Sáng ngày 28/02/2026, ứng dụng cầu nguyện BadeSaba Calendar bị hack, gửi hàng loạt thông báo đẩy (push notifications) kêu gọi binh lính Iran hạ vũ khí giữa lúc Tehran bị không kích. Cùng lúc đó, lưu lượng internet quốc gia này giảm xuống chỉ còn 4%, khiến Iran bị cô lập hoàn toàn với thế giới kỹ thuật số.

Sáng ngày 28 tháng 2, người dân Iran bị đánh thức bởi hai làn sóng tấn công đồng thời. Một bên là tiếng nổ từ các cuộc không kích phối hợp giữa Israel và Mỹ, một bên là hàng loạt thông báo rung lên trên điện thoại. Những thông điệp này không phải là lời nhắc nhở cầu nguyện thường nhật, mà là lời kêu gọi từ bỏ vũ khí và đầu hàng.

Phía Mỹ và Israel gọi đây là những “đòn tấn công phủ đầu” sau nhiều tháng đàm phán thất bại. Tình hình càng trở nên căng thẳng hơn khi Iran vừa trải qua làn sóng biểu tình lớn hồi đầu năm khiến ít nhất 3.117 người thiệt mạng, theo số liệu từ chính phủ nước này. Đây được xem là một trong những chiến dịch phối hợp giữa chiến tranh thực địa và chiến tranh mạng (cyberwarfare) quy mô nhất từ trước đến nay.

Anh em đam mê công nghệ chắc chắn không lạ gì các vụ hack ứng dụng, nhưng việc chiếm quyền điều khiển một ứng dụng tâm linh để thực hiện tâm lý chiến là một bước đi cực kỳ táo bạo và nguy hiểm.

Diễn biến vụ hack ứng dụng BadeSaba Calendar

Ngay sau đợt nổ đầu tiên, điện thoại của công dân Iran tràn ngập thông báo từ BadeSaba Calendar. Đây là một ứng dụng lịch cầu nguyện cực kỳ phổ biến với hơn 5 triệu lượt tải xuống chỉ riêng trên Google Play Store. Việc ứng dụng cầu nguyện bị hack vào đúng thời điểm nhạy cảm đã gây ra sự hỗn loạn cực độ.

Theo báo cáo, các thông điệp bắt đầu xuất hiện vào lúc 9:52 sáng (giờ Tehran) với dòng chữ ngắn gọn: “Sự giúp đỡ đã đến”. Trong 30 phút tiếp theo, hàng loạt thông báo khác được gửi đi với tần suất dày đặc.

Nội dung những tin nhắn “tâm lý chiến”

Các ảnh chụp màn hình được chia sẻ với giới truyền thông quốc tế cho thấy nội dung tập trung vào việc kêu gọi binh lính Iran hạ vũ khí để đổi lấy sự ân xá:

• 10:02 sáng: “Giờ trả thù đã điểm. Lực lượng đàn áp của chế độ sẽ phải trả giá cho những hành động tàn ác của mình. Bất cứ ai tham gia bảo vệ nhân dân Iran sẽ được ân xá và tha thứ.”
• 10:14 sáng: “Vì tự do của những người anh em Iran, đây là lời kêu gọi gửi tới tất cả lực lượng – hãy buông vũ khí hoặc gia nhập lực lượng giải phóng. Chỉ có cách này bạn mới cứu được mạng sống của mình.”

Hiện tại, chưa có nhóm hacker nào đứng ra nhận trách nhiệm về vụ tấn công này. Tuy nhiên, các chuyên gia bảo mật nhận định đây không phải là một vụ hack tự phát. Để thực hiện điều này, kẻ tấn công phải kiểm soát được máy chủ gửi thông báo đẩy (Push Notification Server) hoặc có quyền truy cập sâu vào mã nguồn của ứng dụng từ trước đó rất lâu.

Bạn có thể tìm hiểu thêm về dấu hiệu nhận biết ứng dụng bị cài mã độc để bảo vệ thiết bị cá nhân của mình trước những rủi ro tương tự.

Tấn công kép: Khi Internet Iran “bay màu” trong phút chốc

Song song với các cuộc không kích thực tế, Iran gần như bị cắt đứt hoàn toàn khỏi thế giới kỹ thuật số. Theo công cụ giám sát internet NetBlocks, lưu lượng mạng toàn quốc đã giảm mạnh xuống mức kỷ lục: chỉ còn 4%.

Dữ liệu từ hệ thống giám sát ArvanCloud – một dịch vụ đám mây do người Iran vận hành – cho thấy nhiều trung tâm dữ liệu lớn và các điểm truy cập (PoPs) trong nước đã bị ngắt kết nối hoàn toàn với internet quốc tế. Điều này không chỉ gây khó khăn cho việc liên lạc của người dân mà còn làm tê liệt các hoạt động kinh tế, báo chí.

Hệ thống điện thoại và tin nhắn SMS truyền thống cũng không thoát khỏi tầm ngắm. Các cuộc gọi quốc tế đến Iran bị gián đoạn liên tục. Thậm chí, việc sử dụng các công cụ VPN tốt nhất hiện nay cũng trở nên cực kỳ khó khăn do các cổng kết nối bị chặn từ cấp độ hạ tầng (ISP).

Các cơ quan thông tấn nhà nước như IRNA và ISNA cũng là mục tiêu của các cuộc tấn công từ chối dịch vụ (DDoS), khiến website của họ sập trong nhiều giờ. Tính đến thời điểm hiện tại, IRNA đã khôi phục được một phần, nhưng ISNA vẫn trong tình trạng “không thể truy cập”.

Phân tích kỹ thuật: Kịch bản được dàn dựng công phu

Morey Haber, Giám đốc tư vấn an ninh tại BeyondTrust, nhận định rằng vụ hack ứng dụng cầu nguyện này là kết quả của một chiến dịch dài hơi. Ông khẳng định:

“Bất kể mã độc hay kỹ thuật nào được sử dụng, việc xâm nhập hệ thống đã diễn ra từ trước. Những thông điệp này là các ‘payload’ đã được lên lịch sẵn hoặc được kích hoạt dựa trên các sự kiện thực tế.”

Điều này có nghĩa là hacker có thể đã nằm vùng trong hệ thống của BadeSaba nhiều tháng trời, chờ đợi đúng thời điểm các cuộc không kích bắt đầu để tung đòn quyết định. Đây là một ví dụ điển hình của “Cyber-Physical Attack” – nơi tấn công mạng được dùng để khuếch đại nỗi sợ hãi từ các cuộc tấn công vật lý.

Nếu anh em quan tâm đến việc bảo vệ thiết bị, hãy xem ngay bài viết về cách bảo mật điện thoại để tránh trở thành nạn nhân của những chiến dịch như thế này.

Bài học về an ninh mạng từ sự cố quốc tế

Vụ việc tại Iran cho thấy một thực tế phũ phàng: Ngay cả những ứng dụng tưởng chừng như vô hại nhất (như lịch cầu nguyện) cũng có thể trở thành vũ khí trong chiến tranh hiện đại. Đối với người dùng phổ thông, việc quản lý quyền truy cập của ứng dụng là điều tối quan trọng.

