Hack mọi hệ thống bằng cách sử dụng Social Engineering – Phần 3

Phần 2 mình đã viết về cái nhìn tổng quan trong Social Engineering. Thú vị hơn ở Phần 3 với nội dung chính đi sâu vào kiến thức cần biết. Cụ thể hơn là nói về kĩ thuật xã hội và cách sử dụng chúng.

XEM LẠI PHẦN 2

Mục đích chính mà chúng ta hướng đến là học cách phát triển kỹ năng xã hội cho bản thân. Trong bài đầu tiên, bạn sẽ học cách tiếp cận và thu thập thông tin cần thiết. Bởi nếu như không có đủ thông tin của nạn nhân, bạn không thể lên kế hoạch tấn công được.

Social Engineering – Thu thập thông tin

Có đủ thông tin là nắm chắc 90% chiến thắng trong bất kì trận chiến nào.

Chỉ cần thu thập đủ 1 vài chi tiết quan trọng là đủ để triệt hạ tâm lý nạn nhân. Mình từng được giao nhiệm vụ xâm nhập vào website của 1 công ty, không để lại dấu vết. Công ty này có hệ thống bảo mật gần như hiện đại nhất nên mình không thể hack được.

06 07 2018 12 57 54 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Mình chuyển kế hoạch sang một hướng đơn giản hơn là dùng Social Engineering. Mất khoảng 3 giờ để tìm kiếm thông tin về công ty. Mình biết được Trưởng phòng nhân sự là một người rất thích sưu tầm đồ phong thủy.

Tiếp tục manh mối đó, mình rà soát các diễn đàn phong thủy nổi tiếng thì phát hiện anh ta vô tình sử dụng Email và số điện thoại riêng của công ty trên 1 diễn đàn. Trong đầu mình lóe lên một kế hoạch khá hay ho. Sau đó, mình quyết định dành thêm 2 giờ để tạo ra một website phong thủy để chuẩn bị cho kế hoạch.

Xem thêm:  Những kiến thức hack cơ bản nên biết - Phần 2

06 07 2018 12 59 58 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Sau khi hoàn thành website, mình chuẩn bị một Email có nội dung:

06 07 2018 01 10 27 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Thăm dò và tạo lòng tin

Trước khi gửi mail, mình cần đảm bảo 100% anh ta sẽ xem Email. Nên đã dùng điện thoại văn phòng để gọi cho anh ta và dẫn dụ: “Chào anh Minh, em thấy bình luận của anh trên diễn đàn phong thủy. Hiện tại, em có một bộ sưu tập phong thủy lâu đời muốn chuyển nhượng lại. Nếu anh muốn xem qua thì em gửi mail cho anh xem thử !”

06 07 2018 03 18 17 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Nghe chữ Lâu đời làm anh ta trở nên tò mò nên vội vàng chấp nhận. Vậy là mình an tâm rằng nạn nhân chắc chắn sẽ xem Mail mình gửi đến. Mình tiến hành gửi Mail và đợi anh ta nhấp vào liên kết để đến trang web của mình.

Trang web được cài một đoạn mã Javascript Get Cookie do mình tự viết. Trong lúc anh ta xem hàng, mình đã lấy được Cookie để đăng nhập vào website của công ty đó và trộm tất cả dữ liệu.

Đây là một nhiệm vụ thật sự và mình bắt buộc phải đánh cắp. Không nhân thể nhượng để trả lại như cô gái may mắn trong Phần 1. Chỉ vô tình tiết lộ Email, anh chàng đó cho mình cơ hội rất tốt để cướp quyền truy cập vào website công ty.

Cách phổ biến nhất để thu thập thông tin

Có rất nhiều mạng xã hội ngoài kia, mọi người thích chia sẽ cuộc sống lên mạng xã hội. Đôi khi vô tình chia sẽ thông tin cá nhân của mình hoặc bạn bè mà không hay biết. Nhờ vậy, việc thu thập thông tin ngày nay trở nên dễ dàng hơn bao giờ hết.

Xem thêm:  Doxing là gì và nó được làm gì?

Cách dễ dàng để thu thập thông tin của người khác nhất là bán hàng. Thông qua việc bán hàng online, bạn dễ dàng thu thập được số điện thoại, email, tên và cả địa chỉ. Các cửa hàng online thường thu thập thông tin khách hàng để phục vụ cho chiến dịch marketing.

