện tử nào có hình thức giống nhau
Các kỹ thuật được áp dụng bởi kẻ gửi thư rác
Lớp phủ GIF (GIF Layering)
Hình ảnh rác được phân chia thành nhiều ảnh khác nhau
Các lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng
Chia tách từ (Word spliting)
Phân tách các từ theo chiều ngang
Vẫn có thể đọc được bằng mắt thường
Biến đổi hình học (Geometric variance)
Dùng speckling (điểm lốm đốm) và màu sắc khác nhau sao
cho không có hai thư điện tử nào có hình thức giống nhau

Hình 2-10 Hình ảnh rác

- Cảnh báo giả
Kẻ tấn công thường sử dụng cảnh báo giả như là bước
đầu tiên trong tấn công.
Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,
tự nhận là đến từ phòng IT.
Cảnh báo giả có nội dung như có ”vi rút rất xấu” đang
lan truyền trên Internet, và khuyên người dùng
nên xóa những file tài liệu cụ thể
Việc xóa file có thể làm cho máy tính không ổn định.
hoặc thay đổi cấu hình bảo vệ.
thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏng
hệ thống.
Kẻ tấn công thường sử dụng cảnh báo giả như là bước
đầu tiên trong tấn công.
Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,
tự nhận là đến từ phòng IT.
Cảnh báo giả có nội dung như có ”vi rút rất xấu” đang
lan truyền trên Internet, và khuyên người dùng
nên xóa những file tài liệu cụ thể
Việc xóa file có thể làm cho máy tính không ổn định.
hoặc thay đổi cấu hình bảo vệ.
thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏng
hệ thống.

Các phương pháp vật lý
Lục lọi thùng rác (Dumpster Diving)
Lục lọi thùng rác để tìm kiếm thông tin hữu ích
Bám đuôi chui cửa (Tailgating)
Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cập
Nhìn qua vai (Shoulder surfing)
Tình cờ quan sát thấy người dùng nhập mã bàn phím
Lục lọi thùng rác (Dumpster Diving)
Lục lọi thùng rác để tìm kiếm thông tin hữu ích
Bám đuôi chui cửa (Tailgating)
Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cập
Nhìn qua vai (Shoulder surfing)
Tình cờ quan sát thấy người dùng nhập mã bàn phím

Những thứ tìm được Sự hữu dụng
Lịch trình Một quyển lịch có thể tiết lộ thông tin thời gian các nhân
viên ra vào tòa nhà
Phần cứng máy tính rẻ
tiền, ví dụ như ổ USB
hoặc một ổ cứng di động
Những thiết bị này thường được hủy không đúng quy cách
và có thể chứa những thông tin giá trị
Bảng ghi nhớ Có thể cung cấp những mẩu thông tin hữu dụng cho kẻ tấn
công để thực hiện mục đích giả mạo
Biểu đồ tổ chức nhân sự Cho phép xác định các cá nhân và vị trí quyền hạn của họ
trong tổ chức
Bảng 2-5 Những thành phần tìm được từ thùng rác và thông tin mà chúng mang lại
Cho phép xác định các cá nhân và vị trí quyền hạn của họ
trong tổ chức
Danh mục điện thoại Có thể cung cấp tên và số điện thoại của các cá nhân trong
tổ chức để nhằm vào hoặc để mạo danh
Sổ tay chính sách Có thể tiết lộ chính xác cấp độ an ninh trong tổ chức
Cẩm nang hệ thống Có thể cho biết loại hệ thống máy tính đang dùng, kẻ tấn
công có thể sử dụng chúng để xác định các lỗ hổng

Các phương pháp vật lý (tiếp)
Các thủ đoạn bám đuôi chui cửa
Những kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”
Chờ đợi bên ngoài và đi vào bên trong khi một nhân viên
hợp lệ đi ra
Nhân viên có âm mưu đưa người trái phép đi cùng để vượt
qua cửa kiểm soát
Các thủ đoạn bám đuôi chui cửa
Những kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”
Chờ đợi bên ngoài và đi vào bên trong khi một nhân viên
hợp lệ đi ra
Nhân viên có âm mưu đưa người trái phép đi cùng để vượt
qua cửa kiểm soát

Tổng kết
Phần mềm độc hại là phần mềm xâm nhập hệ thống
máy tính không được sự hay biết hoặc cho phép của chủ
nhân
Phần mềm độc hại lây lan gồm có vi rút và sâu máy tính
Phần mềm độc hại giấu mình gồm có Trojan, rootkit,
bom lôgic, và backdoor (cửa hậu)
Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phần
mềm gián điệp (spyware), phần mềm quảng cáo
(adware), và bộ ghi lưu bàn phím (keylogger)
Phần mềm độc hại là phần mềm xâm nhập hệ thống
máy tính không được sự hay biết hoặc cho phép của chủ
nhân
Phần mềm độc hại lây lan gồm có vi rút và sâu máy tính
Phần mềm độc hại giấu mình gồm có Trojan, rootkit,
bom lôgic, và backdoor (cửa hậu)
Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phần
mềm gián điệp (spyware), phần mềm quảng cáo
(adware), và bộ ghi lưu bàn phím (keylogger)

Tổng kết (tiếp.)
Kỹ nghệ xã hội là phương tiện thu thập thông tin phục
vụ cho một vụ tấn công của cá nhân
Các kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:
mạo danh (impersonation), phishing (lừa đảo), lục lọi
thùng rác (dumpster diving), và bám đuôi chui cửa
(tailgating).
Kỹ nghệ xã hội là phương tiện thu thập thông tin phục
vụ cho một vụ tấn công của cá nhân
Các kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:
mạo danh (impersonation), phishing (lừa đảo), lục lọi
thùng rác (dumpster diving), và bám đuôi chui cửa
(tailgating).

Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (8)

Similar to Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT

Similar to Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT (20)

More from MasterCode.vn

More from MasterCode.vn (20)

Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT