Đồ án: Xây dựng hệ thống mô phỏng các cuộc tấn công Phishing - Nguyễn Thị Mai

Đồ án tốt nghiệp trình bày chi tiết quá trình xây dựng hệ thống mô phỏng tấn công Phishing, từ phân tích, thiết kế đến các chức năng chính của hệ thống.

Chuyên ngành

An toàn thông tin

Người đăng

Ẩn danh

Thể loại

Đồ án tốt nghiệp Đại học

2022

72
1
0

Phí lưu trữ

30 Point

Tóm tắt

I. Khái Niệm và Tầm Quan Trọng của Hệ Thống Mô Phỏng Tấn Công Phishing

Hệ thống mô phỏng tấn công phishing là một nền tảng công nghệ được thiết kế để đánh giá và nâng cao nhận thức về bảo mật thông tin của người dùng. Đây là một công cụ quan trọng trong chiến lược phòng chống phishing hiện đại, giúp các tổ chức hiểu rõ hơn về các phương thức tấn công và khả năng phòng vệ của nhân viên. Thông qua các cuộc mô phỏng tấn công phishing, người dùng có cơ hội học hỏi trong môi trường an toàn, từ đó nâng cao kỹ năng nhận biết các email giả mạo và các thủ đoạn social engineering khác. Hệ thống này không chỉ giúp phát hiện điểm yếu trong nhận thức bảo mật mà còn cung cấp dữ liệu chi tiết để tổ chức có thể đánh giá hiệu quả của các chương trình đào tạo an toàn thông tin.

1.1. Định Nghĩa và Mục Đích Của Mô Phỏng Phishing

Mô phỏng phishing là quá trình tạo ra các email, tin nhắn hoặc trang web giả mạo có tính thực tế cao để kiểm tra phản ứng của người dùng. Mục đích chính là đánh giá mức độ cảnh báo và kiến thức bảo mật của nhân viên. Thông qua các cuộc mô phỏng có kiểm soát, tổ chức có thể xác định những người dễ bị lừa dụ và cung cấp đào tạo kịp thời, từ đó giảm thiểu rủi ro bảo mật thông tin.

1.2. Vai Trò Của Hệ Thống Trong Đào Tạo An Toàn Thông Tin

Hệ thống mô phỏng tấn công phishing đóng vai trò then chốt trong các chương trình đào tạo nhận thức bảo mật. Nó cung cấp một môi trường học tập thực tế, giúp người dùng hiểu sâu hơn về các kỹ thuật tấn công và phương pháp phòng chống. Kết quả từ các cuộc mô phỏng cho phép tổ chức theo dõi tiến độ nâng cao kỹ năng và điều chỉnh chiến lược đào tạo phù hợp.

II. Kiến Trúc và Các Thành Phần Chính Của Hệ Thống

Kiến trúc hệ thống mô phỏng phishing bao gồm nhiều thành phần quan trọng được tích hợp một cách hợp lý. Hệ thống thường có các module chính như: quản lý bài học, tạo và gửi email phishing, theo dõi kết quả tấn công, và phân tích dữ liệu. Mỗi thành phần được thiết kế để hoạt động độc lập nhưng kết nối chặt chẽ với nhau. Giao diện quản trị cho phép quản lý viên dễ dàng tạo các chiến dịch mô phỏng, cấu hình các thông số và theo dõi hiệu suất trong thời gian thực. Cơ sở dữ liệu lưu trữ thông tin về người dùng, các email được gửi, tỷ lệ click và các chỉ số quan trọng khác, hỗ trợ việc phân tích và báo cáo toàn diện.

2.1. Module Quản Lý Bài Học và Nội Dung Đào Tạo

Module này cho phép tạo, chỉnh sửa và xóa các bài học về phòng chống phishing. Quản lý viên có thể tạo nội dung đào tạo chi tiết, bao gồm các tình huống thực tế, ví dụ về email lừa dụ, và các biện pháp phòng vệ. Hệ thống hỗ trợ thêm mới nội dung từ các file, đảm bảo tính linh hoạt và cập nhật trong quá trình đào tạo.

