Tôi Đã Hack Hơn 5000 Tài Khoản Trong 3 Ngày Như Thế Nào?
Đây là kiến thức phổ cập về an ninh mạng cho mọi người, đồng thời phản ánh một thực trạng nhức nhối, mình không hướng tới một đối tượng hay phân vùng đối tượng chuyên môn nào cả.
Mình đã dùng biện pháp nói quá khi dùng từ "hack", thực chất các kỹ thuật mình dùng chỉ là phising để chiếm đoạt tài khoản của các nạn nhân không có lớp bảo mật kỹ càng.
Lưu ý, đây là bài viết mình thu thập được, đã xin phép tác giả để chia sẻ lại với mọi người.
Nguyên nhân
Sau khi lướt dọc các bài viết trên Facebook mình thấy rất nhiều bài viết về bảo mật tài khoản mạng xã hội và cách thức bảo mật nhưng mình thấy nó còn hơi chung chung, các bài viết có phần giống nhau. Và chúng chỉ đưa ra được cách phòng tránh nhưng chưa đưa ra quá trình và nguyên nhân cụ thể chi tiết để người dùng có sẵn tư duy thay vì bảo mật rập khuôn và chưa có định hướng. Nên hôm này mình xin chia sẻ một ít kinh nghiệm bảo mật Facebook nho nhỏ mà mình tích lũy được trong thời gian vừa qua.
Thực hiện thế nào?
Vào khoảng tháng 5/2019 sau khi bập bẹ tìm hiểu trên các diễn đàn mạng, các kênh youtube, tôi bắt đầu có những kiến thức cơ bản về hack Facebook hay gọi thông dụng hơn là via Facebook. Những kiến thức để hack một cách ngẫu nhiên này thực ra không khó, tôi thực hiện thủ công trên máy tính của mình và đã có những tài khoản đầu tiên khoảng 10 tài khoản trong vòng hơn 1 tiếng. Cách mà tôi sử dụng đó là lợi dụng các email của hotmail và yahoo, và các tên miền khác đã bị xóa ra khỏi hệ thống sau thời gian dài không sử dụng, những tài khoản đó được tôi đăng kí lại và sử dụng tính năng quên mật khẩu của Facebook để đặt lại mật khẩu và chiếm quyền truy cập tài khoản. Những nguồn mail này được tôi lấy bằng rất nhiều cách nên tạm thời không kể hết được ra vì dung lượng bài viết có hạn nên tôi chỉ trinh bày một phần trong đó.
Sau khi có những tài khoản ban đầu, tôi muốn có thêm nguồn email để lấy thêm nhiều tài khoản nữa, tôi sử dụng một API để lấy thông tin của bạn bè trong 10 tài khoản mà tôi đã có. Những người không ẩn thông tin trên Facebook ( đặt chế độ chỉ mình tôi cho email đăng kí, số điện thoại đăng kí…) là những con mồi béo bở của tôi. Chỉ với từng đó Facebook ban đầu, thật bất ngờ khi tôi có hơn 20000 thông tin của các Facebook bạn bè, vì hầu hết các Facebook tôi lấy được là các Facebook có từ 2000-5000 bạn bè cả. Và bất ngờ hơn nữa là trong đó có khoảng hơn 1000 email hết hạn của các nhà mạng mà tôi cần tìm. Tôi sử dụng công cụ quên mật khẩu và đặt lại mật khẩu hàng loạt, được một người bạn trên diễn đàn gửi cho và hàng trăm Facebook nữa đã bị tôi lấy như thế.
Song hành với thủ thuật lấy từ email tôi lập ra một website các video nhạy cảm và phải đăng nhập bằng tài khoản Facebook mới vào được ( trang web mà tôi làm để bắt đăng nhập rất giống giao diện Facebook). Tôi bắt đầu sử dụng tool marketting Facebook để cho những acc Facebook mà tôi đã lấy được đi coment các link dẫn tới trang web đó trong các nhóm, fanpage, trang cá nhân … Với những từ ngữ, nội dung hợp trend tôi đã thu hút được một bộ phận không nhỏ người dùng nhập mật khẩu vào trang web và ở đây những người dùng không đặt bảo mật 2 lớp cho tài khoản Facebook của mình bị tôi đổi mật khẩu một cách dễ dàng và lấy trọn tài khoản nhanh chóng.
Không chỉ dừng lại với hai phương thức trên tôi còn lập ra một ứng dụng bài tiến liên đơn giản và đoán trước tương lai của bạn trên phần trò chơi của Facebook, khi người dùng chơi sẽ cần cấp một số quyền cho tôi, với cách này tôi chỉ nhận được token và sử dụng một số quyền, nhưng sau đó tôi đã tìm ra cách để lấy được quyền truy cập cả tài khoản và chiếm luôn cả tài khoản từ những quyền mà người dùng cấp cho tôi.
.png)
Sau khi cả ba hệ thống thực sự cùng hoạt động thì đỉnh điểm là chỉ hơn 3 ngày đã có hơn 5000 tài khoản được tôi chiếm ở nhiều quốc gia khác nhau như Thái Lan, Philippin, … Những tài khoản đó được tôi rao bán trên chính các nhóm kín Facebook chứ không phải những diễn đàn hacker như các bạn nhầm tưởng với mức giá cực kì rẻ mạt từ 2-15k vnd/1acc tùy từng loại tài khoản. Ở trên tôi chỉ bày một cách ngắn gọn và sơ lược cách thức chiếm đoạt số lượng lớn tài khoản Facebook mà tôi thường dùng. Ở bài viết sau tôi sẽ trình bày về cách thức tấn công cá nhân cụ thể mà mình biết được.
Phòng tránh ra sao?
- Xóa các email, số điện thoại không còn truy cập được khỏi Facebook của mình và thêm vào những tài khoản, email mà mình thực sự sở hữu và truy cập được vào Facebook.
- Đặt bảo mật 2 lớp cho tài khoản
- Không nhập bất tài khoản vào bất cứ trang web đáng nghi nào, nếu cần nhập hãy thử nhập sai tài khoản/mật khẩu nếu nó vẫn truy cập được thì đó 100% là giả mạo. Và quan trọng nhất bạn phải nhìn đường linh yêu cầu nhập tk/mk ở trên có thực sự là Facebook.com hay không.
- Vào cài đặt xem lại những ứng dụng mình đã cấp quyền và xóa bỏ những ứng dụng, trang web không thực sự tin tưởng. Xóa các mật khẩu ứng dụng mà bạn hoặc ai đó đã tạo.
Luôn giữ một cái đầu tỉnh táo trên môi trường mạng các bạn nhé !
Tạm kết
Cảm ơn mọi người đã đọc bài viết của mình, tất cả chỉ được mình bịa ra dựa trên nguyên lí và thực tiễn chứ mình không hack hiếc gì ai đâu nhé!
Đây là một kiến thức khá phổ biến với nhiều người trong ngành nhưng nó lại hòan toàn xa lạ với người dùng phổ thông. Nhiệm vụ của chúng ta là giúp lan truyền kiến thức an ninh mạng cho nhiều đối tượng, phổ cập kiến thức an ninh mạng, thiết nghĩ nó không phải là của riêng một tầng lớp, một nhóm hay một phân vùng chuyên ngành nào đó.
Tác giả bài viết gốc: Trần Tuấn Thành
Bài viết gốc: tại đây
