Nhóm 8 - phân loại gian nan: hacking, hijacking, botnet, spamming môn Hệ thống Thông tin trong Kế toán| Trường Đại học Công nghiệp Thành phố Hồ Chí Minh

Bài tập nhóm ( 8) Bước mạnh quy người khổng lồ Mô tả chương trình Ví dụ minh họa Hack Truy cập hoặc thao tác Đầu
Ví dụ: Một hacker có lợi khi gặp lỗi left system, vào /
phần mềm để ngắt đầu vào
mạng hoặc dữ liệu máy tính, Xử lý
công ty máy chủ, sử dụng quyền
Bình thường với mục tiêu xấu. Kẻ
điều khiển và truy cập cơ sở dữ liệu
tấn công khai thác hầm để dữ liệu khách hàng. get info or sandal Dịch vụ. máy bay
Thường là “mượn tiền Đầu
Ví dụ: Kẻ tấn công đánh cắp
công việc” (session hijacking): vào đăng nhập cookie của web
tấn công bắt ID phiên bản
you (thông tin lừa đảo trên
(Phiên bản ID) của người dùng
mạng) và sử dụng nó để lừa đảo
hợp lệ và giả mạo yêu cầu gửi
phiên bản của bạn, hãy truy cập tài liệu
đi, cho phép đăng nhập bên dưới
tài khoản không cần mật khẩu. quyền người đó. Mạng Botnet
Tập hợp các máy tính hoặc Đầu ra Ví dụ: Một mạng botnet bao gồm
thiết bị bị nhiễm mã độc, truy tố (t hàng ngàn máy tính zombie
điều khiển phạm vi mạng từ xa. công)
được sử dụng để gửi triệu tập
Botnet có thể thực hiện tấn công
email quảng cáo sản phẩm rác
công cụ từ chối dịch vụ (DDoS), người dùng đảo ngược
gửi thư rác hoặc đánh cắp toàn cầu. dữ liệu hàng loạt.
Gửi thư khẩn (Gửi)Sử dụng hệ thống gửi tin nhắn
Đầu ra Ví dụ: Một kẻ lừa đảo gửi hàng thư ()
(thư điện tử, SMS, forum...) để (giao
email thùng rác tới người dùng,
gửi đồng loạt các tin không tiếp)
ghi chú và yêu cầu thông báo mong muốn (spam), thường
yêu cầu liên kết để nhận decan
nhằm mục đích quảng cáo hoặc lừa đảo. Thưởng cho.
Đây là lệnh gửi thông tin đầu vào.
không hợp lệ với người nhận. Giả định (Giao Công)
Giả sử tính toán hoặc địa chỉ Đầu
Ví dụ: An email giả địa chỉ )
dữ liệu (email, địa chỉ IP, số vào
chỉ số ngân hàng gửi đến khách hàng
điện thoại…) để lừa hệ thống (N
hàng, yêu cầu cập nhật mật khẩu
hoặc người khác cho rằng
dữ liệu khẩu; email ý tưởng của người nhận
dữ liệu hợp lệ. Tấn công mạnh mẽvật liệu) thực sự cần thiết để cung cấp thông tin đăng nhập
dữ liệu lợi ích để tin tưởng nhập. truy cập hoặc tấn công. Bước mạnh quy người khổng lồ Mô tả chương trình Ví dụ minh họa Tấn công zero-day
Tấn công khai thác hầm ổ Xử lý
Ví dụ: Mã độc Stuxnet (2010)
nhà phát triển chưa được biết
khai thác bốn lỗ trống zero-day
hoặc chưa có bản vá. Kẻ tấn công
trong Windows để tấn công
công cụ có thể mã hóa độc lập, sử dụng
hệ thống điều khiển nhà
quyền điều khiển hệ thống điện nguyên tử.
ngay sau khi ổ khóa được phát hiện hiện. trang web Kẻ tấn công chèn (tiêm) Đầu
Ví dụ: Trên một diễn đàn, kẻ tấn công Tấn công kịch bản (XSS)
script code độc hại vào trang vào
công việc gửi bình luận chứa mã hóa
web đáng tin cậy. Khi người dùng(N
JavaScript độc quyền. Khi người khác
truy cập, trình duyệt sẽ thực thi
dữ liệu xem, mã này sẽ tự động gửi
tập lệnh này giống như nội dung hợp nhất
vật liệu) phiên bản cookie của họ về máy chủ
pháp luật, cho phép tấn công Kẻ tấn công.
