Luật an ninh mạng 2018 quy định rõ hành vi phá hoại trên không gian mạng là hành vi vi phạm pháp luật nhà nước Việt Nam

Cách tấn công mật khẩu bằng phương pháp Phishing để đánh cắp tài khoản mạng xã hội và phương pháp phòng tránh

codevodoi
codevodoi
Cách tấn công mật khẩu bằng phương pháp Phishing



Cách tấn công mật khẩu bằng phương pháp Phishing

Ở một bài nào đó trong quá khứ viết về cách chôm pass các mạng xã hội bằng phương pháp từ điển .


Thì với cách đó chúng ta đã dùng tấn công bạo lực BRUTE FORCE . Với cách này [ Tức là cách đó đấy 😂 ] thì tỷ lệ thành công của ta tương đương tỷ lệ một người trúng sổ số Vietlott 2 lần . [ Nói quá thể thôi chứ biết cách là trúng pass hết ]

Và hôm nay ta sẽ đi tìm hiểu cách thức tấn công mới . Đó là Phishing với tỉ lệ 3 trội một lặn , nhớ không nhầm là hình như lão Đời Như Củ Khoai có trình bày khái niệm này rồi. Các bạn cứ thử tìm đi he. Tôi đang viết vội bài này , thi cử mà thế này chắc rớt mất .

Cách tấn công mật khẩu bằng phương pháp Phishing

1. Tấn công Phishing là gì ?

Là hình thức tấn công giả mạo để lừa nạn nhân sụp bẫy. Giống như mấy thằng đểu giả tạo chuyên lừa con gái ấy .

2. Ý nghĩa nhan đề là gì ? 

Cách tấn công mật khẩu bằng phương pháp Phishing để đánh cắp tài khoản mạng xã hội và phương pháp phòng tránh . Ý nghĩa đấy .

3. Công cụ sử dụng ở đây là gì ?

Trong hướng dẫn này ta sẽ cùng sử dụng công cụ Shellphish . Một công cụ viết bằng shell [ Bash ] và khai thác bằng PHP . Ta có thể tải công cụ tại GitHub


4. Cách thức hoạt động của cách này nói chung là gì ?

Nói chung nhé ! Cách thức hoạt động của cách này là giả mạo . Có nhiều phương pháp các cách thức giả mạo khác nhau được sử dụng như giả mạo IP , giả mạo MAC , fake Ap , ... tuy nhiên ở đây ta đang nói đến " đánh cắp tài khoản mạng xã hội  " nên phương pháp ở đây là giả mạo cách trang Web đăng nhập của các mạng xã hội và lừa nạn nhân nhập tài khoản vào.

Vậy làm thế nào để hacker có thể lừa được nạn nhân nhập tài khoản mật khẩu vào ? . Không gì là không thể nếu chúng ta biết động não và đánh vào tâm lí tò mò của người khác [ Cách đơn giản nhất ] . Ví dụ , với một thằng đểu như ví dụ trên, thì cách nào để lừa nó ? . Đơn giản là làm cái face và đặt ảnh cô gái nào xinh và ib nó. Thế thôi ! .

Thậm chí với những hacker chịu chơi họ còn đâu tư luôn cả server và domain để vụ tấn công trong đáng tin hơn với nạn nhân .

Còn lại tôi sẽ nói thêm trong lúc hướng dẫn. Ok ! Lên xe và ta cùng đi !


5. Thắc mắc cái là sao bữa này trình bày kĩ quá vậy ?

Hì hì , bữa này ăn nói phải đường hoàng, trình bày cụ thể kẻo an ninh mạng nó gõ cửa . Khổ nhất là blog về bảo mật mà lỡ chú chú tưởng là khủng bố tuyên truyền phá hoại mạng chết ! . 


Ok ! Dạo vài vòng đã nóng động cơ , tiến hành thôi ! . 

Công cụ đã có link tải ở trên . Nhưng để công cụ này có thể chạy được thì trước hết ta cần cài PHP. Vì mã khai thác của shellphish viết bằng php .
sudo apt install php 
Cuối cùng chỉ cần tải công cụ trên về là hoàn thành . 

Bước 1 : Khởi động công cụ .