2.2. Module Tạo Chiến Dịch Phishing và Theo Dõi Kết Quả

Đây là phần lõi của hệ thống, cho phép tạo các cuộc mô phỏng tấn công phishing với các thông số khác nhau. Quản lý viên có thể chọn đối tượng, cấu hình email, và lên lịch thực hiện. Hệ thống tự động theo dõi lịch sử tấn công, ghi lại những ai click vào link, nhập thông tin, và cung cấp báo cáo chi tiết về tỷ lệ thành công của cuộc mô phỏng.

III. Quy Trình Thiết Kế và Phát Triển Hệ Thống

Quy trình thiết kế hệ thống mô phỏng phishing bắt đầu từ phân tích yêu cầu chi tiết, xác định các chức năng cần thiết và mục tiêu của hệ thống. Tiếp theo là thiết kế kiến trúc với các sơ đồ use case, entity-relationship diagram, và workflow chi tiết. Giai đoạn phát triển sử dụng các công nghệ web hiện đại để xây dựng giao diện người dùng thân thiện và backend server mạnh mẽ. Kiểm thử là bước quan trọng, đảm bảo tính chính xác của các email phishing, độ tin cậy của hệ thống theo dõi, và an toàn dữ liệu. Triển khai và bảo trì liên tục đảm bảo hệ thống hoạt động ổn định và có thể cập nhật theo nhu cầu tổ chức.

3.1. Phân Tích Yêu Cầu và Thiết Kế Use Case

Phân tích yêu cầu xác định rõ ràng các chức năng mà hệ thống mô phỏng phishing cần thực hiện. Các use case được vẽ chi tiết cho từng vai trò: quản lý viên, giảng viên, sinh viên. Mỗi use case mô tả các bước cụ thể để thực hiện một công việc, chẳng hạn như 'tạo chiến dịch phishing', 'gửi email mô phỏng', hoặc 'xem kết quả'. Điều này đảm bảo tất cả các yêu cầu được hiểu rõ trước khi bắt đầu lập trình.

3.2. Kiểm Thử và Triển Khai Hệ Thống

Kiểm thử toàn diện bao gồm kiểm thử chức năng, bảo mật, hiệu suất và khả năng chịu tải. Hệ thống phải đảm bảo các email mô phỏng phishing được gửi chính xác, theo dõi kết quả một cách độc lập, và bảo vệ dữ liệu người dùng. Triển khai trong môi trường production được thực hiện từng bước, với hỗ trợ đào tạo người dùng và tài liệu hướng dẫn chi tiết.

IV. Ứng Dụng Thực Tế và Tác Động Đến An Toàn Thông Tin

Hệ thống mô phỏng tấn công phishing đã được áp dụng thành công trong nhiều tổ chức trên thế giới để nâng cao nhận thức bảo mật. Kết quả từ các triển khai cho thấy, sau các chương trình đào tạo sử dụng mô phỏng phishing, tỷ lệ nhân viên bị lừa dụ giảm đáng kể. SmartPro, Robusta, KnowBe4Udemy là những nền tảng nổi tiếng cung cấp các khóa học và công cụ mô phỏng. Các tổ chức sử dụng hệ thống này báo cáo rằng nhân viên có nhận thức bảo mật tốt hơn, phòng chống social engineering hiệu quả hơn, và giảm thiểu rủi ro từ các cuộc tấn công phishing thực tế. Hơn nữa, dữ liệu từ hệ thống giúp xác định các lỗ hổng đào tạo và tối ưu hóa chiến lược bảo mật của tổ chức.

4.1. Hiệu Quả Của Mô Phỏng Phishing Trong Thực Tiễn

Các nghiên cứu cho thấy mô phỏng phishing giúp giảm tỷ lệ người dùng bị lừa dụ từ 40% xuống còn 10-15% sau các khóa đào tạo. Hệ thống mô phỏng không chỉ phát hiện ra những người cần đào tạo thêm mà còn tạo ý thức an toàn trong toàn bộ tổ chức. Khi nhân viên hiểu rõ các kỹ thuật phishing và biết cách nhận biết, họ trở thành tuyến phòng vệ đầu tiên chống lại các tấn công thực tế.