đánh cắp cookie hoặc dữ liệu của người dùng.
Đơn hàng phòng đệm Bộ đệm xảy ra lỗi khi ngăn chặn Xử lý
Ví dụ: Con sâu máy tính Blaster
bộ nhớ (bộ đệm) không đủ dữ liệu
(2003) ích lợi của lỗi tràn bộ đệm
dữ liệu đầu vào. Kẻ tấn công có
trong dịch vụ RPC của Windows
có thể cung cấp đầu vào quá
for lan truyền vào máy tính
dự kiến kích thước, ghi đè người dùng.
bộ nhớ liền kề, thậm chí chèn
code độc và sử dụng quyền điều chương trình. Tấn công SQL Injection
Kỹ thuật tiêm SQL mã hóa: set code Đầu Ví dụ: Change user enter trong lệnh SQL vào
sử dụng, tấn công vào 105 HOẶC
thông tin qua các ô dữ liệu web.
1=1 vào ô UserID, làm câu truy vấn
If ứng dụng không được kiểm tra
trả lời tất cả các dòng (bypass
đầu vào, thực thi lệnh SQL
đăng nhập) và hiển thị thông tin
sẽ được thay đổi, cho phép tấn công
Tên người dùng/mật khẩu.
truy vấn hoặc sửa đổi cơ sở Sở hữu dữ liệu. Giả trang
Tấn công giả mạo là khi kẻ lừa đảo Đầu
Ví dụ: Kẻ tấn công gửi email giả bad user name or vào /
lãnh đạo công ty (lừa đảo),
thiết bị hợp lệ để truy cập hệ thốngXử lý
cung cấp mật khẩu nhân viên
system. Ví dụ: tạo trang web giả
pass rồi dùng mật khẩu đó đăng
giả mạo thật, lừa đảo
enter the local system as could be
nhập thông tin rồi sử dụng Lãnh đạo.
thông tin sẽ tấn công tiếp theo.
Truy cập trái phép bằng cách Đầu
Ví dụ: Một nhân viên sử dụng
“đi ké” theo phiên bản hoặc kết nốivào
máy tính cộng bỏ quên sau Bước mạnh quy người khổng lồ Mô tả chương trình Ví dụ minh họa Cõng
hợp lệ của người khác. Ví dụ
khi đã đăng nhập và người khác
phổ biến được sử dụng khi mở Wi-Fi
cài đặt truy cập “đi ké” phiên bản
người khác đã đăng nhập
đăng nhập đó để xem thông tin mạng hoặc ngồi gần web nội bộ.
khi còn lại phiên đăng nhập của ai đó chưa hết hạn.
Tấn công dò mã (brute-force Đầu
Ví dụ: Kẻ xấu tải về tệp chứa
hoặc dùng từ điển) để tìm mật vào
hash mật khẩu người dùng rồi Password
khẩu người dùng. Dùng công
dùng công cụ như John the cracking
cụ chuyên biệt để thử từng khả
Ripper để bẻ khóa và lấy được
năng hoặc giải mã mật khẩu đã
mật khẩu gốc, từ đó đăng nhập
mã hóa. Mục tiêu là chiếm
vào tài khoản người đó.
quyền (Authentication) bằng
mật khẩu của nạn nhân. Wardialing
Kỹ thuật tự động quay số hàng Đầu
Ví dụ: Hacker dùng phần mềm
loạt dãy số điện thoại để tìm vào
đánh số điện thoại tự động đến
modem, máy tính hoặc thiết bị
mọi số trong mã vùng; nếu máy
có đường dây điện thoại. Mục
trả lời là modem, họ có thể thử
đích là xác định điểm vào hệ
xâm nhập hệ thống qua modem
thống (khiếm khuyết cổng vào đó. mạng cũ). Phreaking
Hacking hệ thống điện thoại: Đầu
Ví dụ: Vào thập niên 1970, một
lợi dụng kỹ thuật gian lận tín vào
kẻ phreak dùng hộp xanh (blue
hiệu điện thoại để gọi miễn phí
box) tạo ra tín hiệu giống tổng
hoặc truy cập hệ thống. Ví dụ:
đài viên để thực hiện cuộc gọi
điều chỉnh tần số tín hiệu (bằng
đường dài mà không tính phí.
