CompTIA Pentest + (PT0-002) – Bài 4: Đánh giá những điểm yếu trong con người và môi trường vật lý
Bài 4: Đánh giá những điểm y.ế.u trong con người và môi trường vật lý
I. Kh.ai thác tâm lý con người
- Sử dụng kỹ thuật xã hội (social engineering)
- Khai thác sự sẵn sàng tin tưởng của con người thông qua thao túng tâm lý
- Đánh giá các mục tiêu tiềm năng và xác định mức độ dễ bị tổn thương trước các kiểu tấn công
- Tìm hiểu về mục tiêu ở cấp độ cá nhân qua mạng xã hội hoặc phương thức khác để xây dựng lòng tin
- Bước tiếp theo là thúc đẩy mục tiêu thực hiện hành động nào đó hoặc cung cấp thông tin hữu ích.
- Một phương pháp phổ biến là ngụy trang (pretexting) – truyền đạt thông tin sai lệch hoặc nửa sự thật để khiến ai đó tin vào điều giả dối.
Ví dụ:
Kẻ tấn công giả danh nhân viên kỹ thuật của Bộ phận IT, gọi điện cho nhân viên công ty và yêu cầu họ cung cấp mật khẩu để “kiểm tra bảo mật định kỳ”.
Trước đó, kẻ tấn công đã tìm hiểu trên LinkedIn để nắm rõ vai trò, sở thích, mối quan hệ của nạn nhân, đồng thời nghiên cứu cơ cấu tổ chức và quy trình làm việc nội bộ của công ty.
Trong cuộc gọi, kẻ tấn công sử dụng các thuật ngữ chuyên môn, nhắc đến tên của quản lý và đồng nghiệp để tạo sự tin tưởng. Nạn nhân không nghi ngờ và cung cấp mật khẩu như yêu cầu.
- Thu thập thông tin tình báo bằng cách khai thác (elicitation)
- Gợi mở để đối tượng tự cung cấp thông tin nhạy cảm mà không nhận thức được, thông qua các phương thức như:
- Yêu cầu – hỏi trực tiếp mục tiêu về thông tin
- Thẩm vấn – giả danh nhân vật có thẩm quyền để thu thập thông tin
- Khảo sát – thu thập dữ liệu một cách không chính thức từ mục tiêu
- Quan sát – theo dõi hành vi và thói quen hàng ngày của mục tiêu
- Elicitation hữu ích khi được sử dụng trong biến thể của lừa đảo qua email công việc (BEC – business email compromise)
- Kẻ tấn công mạo danh giám đốc cấp cao hoặc chiếm quyền truy cập tài khoản email của họ.
Ví dụ:
Kẻ tấn công gửi email giả mạo từ địa chỉ “john.ceo@comptia.academy” cho kế toán, yêu cầu chuyển $50.000 cho đối tác như thường lệ và đính kèm hợp đồng để tham chiếu.
Nội dung hợp đồng có chứa mã độc macro khi mở sẽ cài mã độc đánh cắp dữ liệu trên máy nạn nhân.
Nếu nạn nhân phản hồi lại cho “john.ceo@comptia.academy” để xác nhận, kẻ tấn công sẽ trả lời ngay để đẩy nhanh giao dịch và hối thúc chuyển tiền.
- Lừa đảo nạn nhân
- Hoax – kẻ tấn công thuyết phục nạn nhân tin vào một tình huống hư cấu
- Ví dụ: cửa sổ pop-up cảnh báo phát hiện mã độc trên máy tính
- Baiting – sử dụng mồi nhử như USB chứa mã độc, đặt ở nơi mà nạn nhân có thể tìm thấy thiết bị.
- Mục đích là khiến nạn nhân nhặt USB và cắm vào máy tính để mã độc có thể lây nhiễm vào hệ thống.
Ví dụ:
- Tin tặc chèn tập tin độc hại có tên “QuanTroiNhanVien.xlsm” vào USB có dán logo của công ty ABC. Một nhân viên tò mò tìm thấy và cắm USB vào laptop làm việc, vô tình kích hoạt mã macro lấy cắp thông tin đăng nhập, email và danh sách khách hàng.
- Hacker gửi email với tiêu đề “Cảnh báo: Phát hiện virus nguy hiểm trên máy tính của bạn !!! Hãy nhấn vào đây để quét”. Khi nạn nhân click vào link, nó sẽ dẫn đến trang lừa đảo yêu cầu cài phần mềm diệt virus giả mạo chứa mã độc.