Sau khi tải công cụ trên về. Giải nén nó ra [ Nếu bị nén ]. Di chuyển terminal đến thư mục shellphish [ Thư mục vừa nén ra ý ] . Cách di chuyển thì chắc các bạn đã biết nên mình không nói lại . Tốn kb của Google lắm . 
Để chạy công cụ trên. Ta không cần phải cấp quyền gì cả. Đơn giản chỉ cần chạy :
sudo bash shellphish.sh
Và đây là kết quả  : 

pi@raspberry:~/tools/shellphish $ sudo bash shellphish.sh
     _     _             _  _  ______   _      _        _      
    | |   | |           | || |(_____ \ | |    (_)      | |     
     \ \  | | _    ____ | || | _____) )| | _   _   ___ | | _   
      \ \ | || \  / _  )| || ||  ____/ | || \ | | /___)| || \  
  _____) )| | | |( (/ / | || || |      | | | || ||___ || | | | 
 (______/ |_| |_| \____)|_||_||_|      |_| |_||_|(___/ |_| |_| v1.7

       .:.:. Phishing Tool coded by:  @linux_choice .:.:.

  :: Disclaimer: Developers assume no liability and are not    ::
  :: responsible for any misuse or damage caused by ShellPhish ::

[01] Instagram      [09] Origin          [17] Gitlab
[02] Facebook       [10] Steam           [18] Pinterest
[03] Snapchat       [11] Yahoo           [19] Custom
[04] Twitter        [12] Linkedin        [99] Exit
[05] Github         [13] Protonmail
[06] Google         [14] Wordpress
[07] Spotify        [15] Microsoft
[08] Netflix        [16] InstaFollowers

[*] Choose an option:

Bước 2 : Chọn trang web cần giả mạo 

[ Chọn 01 hay 1 gì cũng được tất cả đều là Instagram . Tất cả còn lại tương tự ]
Hiện tại shellphish hỗ trợ 18 trang web có thể giả mạo được. Còn bạn muốn giả mạo một trang web khác có thể tự code cho mình trang web giả mạo đó và thêm vào công cụ [ Tôi thì chả biết PHP nên thôi. Có sẵn sài luôn . Hoặc có thể chọn Custom và làm theo hướng dẫn được hỏi . Tuy trang web tạo ra không bắt mắt nhưng vẫn dùng được 😈 .


Bước 3 : Chọn dịch vụ web sử dụng .

Đến bước này . Công cụ sẽ hỏi bạn chọn dịch vụ nào để tiếp tục. Ta có hai lựa chọn :

  • [01] Serveo.net (SSH Tunneling, Best!)
  • [02] Ngrok

Chức năng các dịch vụ này là gì ? . Hiểu đơn giản là nó giúp đưa khai thác ra internet. Tức bất kì ai có link mà bạn gửi đều có thể truy cập vào được . So với cách củ là chỉ có những người trong phạm vi LAN mới có thể truy cập. Và đừng hiểu nhầm rằng hai dịch vụ trên ra đời là để phục vụ cho các Attacker mà Attacker chỉ lợi dụng nó thôi . 

Và ở đây tôi khuyên nên sử dụng Serveo.net ( Ổn định và hỗ trợ tốt ) , còn hiện tại Ngrok nó hay gặp mấy lỗi " vớ vẩn " lắm . 

Bước 4 : Gửi link cho nạn nhân 

Không biết làm cách nào nhưng để một cuộc Phishing thành công, ta buộc phải lừa nạn nhân vào link đó . Có hai link mà ta có thể sử dụng . Một là link trực tiếp và hai là link rút gọn , link nào cũng được . Nhưng để tốt hơn là hãy dùng link rút gọn. Vì sao ư ! Nó tạo thiện cảm hơn , hoặc là dùng link trực tiếp và sau đó rút gọn lại ở các dịch vụ như bit.ly ( Vì bit.ly thì quá nổi tiếng trong lĩnh vực rút gọn link - và cũng đừng cho  rằng bit.ly là trang web phục vụ attacker . Nhắc lại lần nữa - attacker chỉ lợi dụng nó thôi . ) .