“loa hiệu” Captain Crunch) để
ra lệnh cho tổng đài, gọi đường dài miễn phí. Data diddling
Thao túng dữ liệu khi nhập: Đầu
Ví dụ: Nhân viên kế toán thay
người trong nội bộ hoặc mã vào
đổi giá trị các hóa đơn đầu vào
độc thay đổi, xóa hoặc thêm
(ví dụ tăng nhẹ giá gốc) trước
bớt dữ liệu trước hoặc trong khi
khi nhập vào hệ thống, làm sai
nhập vào hệ thống, nhằm làm
lệch báo cáo tài chính để biển
sai lệch kết quả. Hành vi xảy ra thủ tiền.
ở điểm “nhập liệu”. Data leakage
Dữ liệu nhạy cảm bị tiết lộ Lưu
Ví dụ: Một bucket lưu trữ dữ
ngoài ý muốn do cấu hình sai, trữ /
liệu trên đám mây (cloud) không
lỗi bảo mật hoặc hành vi của
Đầu ra được bảo mật, cho phép mọi nhân viên. Thông tin quan
người trên Internet tải xuống 38 Bước trong quy Loại gian lận Mô tả trình Ví dụ minh họa
trọng như PII, bí mật kinh
TB dữ liệu nội bộ của công ty
doanh bị truy cập trái phép bên
(thông tin cá nhân, khóa mã,
ngoài môi trường an toàn. v.v.). Podslurping Lưu trữ
Mất trộm dữ liệu qua thiết bị di
Ví dụ: Nhân viên mang USB
động: kẻ xấu sử dụng USB,
chứa malware cắm vào máy tính
iPod hoặc thiết bị lưu trữ gắn
văn phòng, phần mềm tự động
ngoài để sao chép ồ ạt dữ liệu
sao chép hàng nghìn file quan
từ máy tính hoặc mạng khi
trọng (dự án nghiên cứu, dữ liệu
được cắm vào, thường kèm mã khách hàng…) vào USB.
độc tự động sao chép dữ liệu. Salami
Lừa đảo vi mô: đánh cắp rất ít Xử lý
Ví dụ: Ngân hàng tự động làm technique
một mỗi giao dịch, cộng dồn
tròn mọi khoản thanh toán lên 1
thành số tiền lớn mà nạn nhân
USD và chuyển phần lẻ (dưới 1
không phát hiện. Ví dụ: làm
USD) vào tài khoản riêng. Mỗi
tròn số giao dịch tài chính để
giao dịch lấy rất ít, nhưng sau
lấy phần lẻ “xu xu”, tích lũy
hàng triệu giao dịch sẽ thu về thành khoản lớn.
hàng triệu USD mà khách không biết. Economic
Tình báo kinh tế: tội phạm Lưu
Ví dụ: Một tổ chức tình báo của espionage
mạng (thường nhà nước bảo trữ
quốc gia A tấn công mạng nhà
trợ) bí mật đánh cắp thông tin
thầu quốc phòng B để lấy các
kinh tế quan trọng – bí mật
bản vẽ bí mật và công nghệ quân
thương mại, sở hữu trí tuệ,
sự mới, nhằm rút ngắn thời gian
công nghệ… để thu lợi hoặc
phát triển tương đương.
nâng cao vị thế. Định nghĩa là
đánh cắp bất hợp pháp thông tin kinh tế.
Cyber-extortion Tống tiền điện tử: kẻ tấn công
Đầu ra Ví dụ: Tên tuổi như WannaCry
xâm nhập hoặc kiểm soát hệ
gửi ransomware mã hóa dữ liệu
thống/tống tiền dữ liệu của nạn
trên máy tính công ty, hiển thị
nhân, đòi tiền chuộc để khôi
thông báo đòi Bitcoin trả tiền
phục hoặc ngăn chặn thiệt hại.
chuộc để giải mã. Hoặc nhóm
Hình thức phổ biến là mã hóa
tấn công tạo DDoS, yêu cầu phí
dữ liệu (ransomware) hoặc tấn để ngừng tấn công.
công DDoS và yêu cầu trả tiền. Cyber-bullying
Bắt nạt qua mạng: sử dụng
Đầu ra Ví dụ: Một học sinh đăng tải
phương tiện kỹ thuật số (tin
hình ảnh chế nhạo bạn cùng lớp
nhắn, mạng xã hội, forum, trò
trên Facebook, kèm bình luận Bước trong quy Loại gian lận Mô tả trình Ví dụ minh họa
chơi trực tuyến…) để gửi, đăng
miệt thị, khiến nạn nhân bị tổn
bài nội dung xấu, xúc phạm thương tinh thần.
