Ngày Tấn Công - D-Day
Mình vẫn nhớ như in ngày cuộc tấn công diễn ra vào khoảng 1h30 chiều, khi mình đang làm việc từ xa. Lúc đó, BA gửi tài liệu về các tính năng mới, thì mình gặp lỗi trong Word yêu cầu kích hoạt bản quyền. Do thường xuyên sử dụng Microsoft Toolkit và KMSPico, mình không quá ngạc nhiên. Lập tức, mình mở Google Chrome, gõ "KMS Pisco" và nhấp vào liên kết đầu tiên để tải về, đây là sai lầm đầu tiên của mình.
Sau khi tải về, mình giải nén và chạy file, nhưng Windows Defender thông báo lỗi. Mình chủ quan không kiểm tra kỹ, chỉ nghĩ rằng nó chặn phần mềm crack, mình lại tắt Windows Defender và chạy ứng dụng lần nữa. Lần này, không có thông báo lỗi nhưng ứng dụng không phản hồi, mình nghĩ hẳn đã xảy ra lỗi và tiếp tục công việc.
Chợt, điện thoại thông báo có notification từ "Trust Wallet", mình nghĩ không có gì lạ. Nhưng bên giờ, một notification khác xuất hiện từ "Trust Wallet" báo có giao dịch chuyển coin bất thường, mình hoảng hồn...
Khi mở ví, mình thấy tất cả BNB trong ví đã bị chuyển sang địa chỉ lạ và số Cake đang Staking cũng bị unstake thành BNB. Tổng thiệt hại lúc đó khoảng 5.000 USD, tính ra bây giờ là hơn 10.000 USD. Cả người mình lạnh toát, sau đó mình tắt nguồn máy tính ngay lập tức và kiểm tra lại Trust Wallet.
Tuy số coin đang stake trên Pancake Swap và BNB trong ví bị hack, nhưng may mắn là số BNB đang stake trong Trust Wallet vẫn còn nguyên vì nó là khóa, hacker không thể lấy được.
Những Sai Lầm Cá Nhân
Trường hợp trên là một bài học quý giá cho bản thân mình. Các sai lầm khiến mình phải trả giá bằng tiền ảo bao gồm:
- Không kiểm tra kỹ phần mềm tải về. Lần này mình thấy kích thước file là 600MB, nhưng không để ý và cứ nghĩ rằng "KMS dạo này nặng nhỉ?".
- Sử dụng mật khẩu chung cho nhiều tài khoản ở MetaMask, rất dễ bị mất mát.
- Sử dụng phần mềm crack, bất cứ dòng nào cần sử dụng đều nên xem xét dùng phần mềm bản quyền và cài antivirus chất lượng cao.
- Lưu mật khẩu trong trình duyệt, điều này rất nguy hiểm.
Hình Dung Cách Tấn Công
Hacker muốn lấy coin từ ví của mình phải có quyền truy cập, nếu đã truy cập thì chúng có thể thực hiện bất cứ hành động nào. Có hai cách hacker có thể tiếp cận ví:
- Truy cập qua MetaMask, nhưng mình đã thiết lập pass lock.
- Truy cập qua private key, mình đã lưu riêng trên giấy nên không có khả năng đoán được.
Có vẻ khả năng hacker vào ví qua MetaMask bằng cách đoán mật khẩu là cao nhất. Có khả năng hacker đã quét máy và thu thập dữ liệu từ trình duyệt của mình.
Thực Chiến
Cách Lấy Dữ Liệu Tài Khoản/Mật Khẩu từ Chrome
Để lấy dữ liệu tài khoản và mật khẩu đã lưu trên Chrome, hacker cần truy cập vào file "Login Data" trong thư mục profile. Mình đã tìm thấy file này chứa thông tin rất quan trọng và sử dụng Hex Editor để khám phá.
Nhưng mật khẩu lưu trong này đã được mã hóa. Mình tìm hiểu và triển khai cách crack password để thành công thu hồi dữ liệu.
Làm Thế Nào Để Lấy Thông Tin Từ MetaMask
Bước tiếp theo là truy xuất dữ liệu mà MetaMask đang chứa trên máy. Ban đầu, mình nghĩ hacker có thể dump data về và brute force vào MetaMask, nhưng MetaMask có chức năng bảo vệ. Bằng cách khai thác một số thủ thuật, mình đã tìm ra cách khôi phục passphrase của ví.
Chiến Lược Cuối Cùng
Nếu hacker tìm thấy thông tin của các coin stake thì thực sự nguy hiểm. Cách đơn giản để truy cập chính là sử dụng primary key của ví. Chi phí cho các công cụ hack này rất cao nhưng với những kiến thức và kỹ năng về lập trình, hacker có thể tự phát triển các công cụ đó.
Kết Luận
Qua bài viết này, mình hi vọng rằng bạn đọc sẽ có thêm kiến thức giá trị về bảo mật ví điện tử. Tôi nhấn mạnh rằng thông tin đăng tải không nhằm mục đích khuyến khích hành vi xấu. Hãy bảo vệ tài sản của bản thân bằng cách áp dụng những kiến thức và kinh nghiệm trong bài viết để tránh rủi ro.
Chúc mọi người an toàn.
source: viblo