- Lừa đảo qua email (Phishing) và chuyển hướng (Pharming)
- Phishing là cuộc tấn công cố gắng lừa nạn nhân tiết lộ thông tin nhạy cảm.
- Khai thác các thủ thuật kỹ thuật như giả mạo tiêu đề “FROM” trong email để tăng độ tin cậy.
- Pharming – chuyển hướng nạn nhân đến trang web độc hại mà có vẻ chính thức, đáng tin cậy.
- Nạn nhân tương tác với trang web để cung cấp thông tin nhạy cảm, thông qua việc điền vào biểu mẫu “đăng nhập” giả
Ví dụ:
- Email giả mạo được gửi đến các khách hàng của ngân hàng XYZ với nội dung “Ngân hàng XYZ thông báo: Tài khoản của quý khách đã bị tạm khóa do hoạt động bất thường. Để mở khóa, vui lòng truy cập example.com/signin và xác minh thông tin”.
URL chuyển hướng đến trang web lừa đảo, yêu cầu người dùng nhập số thẻ tín dụng, mật khẩu, mã PIN. - Hacker nhiễm DNS server của nhà cung cấp dịch vụ, khi người dùng truy cập trang mua sắm trực tuyến popular.com, yêu cầu được chuyển đến IP của máy chủ giả mạo. Trang giả có giao diện giống hệt trang thật, người dùng đăng nhập và hacker đánh cắp thông tin tài khoản.
- Tấn công qua Email
- Email là một trong những phương thức gửi mã độc và tiếp tục là phương thức lý tưởng để phát động tấn công.
- Thư rác (spam) là email không mong muốn được gửi đến nhiều nạn nhân
- Cũng có thể bao gồm quảng cáo độc hại, trông giống quảng cáo bình thường nhưng chứa mã độc.
- Thường được sử dụng trong các cuộc tấn công phishing: kẻ tấn công gửi email không mong muốn đến càng nhiều mục tiêu càng tốt, với hy vọng ít nhất một số người dùng sẽ mắc mưu.
Ví dụ:
- Tin tặc gửi hàng trăm nghìn email quảng cáo về “Dịch vụ khai thuế miễn phí” với đường link đến trang web độc “baothuetructuyen.comptia.academy”
- Trong email có những lời mời chào hấp dẫn như “Khai thuế 0 đồng, hoàn thuế x3”, khiến nhiều người nhấn vào link tò mò. Trang web này cài mã độc đánh cắp dữ liệu.
- Tấn công Spear-phishing
- Là cuộc tấn công phishing nhắm vào một người hoặc nhóm cụ thể
- Đòi hỏi kẻ tấn công phải thu thập thông tin cụ thể về con người trước khi phát động cuộc tấn công.
- Thông tin sau đó được sử dụng để tạo thông báo tùy chỉnh.
- Email tùy chỉnh có cơ hội tốt hơn để mục tiêu mở thư và thực hiện hành động nào đó.
Ví dụ:
Hacker đã nghiên cứu kỹ về giám đốc tài chính Nguyễn Văn A qua LinkedIn, Facebook.
Từ đó biết được sở thích chơi golf, lịch công tác và thậm chí tên vợ con.
Hacker tạo email giả mạo từ “nguyen.giamdoc@comptia.academy” gửi đến anh Nguyễn Văn A với tiêu đề “Quà tặng Giải golf VIP Phú Mỹ Hưng” chứa mã độc trong file đính kèm có tên “PMH_event.pdf.lnk”.
Tưởng là quà tặng của sếp, anh Nguyễn Văn A mở file và bị nhiễm ransomware khóa toàn bộ dữ liệu trên laptop.
- Tấn công qua tin nhắn tức thời và thoại trên Internet
- Vishing (VoIP phishing): lừa đảo qua cuộc gọi điện thoại
- SPIT (Spam over Internet Telephony): gửi tin nhắn rác qua điện thoại VoIP
- Spim (Spam over Instant Messaging): sử dụng tin nhắn tức thời để gửi số lượng lớn tin nhắn không mong muốn đến nhiều người nhận trên cùng nền tảng.
