Hack ngược kẻ lừa đảo nhắn tin mạo danh USPS

 (blog.smithsecurity.biz)
4 điểm bởi GN⁺ 2024-08-10 | 3 bình luận | Chia sẻ qua WhatsApp
  • Nhận được một tin nhắn lừa đảo từ số ngẫu nhiên: "Gói hàng USPS đã đến nhưng không thể giao do lỗi địa chỉ. Hãy nhấp vào liên kết bên dưới để xác nhận địa chỉ.."
  • Dù nhận ra ngay đây là lừa đảo, người khác vẫn có thể mắc bẫy. Vợ tôi cũng từng bị lừa vài tháng trước
  • Sau khi chia sẻ chuyện này trên một kênh trực tuyến, có người (gọi là S1n) quyết định trả đũa kẻ lừa đảo

Điều tra ban đầu

  • Dùng quét nmap để xác định thêm các tên miền và khu vực mà chúng đang sử dụng
  • Dùng Burp Suite để chặn lưu lượng và khám phá trang web
  • Trang web trong tin nhắn có vẻ là bản sao của trang USPS thật
  • Xác nhận cùng một IP và từ đó chắc chắn đây là bọn lừa đảo

Giao tiếp WebSocket

  • Thông qua giao tiếp WebSocket, gửi tên tệp và nhận lại nội dung
  • Điều này dẫn đến lỗ hổng local file inclusion (LFI)
  • Qua LFI, thu thập thêm thông tin về môi trường

Phân tích tệp PHP

  • Thu thập toàn bộ các tệp PHP của trang lừa đảo
  • Các tệp bị làm rối rất mạnh và chứa ký tự tiếng Trung
  • Chúng liên lạc qua kênh Telegram và lưu dữ liệu trên máy chủ MySQL

Thu thập thêm thông tin

  • Xác định IP cấu hình thông qua log truy cập nginx
  • Dựa trên thông tin chứng chỉ và IP, suy đoán đây là nhóm lừa đảo Trung Quốc

SQL injection

  • Gây lỗi bằng cách dùng dấu nháy đơn trong tham số POST
  • Dùng SQLMap để truy cập cơ sở dữ liệu của kẻ lừa đảo
  • Khám phá bên trong cơ sở dữ liệu và xác nhận thông tin về bọn lừa đảo

Khám phá cơ sở dữ liệu

  • Xem thông tin quản trị viên của kẻ lừa đảo trong bảng admin
  • Xem thông tin cấu hình trang trong bảng config
  • Xem thông tin chi tiết của các nạn nhân trong bảng userinfo; có 3818 người đã được đăng ký
  • Xem thông tin theo dõi khách truy cập trang trong bảng records

Kết thúc

  • S1n không nói sẽ xử lý toàn bộ bằng chứng này như thế nào, nhưng có lẽ sẽ chuyển chúng cho trung tâm phòng chống tội phạm Internet để đóng cửa trang và đưa thủ phạm ra trước pháp luật

Bài viết liên quan

3 bình luận

 
xguru 2024-08-11

Ở trong nước cũng có rất nhiều tin nhắn spam gửi những URL kỳ lạ như thế này, không biết nếu áp dụng y hệt thì có khả thi không nhỉ?
 
tempus 2024-08-12

Theo luật trong nước, việc tấn công cả vào máy chủ ở nước ngoài cũng có thể phát sinh vấn đề pháp lý.
Ít nhất thì theo tôi biết, ở nơi công khai, việc đó chỉ được cho phép trong phạm vi cực kỳ hạn chế.
 
GN⁺ 2024-08-10
Ý kiến trên Hacker News

  • NanoBaiter: Hoạt động dụ bọn lừa đảo trên YouTube rồi hack hệ thống của chúng để cản trở việc vận hành

    • Xác định danh tính bọn lừa đảo, báo cảnh sát và cố gắng hoàn tiền cho nạn nhân
    • Thực hiện hoàn tiền cho nạn nhân qua tài khoản Stripe, đồng thời ghi lại cảnh cảnh sát đột kích bằng CCTV

  • Giá trị muối của mật khẩu được mã hóa: dùng wangduoyu666!.+-

    • Phát hiện các tên người dùng tương tự như wangduoyu666, wangduoyu8, wdy666666
    • Có khả năng tìm thấy các tài khoản trên GitHub, LinkedIn... thông qua tìm kiếm Google
    • Đang dùng tên giả trên Telegram và mạo danh tên của một ca sĩ Trung Quốc
    • Cũng dùng những cái tên tương tự trên tài khoản Telegram dự phòng
    • Trên kênh YouTube có đăng nhiều video giải thích cách vượt tường lửa Trung Quốc

  • Giáo dục đạo đức công nghệ: một sinh viên khoa học máy tính ở Trung Quốc đang dùng kỹ năng đã học để kiếm thêm thu nhập

    • Nhấn mạnh sự cần thiết của giáo dục đạo đức công nghệ
    • Chỉ ra rằng người ta dạy kỹ thuật rất mạnh nhưng lại thiếu giáo dục về đạo đức

  • Mạng lưới Smishing Triad: gửi tới 100.000 tin nhắn lừa đảo mỗi ngày ra toàn thế giới

    • Lừa đảo qua iMessage dùng e2ee, nhưng lừa đảo qua SMS thì cần phải bị phát hiện
    • Đề cập đến sự cần thiết của các cơ quan thực thi pháp luật có thể xử lý tội phạm mạng hiệu quả
    • Cho rằng Mỹ cần một phiên bản Blue Team của NSA

  • Hack tội phạm mạng: đặt câu hỏi liệu việc hack tội phạm mạng có thể bị xử phạt về mặt pháp lý hay không

    • Mô tả tình huống này tương tự như đột nhập vào nhà kẻ trộm để lấy lại đồ bị đánh cắp

  • Cách phớt lờ hacker và bọn lừa đảo: học được rằng phớt lờ hacker và bọn lừa đảo là tốt nhất

    • Chúng có thể phản công rất mạnh, và trên thực tế có thể nguy hiểm
    • Nhắc đến trường hợp một người bạn hack lại spammer rồi máy chủ bị tấn công

  • Cần một hạ tầng điện thoại/tin nhắn mới: nhấn mạnh sự cần thiết của hạ tầng có thể ngăn chặn giả mạo số và lọc các nỗ lực lừa đảo

  • Điều khoản ngoại lệ của CFAA: cho rằng cần có điều khoản ngoại lệ trong CFAA cho những tình huống như thế này