• Hạn chế quyền thông báo: Chỉ cho phép các ứng dụng thực sự cần thiết gửi thông báo đẩy.
• Cập nhật phần mềm: Luôn đảm bảo ứng dụng và hệ điều hành ở phiên bản mới nhất để vá các lỗ hổng zero-day.
• Đa dạng hóa kênh thông tin: Không nên phụ thuộc vào duy nhất một ứng dụng hoặc một phương thức kết nối internet.

Kỹ thuật chiếm quyền Push Notification Server từ góc nhìn chuyên gia

Sau sự cố ứng dụng cầu nguyện BadeSaba tại Iran bị hack để gửi tin nhắn tâm lý chiến, giới công nghệ đặt ra câu hỏi lớn: Làm sao kẻ tấn công có thể điều khiển hàng triệu điện thoại cùng lúc mà không cần cài mã độc vào từng máy? Câu trả lời nằm ở kỹ thuật chiếm quyền Push Notification Server.

Quick Answer: Kỹ thuật chiếm quyền Push Notification Server (PNS) là việc hacker xâm nhập vào hệ thống quản lý thông báo hoặc đánh cắp API Keys/Access Tokens của các dịch vụ như Firebase (FCM) hay Apple (APNs). Từ đó, họ có thể gửi bất kỳ nội dung nào tới toàn bộ người dùng ứng dụng mà không cần quyền truy cập vật lý vào thiết bị.

Chào anh em, tiếp nối câu chuyện chấn động tại Iran, hôm nay mình sẽ cùng anh em “mổ xẻ” sâu hơn về mặt kỹ thuật. Tại sao một ứng dụng tâm linh lại trở thành công cụ chiến tranh? Thực tế, việc chiếm quyền Push Notification Server không chỉ là một lỗ hổng phần mềm đơn thuần, mà thường là kết quả của một chuỗi sai lầm trong quản lý định danh và bảo mật hạ tầng.

Cơ chế hoạt động của hệ thống Push Notification

Để hiểu cách hacker phá hoại, trước tiên chúng ta cần biết hệ thống này vận hành ra sao. Quy trình gửi một thông báo đẩy thông thường gồm 3 thực thể chính:

1. App Server (Backend): Nơi lưu trữ dữ liệu người dùng và quyết định khi nào cần gửi thông báo.
2. Push Notification Provider (PNS): Các bên trung gian như Google Firebase Cloud Messaging (FCM) hoặc Apple Push Notification service (APNs).
3. Client App: Ứng dụng cài trên điện thoại người dùng, chờ nhận tín hiệu từ PNS.

Hacker thường nhắm vào “mắt xích” yếu nhất: Sự xác thực giữa App Server và PNS. Chỉ cần có được mã định danh (Server Key hoặc Auth Token), kẻ tấn công có thể đóng giả làm máy chủ hợp lệ để ra lệnh cho Google hoặc Apple gửi tin nhắn tới hàng triệu thiết bị.

Các con đường chiếm quyền Push Notification Server phổ biến

Việc chiếm quyền Push Notification Server không xảy ra theo một cách duy nhất. Dưới đây là những kịch bản mà các nhóm APT (tấn công có chủ đích) thường xuyên sử dụng:

1. Lộ lọt API Keys trong mã nguồn (Hardcoded Keys)

Đây là sai lầm “kinh điển” của các lập trình viên. Trong quá trình phát triển, thay vì cấu hình biến môi trường (Environment Variables), họ lại dán thẳng API Key của Firebase vào mã nguồn ứng dụng hoặc file cấu hình công khai trên GitHub.

Hacker chỉ cần sử dụng các công cụ dịch ngược (decompile) file APK như JADX để trích xuất những chìa khóa này. Một khi có Server Key, hacker có thể sử dụng các công cụ như Postman để gửi yêu cầu POST đến API của Google và phát tán tin nhắn toàn cầu.

2. Tấn công Server-Side thông qua lỗ hổng Backend

Trong trường hợp của Iran, khả năng cao là máy chủ backend của ứng dụng đã bị xâm nhập. Kẻ tấn công có thể khai thác các lỗ hổng như:

• SQL Injection: Chiếm quyền điều khiển cơ sở dữ liệu để lấy Token của người dùng.
• RCE (Remote Code Execution): Thực thi mã từ xa trên máy chủ để chiếm quyền quản trị cao nhất.
• Insecure Direct Object References (IDOR): Thao tác gửi thông báo bằng cách thay đổi ID trong các API request mà không bị kiểm tra quyền.

Nếu anh em muốn tìm hiểu thêm về cách bảo vệ hệ thống, hãy tham khảo bài viết về các lỗ hổng bảo mật web phổ biến để biết cách phòng tránh.

3. Tấn công chuỗi cung ứng (Supply Chain Attack)

Đôi khi, lỗi không nằm ở nhà phát triển ứng dụng mà nằm ở các SDK (thư viện bên thứ ba) mà ứng dụng đó tích hợp. Nếu một SDK phân tích dữ liệu hoặc quảng cáo bị hack, nó có thể chứa đoạn mã độc cho phép kẻ tấn công chiếm quyền điều khiển luồng thông báo của ứng dụng mẹ.

Phân tích kỹ thuật: Gửi thông báo giả mạo qua FCM

Khi đã có trong tay Legacy Server Key của Firebase, việc gửi thông báo cực kỳ đơn giản. Một request mẫu có dạng như sau:

POST /fcm/send HTTP/1.1
Host: fcm.googleapis.com
Content-Type: application/json
Authorization: key=AAAAn... (Server Key bị đánh cắp)

{
  "to": "/topics/all_users",
  "notification": {
    "title": "Thông điệp khẩn cấp",
    "body": "Yêu cầu đầu hàng ngay lập tức!"
  }
}

Chỉ với vài dòng mã, hacker có thể tạo ra sự hoảng loạn trên diện rộng mà không cần vượt qua bất kỳ lớp bảo mật nào trên điện thoại của nạn nhân. Đây chính là lý do vì sao an ninh mạng trong việc quản lý Key là sống còn.

Hậu quả khủng khiếp từ việc chiếm quyền PNS

Việc chiếm quyền Push Notification Server mang lại sức mạnh hủy diệt về mặt truyền thông:

Anh em có thể xem thêm về tấn công lừa đảo phishing để thấy sự kết hợp nguy hiểm giữa thông báo đẩy và các trang web giả mạo.

Cách phòng chống chiếm quyền Push Notification Server cho Developer

Để không trở thành nạn nhân tiếp theo, các lập trình viên và quản trị viên hệ thống cần tuân thủ các nguyên tắc bảo mật khắt khe:

• Không bao giờ Hardcode Key: Sử dụng .env file và đảm bảo chúng không bị đẩy lên Git.
• Sử dụng FCM HTTP v1 API: Thay thế Legacy API cũ kỹ bằng phiên bản mới sử dụng OAuth 2.0 access tokens có thời hạn ngắn.
• IP Whitelisting: Chỉ cho phép các địa chỉ IP cụ thể của Server Backend mới được quyền gửi yêu cầu tới PNS.
• Giám sát lưu lượng (Monitoring): Thiết lập cảnh báo khi số lượng thông báo đẩy tăng đột biến trong thời gian ngắn.

Ngoài ra, việc triển khai quy trình DevSecOps sẽ giúp phát hiện sớm các lỗ hổng trong mã nguồn trước khi ứng dụng được tung ra thị trường.