Sau khi nạn nhân truy cập link và đăng nhập. Mọi thông tin sẽ được lưu trong file log và có hoặc hiện trực tiếp trên màn hình trong quá trình tấn công . 

Ví dụ : 
  • Link trực tiếp : https://pauper.serveo.net
  • Link rút gọn   : http://tinyurl.com/ycfvt35k
Còn nhiều chú ý mà tôi không thể nói hết trong một lần. Còn trừa cho các bài viết sau nữa . 

Video hướng dẫn




Cách phòng tránh các vụ tấn công kiểu này tương đối là không khó lắm. Nếu ta chịu để ý :

  1. Không truy cập link không đáng tin cậy. Nhất là những link yêu cầu đăng nhập 
  2. Nếu mà lỡ truy cập rồi thì hãy đăng nhập với tài khoản và mật khẩu bất kì để thử. Nếu trang web đó vẫn tiếp tục mặc dù bạn gõ mật khẩu và pass sai thì hãy cho nó một report lên Google nhé !. [ Ai chứ với tôi thì có nhập đúng hay sai tôi vẫn cấu hình buộc người dùng nhập lại. Nên cách này cũng không an toàn mấy ] . Do đó để tốt nhập hãy thử nhập sai 3 - 4 lần . 
  3. Giữ tâm hồn thanh tịnh 
  4. Không truy cập nếu không tin cậy. Biện pháp luôn chính xác .
  5. Truy tìm và xác minh link .
Còn đây là cách để một cuộc tấn công thành công :

Nhược điểm của cách này đó là gì. Đó là nếu nạn nhân áp dụng cách phòng tránh thứ 2 mà tôi đã nói ở trên thì cuộc tấn công coi như , hết . Vì vậy thay vì cấu hình để sau khi nhập user và pass . Cho dù chưa biết nó đúng hay sai mà vẫn cho qua thì cuộc tấn công sẽ 50/100 . Vì sao ? Vì khi nhập pass hoặc user hoặc cả hai thì không thể tránh khỏi việc nhập không chính xác . Do đó nếu vẫn cho qua thì 50/100 . Do đó để chắc chắn hơn. Hãy cấu hình buộc nạn nhân nhập hai lần. ( Ví dụ như sau lần 1 thì thông báo là sai cái gì đó, rồi buộc người dùng nhập lại và sau lần hai hoặc ba , tùy cấu hình thì mới cho nạn nhân qua . Thậm chí không cho qua luôn cũng được nhưng vấn đề sau đó thì chắc chỉ các bạn biết . ) . Tôi sẽ hướng dẫn cách lặp lại đăng nhập mãi mãi ( Tức nhập đúng hay sai thì vẫn phải nhập lại . Còn cách khác thì tự mày mò. Tôi không muốn vẽ  đường cho " hiêu " chạy rồi sau này mọi lỗi lại của IT Việt Nam ) . 

Và để phòng tránh thì hiệu quả nhất vẫn là những gì ở mục phòng tránh điều 3 - 4 - 5 .

Update ngày 23 / 1 / 2019 : À mấy bữa trước tôi cũng có viết vài bài viết cách tạo một công cụ như này trên blog của mình. Nếu bạn muốn hiểu công cụ này nó được làm trên lý thuyết nào có thể xem các bài viết đó
Update ngày 27 / 1 / 2019 : Đây , bạn có thể xem tại các link này :

  1. Phần 1 : https://eitvietnam.blogspot.com/2019/01/tu-tao-mot-chuong-trinh-phishing-on.html
  2. Phần 2 : https://eitvietnam.blogspot.com/2019/01/tu-tao-mot-chuong-trinh-phishing-on_11.html
  3. Phần 3 : https://eitvietnam.blogspot.com/2019/01/tu-tao-mot-chuong-trinh-phishing-on_12.html
  4. Phần 4 : https://eitvietnam.blogspot.com/2019/01/tu-tao-mot-chuong-trinh-phishing-on_15.html

Video 



OK ! DONE

[ " Luật an ninh mạng đã có hiệu lực , cấm nghịch ngu rồi đổ lỗi do IT Việt Nam " ]
Facebook Hacking Hacking Linux Linux Hacking Rasperrypi Tools Zero to Hero