- SMiShing: kẻ tấn công nhử mồi nạn nhân thông qua tin nhắn SMS
Ví dụ:
- Hacker gọi điện giả danh nhân viên bảo hiểm, dụ nạn nhân cung cấp số CMND, địa chỉ, số thẻ BHYT để “kiểm tra và cập nhật thông tin”.
- Tin tặc lợi dụng lỗ hổng trên hệ thống VoIP của viện nghiên cứu, thực hiện cuộc gọi tự động hàng loạt để quảng bá dịch vụ và phát tán mã độc.
- Hacker gửi tin nhắn SMS mạo danh công ty vận chuyển nổi tiếng “Gói hàng của bạn đang bị giữ tại kho vì thiếu phí. Truy cập comptiavn.org/track để xem chi tiết”. Link dẫn đến trang lừa đảo lấy cắp thông tin thẻ tín dụng.
- Mồi nhử và chuyển hướng nạn nhân
- Khai thác tính tò mò để lôi kéo nạn nhân thực hiện hành động nào đó.
- Một hình thức phổ biến là tấn công đánh rơi USB (USB drop attack).
- Kẻ tấn công chuẩn bị sẵn USB chứa phần mềm độc hại rồi cố tình làm rơi ở nơi công cộng để người khác nhặt được và cắm vào máy tính.
- Loại tấn công này thường dựa vào việc chức năng tự động chạy (autorun) được bật trên máy tính của nạn nhân để mã độc thực thi ngay lập tức.
- Mã độc có thể lây lan và bắt đầu lây nhiễm sang các máy chủ khác trên mạng.
Ví dụ:
Nhân viên công ty tìm thấy USB rơi trong phòng làm việc, trên thân USB có in logo của đối tác.
Tò mò, họ cắm USB vào laptop và mở file “HopDongHopTac.pdf”. Ngay lập tức, ransomware thực thi mã hóa và khóa toàn bộ dữ liệu trên laptop và các máy tính cùng mạng nội bộ.
- Dụ dỗ nạn nhân
- Kẻ tấn công có thể lôi kéo người dùng tự mở tệp và chạy mã độc bằng cách ngụy trang dưới các hình thức:
- Một thứ thú vị như trò chơi
- Một thứ hữu ích như phần mềm diệt virus
- Một thứ bí ẩn kích thích trí tò mò vì có tên mã hóa
- Kẻ tấn công cũng có thể chuyển hướng nạn nhân bằng cách lợi dụng lỗi đánh máy (typosquatting)
- Phương pháp này khai thác lỗi gõ phím mà người dùng có thể mắc phải khi cố gắng điều hướng đến một trang web.
Ví dụ:
- Hacker tạo ra một trình duyệt web giả mạo có tên “Firebox 2023” với giao diện giống hệt Firefox và tự động cài thêm các plugin quảng cáo, đánh cắp dữ liệu. Khi được chia sẻ trên diễn đàn với lời quảng cáo “Trình duyệt mới siêu nhanh và bảo mật”, nhiều người đã tải về và cài đặt.
Tin tặc mua các tên miền như “facebok.com”, “gooogle.com”, “amazone.com”,… và clone giao diện của các trang gốc. Khi người dùng vô tình gõ sai URL, họ sẽ truy cập vào các trang giả mạo này và có thể bị lấy cắp thông tin đăng nhập.
Tấn công Watering Hole
Có thể tải xuống và kích hoạt lỗ hổng khai thác trên máy nạn nhân mà không cần tiếp xúc trực tiếp từ kẻ tấn công.
Kỹ thuật này cũng có thể được sử dụng theo những cách khác, chẳng hạn như tấn công chuỗi cung ứng
Tấn công chuỗi cung ứng có thể gây ra nhiều thiệt hại nghiêm trọng hơn.
Việc lây nhiễm tổ chức mục tiêu có thể dẫn đến các vấn đề pháp lý và trách nhiệm của các bên liên quan
Ví dụ:
Tin tặc phát hiện website “diendanbaomat.comptia.academy” là diễn đàn được các quản trị viên hệ thống của nhiều công ty thường xuyên truy cập. Hắn tiến hành xâm nhập và cài backdoor để chèn mã khai thác lỗ hổng trình duyệt mới nhất vào trang chủ. Trong vòng 1 tuần, hơn 50 công ty với hàng trăm máy tính bị nhiễm mã độc và bị hacker kiểm soát.