FAQ – Những câu hỏi thường gặp

1. Tại sao hacker lại chọn ứng dụng cầu nguyện để tấn công?
Bởi vì đây là ứng dụng có lượng người dùng cực lớn tại Iran, giúp thông điệp lan truyền nhanh nhất và tác động mạnh nhất vào tâm lý của người dân trong thời điểm khủng hoảng.

2. Người dùng tại Việt Nam có bị ảnh hưởng bởi vụ hack này không?
Hiện tại, vụ việc chỉ giới hạn trong phạm vi ứng dụng BadeSaba và hạ tầng mạng tại Iran. Người dùng Việt Nam không bị ảnh hưởng trực tiếp, nhưng đây là bài học về việc lựa chọn ứng dụng uy tín.

3. Internet Iran sập có ảnh hưởng đến internet toàn cầu không?
Sự cố này chủ yếu gây tê liệt trong nội bộ Iran và các tuyến kết nối đến quốc gia này. Lưu lượng internet toàn cầu không bị ảnh hưởng đáng kể do Iran không phải là nút thắt cáp quang huyết mạch của thế giới.

4. Làm sao để biết một ứng dụng đang bị hack và gửi tin nhắn giả mạo?
Nếu thấy thông báo có nội dung bất thường, khác xa với chức năng của ứng dụng (như ứng dụng lịch lại gửi tin nhắn chính trị), hãy ngay lập tức tắt mạng và gỡ bỏ ứng dụng đó.

Vụ việc ứng dụng cầu nguyện bị hack tại Iran là một hồi chuông cảnh tỉnh về sự mong manh của an ninh mạng trong thời đại số. Hi vọng anh em luôn tỉnh táo và trang bị đủ kiến thức để tự bảo vệ mình trên không gian mạng.

Sublime Text 4 là phần mềm hỗ trợ soạn thảo lập trình nổi tiếng hàng đầu và là sự chọn lựa của đa số lập trình viên hiện nay trong việc viết code.

Tương tự như phần mềm lập trình Notepad++, Sublime Text 4 cũng hướng đến người dùng sự đơn giản, dễ sử dụng, dung lượng nhẹ, các menu được bố trí hợp lý nhưng Sublime Text 4 được bổ sung thêm một số chức năng hơn so với Notepad++. Và nó cũng không phải là một phần mềm miễn phí, bạn phải mua nó với giá rất đắt là 70$. Để đáp ứng nhu cầu sử dụng của các lập trình viên không có điều kiện để mua bản quyền thì BKshare xin chia sẻ license key bản quyền miễn phí phần mềm soạn thảo lập trình Sublime Text 4

Phiên bản mới nhất là Sublime Text 4

Ưu Điểm

• Hệ thống màu sắc phong phú cho nhiều loại code.
• Tự dò lỗi trong code (Nếu code đúng chữ sẽ đổi màu )
• Hỗ trợ hầu hết các loại ngôn ngữ lập trình html, C+, C# , Python, Perl , …
• Có thể code nhiều file cùng lúc.
• Dễ sử dụng, cấu hình nhẹ.
• Cài đặt nhanh.

Nhược Điểm

• Không Free ( Yêu cầu kích hoạt ). Nhưng bên dưới chúng tôi sẽ hướng dẫn kích hoạt bằng key mới nhất.

Một số hình ảnh về Sublime Text 4 trong quá trình lập trình web

Loại ngôn ngữ lập trình được sử dụng trong ảnh: Html

Hệ thống gợi ý từ và màu sắc khá rõ ràng

Download và kích hoạt

Cách Active Sublime Text 4 Full License

Mình đã test và thành công Sublime Text 4 Build 4200, anh em làm theo từng bước dưới đây nhé Sublime Text 4 Build 4200

Bước 1: Truy cập vào trang https://hexed.it/, chọn Open it, trỏ đến file sublime_text.exe trong thư mục bạn đã cài đặt sublime text

Bước 2: Nhấn Ctrl + F, nhập vào ô Search dãy số này rồi nhấn Enter: 89 F8 48 81 C4 38 02

1. Click vào 89, đổi thành 33
2. Click vào F8, đổi thành C0

Kết quả sẽ là:

33 C0 48 81 C4 38 02

Bước 3:

Vẫn tại ô tìm kiếm, gõ: 74 06 3B

Thay đổi: 74 -> EB

Kết quả: EB 06 3B

Bước 4: Chọn Save As, đặt tên là sublime_text.exe, nếu bạn thấy nó ra biểu tượng của Sublime Text thì đúng rồi đó.

Bước 5: Copy file vừa tạo đè lên file sublime_text.exe trong thư mục đã cài đặt.

Bước 6: Mở chương trình sublime_text.exe lên, nếu xuất hiện Protect thì chọn Run anyway. Vô màn hình hình thì chọn Help -> Enter License, nhập mã dưới đây để kích hoạt bản quyền.

AnonyViet.Com

Key kích hoạt

Key này được chia sẻ lâu rồi, không biết còn sử dụng được không, bạn có thể test thử:

• Cài đặt phần mềm bình thường, tiến hành khởi chạy phần mềm sau khi cài đặt xong.
• Nhấn vào mục Help >> Enter License và dán tất cả đoạn lisence key trong file key bạn vừa tải về rồi nhấn Use License.
• Kích hoạt thành công sẽ hiện thông báo như bên dưới !

Thông điệp quan trọng AnonyViet gửi đến mọi người

Dùng phần mềm quét QR Code trên điện thoại để đọc

Ai đọc rồi thì tự hiểu nhé 🙂

AnonyViet – Better and better

Câu hỏi thường gặp

Sublime Text 4 có phải là phần mềm miễn phí không?

Không, Sublime Text 4 là phần mềm thương mại và yêu cầu mua bản quyền. Tuy nhiên, bài viết này hướng dẫn cách kích hoạt bằng key miễn phí.

Tôi cần làm gì để kích hoạt Sublime Text 4?

Bài viết hướng dẫn từng bước cụ thể cách chỉnh sửa file `sublime_text.exe` để kích hoạt bản quyền. Vui lòng tham khảo phần “Download và kích hoạt” trong bài viết.

Phương pháp kích hoạt này có an toàn không?

Bài viết này cung cấp phương pháp kích hoạt không chính thức. Bạn nên tự chịu trách nhiệm cho việc sử dụng phương pháp này.

Cobalt Strike là gì?

Cobalt Strike là framework dùng trong kiểm thử thâm nhập (pentest) dành cho red team (team tấn công). Các tin tặc có thể sử dụng Cobalt Strike để tạo các beacons, các beacons này đóng vai trò như đường dẫn trực tiếp vào mạng của máy tính nạn nhân. Từ đây, tin tặc có thể truy cập từ xa vào máy nạn nhân để điều khiển, thực thi lệnh và script độc hại.

Mục đích ban đầu của Cobalt Strike là công cụ dành cho red team nhưng đã xuất hiện các bản crack làm công cụ này rơi vào tay các tin tặc chuyên tấn công và phá hoại các hệ thống công cộng. Thường thì tin tặc sẽ tiến hành quét các cổng TCP 1433 để tìm các máy chủ MS-SQL và brute force tài khoản sa, tức là tải khoản quản trị hệ thống của MS-SQL. Sau đó, chúng sẽ tạo command shell bằng cmd.exe hoặc powershell.exe thông qua process sqlservr.exe và thực thi payload của Cobalt Strike.

WindowSpy là gì?

