1/ Social engineering là gì?
Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp thông tin có thể giúp chúng ta đánh bại bộ phận an ninh.
Social engineering là rất quan trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông tin trước hoặc trong cuộc tấn công.
Social engineering là gì? Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó.
Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức.
Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cỏi sẽ là cơ hội cho kỹ thuật tấn công này hành động.

Social engineering là gì?
2/ Phân loại kỹ thuật tấn công Social engineering
Social engineering có thể được chia thành hai loại phổ biến:
Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng Help Desk để truy tìm mật khẩu.
Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).
a/ Human-Based Social Engineering
Kỹ thuật Human Based có thể chia thành các loại như sau:
Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này, kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống. Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.
Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.
Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc dùng tài khoản của giám đốc để truy cập vào hệ thống.
Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.
Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.
Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện” vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp chống độc quyền. Danh từ “larrygate”, không là mới trong hoạt động tình báo doanh nghiệp.
Một số thứ mà dumpster có thể mang lại: (1).Sách niên giám điện thoại công ty – biết ai gọi sau đó dùng để mạo nhận là những bước đầu tiên để đạt quyền truy xuất tới các dữ liệu nhạy cảm. Nó giúp có được tên và tư cách chính xác để làm có vẻ như là nhân viên hợp lệ. Tìm các số đã gọi là một nhiệm vụ dễ dàng khi kẻ tấn công có thể xác định tổng đài điện thoại của công ty từ sách niên giám. (2).Các biểu đồ tổ chức; bản ghi nhớ; sổ tay chính sách công ty; lịch hội họp, sự kiện, và các kỳ nghỉ; sổ tay hệ thống; bản in của dữ liệu nhạy cảm hoặc tên đăng nhập và password; bản ghi source code; băng và đĩa; các đĩa cứng hết hạn.
Nếu bạn đang gặp khó khăn trong quá trình lựa chọn đề tài hãy tham khảo các đề tài sau của chúng tôi:
+ luận văn kế toán
+ luận văn về khủng hoảng kinh tế
+ luận văn luật hình sự