hoặc tiết lộ thông tin nhạy cảm
nhằm làm tổn thương, hạ nhục người khác. Sexting Gửi tin nhắn hoặc hình
Đầu ra Ví dụ: Một thiếu niên gửi ảnh
ảnh/video có nội dung tình dục. (giao
nude cho bạn tình. Sau khi chia
Có thể là tin nhắn gợi dục hoặc tiếp)
tay, ảnh đó bị đăng lên mạng xã
ảnh khỏa thân qua điện thoại,
hội để bôi nhọ, dẫn đến hậu quả
mạng xã hội. Hành vi này
pháp lý (xử lý tội liên quan hình
thường xảy ra giữa hai người ảnh trẻ em).
đồng thuận, nhưng có thể trở
thành tội phạm nếu lan truyền không kiểm soát. Internet
Sử dụng Internet để phá hoại Đầu Một người đàn ông ở terrorism
thương mại điện tử, truyền
Massachusetts thuê hacker tấn vào
thông hoặc làm tê liệt hệ thống (Input công trang web WeaKnees.com máy tính. )
bằng botnet 10.000 máy tính,
kéo dài 6 tuần, gây thiệt hại 2
triệu USD vì WeaKnees từ chối hợp đồng kinh doanh. Internet
Lan truyền thông tin giả, sai Xử lý
McDonald’s mất 7 năm và 16 misinformation
lệch hoặc gây hiểu lầm nhằm
triệu USD để chống lại những
làm hại danh tiếng hoặc lợi ích
cáo buộc sai trái trên Internet. của người khác.
Sau vụ kiện, công ty chỉ được
bồi thường 94.000 USD, trong
khi một website khác còn chế
giễu phán quyết và tiếp tục hoạt động dưới tên mới.
Internet auction Lợi dụng các sàn đấu giá (như Lưu fraud
eBay) để gian lận, nâng giá ảo, trữ Ba đại lý nghệ thuật đã gian lận
hoặc lừa đảo người mua/bán.
trong hơn 1.100 cuộc đấu giá
trên eBay bằng cách đặt giá giả
để nâng giá hàng hóa. Kết quả:
hơn 120 khách hàng bị thiệt hại
hàng ngàn USD so với giá thực. Internet pump-
Lợi dụng Internet để thổi
Đầu ra Một nhóm tin tặc bí mật mua cổ
and-dump fraud phồng giá cổ phiếu giá rẻ, sau
phần của 15 công ty giao dịch Bước trong quy Loại gian lận Mô tả trình Ví dụ minh họa
đó bán ra để thu lợi, khiến nhà
mỏng, rồi dùng spam, hack và
đầu tư khác bị lỗ nặng.
gian lận danh tính để đẩy giá
lên. Sau đó họ bán cổ phiếu, kiếm 732.941 USD, còn các
công ty môi giới Mỹ thiệt hại khoảng 2 triệu USD. Click fraud
Thao túng số lần nhấp chuột Đầu
Một công việc có thể xảy ra
vào quảng cáo để tăng chi phí vào
vào quảng cáo của cạnh thủ
quảng cáo hoặc tăng hoa hồng
tranh để họ phải trả tiền không hợp pháp.
quảng cáo cao hơn. Ước tính có
tới 30% click là giả, trong khi
quảng cáo trực tuyến lại
hơn 15 tỷ lệ USD doanh thu mỗi năm.
nhồi nhét kiến thức trên mạng
Luồng đăng nhập của người dùng
Đầu ra Rất nhiều người Mỹ từng bị Gmail
web “miễn phí 1 tháng”, sau đó this game, path to web job
tự động tính phí qua hóa đơn
nhồi nhét vào top 10 lừa đảo
điện thoại nhiều tháng, dù
trực tuyến phổ biến nhất trong khách hàng không muốn.
nhiều năm liền kề và cơ sở dữ liệu
luật vẫn chưa được loại bỏ để được.
Vi phạm bản quyền phần mềm
Sao chép, cài đặt hoặc phân Lưu
Một cửa hàng máy tính bán PC
Phân phối phần mềm có bản quyềnkho lưu trữ
đã cài đặt sẵn bản crack Windows mà không được phép.
để tiết kiệm chi phí hoặc kinh doanh
nghiệp sử dụng giấy phép duy nhất
nhất cho nhiều máy tính. Đây là
quyền vi phạm biểu thức
phổ biến ở nhiều nước.