WindowSpy là file Object Beacon trong Cobalt Strike dùng để giám sát nạn nhân. WindowSpy sẽ chỉ được kích hoạt khi nạn nhân thực hiện một số hành vi nhất định như đăng nhập trên trình duyệt, mở tài liệu nhạy cảm, đăng nhập vpn,… Mục đích của WindowSpy là tăng khả năng tàng hình trong quá trình giám sát nạn nhân bằng việc không cần phải lặp đi lặp lại các hành động như chụp màn hình. Nó cũng tiết kiệm thời gian cho red team trong việc lọc ra nhiều thông tin không cần thiết, ví dụ như bạn chỉ cần biết thông tin đăng nhập Facebook thì có thể cấu hình chỉ chụp màn hình khi người dùng truy cập trang chủ của Facebook.

Mỗi khi beacons kiểm tra, BOF (Beacon Object Files) sẽ chạy trên máy của mục tiêu. BOF có một danh sách các tiêu đề cửa sổ phổ biến, chẳng hạn như đăng nhập, quản trị viên, bảng điều khiển, vpn,.. Bạn có thể tùy chỉnh danh sách này và tự biên dịch lại. Nó liệt kê các cửa sổ có thể nhìn thấy và so sánh các tiêu đề cửa sổ với danh sách trên và nếu tên cửa sổ có trong danh sách, nó sẽ kích hoạt hàm xâm nhập trong WindowSpy.cna có tên là spy(). Theo mặc định, nó sẽ chụp ảnh màn hình. Bạn có thể tùy chỉnh chức năng của hàm này theo bạn muốn, ví dụ như keylogging, WireTap, webcam,…

Cách sử dụng WindowSpy

Bước 1: Các bạn thực thi cấy beacons vào máy nạn nhân. Bạn nào không biết cách cấy thì đọc lại bài này.

Bước 2: Tải WindowSpy bằng lệnh dưới:

git clone https://github.com/CodeXTF2/WindowSpy.git

Bước 3: Mở Script Console.

Bước 4: Load file WindowSpy.cna bằng lệnh:

Nếu bạn đã tìm hiểu những tool hacking như metasploit, nmap hoặc brute force thì chắc cũng đã nghe qua về Cobalt Strike rồi nhỉ. Nói ngắn gọn thì đây là công cụ giúm thâm nhập và điều khiển máy nạn nhân. Nhưng bạn cũng có thể theo dõi hình vi của nạn nhân bằng cách chụp màn hình để biết họ đang làm gì. Tuy nhiên không phải lúc nào bạn cũng có thể theo dõi họ, nên trong bài viết này mình sẽ giới thiệu cho các bạn công cụ WindowSpy, giúp bạn tự động chụp màn hình nạn nhân khi phát hiện thông tin nhạy cảm.

Cobalt Strike là gì?

Cobalt Strike là framework dùng trong kiểm thử thâm nhập (pentest) dành cho red team (team tấn công). Các tin tặc có thể sử dụng Cobalt Strike để tạo các beacons, các beacons này đóng vai trò như đường dẫn trực tiếp vào mạng của máy tính nạn nhân. Từ đây, tin tặc có thể truy cập từ xa vào máy nạn nhân để điều khiển, thực thi lệnh và script độc hại.

Mục đích ban đầu của Cobalt Strike là công cụ dành cho red team nhưng đã xuất hiện các bản crack làm công cụ này rơi vào tay các tin tặc chuyên tấn công và phá hoại các hệ thống công cộng. Thường thì tin tặc sẽ tiến hành quét các cổng TCP 1433 để tìm các máy chủ MS-SQL và brute force tài khoản sa, tức là tải khoản quản trị hệ thống của MS-SQL. Sau đó, chúng sẽ tạo command shell bằng cmd.exe hoặc powershell.exe thông qua process sqlservr.exe và thực thi payload của Cobalt Strike.

WindowSpy là gì?

WindowSpy là file Object Beacon trong Cobalt Strike dùng để giám sát nạn nhân. WindowSpy sẽ chỉ được kích hoạt khi nạn nhân thực hiện một số hành vi nhất định như đăng nhập trên trình duyệt, mở tài liệu nhạy cảm, đăng nhập vpn,… Mục đích của WindowSpy là tăng khả năng tàng hình trong quá trình giám sát nạn nhân bằng việc không cần phải lặp đi lặp lại các hành động như chụp màn hình. Nó cũng tiết kiệm thời gian cho red team trong việc lọc ra nhiều thông tin không cần thiết, ví dụ như bạn chỉ cần biết thông tin đăng nhập Facebook thì có thể cấu hình chỉ chụp màn hình khi người dùng truy cập trang chủ của Facebook.

Mỗi khi beacons kiểm tra, BOF (Beacon Object Files) sẽ chạy trên máy của mục tiêu. BOF có một danh sách các tiêu đề cửa sổ phổ biến, chẳng hạn như đăng nhập, quản trị viên, bảng điều khiển, vpn,.. Bạn có thể tùy chỉnh danh sách này và tự biên dịch lại. Nó liệt kê các cửa sổ có thể nhìn thấy và so sánh các tiêu đề cửa sổ với danh sách trên và nếu tên cửa sổ có trong danh sách, nó sẽ kích hoạt hàm xâm nhập trong WindowSpy.cna có tên là spy(). Theo mặc định, nó sẽ chụp ảnh màn hình. Bạn có thể tùy chỉnh chức năng của hàm này theo bạn muốn, ví dụ như keylogging, WireTap, webcam,…

Cách sử dụng WindowSpy

Bước 1: Các bạn thực thi cấy beacons vào máy nạn nhân. Bạn nào không biết cách cấy thì đọc lại bài này.

Bước 2: Tải WindowSpy bằng lệnh dưới:

git clone https://github.com/CodeXTF2/WindowSpy.git

Bước 3: Mở Script Console.

Bước 4: Load file WindowSpy.cna bằng lệnh dưới. File WindowSpy.cna sẽ nằm trong thư mục BOF.

load <Đường dẫn đến file WindowSpy.cna>

Vậy là xong rồi đó, WindowSpy sẽ tự động phát hiện và chụp màn hình cửa sổ của máy nạn nhân. Ví dụ trên máy nạn nhân, mình sẽ mở 2 cửa sổ như hình dưới.

WindowSpy sẽ phát hiện được 2 cửa sổ này và so sánh tiêu đề của cửa sổ với file danh sách có sẵn trong công cụ. Nếu trùng khớp thì sẽ chụp màn hình.

Các bạn tìm ảnh chụp màn hình trong thư mục Screenshots của Server Cobalt Strike.

Mình chỉ dựng lab minh hoạ công cụ nên sẽ khác nhiều so với môi trường thực tế nhé.

Câu hỏi thường gặp

WindowSpy hoạt động như thế nào?

WindowSpy là một Beacon Object File (BOF) cho Cobalt Strike. Nó giám sát các cửa sổ đang hoạt động trên máy nạn nhân và chụp ảnh màn hình khi phát hiện các tiêu đề cửa sổ cụ thể (ví dụ: trang đăng nhập, ứng dụng ngân hàng), giúp người tấn công theo dõi hoạt động của nạn nhân một cách hiệu quả hơn.

Tôi cần cài đặt gì để sử dụng WindowSpy?