4.2. Tuân Thủ Pháp Luật và Tiêu Chuẩn Bảo Mật

Nhiều luật quốc tế và Việt Nam về an toàn thông tin yêu cầu các tổ chức phải có chương trình đào tạo bảo mật cho nhân viên. Hệ thống mô phỏng phishing giúp tổ chức tuân thủ các yêu cầu pháp luật này, cung cấp bằng chứng về nỗ lực nâng cao nhận thức bảo mật. Hơn nữa, việc duy trì hệ thống an toàn thông tin tốt là yêu cầu bắt buộc của các tiêu chuẩn ISO 27001NIST Cybersecurity Framework.

18/12/2025

Trích đoạn nội dung tài liệu

Chương 1: Tổng quan bài toán - Có các kiến thức tối thiêu dé tự bảo đảm ATTT trong công việc thường ngày và cuộc sông sô. - _ Phối hợp tốt hơn với các bộ phận liên quan khi đề xuất, phê duyệt, triển khai các dự án về ATTT. Khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin của Udemy Udemy là website học trực tuyến có hơn 20 triệu người dùng trên toàn thế giới, và hiện tại Udemy được coi là nền tảng học trực tuyến lớn nhất thế giới với hơn 65.000 khóa học, thu hút trên 50 triệu lượt đăng ký. Khi đăng ký hoặc mua một khóa học thành công học viên sẽ được học khóa học đó trọn đời, học mọi lúc mọi nơi trên mọi thiết bị và hoàn toàn có thể trao đổi với giáo viên mà không cần phải đến lớp hay gặp mặt.

Các khoá học của hệ thống Udemy có mặt trên hầu hết lĩnh vực như: Lập trình, kinh doanh, marketing, thiết kế đồ họa, nhiếp anh,. [8] Nhằm đáp ứng nhu cầu về dao tạo kiến thức co ban về an toàn thông tin cho người dùng, Udemy đã cho ra mắt khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin. Khóa học kéo dài khoảng 2 giờ này cung cấp giải thích rõ ràng, không mang tính kỹ thuật về An ninh thông tin và An ninh mạng. Khóa học này cung cấp các giải pháp có thé được sử dụng trong việc triển khai Hệ thống quản lý an toàn thông tin, nó cũng cung cấp hướng dẫn về cách bảo vệ người dùng khỏi các mối đe dọa mạng.

Khóa học sẽ giúp học viên hiểu biết hoàn hảo về An toàn thông tin thông qua các ví dụ thực tế và câu hỏi trong cuộc sống [8]. Discretionary Access Control (DAC) The owner of the data object is allowed to define who can and who cannot access the data An object's access policy is determined by its owner. 22 Meteyarage) M(D)-\@) e Read Wx s 4) T7 >VWrite —s] User Execute i—— J = a Read a> „. Owner A Object Group Execute a «> > heared Specifies users/groups who can access | F All Execute Hình 1.

Nội dung khoá hoc an toàn thông tin trực tuyến của Udemy Khóa học này được chia thành 4 phan: 17 SV Nguyễn Thi Mai - DI7CQAT02-B Đồ án tốt nghiệp Đại học Chương 1: Tổng quan bài toán - Phần đầu tiên đóng vai trò như một phan giới thiệu về khóa học, nó cung cấp cho bạn các định nghĩa như, Hệ thống thông tin, Bảo mật thông tin, mục đích của Bảo mật thông tin, Bộ ba CIA và AAA. - Phan thứ hai nói về Quản lý Rui ro và Phân tích Dinh tính & Định lượng Rủi ro. Chúng tôi cũng nói về Lập kế hoạch Dự phòng trong trường hợp có thảm họa hoặc gián đoạn dịch vụ. - Phan thứ ba về cơ bản khoá học nói về Vật lý, Dữ liệu, Hệ thong & Mang, Không dây va Bao mật Ung dung Web.