Nhóm APT tấn công nhà cung cấp phần mềm ABC, chèn mã độc vào bản cập nhật ứng dụng kế toán. Khi các công ty tải bản cập nhật về, mã độc sẽ tự động cài đặt và mở cửa hậu để tin tặc đánh cắp dữ liệu tài chính nhạy cảm. Hàng chục nghìn doanh nghiệp vừa và nhỏ trở thành nạn nhân của vụ tấn công chuỗi cung ứng này.
Giả mạo và mạo danh
Hành vi giả vờ là người khác hoặc một thứ gì đó.
Kẻ tấn công thường kết hợp ngụy trang và mạo danh
Nhiều khi được thực hiện qua điện thoại hoặc email.
Trước khi phát động tấn công, chúng có thể nghiên cứu về mục tiêu để tạo ra một câu chuyện đáng tin nhằm tạo dựng sự tin tưởng
Ví dụ:
Hacker giả danh nhân viên ngân hàng gọi điện cho khách hàng và yêu cầu họ cung cấp mã OTP để “xác minh giao dịch đáng ngờ”. Nếu có được mã OTP, tên tội phạm có thể dễ dàng chuyển tiền từ tài khoản nạn nhân.
Tin tặc tạo email giả mạo từ địa chỉ “hotro@momo.comptiavn.org” thông báo tài khoản Momo của nạn nhân đã bị khóa do vi phạm điều khoản. Để mở khóa, nạn nhân phải cung cấp ảnh chụp CMND/CCCD và chuyển khoản phí mở khóa về tài khoản cuả hacker.
Sử dụng các chiến thuật khác
Một phần của kế hoạch mạo danh liên quan đến các chiến thuật khác nhau:
Dựa vào xu hướng con người có xu hướng tuân theo chỉ dẫn của người có thẩm quyền.
Gợi ý về sự khan hiếm hoặc cảm giác khẩn cấp
Kẻ tấn công cũng lợi dụng nỗi sợ hãi
Bằng chứng xã hội (social proof) xảy ra khi ai đó sao chép hành động của những người khác để tỏ ra có năng lực hoặc hợp tác trong mắt người khác.
Sự tương đồng cũng là một yếu tố gắn kết. Thể hiện rằng bạn có thể hòa nhập với nhóm sẽ làm tăng mức độ hài lòng của họ về bạn.
Ví dụ:
Hacker gửi email cảnh báo nạn nhân vi phạm bản quyền và phải nộp phạt, kèm theo giấy tờ giả có logo của Bộ Công An và chữ ký của Thiếu tướng XYZ. Một số nạn nhân sợ hãi và làm theo yêu cầu, chuyển tiền phạt vào tài khoản của tên tội phạm.
Nhân viên công ty ABC nhận được email “Thông báo họp khẩn cấp” từ người có vẻ là một đồng nghiệp, với nội dung “Sếp vừa dặn gấp, cậu vào xem lại báo cáo quý 1 gửi kèm nhé”. Để thể hiện sự hợp tác và năng nổ, nhân viên mở file đính kèm không chút nghi ngờ và bị nhiễm mã độc.
II. Tóm tắt các cuộc tấn công vật lý
Đánh giá an ninh vật lý
Đội ngũ cần hoàn thành một số nhiệm vụ có thể bao gồm:
Chụp ảnh các khu vực hạn chế và thiết bị độc quyền
Đánh cắp thiết bị, tài liệu và dữ liệu điện tử
Vượt qua camera an ninh và khóa
Đánh giá các biện pháp kiểm soát an ninh vật lý
Khóa cửa và phần cứng
Các rào cản vật lý như hàng rào, cổng và bẫy người (mantrap)
Camera giám sát
Ví dụ:
Đội PenTest tiến hành đánh giá tại chi nhánh công ty DEF:
Chụp ảnh bố trí vật lý, lối vào, vị trí bảo vệ, camera giám sát
Thử vượt qua hàng rào, mở khóa cửa để kiểm tra khả năng xâm nhập
Sử dụng bộ đàm để bắt tín hiệu và nghe trộm trao đổi nội bộ
Lấy cắp danh sách nhân viên và số hiệu tài sản được để trên bàn
Cài thiết bị ghi âm, máy quay siêu nhỏ để theo dõi trong phòng họp
Leo tường và tránh bị phát hiện
Nếu có hàng rào, đội ngũ nên đánh giá xem liệu có khả thi cho ai đó cố gắng trèo qua hàng rào hay không.