Bạn cần có Cobalt Strike được cài đặt và đã thiết lập kết nối beacon với máy nạn nhân. WindowSpy là một file BOF, vì vậy bạn cần tải về và load nó vào Script Console của Cobalt Strike.

Tôi có thể tùy chỉnh WindowSpy để làm gì ngoài chụp ảnh màn hình?

Có thể. Hàm chính của WindowSpy có thể được tùy chỉnh để thực hiện các chức năng khác, chẳng hạn như keylogging hoặc thu thập dữ liệu từ webcam, nhưng điều này đòi hỏi kiến thức lập trình và hiểu biết sâu về Cobalt Strike.

Resource hacker là gì?

Resource Hacker không những giúp bạn xem mà còn có thể thêm bớt các thành phần có sẵn của các tập tin, có khả năng xem và thay đổi các thông tin nâng cao trong Windows như bổ sung các tài nguyên mơi như Bitmap mới, icon, Cursor, AVI; thêm các menu mới, chèn tài nguyên mới trong hộp thoại. Ứng dụng này giúp người dùng tự động hóa nhiều nhiệm vụ trong việc chạy chương trình nhằm tiết kiệm thời gian.

Resource Hacker có thể tạo ra các bản sao của File gốc để chỉnh sửa nhằm khôi phục lại chúng dễ dàng hơn. Không chỉ vây, công cụ này tích hợp nhiều lệnh để thay thế các thành phần của các File cấu trúc như Bitmap, Icon, Menu, String Table, Cursor, AVI, Version Info. Đây là tiện ích khá thú vị cho các bạn thích custom Windows.

Các tính năng của Resource hacker

• Thay đổi các thành phần của File cấu trúc hệ thống
• Xem các thành phần của tập tin
• Giải mã và thêm bớt nội dung của cấu trúc File Trong hệ thống
• Tạo bản sao của File hệ thống Windows
• Tạo phong giao diện và phong cách làm việc mới cho Windows

Hướng dẫn tạo chữ Welcome trên Windows sử dụng Resource hacker

Ứng dụng này không dành cho những bạn nào mới tìm hiểu hoặc không quá biết về máy tính cũng như là hệ điều hành Windows. Mình khuyến khích các bạn sử dụng nó trên các máy ảo như VMware trước khi tiến hành lên trên máy tính của mình.

Hướng dẫn cài đặt Resource Hacker

Bước 1: Các bạn tiến hành truy cập vào trang web của Resource Hacker và chọn “Download”.Mình khuyến khích các bạn tải file cài đặt (Exe) thay vì file nén (Zip)

Bước 2: Các bạn tiến hành cài đặt như phần mềm bình thường

Thay đổi chữ Welcome trên Windows

Bước 1: Các bạn mở ứng dụng Resource Hacker trên máy của bạn. Các bạn có thể mở Menu và chọn vào trong phần recent added.

Lưu ý: các bạn chạy nó với quyền admin nhé!

Bước 2: Tiến hành vào file -> ổ C -> Windows -> System32 -> En-Us và tiến hành tìm file winlogon.exe.mui

Bước 3: Copy file đó ra màn hình chính

Bước 4: Quay lại với phần mềm Resource Hacker, các bạn tiến hành mở file winlogon.exe.mui vừa được copy ra ngoài

Bước 5: Các bạn mở String Table -> mở file có tên: 63:1033

Bước 6: Các bạn thay đổi chữ Welcome trong ngoặc kép ở dòng 1002 "Welcome" thành từ các bạn muốn

Bước 7: Các bạn chọn compile script (nút play màu xanh) ở thanh taskbar trên cùng. Các bạn cũng có thể nhấn F5. Sau đó nhấn Save (Ctrl + S)

Bước 8: Các bạn thay đổi file vừa sửa thành winlogon1.exe.mui và copy nó vào vị trí của file cũ

Bước 9: Các bạn vào chế độ recovery của Window bằng cách giữ phím shift và nhấn Restart

Bước 10: Các bạn chọn Troubleshoot -> Advanced Options -> Command Prompt

Bước 11: Các bạn ghi câu lệnh sau vào command prompt

notepad

Bước 12: Sử dụng chức năng Open của notepad, các bạn tiến hành vào và xóa file winlogon.exe.mui gốc và chỉnh tên file winlogon1.exe.mui thành winlogon.exe.mui

Vậy là mình vừa hướng dẫn xong cách đổi chữ Welcome trên màn hình Logon của Windows rồi. Các bạn gặp khó khăn ở đâu thì đừng ngần ngại để lại bình luận phía bên dưới để mình biết nhé!

Câu hỏi thường gặp

Resource Hacker là gì và tại sao tôi cần nó để thay đổi màn hình Welcome?

Resource Hacker là một công cụ miễn phí cho phép bạn xem, chỉnh sửa và thay đổi các tài nguyên trong các tập tin thực thi của Windows. Bạn cần nó để chỉnh sửa tập tin winlogon.exe.mui, tập tin chứa văn bản “Welcome” trên màn hình đăng nhập Windows.

Tôi có thể thay đổi văn bản “Welcome” thành bất kỳ văn bản nào khác không?

Có, bạn có thể thay đổi “Welcome” thành bất kỳ văn bản nào bạn muốn, miễn là bạn tuân theo các bước hướng dẫn trong bài viết.

Có rủi ro gì khi sử dụng Resource Hacker để chỉnh sửa các tập tin hệ thống?

Có. Việc chỉnh sửa các tập tin hệ thống có thể gây ra sự cố cho hệ thống của bạn. Vì vậy, nên sao lưu dữ liệu và thực hiện trên máy ảo trước khi áp dụng trên máy tính chính.

Sự nguy hiểm của thư mục .git

Bất kỳ ai cũng có thể sử dụng các công cụ quét tự động như githacker để tải mã nguồn của bạn và xem toàn bộ lịch sử git. Git cũng là một hệ thống file tuân theo một số quy tắc, nên bạn rất dễ đoán các thư mục và file.

Hầu hết các dự án sử dụng masterhoặc mainlàm nhánh chính, nên bạn có thể dễ dàng đoán được đường dẫn ẩn trong thư mục /.git/. Công cụ này thậm chí còn có thể brute force các nhánh và tag.

Nếu quá trình quét thành công, bạn sẽ nhận được thư mụcresulttrên máy của mình (bạn có thể tùy chỉnh tên thư mục bằng tùy chọn --output-dir).

Không deloy hoặc chặn truy cập thư mục .git

Thư mục .git/có thể chứa rất nhiều thông tin, bao gồm cả mã nguồn cũng như tên, email và trong trường hợp xấu nhất là thông tin xác thực được mã hóa (ví dụ: cơ sở dữ liệu, token, key).

Bạn nên chặn hoàn toàn quyền truy cập công khai vào thư mục đó. Các giải pháp triển khai và CI/CD hiện đại tương đối dễ cấu hình và có thể xóa các thư mục không liên quan gì đến môi trường production.

Một số nhà cung cấp dịch vụ lưu trữ web (hosting) cũng chặn quyền truy cập vào thư mục này vì lý do bảo mật, nhưng không phải lúc nào những nhà cung cấp này cũng làm vậy và đó không phải là cấu hình mặc định. Vậy nên bạn cần kiểm tra kỹ cấu hình hệ thống trước khi deloy bất cứ thứ gì.