Cũng được cung cấp trong phan này là cách phát triển Chính sách hệ thống thông tin cùng với các ví dụ về chính sách va cách tiên hành Dao tạo nâng cao nhận thức vê bảo mật. - Phần thứ tư là về Giám sát an ninh và Hiệu quả, các công cụ cần thiết để duy trì một chiến lược giám sát hiệu quả. Khoá học cũng cung cấp kế hoạch ứng phó sự cô và cách tiễn hành điều tra pháp y. Cuối cùng trong khóa học này, học viên sẽ xem cách đánh giá hiệu quả của Hệ thống bảo mật thông tin bang các chỉ số và đánh giá lỗ hong Các đối tượng học viên mà khoá học của Udemy hướng đến bao gồm [9]: - Quan lý doanh nghiệp & cntt cần được đào tao nâng cao nhận thức về bảo mật thông tin.

- _ Nhân viên / người dùng cuôi cân sử dung an toàn máy tính và internet dé thực hiện công việc của họ. - Bat cứ ai muôn tìm hiêu kiên thức cơ bản vê bảo mật thông tin và an ninh mạng. - Bất cứ ai đang tìm kiếm một khóa học nhận thức cơ bản về bảo mật thông tin. - Khoa học này không dành cho những người đang tìm kiếm kiến thức nâng cao / kỹ thuật / vận hành.

Chương trình đào tạo nâng cao nhận thức về bảo mật KnowBe4 KnowBe4 là nền tảng dao tạo nâng cao nhận thức về bảo mật tích hợp và mô phỏng nên tảng lừa đảo lớn nhất thé giới với hơn 40.000 khách hàng. Giờ đây, bạn có một nền tảng dé quan lý tốt hon van dé đang diễn ra của các cuộc tan công mạng xã hội, lừa đảo trực tuyến và ransomware. Nền tảng KnowBe4 thân thiện với người dùng, trực quan và mạnh mẽ. Hỗ trợ đa ngôn ngữ cho Bảng điều khiến dành cho quản trị viên và các tùy chọn bản địa hóa người dùng cuối mang lại trải nghiệm học tập phong phú hơn cho người dùng của bạn từ đầu đến cuối.

Với các tính năng tùy chỉnh tùy 18 SV Nguyễn Thị Mai - DI7CQAT02-B Đồ án tốt nghiệp Đại học Chương 1: Tổng quan bài toán chọn dé kích hoạt trò chơi, học viên có thể cạnh tranh với các đồng nghiệp của họ trên bảng xếp hạng và giành được huy hiệu trong khi học cách giữ cho tổ chức của bạn an toàn trước các cuộc tân công mạng. Khách hàng là các doanh nghiệp thuộc mọi quy mô có thể triển khai nền tảng KnowBe4 [9]. Khi tham gia chương trình đào tạo, học viên nhận được: - Kiém tra cơ bản để đánh giá kỹ năng dam bảo an toàn thông tin của học viện thông qua một cuộc tan công lừa đảo mô phỏng miễn phí. - _ Thư viện lớn nhât thê giới vê nội dung đào tạo nâng cao nhận thức về bao mật; bao gôm các mô-đun tương tác, video, trò choi, áp phích và bản tin.

Chiến dịch đào tạo tự động với email nhắc nhở theo lịch trình. - Các cuộc tân công lừa đảo giả lập hoàn toàn tự động, tot nhât trong lớp, hàng nghìn mẫu với mức sử dụng không giới hạn và các mẫu lừa đảo cộng đồng. - Báo cáo tân công, hiên thị sô liệu thông kê và đô thi cho cả vai trò lừa dao và nạn nhân giúp dé dang dé quan lý. Tan công Social engineering va Fishing 1.

