Quy trình kiểm thử tấn công lừa đảo (phần 1)

14:05 | 08/08/2022

Kiểm thử tấn công lừa đảo nhằm kiểm tra độ mạnh của các yếu tố con người trong chuỗi an ninh bên trong tổ chức. Hình thức này được sử dụng để làm tăng mức độ nhận thức an ninh trong nhân viên và tổ chức.

Người kiểm thử phải thận trọng và chuyên nghiệp trong việc kiểm thử tấn công lừa đảo bởi quy trình này bao gồm việc thực hiện các quy định của pháp luật về xâm phạm tính bí mật và trong một số tình huống có thể kết quả sẽ cản trở các tổ chức. Các kỹ năng mà người kiểm thử tấn công lừa đảo cần có và thành thạo là: Kỹ năng cá nhân tốt; Kỹ năng giao tiếp tốt; Tính sáng tạo; Nói chuyện phiếm giỏi và thân thiện một cách tự nhiên. 

Quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo

Quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo

Dưới đây là các bước trong quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo cho một tổ chức:

Bước 1: Nhận được ủy quyền

Quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo người kiểm thử cần phải có được sự ủy quyền của người đủ thẩm quyền trong tổ chức để hợp pháp hóa công việc kiểm thử tấn công lừa đảo.

Bước 2: Xác định phạm vi kiểm thử

Sau khi nhận được ủy quyền chính thức về việc kiểm thử tấn công lừa đảo trong hệ thống, người kiểm thử sẽ phải xác định phạm vi kiểm thử. Ví dụ như phạm vi kiểm thử là toàn bộ tổ chức, từng phòng ban, từng bộ phận chức năng, từng chi nhánh của tổ chức ở các nơi khác nhau…

Bước 3: Thu thập danh sách Email và chi tiết Liên lạc của các đối tượng được xác định trước đó.

Khi đã xác định được phạm vi kiểm thử, người kiểm thử sẽ cần một danh sách thông tin về nhân sự trong tổ chức. Các thông tin bao gồm: thư điện tử, chi tiết liên lạc của các đối tượng sẽ hướng đến để kiểm thử.

Bước 4: Thông tin có sẵn sàng không?

Kiểm tra xem các thông tin đã được thu thập đủ và sẵn sàng chưa? Nếu không, thực hiện tiếp bước 5. Nếu có, chuyển đến bước 8.

Bước 5: Thu thập các địa chỉ Email và chi tiết liên lạc của các nhân viên trong tổ chức nhắm đến.

Nếu các thông tin chuẩn bị ở bước 3 chưa sẵn sàng cho kế hoạch thiết lập kịch bản để kiểm thử, thì tiếp tục thu thập các địa chỉ Email và chi tiết liên lạc của các nhân viên trong tổ chức muốn thực hiện kiểm thử.

Bước 6: Thu thập thông tin sử dụng các kỹ thuật Footprinting

Sử dụng các kỹ thuật Footprinting để thu thập thêm các thông tin về tổ chức, nhân viên như: vị trí địa lý, sơ đồ tòa nhà, cách thức làm việc, thông tin chi tiết của từng cá nhân, tình trạng công việc, các mối quan hệ bất hòa…

Bước 7: Thông tin có sẵn sàng không?

Kiểm tra xem các thông tin đã được thu thập đủ và sẵn sàng chưa? Nếu không, thực hiện tiếp bước 5. Nếu có, chuyển đến bước 8.

Bước 8: Tạo một kịch bản với các lý do rõ ràng, đặc biệt.

Ở bước này, người kiểm thử sẽ thực hiện việc tạo ra một kịch bản tấn công lừa đảo chi tiết với các lý do rõ ràng, đặc biệt nhằm hướng tới các đối tượng lựa chọn để kiểm thử. Cố gắng tạo ra kịch bản thật thuyết phục, thậm chí từng kịch bản riêng cho từng đối tượng khác nhau.

Đến đây là kết thúc quá trình chuẩn bị cho việc kiểm thử tấn công lừa đảo. Các phần tiếp theo sẽ là các quá trình kiểm thử thông qua các phương tiện khác nhau như sử dụng thư điện tử, sử dụng điện thoại, gặp trực tiếp nạn nhân để thực hiện các kịch bản đã đặt ra.

Kiểm thử sử dụng thư điện tử

Quá trình kiểm thử bằng cách sử dụng thư điện tử

Bước 9: Gửi thư đến nhân viên yêu cầu thông tin cá nhân của họ.

Bước đầu của quá trình kiểm thử sử dụng thư điện tử là gửi một thư điện tử đến các nhân viên trong danh sách các đối tượng được lựa chọn, yêu cầu họ gửi thông tin cá nhân của mình. Trong bước này, người kiểm thử chỉ gửi yêu cầu thông tin một cách bình thường chứ chưa sử dụng các kỹ thuật lừa đảo.

Bước 10: Thông tin cá nhân có trích xuất được ko?

Sau bước 9, người kiểm thử kiểm tra xem có trích xuất được thông tin cá nhân của các đối tượng được chọn để kiểm thử hay không. Nếu có, thực hiện tiếp bước 11. Nếu không, chuyển sang bước 12.

Bước 11: Lập tài liệu tất cả các thông tin được khôi phục và riêng biệt từng người.

Lập tài liệu lưu trữ tất cả các thông tin thu được qua thông qua bước 9 một cách riêng biệt từng người.

Bước 12: Gửi và giám sát các thư có đính kèm mã độc hại cho nạn nhân được xác định.

Sau khi thực hiện bước 9, người kiểm thử tiếp tục gửi các thư điện tử có đính kèm mã độc hại đến các đối tượng được lựa chọn để kiểm thử. Giám sát các thư điện tử và mã độc hại này.

Bước 13: Phần đính kèm có được mở không?

Kiểm tra xem phần mã độc hại được đính kèm trong thư điện tử đó có được mở ra và chạy không. Nếu có, thực hiện tiếp bước 14. Nếu không, chuyển sang bước 15.

Bước 14: Lập tài liệu tất cả các nạn nhân.

Lập tài liệu lưu trữ tất cả các thông tin thu được qua thông qua bước 12 một cách riêng biệt từng người.

Bước 15: Gửi các thư lừa đảo tới các nạn nhân được xác định

Sau khi thực hiện bước 12, người kiểm thử tiếp tục gửi các thư điện tử lừa đảo tới các nạn nhân, nội dung thư có thể bao gồm các liên kết giả mạo, các cảnh báo, đe dọa…

Bước 16: Có nhận được hồi đáp không.

Kiểm tra xem các thư lừa đảo này có được hồi đáp không? Các địa chỉ đính kèm nhằm lừa đảo trong thư có được truy cập bởi các nạn nhân hay không. Nếu có, thực hiện tiếp bước 17. Nếu không, chuyển sang thực hiện việc kiểm thử thông qua điện thoại.

Bước 17: Lập tài liệu tất cả các hồi đáp của các nạn nhân riêng biệt từng người.

Lập tài liệu lưu trữ tất cả các thông tin thu được, hồi đáp của các nạn nhân thông qua bước 15 một cách riêng biệt từng người.

Đến đây là kết thúc quá trình kiểm thử tấn công lừa đảo bằng cách sử dụng thư điện tử. Ở phần tiếp theo (phần 2), bài báo sẽ giới thiệu về quá trình kiểm thử bằng cách sử dụng điện thoại và gặp trực tiếp nạn nhân.