Bạn có thể thực hiện các giải pháp dưới để hệ thống của mình được an toàn hơn:

1. Tắt truy cập công khai thư mục .git/ theo mặc định
2. Thêm rule cấm truy cập vào thư mục trong mã nguồn, ví dụ: tệp cấu hình Apache .htaccess
3. Không triển khai các thư mục như vậy trong các thư mục chung

Nên trả về 404 cho thư mục.git/trong cấu hình máy chủ hoặc file .htaccess:

RedirectMatch 404 /\.git

Bạn nên thêm cả hai rule nếu có thể, như hai lớp bảo mật. Trong trường hợp có người sửa đổi.htaccessvà xóa rule, thì vẫn còn rule dự phòng trong thư mục .git/. Nhưng theo mình được biết thì việc sử dụng file .htaccess sẽ làm chậm máy chủ Apache http.

Demo cách khai thác thư mục .git

Mình tạo 2 máy ảo là Ubuntu (Server) và Kali (Attacker). Trong máy server, mình sử dụng nginx để làm webserver, Mình tạo file index.php và commit lần đầu lên git.

Sau đó tạo file conn.php chứa mật khẩu là dữ liệu nhảy cảm và add file này vào git rồi stash thay đổi này lại.

Khi truy cập đường dẫn .git thì chúng ta sẽ bị chặn do cơ chế bảo mật của nginx.

Đó là setup cơ bản trên máy server. Giờ chúng ta sẽ tiến hành khai thác thử lỗi này.

Trên kali, các bạn chạy lệnh sau để cài đặt GitHacker:

python3 -m pip install -i https://pypi.org/simple/ GitHacker

Như các bạn thấy ở ảnh dưới, gitHacker sẽ được cài đặt trong đường dẫn /home/user/.local/bin.

Các bạn truy cập đường dẫn này và chạy lệnh. Thay IP-SERVER bằng ip của máy server của bạn.

python3 githacker --url http://IP-SERVER/.git/ --output-folder result

Truy cập vào thư mục result, bạn sẽ thấy commit của server.

Kiểm tra log và stash.

Khôi phục lại stash đã lưu trước đó và chúng ta sẽ có file conn.php.

Vậy là mình đã khai thác thành công, đừng vì chút tiện lợi để pull repo trên production mà deloy luôn thư mục .git nhé.

Câu hỏi thường gặp

Thư mục .git là gì và tại sao nó lại nguy hiểm?

Thư mục .git chứa toàn bộ lịch sử phiên bản của dự án, bao gồm mã nguồn, thông tin commit, và thậm chí cả các file đã bị xóa. Việc để lộ thư mục này có thể dẫn đến rò rỉ thông tin nhạy cảm như mật khẩu, khóa API, và thông tin bí mật khác.

Làm thế nào để bảo vệ thư mục .git khỏi bị truy cập trái phép?

Bạn nên chặn hoàn toàn quyền truy cập công khai vào thư mục .git bằng cách sử dụng các phương pháp như cấu hình server (ví dụ: sử dụng .htaccess để trả về lỗi 404), hoặc xóa thư mục này khỏi môi trường production.

Tôi có thể sử dụng công cụ nào để kiểm tra xem thư mục .git của mình có bị lộ hay không?

Bạn có thể sử dụng các công cụ quét tự động như GitHacker để kiểm tra xem thư mục .git có thể truy cập được từ bên ngoài hay không. Nếu công cụ này tìm thấy thư mục .git, điều đó có nghĩa là bạn cần thực hiện các biện pháp bảo mật ngay lập tức.

Giới thiệu game Doggo Go

Doggo Go là game casual dễ thương và vui nhộn. Nhìn thì đơn giản vậy thôi chứ nó cực kỳ dễ gây nghiện nhé. Bởi vì game có lối chơi cực kỳ đơn giản, bạn chỉ cần chọn 3 ô có hình giống nhau và những ô đó sẽ tự động biến mất, cứ lặp đi lặp lại cho đến khi nào hết ô thì các bạn sẽ chiến thắng. Những ô này sẽ xếp chồng lên nhau và có rất nhiều lớp ẩn bên dưới.

Các bạn phải chọn những ô phía trên thì mới có thể chọn được những ô ở dưới. Khi thắng màn thì các bạn sẽ được chuyển qua level tiếp theo, đồng thời các bạn cũng sẽ nhận được những skin meme cực kỳ vui nhộn có hình cậu vàng shiba. Lưu ý là khay chứa chỉ có tối đa 7 ô, các bạn sẽ thua nếu tất cả 7 ô này đầy. Nhưng bạn có thể Hack Doggo Go bằng ứng dụng đã Mod lại.

Cách hack Doggo Go đang hot

Bạn có thể dễ dàng Tải Hack Dogg Go bằng cách tải bản apk đã được mod sẵn. Khi sử dụng bản mod này, bạn có thể dễ dàng hoàn thành mọi nhiệm vụ và yêu cầu. Bình thường thì bạn phải tốn rất nhiều thời gian để lấy rương thưởng nhưng khi sử dụng bản mod thì thời gian không còn là vấn đề nữa.

Bước 1: Truy cập vào trang web này và nhấn “Download”.

Bước 2: Nhấn tiếp vào game Doggo Go.

Bước 3: Nhấn tiếp “Download”.

Bước 4: Hệ thống sẽ cảnh báo đây có thể là file nguy hiểm. Nhưng các bạn không cần phải lo nhé, cứ nhấn tiếp “Download anyway”.

Bước 5: Sau khi đợi tải về thì các bạn mở file APK lên và cài đặt bình thường nhé. Khi cài đặt xong và vào game thì các bạn sẽ được mở hết tất cả skin và không bị dính quảng cáo nữa.

Vậy là các bạn đã hack Doggo Go thành công rồi đó. Chúc các bạn thành công nhé.

Câu hỏi thường gặp

Tôi có thể chơi Doggo Go mà không cần hack không?

Hoàn toàn được! Doggo Go có thể chơi bình thường mà không cần bất kỳ bản mod nào.

Hack Doggo Go có an toàn không?

Việc tải và sử dụng các bản APK mod từ nguồn không rõ ràng tiềm ẩn rủi ro về bảo mật và virus. Hãy cân nhắc kỹ trước khi sử dụng.

Tôi có thể tải bản Hack Doggo Go ở đâu?

Bài viết đã đề cập đến một liên kết tải bản APK mod. Tuy nhiên, bạn nên tự chịu trách nhiệm về việc tải và sử dụng các file từ nguồn bên ngoài.

NSO Group là ai?

NSO Group là một công ty an ninh mạng có trụ sở tại Israel, chuyên cung cấp các sản phẩm và dịch vụ an ninh mạng cho các chính phủ và tổ chức an ninh trên toàn thế giới.

Công ty này được thành lập vào năm 2010 và nổi tiếng với sản phẩm chính là phần mềm gián điệp Pegasus, được cho là có khả năng truy cập vào các thiết bị di động và giám sát toàn bộ hoạt động trên các thiết bị này. Công ty NSO Group đã gặp nhiều tranh cãi vì các sản phẩm của họ đã được sử dụng để giám sát và theo dõi các nhà hoạt động nhân quyền, các nhà báo và các nhân vật chính trị trên toàn thế giới.

Tháng 11 năm 2019, Apple cáo buộc NSO Group đã sử dụng các lỗ hổng bảo mật trên hệ điều hành iOS của Apple để phát triển và bán Pegasus cho các chính phủ và các tổ chức an ninh trên thế giới.