Bên cạnh hàng rào và rào cản, cơ sở có thể có hệ thống phát hiện chuyển động.
Cảm biến được đặt ở các khu vực an toàn để phát hiện chuyển động, theo dõi hoạt động và xác định truy cập vật lý trái phép.
Đội ngũ sẽ muốn đánh giá xem liệu có ai đó có thể vượt qua hệ thống và liệu có điểm mù nào khi di chuyển trong tòa nhà hay không.
Ví dụ:
Đội PenTest phát hiện hàng rào bảo vệ tại công ty DEF có một số khu vực hư hỏng và thiếu camera giám sát. Họ đã trèo qua hàng rào vào ban đêm mà không bị phát hiện.
Bằng cách quan sát trong vài ngày, đội ngũ xác định được lịch trình tuần tra của bảo vệ. Khi bảo vệ đang ở tầng 1, họ nhanh chóng lẻn vào tầng 2 qua cửa sổ vào khu vực không có cảm biến chuyển động.
Sao chép thẻ RFID
Một số thẻ sử dụng hệ thống thẻ RFID để bảo vệ vật lý.
Thẻ có chứa thông tin xác thực của cá nhân và sử dụng đầu đọc để đọc dữ liệu từ thẻ RFID hoặc thẻ NFC khi ở gần.
Sao chép thẻ là hành động sao chép dữ liệu xác thực từ chip của thẻ RFID sang thẻ khác.
Việc sao chép có thể được thực hiện thông qua thiết bị ghi RFID cầm tay, rẻ tiền và dễ sử dụng.
Ví dụ:
Hacker đứng gần lối vào văn phòng, giả vờ bận gọi điện thoại. Khi nhân viên quẹt thẻ, hắn dùng thiết bị đọc RFID giấu trong túi áo để đọc trộm thông tin thẻ của họ. Chỉ trong vài giây, dữ liệu đã bị sao chép.
Sau đó tên tội phạm dùng máy in thẻ và phần mềm đã crack để sao chép dữ liệu vừa đánh cắp vào một thẻ trắng. Với chiếc thẻ giả này, hắn có thể tự do ra vào công ty như một nhân viên thật.
Vượt qua khóa
Hầu hết các tổ chức đều có ít nhất một tài sản quan trọng được bảo vệ bằng khóa.
Đội ngũ có thể được giao nhiệm vụ tìm cách phá khóa để truy cập
Khóa không chìa phải phá hủy hoặc bẻ khóa.
Khóa kết hợp đơn giản có thể bị bẻ khóa bằng vét cạn (brute-force)
Khóa thẻ truy cập và máy quét sinh trắc học khó bị vượt qua nếu không có vật dụng hoặc dữ liệu sinh trắc học phù hợp.
Ví dụ:
Thành viên đội PenTest học cách sử dụng bộ công cụ mở khóa. Sau một thời gian luyện tập, anh ta có thể mở khóa cửa văn phòng một cách nhanh chóng và lặng lẽ chỉ trong vài phút.
Nhân viên bảo vệ tòa nhà thường sử dụng mật khẩu đơn giản cho khóa kết hợp. Sau khi quan sát một thời gian, đội PenTest thấy nhiều người chỉ xoay vài vòng để mở khóa, có nghĩa mật khẩu rất ngắn. Họ đã brute-force thành công và mở được cửa chỉ sau 15 phút thử các kết hợp số 4 chữ số phổ biến.
Đi sau và Bám đuôi
Đi sau (tailgating) xảy ra khi kẻ tấn công lẻn vào khu vực an toàn
Việc này được thực hiện trong khi bám đuôi một nhân viên có thẩm quyền không biết rằng có người ở phía sau họ.
Bám đuôi (piggybacking) về cơ bản giống như đi sau, nhưng trong trường hợp này, mục tiêu biết có ai đó đi theo sau họ.
Mục tiêu có thể biết kẻ tấn công và có liên quan, hoặc họ có thể không nhận thức được những gì kẻ tấn công đang làm.
Ví dụ:
Tên tội phạm mặc trang phục giống nhân viên, đeo thẻ giả và xách cặp laptop. Khi một nhóm nhân viên đi vào cùng lúc, hắn lẻn vào ngay sau lưng họ để qua cửa an ninh.