Dinh nghia Tan cong Social engineering Tan công sử dụng các kỹ thuật xã hội (Social Engineering) [11]la dang tan cong phi kỹ thuật nhằm vào người dùng. Dang tấn công này khai thác các điểm yếu có hữu của người dùng, như tính cả tin, ngây thơ, tò mò và lòng tham. Dạng thường gặp của kiểu tan công này là thuyết phục người dùng tiết lộ thông tin truy nhập hoặc các thông tin có giá trị cho kẻ tan công. Một số kỹ thuật mà kẻ tan công thường áp dụng gồm: - Kẻ tấn công có thể giả danh làm người có vị trí cao hơn so với nạn nhân đề có được sự tin tưởng, từ đó thuyết phục hoặc đánh lừa nạn nhân cung cấp thông tin; - Kẻ tấn công có thé mạo nhận là người được ủy quyền của người có thẩm quyền dé yêu cau các nhân viên tiết lộ thông tin về cá nhân/tô chức; - Kẻ tan công có thé lập trang web giả dé đánh lừa người dùng cung cấp các thông tin cá nhân, thông tin tài khoản, thẻ tín dụng,.

Tan công Fishing Phishing (Tan công giả mao) [12]la một dang đặc biệt phat triển rất mạnh của tan công sử dung các kỹ thuật xã hội, trong đó kẻ tấn công giả mạo thành một đơn vi uy tín để lừa đảo người dùng cung cấp thông tin nhạy cảm cho chúng, ví dụ như tài 19 SV Nguyễn Thị Mai - DI7CQAT02-B Đồ án tốt nghiệp Đại học Chương 1: Tổng quan bài toán khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác. Phương thức tấn công này thường được hacker thực hiện thông qua email và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập. Nếu “mac câu”, hacker sẽ có được thông tin ngay tức khắc.

Phương thức phishing được biết đến lần đầu tiên vào năm 1987. Nguồn gốc của từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và phreaking (trò lừa dao sử dụng điện thoại của người khác không trả phí). Do sự giống nhau giữa Hình 1. Tấn công Phishing 1.

Các phương thức tan công Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tan cong Phishing[13]. e Giả mao Email, tin nhăn - Mét trong những kỹ thuật co bản trong tấn công Phishing là giả mạo email. Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơn vi/té chức uy tín, dụ người dùng click vào đường link dẫn tới một website giả mạo va “mac câu”. 20 SV Nguyễn Thị Mai - DI7CQAT02-B Đồ án tốt nghiệp Đại học Chương 1: Tổng quan bài toán Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều người dùng nhằm lẫn và trở thành nạn nhân của cuộc tấn công.

Dé làm cho nội dung email giống thật nhất có thé, kẻ tan công luôn cố gắng “ngụy trang” bang nhiều yếu tố: Dia chỉ người gửi (VD: dia chỉ đúng là sales.com thi địa chỉ giả mạo có thể là sale.com) Chèn Logo chính thức của tổ chức dé tăng độ tin cậy Thiết kế các cửa số pop-up giống y hệt bản gốc (cả về màu sắc, font chữ,.) Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text là vieteombankcom.vnnhưng khi click vào lại điều hướng tới vietconbank.vn) Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy. Mánh khée tinh vi của kẻ tan công Phishing khiến nạn nhân dễ dang tin tưởng và đăng nhập. Không đồng nhất Có thay đổi chỗ Phụ lục (Vì lúc trước họ đã offer trước 5%) Anh xem online trên Google Drive cho tiện a (link share private can login để xem a) Mánh khóe tinh vi https://docs.com/document/d/16-hpfgEksYc.Jo822Q48prKSkoZojwyepgx8EwnFtVVQ-mOStoqOgqU/edit2usp=sharing On Tue, Jul 10, 2018 at 5:34 PM Sơn Nguyễn Thanh TT ]Ị wrote: a có biết gì về món nay đâu On Tue, Jul 10, 2018, 14:06 Ngoc Luan JSC <ngoclunajsc@gmail.com> wrote: K/g anh Biên bản này em đã rà soát kỹ và không có vấn đề gì, anh có thể xem qua lần cuối ạ. {J Bien ban thanh ly hop dong EC - 19042018.doc 21 SV Nguyễn Thị Mai - DI7CQAT02-B Đồ án tốt nghiệp Đại học Chương 1: Tổng quan bài toán Hình 1.

Tấn công giả mạo email Bên cạnh đó, chúng cũng có thể đặt một mã độc qua một tập tin đính kèm hoặc quảng cáo gửi đến email. Tiếp sau, chúng sẽ khai thác 16 hỗng dé thu thập thông tin nhạy cảm.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