NSO hack iPhone bằng zero-click như thế nào?

Cuộc tấn công zero-click là một loại tấn công mà không cần người dùng thực hiện bất kỳ hành động nào để cho phép kẻ tấn công truy cập vào thiết bị của mình. Thay vào đó, kẻ tấn công lợi dụng các lỗ hổng trong phần mềm hoặc phần cứng để chèn mã độc hoặc đánh cắp dữ liệu mà người dùng không hề hay biết.

Đây là một loại tấn công rất khó phát hiện và ngăn chặn, vì nó không để lại nhiều dấu vết và có thể được thực hiện từ xa.

Một số ví dụ về cuộc tấn công zero-click là:

• Phần mềm gián điệp Pegasus của NSO Group có thể xâm nhập vào các thiết bị iOS và Android thông qua iMessage hoặc WhatsApp, chỉ cần nhận được một tin nhắn mà không cần mở nó – là đủ để cho phép kẻ tấn công truy cập từ xa vào iPhone của bạn.
• Một lỗ hổng trong ứng dụng Mail của Apple cho phép hacker gửi email để truy cập vào thiết bị của người dùng mà không cần người dùng mở email đó
• Một lỗ hổng khác trong ứng dụng FaceTime của Apple giúp hacker có thể gọi điện cho người dùng và nghe âm thanh từ thiết bị của họ trước khi họ chấp nhận cuộc gọi.

Theo các chuyên gia an ninh mạng, các cuộc tấn công zero-click là rất nguy hiểm và khó phát hiện, vì chúng không cần sự can thiệp của người dùng và có thể thực hiện các hoạt động gián điệp một cách bí mật. Điều này khiến cho các cuộc tấn công zero-click của NSO Group được xem là một trong những cuộc tấn công gián điệp nguy hiểm nhất và có thể gây ra những hậu quả nghiêm trọng đối với quyền riêng tư và an ninh của người dùng.

Cách chống lại Zero-click bằng Lockdown Mode

Để bảo vệ những người có khả năng bị tấn công bởi zero-click, Apple đã giới thiệu “Lockdown Mode” (Chế độ Khóa) vào năm ngoái. Đây là công cụ nhằm giới hạn các chức năng của iPhone, đồng thời giảm thiểu rủi ro bị tấn công bởi zero-click.

Chế độ này chỉ dành cho những người cho rằng họ có nguy cơ cao bị giám sát bởi Chính phủ. Công cụ này sẽ làm giảm các tính năng của iPhone, bao gồm chặn hầu hết các tệp đính kèm tin nhắn, vô hiệu hóa nhiều trang web,…

NSO và 3 cuộc tấn công zero-click vào iPhone

Theo các báo cáo từ Citizen Lab, một trung tâm nghiên cứu mạng của Đại học Toronto, NSO Group đã sử dụng ít nhất ba cuộc tấn công do NSO hack iPhone bằng zero-click để cài đặt phần mềm gián điệp Pegasus vào các thiết bị iPhone chạy iOS 15 và 161.

Chuyện này được phát hiện vào cuối năm 2022 nhưng Citizen Lab đã giữ kín chi tiết cho đến khi Apple có thể vá iOS để ngăn chặn kịp thời các cuộc tấn công.

3 cuộc tấn công bao gồm:

PWNYOURHOME

Một cuộc tấn công bắt đầu từ tháng 10 năm 2022, kết hợp lỗ hổng trong ứng dụng HomeKit và iMessage để truy cập vào thiết bị của người dùng. Cuộc tấn công này có thể hoạt động bất kể người dùng có cấu hình nhà thông minh với HomeKit hay không.

FINDMYPWN

Đây là một cuộc tấn công zero-click gồm hai bước, được triển khai để chống lại iOS 15 bắt đầu từ tháng 6 năm 2022. Bước đầu tiên nhắm vào tính năng Find My của iPhone, và bước thứ hai nhắm vào iMessage.

LATENTIMAGE

Cuộc tấn công liên quan đến tính năng Find My của iPhone.

Phương thức tấn công đa số là gửi một tin nhắn iMessage có chứa mã độc, sau đó khai thác các lỗ hổng trong các ứng dụng mặc định khác của Apple.

Vào tháng 1 năm 2023, Apple đã phát hành một số cải tiến bảo mật cho HomeKit trong bản cập nhật iOS 16.3.1

Những người dùng nào đã kích hoạt chế độ Lockdown sẽ nhận được thông báo mỗi khi có đối tượng manh nha định thâm nhập vào thiết bị của mình.

Lời Kết

Tóm lại, các cuộc tấn công của NSO hack iPhone bằng zero-click là một lời nhắc nhở cho các nhà cung cấp dịch vụ và người dùng cần phải tăng cường biện pháp bảo mật và cẩn trọng hơn trong việc bảo vệ thông tin cá nhân và quyền riêng tư của mình.

Khi truy cập link giả mạo, bạn sẽ tham gia trả lời một số câu hỏi trắc nghiệm, sau đó mở các phần quà ngẫu nhiên, và mở kiểu gì thì bạn cũng sẽ được trúng thưởng.

Mục đích của chiến dịch này có thể là “truyền thông bẩn” hạ uy tín của hãng Bia Sài Gòn, thứ 2 là lợi dụng lòng tham của nhiều người để thực hiện hành vi chia sẻ bài viết nhằm thu thập thông tin cá nhân.

Đặc điểm nhận dạng trang sự kiện Bia Sài Gòn giả mạo

Theo ghi nhận của hệ thống chạy bằng cơm của AnonyViet, chiến dịch phát tán link giả mạo Bia Sài Gòn có khá nhiều địa chỉ khác nhau và hầu như đều là những tên miền vô nghĩa như:

• https://m.mucwyeda.cn/
• https://m.knotcriterion.top/
• https://42fvsn9.cn/kLdgoGjQ/sabecovn-m2/?
• https://m.2ffzarr.cn/
• https://m.appeasementstagger.top/
• https://42fvsn9.cn/Cihgf6t0/sabecovn-m2/

Và giao diện khá củ chuối, nếu là người dân bình thường thì khó phân biệt được đâu là link thật, đâu là link giả, nhưng với con mắt âm dương của dân IT thì hầu như rất dễ nhận mấy trang “pha ke” này.

Sau khi trả lời câu trắc nghiệm xong, trang này sẽ yêu cầu bạn chia sẻ đường dẫn cho 5 nhóm hoặc 20 người bạn để biết chương trình khuyến mãi này và  Nhập địa chỉ của bạn và hoàn tất đăng ký.

Theo ghi nhận hiện nay, các trang giả mạo Bia Sài Gòn đều đã ngừng hoạt động. Tuy nhiên bạn cần nâng cao tinh thần cảnh giác, không click vào các link không rõ nguồn ngốc, cài đặt phần mềm diệt virus và Extension Chống lừa đảo để có thể chặn những trang Web lừa đảo.

Lỡ truy cập vào link Bia Sài Gòn giả mạo có bị sao không?

HIện nay mình chưa thấy thông tin trang này sẽ đánh cắp tài khoản Facebook, nhưng nguy cơ bị lộ lọt thông tin cá nhân khá cao.

