Trao đổi với tôi

http://www.buidao.com

8/6/09

[Hacking] Social Engineering

Social Engineering


Link: http://www.uitstudent.com/forum/showthread.php?p=21020


Buồn buốn k có gì làm nên post bài này để mọi người hiểu thêm về kĩ thuật này cũng như giải trí luôn.Sau bài viết các bạn có thể trình bày 1 vài chiêu "lừa tình' nhé.
Kỹ thuật lừa đảo (Social Engineering) là một thủ thuật được nhiều hacker sử dụng cho các cuộc thâm nhập vào các hệ thống mạng, máy tính. Đây là một trong những phương thức hiệu quả để đánh cắp mật khẩu, thông tin, tấn công vào hệ thống. Dưới đây là câu chuyện có thật về một trong những hacker nổi tiếng nhất thế giới trong vài năm trở lại đây - Kevin Mitnick (Mỹ, từng bị 8 năm tù vì tội tấn công vào hệ thống máy tính), chuyên gia hàng đầu về kỹ thuật Social Engineering.
Lên kế hoạch tấn công vào công ty X, Kevin vận dụng kỹ năng này để dò tìm thông tin liên quan đến ông tổng giám đốc và một trợ lý của ông này.
Lợi dụng lúc hai người đi công tác, anh ta sử dụng Call ID giả, nhái giọng nói của viên trợ lý để gọi đến quản trị mạng công ty, yêu cầu gửi mật khẩu đăng nhập vào hệ thống của tổng giám đốc vì ngài đã quên mật khẩu. Quản trị viên kiểm tra một vài thông tin về "viên trợ lý", nhưng Kevin đã có đủ thông tin và sự khôn ngoan để trả lời. Kết quả là Kevin đã lấy được mật khẩu và kiểm soát toàn bộ hệ thống mạng của công ty X.
Bạn có thể đọc thêm cuốn sách The Art Of Deception của Kevin Mitnick nhé.
Một hình thức lừa đảo khác: Một ngày nào đó, bạn nhận được điện thoại, đầu dây bên kia là một giọng nói ngọt ngào: "Chào anh, dịch vụ mà anh đang sử dụng tại công ty chúng tôi hiện đang bị trục trặc với account (tài khoản) của anh.Đề nghị anh gửi gấp thông tin về tài khoản cho chúng tôi để điều chỉnh lại". Một giọng nữ dịu dàng "hệ thống tài khoản ngân hàng đang gặp lỗi..vui lòng cung cấp account để reset lại." hay vài tin nhắn SMS "bạn đã trúng 50.000 đồng,vui lòng soạn tin nhắn XYZ để kích hoạt ".
Mới nghe qua tưởng như đây là một kiểu lừa bình thường để đi dụ con nít,n nhưng xác suất thành công rất cao, đặc biệt khi giọng nói đó dễ thương như mấy cô trực tổng đài 1080 chẳng hạn Phương cách lừa đảo tương tự là dùng kỹ thuật "Fake Email Login". Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì chúng ta phải điền thông tin tài khoản gồm username và password rồi gửi thông tin đến mail server để xử lý. Lợi dụng điều này, hacker đã thiết kế các trang đăng nhập giả (Fake Login) để các thông tin được gửi đến cho họ.
Hay là 1 kiểu khác,công ty dịch vụ hay 1 công ty phần mềm nào đó đang cần tuyển dụng IT.Bạn có thể xin vào đó để xem thử công ty đó làm việc như thế nào,quản lí ra sao,có link của admin hay không( cái này k phải dễ kiếm ) sau đó đem về nhà chơi thử.
Bạn muốn xâm nhập www.uitstudent.com hay muốn lấy password admin khi mà bạn đã thử dùng các kĩ thuật cao cấp để xâm nhập server mà vẫn k ăn thua.K phải khó khăn và cũng k phải dễ dàng.Đầu tiên làm wen với admin trước đã,sau đó rủ đi uống cof,rùi tới nhà admin chơi.Lợi dụng admin đi đâu đó mượn máy lướt web.Sau đó soi password của admin hoặc xem cookie....v..v..hay có thể rủ admin đi nhậu cho say ,dụ dỗ admin nói ra password.
Tóm lại, kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy hiểm do tính hiệu quả và sự phổ biến. Kỹ thuật này không đòi hỏi phải sử dụng quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical). Hacker có thể thực hiện phương cách này thông qua thư tín, e-mail, điện thoại, tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân... nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng. Ở VN, kỹ thuật này còn khá mới nên không hiếm trường hợp bị đánh lừa một cách dễ dàng. Chẳng hạn năm ngoái, hàng loạt game thủ MU Global đã mất sạch sành sanh tài sản (ảo), khi ngây thơ điền thông tin tài khoản của mình vào một e-mail giả mạo admin MU của hacker!
CEH v6 Module 12 : Phishing
CEH v6 Module 13 : Hacking Email Account
P/S :ai có chiêu lừa tình nào hay hay và sáng tạo post lên cho anh em tham khảo nào