Khi một nhân viên mở cửa bằng thẻ, hacker đã nhanh chóng tiến lại và nói “Cảm ơn, tôi quên thẻ ở nhà”. Người nhân viên thấy hắn ăn mặc như nhân viên IT nên không nghi ngờ gì và giữ cửa cho hắn đi vào cùng.
Lục thùng rác
Lục thùng rác (dumpster diving) là hành vi lục tìm nội dung của thùng rác để tìm thứ gì đó có giá trị.
Có thể giúp phát hiện các tài liệu chứa thông tin nhạy cảm có liên quan đến tổ chức.
Đội ngũ có thể phát hiện ra thông tin tình báo hữu ích, giúp hiểu sâu hơn về hoạt động kinh doanh của mục tiêu.
Tài liệu chính thức
Thiết bị lưu trữ
Ví dụ:
Trong thùng rác của công ty, đội PenTest tìm thấy danh sách in ra chứa tên người dùng và mật khẩu của nhân viên, giúp họ truy cập được vào mạng nội bộ.
Họ cũng lấy được ổ cứng hỏng chứa dữ liệu về một dự án “tối mật”. Tuy đã bị xóa, đội vẫn khôi phục lại được 80% dữ liệu, bao gồm cả tài liệu hợp đồng và source code.
Quan sát nhân viên
Ngó trộm qua vai (shoulder surfing) là một cuộc tấn công mà kẻ tấn công quan sát hành vi của mục tiêu mà họ không hề hay biết.
Kẻ tấn công đứng sau lưng có thể nhìn thấy những gì trên màn hình hoặc các phím mà mục tiêu nhấn.
Một phương pháp khác là sử dụng camera trên điện thoại thông minh để chụp ảnh hoặc quay video từ xa.
Chúng cũng có thể đặt điện thoại xuống bàn gần đó, bấm ghi âm rồi rời đi.
Sử dụng camera sẽ cho phép kẻ tấn công xem lại hoạt động của mục tiêu sau đó
Ví dụ:
Khi nhân viên đang nhập mật khẩu đăng nhập vào hệ thống, hacker đứng phía sau giả vờ xem điện thoại nhưng thực chất đang quan sát và ghi nhớ mật khẩu của họ.
Tên tội phạm cố tình làm rơi USB vào góc bàn của nạn nhân. USB có chứa phần mềm ghi âm và quay màn hình. Sau vài ngày, hắn lấy lại USB và thu được nhiều thông tin nhạy cảm như email nội bộ, tài liệu mật và cuộc trao đổi trong các cuộc họp trực tuyến.
III. Các công cụ để thực hiện tấn công kỹ thuật xã hội
Bộ công cụ Social Engineering Toolkit (SET)
Social Engineering Toolkit là một bộ công cụ dựa trên Python có thể được sử dụng khi tiến hành kiểm tra xâm nhập kỹ thuật xã hội.
Bạn có thể tải xuống SET và cài đặt nó trên máy Linux, Unix và Windows hoặc sử dụng nó trong Kali Linux.
SET cho phép bạn chọn từ một số tùy chọn khác nhau bao gồm tấn công trang web, gửi thư hàng loạt và tấn công Spearphishing.
Sử dụng SET
Khi khởi chạy SET, bạn sẽ thấy menu hiển thị các tùy chọn phổ biến nhất
Trong nhiều trường hợp, bạn sẽ cần cung cấp thêm dữ liệu đầu vào như địa chỉ IP, số cổng hoặc URL trang web.
Khi sử dụng SET, nhiều cuộc tấn công sẽ hướng dẫn bạn cần nhập những thông tin gì
Trước khi sử dụng SET, đội ngũ nên đánh giá các phương pháp và phương thức phù hợp nhất để xây dựng một cuộc tấn công.
Giả mạo cuộc gọi
Ngày nay khi bạn gọi điện từ điện thoại bàn, bạn rất có thể đang sử dụng Voice over IP (VoIP).
VoIP sử dụng Internet và mạng để gửi và nhận cuộc gọi
Trên hầu hết điện thoại, khi bạn nhận được cuộc gọi, thông tin định danh của người gọi sẽ hiển thị trên thiết bị để bạn có thể dễ dàng xác định người gọi.