Khi truy cập vào link trên, trang Web đó sẽ thu thập thông tin của bạn theo user-agent gồm:

• Địa chỉ IP Public
• Thiết bị truy cập
• Trình duyệt truy cập
• Ngày giờ truy cập…

Ngoài ra nếu cung cấp thêm thông tin cá nhân như địa chỉ nhà, số điện thoại… để nhận thưởng thì bạn lại bị thu thập thêm thông tin cá nhân của mình.

Các thông tin này được thu thập có thể sử dụng cho mục đích mua bán thông tin cá nhân người dùng cho các trang quảng cáo, các trang vay tiền, tài chính, bất động sản hoặc nguy hiểm hơn là bán thông tin cho bọn lừa đảo chuyên gọi điện thoại, gửi mail giả mạo nhân viên ngân hàng, công an, viện kiểm sát….

Vì vậy bạn nên đề cao cảnh giác với các trang thông tin yêu cầu nhập thông tin cá nhân và yêu cầu chia sẻ trên Zalo, Facebook…

Bạn nên đọc thêm bài viết Dấu hiệu nhận biết trang Web không an toàn để tránh bị lừa đảo để tránh gặp phải các trường hợp tương tự.

Burp Suite 2022.11 Pro Full (viết tắt là Burp) là công cụ tích hợp nổi tiếng và phổ biến, được sử dụng để thực hiện các bài kiểm tra thâm nhập bảo mật cho các ứng dụng web. Thực ra nó được sử dụng phổ biến hơn cho các hoạt động hack Website. Phần mềm được viết bằng Java, được phát triển bởi PortSwigger từ Anh.

Burp Suite 2022.11 Pro Full Key cung cấp cho bạn một phương tiện đơn giản để thực hiện kiểm tra bảo mật Website. Nó cung cấp cho bạn toàn quyền kiểm soát, cho phép bạn kết hợp các kỹ thuật thủ công nâng cao phối hợp với nhiều công cụ kiểm thử khác cho quá trình kiểm thử.

Burp Suite 2012.12 Crack bao gồm một số công cụ để tấn công mạng và nhiều giao diện đã được thiết kế cho các công cụ này, nhằm tạo điều kiện và tăng tốc quá trình tấn công các ứng dụng. Công cụ giúp phân tích các thông tin của: HTTP messages, persistence, certification, proxy, log, alert,, v.v. Các chức năng đa dạng của nó có thể giúp chúng ta thực hiện các tác vụ khác nhau, bao gồm chặn và sửa đổi các yêu cầu mạng, quét lỗ hổng của các ứng dụng web, bẻ khóa đăng nhập với brute force, session, token và kiểm tra ngẫu nhiên khác.

Tóm lại, là một trong những công cụ tốt nhất để kiểm tra bảo mật Website. Burp Suite hơi khó sử dụng, đặc biệt là với các tham số phức tạp của nó. Nhưng một khi bạn hiểu rõ về cách sử dụng của nó, đây sẽ là công cụ đắc lực cho Hacker.

Các tính năng

Cách cài đặt và Active Burp Suite 2022.11 Pro Full Key

Do Burp Suite 2022.11 Pro chạy trên nền Java, nên bạn cần cài Java trước, tải trọn bộ cài đặt ở Link bên dưới:

Download Burp Suite 2022.11 Pro Full Key

(Password: anonyviet.com)

Bước 1: Cài JAVA trên Windows

Bước 2: Chạy File reset_license.bat nếu trên máy tính đã cài Burp Suite rồi.

Bước 3: Chạy File step1.bat, sau đó uncheck “help improve burp by …” và chọn “I Accept”

Bước 4: Chạy File step2.bat

Bước 5: nhấn RUN để mở Burp

Bước 6: Copy License -> Next -> Copy Code qua lại BurpLoaderKeygen để Get Key, Copy Key qua lại để Active

Bước 7: burpsuite_pro_v2022.11 để Active Key (chi tiết xem hình bên dưới)

Chọn Manual activation

Click “Copy request“, and dán lại vào mục “Activation Request của Loader

Copy dòng “Activation Response” vào lại Manual Activation, click “Paste response“, và click “Next”

Sau sẽ xuất hiện thông báo Active Burp Suite thành công.

Sửa lỗi Burp suite không mở được:

Mở CMD trỏ về thư mục vừa tải về đã giải nén

Nhập lệnh vào CMD:
java --illegal-access=permit -Dfile.encoding=utf-8 -javaagent:BurpSuiteLoader_v2022.11.jar -noverify -jar burpsuite_pro_v2022.11.jar

Chờ đến khi xuất hiện cửa sổ Enter License Key

Vậy là bạn đã kích hoạt thành công Burp Suite 2022.11 mới nhất.

Câu hỏi thường gặp

Burp Suite có yêu cầu cấu hình máy tính cụ thể nào không?

Burp Suite chạy trên nền Java, vì vậy máy tính của bạn cần cài đặt Java trước. Các yêu cầu cấu hình cụ thể khác phụ thuộc vào phiên bản Burp Suite và tính năng bạn sử dụng. Tham khảo trang chủ PortSwigger để biết thông tin chi tiết.

Tôi có thể sử dụng Burp Suite cho mục đích cá nhân không?

Việc sử dụng Burp Suite phụ thuộc vào mục đích và tuân thủ các điều khoản sử dụng của nhà phát triển. Hãy đảm bảo sử dụng công cụ này một cách có trách nhiệm và tuân thủ pháp luật.

Nếu gặp sự cố trong quá trình cài đặt và kích hoạt, tôi nên làm gì?

Hãy kiểm tra lại từng bước hướng dẫn cài đặt và kích hoạt một cách cẩn thận. Nếu vẫn gặp sự cố, hãy tìm kiếm câu trả lời trên diễn đàn hỗ trợ của PortSwigger hoặc các cộng đồng liên quan đến bảo mật.

Theo như dữ liệu được chia sẻ, có các thông tin cá nhân khá nhạy cảm như họ tên, username, mật khẩu, số điện thoại, địa chỉ nhà, thời gian mua hàng… và các dữ liệu này khá mới đến tháng 7/2022. Theo thống kê trong file Database có đến 103082 dòng dữ liệu liên quan đến khách hàng.

Qua phân tích mã nguồn cho thấy chiemtaimobile.vn đang dùng mã nguồn “CS Cart” trùng khớp với Database mà Hacker đã chia sẻ.

Hiện chưa rõ Hacker Chucky đã khai thác cơ sở dữ liệu của chiemtaimobile bằng phương pháp nào, tuy nhiên nếu dữ liệu này bị chia sẻ công khai có thể sẽ ảnh hưởng rất nhiều đến quyền riêng khách hàng và khả năng những kẻ xấu sẽ dùng các thông tin này để thực hiện các hành vi lừa đảo.

Với những khách hàng nào đã mua hàng ở Chiếm Tài, nên cẩn thẩn với các thông tin đã bị lộ lọt, luôn tỉnh táo trước các cuộc điện thoại yêu cầu cung cấp thông tin như OTP, tài khoản ngân hàng, thông tin cá nhân…

Để tránh trường hợp lộ lọt thông tin khi mua hàng Online, tốt nhất bạn nên sử dụng “tên giả” và dùng Email phụ để đặt hàng nhằm tránh các tình trạng tương tự như chiemtaimobile.vn. Hiện nay vẫn chưa thấy thông tin từ Chiếm Tài Mobile hoặc họ có thể chưa biết vụ rò rĩ dữ liệu này.