06 07 2018 03 19 41 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Theo thói quen, mình xem rất kĩ các bài viết bán hàng online có yêu cầu khách để lại info. Đó là cách nhanh gọn để mình thu thập thông tin cần thiết cho một kế hoạch marketing. Không phải ai cũng nhận ra được sự rình mò trên diễn đàn và mạng xã hội.

Đó là cách cơ bản nhất của Social Engineering và cũng được sử dụng nhiều nhất. Để trở thành một chuyên gia Social Engineering? Kĩ năng đầu tiên phải học được đó là thu thập thông tin một cách chuyên nghiệp.

Biến việc thu thập trở thành bản năng

Học cái này cũng như học làm đầu bếp vậy! Một đầu bếp giỏi là kẻ có thể kết hợp tất cả kiến thức và khả năng để chế biến một món ăn. Chứ không phải kẻ chỉ ngồi học công thức có sẵn trong sách rồi nhớ lại để làm theo. Bạn cần phải linh hoạt, phải biến chiêu trò thành bản năng. Có thể thu thập thông tin người khác một cách tự nhiên, khéo léo như phản xạ bình thường của con người.

06 07 2018 03 21 49 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Các hướng dẫn của mình chia ra làm nhiều cấp bậc từ cơ bản đến nâng cao. Càng tiếp thu được nhiều kĩ năng, bạn sẽ biết cách thu thập nhiều thông tin quý giá. Sau đó, bạn sẽ được học cách biến thông tin thành vũ khí để tấn công người khác.

Xem thêm:  Những kiến thức hack cơ bản nên biết - Phần 3

Khi thông thạo khả năng thu thập này, bạn đã sẵn sàng để trở thành Social Engineer.

Thu thập thông tin của nạn nhân bằng Linux

Thu thập thông tin giống như việc xây dựng một ngôi nhà. Nếu bắt đầu xây phần mái nhà trước thì chắc chắn sẽ thất bại. Một ngôi nhà tốt phải được xây một cái nền đủ vững trước khi xây các phần khác.

Thông tin bạn thu thập được sẽ quyết định phần nền có vững hay là không. Hiện nay, nhiều công cụ (Tool) hỗ trợ thu thập thông tin rất tốt. Nhưng mình thích sử dụng Linux để phục vụ cho mục đích thu thập này.

06 07 2018 03 21 49 1 - Hack mọi hệ thống bằng cách sử dụng Social Engineering - Phần 3

Linux là hệ điều hành miễn phí được phát triển để kiểm tra bảo mật. Nó sở hữu nhiều hơn 300 công cụ hữu dụng với nhiều chức năng khác nhau. Trong đó nhiều công cụ phù hợp để thu thập thông tin cho Social Engineering.

Hai công cụ hữu dụng cho việc thu thập và lưu trữ thông tin mà mình thường dùng là Dradis & Basket. Trong Phần 4 mình sẽ hướng dẫn bạn chi tiết cách sử dụng Dradis & Basket để thu thập và lưu giữ thông tin.

Trong phần tiếp theo

Hướng dẫn sử dụng Basket để thu thập thông tin.

Theo dõi Fanpage hoặc mở thông báo cho website để cập nhật nhanh các bài viết hay.

Cảm ơn bạn đã quan tâm theo dõi

5
Để lại bình luận

avatar
4 Comment threads
1 Thread replies
4 Followers
 
Most reacted comment
Hottest comment thread
5 Comment authors
GSD HIVFBISMATERkhanh30125LmintLewe-2k6 Recent comment authors

This site uses Akismet to reduce spam. Learn how your comment data is processed.

newest oldest
Lewe-2k6 | <span class="wpdiscuz-comment-count">473 comments</span>
Lewe-2k6 | 473 comments

Em vẫn chưa hiểu lắm =))

khanh30125 | <span class="wpdiscuz-comment-count">32 comments</span>
khanh30125 | 32 comments

hơi mang máng nhưng cũng đã hiểu hơn r. ad cố gắng viết phần sau hướng dẫn công cụ dễ hiểu xíu nha

FBISMATER | <span class="wpdiscuz-comment-count">5 comments</span>
FBISMATER | 5 comments

Cảm ơn trang và ad rất nhiều

GSD HIV | <span class="wpdiscuz-comment-count">24 comments</span>
GSD HIV | 24 comments

nên hướng dẫn rõ hơn cũng hiểu 1 chút nhưng chưa cụ thể lắm ad nên hướng dẫn kĩ hơn về cách để thu thập thông tin một cách tự nhiên và biến nó trở thành bản năng như thế nào