Phát động tấn công
VoIP sử dụng phần mềm để thay đổi cấu hình.
Khi giả mạo cuộc gọi, kẻ tấn công có thể làm cho cuộc gọi có vẻ như đến từ một nguồn đáng tin cậy, chẳng hạn như:
Một nhà cung cấp được công nhận
Một văn phòng từ xa
Chủ tịch công ty
Các phương pháp giả mạo cuộc gọi
Để giả mạo cuộc gọi VoIP, có một số phương pháp bạn có thể sử dụng.
Sử dụng ứng dụng để nhập tên và số điện thoại giả mạo
Sử dụng Asterisk – một công cụ nguồn mở miễn phí để tạo cuộc gọi giả mạo.
Ngoài ra, kẻ tấn công có thể sử dụng số điện thoại giả để nghe thư thoại.
Trong một số trường hợp, hệ thống thư thoại sẽ nhận ra số điện thoại và sau đó nhắc người dùng nhấn một số để nghe thư thoại của họ.
Ứng dụng có thể nhắc người dùng nhập mật khẩu. Nếu vậy, kẻ tấn công sẽ cần sử dụng đúng mật khẩu.
Tìm mật khẩu
Nếu không có mật khẩu, họ có thể tìm kiếm trực tuyến mật khẩu mặc định của hệ thống mục tiêu.
Bạn có thể sử dụng Google Hacking để tìm thêm thông tin về điện thoại VoIP, ví dụ:
Cisco CallManager: inurl:”ccmuser/logon.asp”
Điện thoại D-Link: intitle:”D-Link DPH” “web login setting”
Điện thoại Grandstream: intitle:”Grandstream Device Configuration” password
Tổng kết:
Kỹ thuật xã hội và tấn công vật lý là mối đe dọa lớn đối với an ninh của mọi tổ chức. Chúng khai thác yếu tố con người, thường là mắt xích yếu nhất trong chuỗi bảo mật.
Vì vậy, kiểm tra khả năng chống lại các cuộc tấn công này là một phần quan trọng trong chương trình đánh giá an ninh định kỳ.
Một cuộc kiểm tra xâm nhập kỹ thuật xã hội và vật lý mô phỏng các kỹ thuật mà tin tặc sử dụng để đánh cắp dữ liệu, truy cập trái phép hoặc cài đặt phần mềm độc hại.
Thông qua đó, tổ chức có thể xác định điểm yếu, nâng cao nhận thức của nhân viên và cải thiện các biện pháp kiểm soát để giảm rủi ro thực tế.
Để triển khai thành công, chương trình kiểm tra cần có kế hoạch toàn diện, phạm vi rõ ràng, quy trình thống nhất và được thực hiện bởi các chuyên gia có chứng chỉ CEH, OSCP hay CompTIA PenTest+.
Khuyến nghị:
Để có kiến thức và kỹ năng kiểm tra xâm nhập chuyên sâu, bạn nên tham gia khóa học CompTIA PenTest+ tại website học trực tuyến CompTIA.Edu.Vn của CompTIA Vietnam.
Ngoài ra, bạn có thể tự học với bộ tài liệu CertMaster Learn để nắm vững lý thuyết, luyện tập các kỹ thuật với CertMaster Labs và CertMaster Practice của CompTIA Academy.
Trang bị kiến thức, trau dồi kỹ năng thực hành và đạt chứng chỉ CompTIA PenTest+ sẽ mở ra cho bạn cơ hội nghề nghiệp rộng mở trong lĩnh vực an ninh mạng, đặc biệt là vai trò Pentester.
Tài liệu tham khảo:
CompTIA PenTest+ Exam Objectives (PT0-002)
Social Engineering Framework: https://www.social-engineer.org/framework/
NIST SP 800-115 Technical Guide to Information Security Testing and Assessment
The Art of Deception: Controlling the Human Element of Security by Kevin D. Mitnick
Physical Penetration Testing For IT Security Teams by Wil Allsopp
TrustedSec Social Engineering Toolkit: https://www.trustedsec.com/tools/the-social-engineer-toolkit-set/
Trình bày bởi : Vinh Nguyen Trần Tường
Tài liệu hỗ trợ học và thi chứng chỉ quốc tế CompTIA Pentest + (PT0-002)
Để lại một bình luận