KUNGFU TECH

0
0
Lập trình
Thaycacac
Thaycacac thaycacac

Khám Phá Trò Chơi 'Spam Phishing Page': Học Hỏi Từ Những Chiêu Lừa Đảo Trực Tuyến

Đăng vào 2 tuần trước

• 3 phút đọc

Chủ đề:

C#httpLập trìnhAdvanced Form Programming

Mở đầu

Trong một ngày nắng nóng ở miền Trung, mình đang lướt Facebook và tình cờ thấy cô bạn đăng bức ảnh gây cười về một giao dịch quốc tế không thể tin nổi, chỉ chưa đầy $20. Phía sau là một tên miền hài hước "chất thải umion". Nghĩ rằng có thể trêu chọc những kẻ lừa đảo, mình quyết định tạo một tài khoản giả với mật khẩu đầy khiêu khích. Từ đó, ý tưởng phát triển tool để chửi bới tụi scam ra đời.

Phân Tích Và Xây Dựng Tool

Mở máy tính lên, dù trời nóng, mình vẫn quyết tâm nghiên cứu trang web giả mạo đó. Thú vị hơn, các tên lừa đảo đã áp dụng một số kỹ thuật lừa đảo khá tinh vi như việc biến đổi một số từ để đánh lừa những người không rành tiếng Anh. Đừng xem thường điều này, vì chính những thông tin thiếu chính xác có thể khiến người dùng dễ bị mắc bẫy.

Tiếp theo, mình truy cập vào trang nhận tiền, nơi trang web được thiết kế với giao diện đẹp. Họ đã chăm chút để tạo lòng tin cho người dùng. Một danh sách ngân hàng khổng lồ cũng được cung cấp, cho thấy độ táo bạo trong việc lừa đảo của chúng.

Dựa trên phân tích, mình dự đoán cách mà các kẻ lừa đảo hoạt động: gửi liên kết tới nạn nhân, yêu cầu nhập thông tin và chuyển tiếp tới trang OTP mà không hề có mã OTP nào. Từ đó, mọi thông tin sẽ được ghi nhận và sử dụng vào mục đích xấu.

Dưới đây là những cách mình có thể thực hiện để chống lại các đường link này:

  • DDos: Nếu bạn có một botnet hay những mối quan hệ, việc tấn công DDoS là khả thi.
  • Khách Thăm: Nếu bạn cảm thấy tự tin, có thể thử truy cập phản hồi để tìm ra lỗ hổng.
  • Xây Dựng Tool: Đây là phương pháp khả thi và ít rủi ro hơn.

Với phương pháp thứ ba, mình tiến hành xây dựng tool để tự động gửi các dữ liệu giả vào trang giả mạo. Điều quan trọng là tìm hiểu các request mà nó gửi đi, bao gồm các field cần thiết trong form đăng nhập.

Từ thông tin đã thu thập được, mình sẽ tạo ra một POST request kiểu multipart/form-data. Công đoạn này sẽ đảm bảo gửi thông tin một cách chính xác cùng với CSRF token và cookie để có thể thực hiện thành công việc gửi form.

Mỗi lần thực hiện request, mình sử dụng nhiều phương pháp để tạo ra thông tin cho thật giống, như tên đăng nhập từ danh sách thực tế, mật khẩu từ các danh sách phổ biến. Đây là cách giúp tăng độ tin cậy cho thông tin gửi đi, nhằm tránh bị phát hiện.

Khi gửi POST request thành công, mình còn có thể nhận phản hồi từ máy chủ, từ đó lấy được giá trị tran_info để tiếp tục thực hiện các bước tiếp theo trong quá trình lừa đảo này. Mỗi bước đều cần thiết và mình có thể dễ dàng tạo ra hàng ngàn yêu cầu gửi đi trong thời gian ngắn. Điều này sẽ giúp làm tràn cơ sở dữ liệu của chúng, từ đó giảm bớt những thông tin thật đang nguy hiểm.

Nói về cách mà kẻ lừa đảo sẽ phản ứng, mình cũng đã sẵn sàng để đương đầu với các biện pháp bảo vệ mà chúng có thể áp dụng như:

  • Thực hiện kiểm tra thông tin: Để xác định sự đáng tin cậy của thông tin cung cấp.
  • Giám sát IP: Có thể dễ dàng phát hiện các yêu cầu từ cùng một địa chỉ IP.
  • Sử dụng Captcha: Cách này có thể làm giảm tốc độ gửi yêu cầu của mình.

Kết luận, thông qua bài viết này, mình đã phần nào nhận thức rõ hơn về cách thức hoạt động của các kẻ lừa đảo và cách mà mình có thể bảo vệ bản thân khỏi những trò lừa đảo trực tuyến. Phòng chống hiệu quả chỉ có thể thực hiện khi chúng ta hiểu rõ về chúng.

Mã Nguồn

Dự án Tool: Github - FukScamV1

Tín Dụng

Cảm ơn Duyệt đã cung cấp danh sách tên tiếng Việt và danh sách mật khẩu bảo mật.
source: viblo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào