Chuyển đến nội dung chính

[MeSec] Kĩ thuật Phishing

 Hi cả nhà, lại là MeSec đây, bọn mình lại ở đây vì có một chủ đề rất hay muốn chia sẻ cho các bạn, đó chính là kĩ thuật Phishing :3. Cùng MeSec tìm hiểu nha 😘😘😘

Hãy lấy câu chuyện ngắn này làm ví dụ: "MeLy là một cô bé rất thích sống ảo, cô luôn dành phần lớn thời gian trong ngày để giải trí trên các nền tảng mạng xã hội như Facebook, TikTok. Một hôm MeLy nhận được một đường link từ một người không quen biết và họ nói rằng MeLy đã trúng một em Ryzen 7 và để nhận thưởng thì MeLy chỉ cần click vào đường link đó. MeLy vì quá vui sướng nên đã không nghĩ nhiều bấm ngay vào đường link và boom, máy cô bắt đầu trục trặc, hàng loạt hiện tượng lạ xuất hiện...". Đây là một câu chuyện do mình nghĩ ra được vài giây trước nhưng nó cũng giúp các bạn hiểu được phần nào về kĩ thuật Phishing. 

Giờ chúng ta hãy đâm sâu hơn một xíu nha: Vậy kĩ thuật đó được thực hiện như nào ra sao nhỉ? Chúng ta hãy cùng nhớ lại chút nha: quy trình tấn công của một hacker luôn ngắm tới 3 đối tượng chính: People - Processes - Technology (Con người - Quy trình - Công nghệ) và con người là đối tượng đầu tiên vì họ là đối tượng rất dễ bị dụ dỗ. Quy trình Phishing cũng giống như câu cá vậy, cũng sẽ có "cần câu", "mồi":

  • Trước hết, Attacker sẽ tạo một trang web hoặc 1 đường link độc có thể đánh cắp một số thông tin quan trọng của đối tượng
  • Dùng những lời lẽ để dụ dỗ nạn nhân bấm vào đường link đó
Đó, chỉ đơn giản vậy thui nhưng qua các năm số lượng người bị tấn công bởi hình thức này rất là nhiều và ngày càng đang có xu hướng gia tăng nha. Nói lí thuyết thế là đủ rồi, ta hãy đào sâu hơn chút nữa nha. Các bạn có bao giờ tin rằng chỉ với HTML mà ta cũng có thể thực hiện một cuộc tấn công Phishing không? Nếu ai đã học HTML thì chắc các bạn nhớ đến thẻ <a>, đây là một loại thẻ cơ bản của HTML và là 1 trong những thẻ vô cùng quan trọng của HTML có tác dụng tạo link liên kết. Cấu trúc cú pháp của thẻ này cũng vô cùng đơn giản. 

Ví dụ ta có một bức tranh tên là mesec.jpg và một đường link tên là https://mesec.com. Khi các lập trình viên muốn mỗi khi chúng ta nhấp vào bức tranh mà bức tranh dẫn ta đến đường link thì cú pháp có dạng như sau: <a href="https://mesec.com"><img src="mesec.jpg"/></a>. Cú pháp rất đơn giản đúng không, và đây cũng chính là 1 phương pháp rất phổ biến mà những kẻ lừa đảo hay sử dụng, bằng việc lợi dụng thẻ <a> của HTML hacker có thể sử dụng nó để chuyển hướng nạn nhân đến trang web độc và từ đó thực hiện những ý đồ xấu. Quá nguy hiểm đúng không nào, vậy làm sao để tránh những kiểu tấn công này nhỉ, rất đơn giản thui:
  • Không được nhấp các link lạ, không rõ nguồn gốc
  • Cài đặt các phần mềm Antivirus uy tín và luôn để trong trạng thái bật
  • Không trả lời các thư lừa đảo
  • Không bao giờ gửi thông tin bí mật qua email
Hy vọng bài viết sẽ có ích đến cậu 💓💓💓

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Thuật toán lùa bò vào chuồng(Đếm phân phối)

Làm cách nào từ một coder chân chính  trở thành một người chăn bò 😃😃 Chắc hẳn trong lập trình chúng ta không khó để gặp gỡ các bài toán đếm.Tuy nhiên việc thực hiện các bài toán đếm thường được diễn ra trên dữ liệu lớn, nếu các bạn không biết cách tổ chức dữ liệu và thực hiện  thuật toán hiệu quả thường sẽ dẫn đến kết quả sai lầm. Vì vậy trong bài viết hôm nay chúng ta sẽ cùng tìm hiểu qua một trong những cách tiếp cận bài toán đếm đó là thuật toán lùa bò vào chuồng hay còn gọi là đếm phân phối. 1. Đặt vấn đề: Ban đầu bạn có một mảng số gồm N phần tử ( N <10^5) mỗi giá trị trong mảng đều bé hơn hoặc bằng 100. Bạn được giao nhiệm vụ đếm xem trong mảng số đó có bao nhiêu phần tử riêng biệt.      VD: N=10      arr []  =   1 6 9 1  7 9 9 9 2 3 => 6 phần tử riêng biệt. 2.Thuật toán lùa bò vào chuồng:   Tư tưởng của thuật toán: giả sử bạn là một người nông dân sở hữu một nông trại bò và bạn cần phải đếm chính xác số lượng những chú bò trong trang trại để dễ quản lý. Vi những chú bò
Đăng nhận xét
Đọc thêm

Vét cạn hay duyệt trâu (Brute Force)

Thuật toán vét cạn:  Thuật toán vét cạn hay duyệt trâu (Brute Force) được  hiểu đúng như tên gọi của nó, chúng ta sẽ dùng những phương pháp đơn giản để duyệt qua toàn bộ các trường hợp của bài toán và bằng sức mạnh của máy  tính để tìm ra được đáp án chính xác thay vì dùng các thuật toán hiệu quả hơn .  VD: bài toán sống sót qua cuối tháng khi hết tiền tiêu:  Giải pháp của bài này là chúng ta sẽ dùng  vòng for vét can toàn bộ lương thực quanh nhà như mì tôm, hủ gạo... Để có thể tìm ra bữa ăn sống sót qua ngày và vì phải chạy đi tìm kiếm khắp nơi nên cách làm này sẽ có hơi tốn sức (dẫn đến chết đói). Có nhiều cách duyệt khác nhau như: Dùng nhiều vòng for If, else Đệ Quy, quay lui (Backtracking) Bitmask .... Giải thuật này thường rất hiệu quả với những bài toán có dữ liệu đầu vào nhỏ nhưng đối với các dữ liệu lớn hơn hay các bài toán phức tạp hơn sẽ tốn rất nhiều thời gian và đòi hỏi một lực code trâu bò để có thể vét cạn hết toàn bộ.
Đăng nhận xét
Đọc thêm

(MESEC) MỘT SỐ TRANG WEB LUYỆN TẬP OSINT CHO NGƯỜI MỚI BẮT ĐẦU

OSINT là một trong các mảng của hình thức Jeopardy CTF và đang dần tiếp cận được với nhiều người hơn bởi những lợi ích mà nó đem lại. Vậy OSINT là gì? OSINT (Open Source Intelligency) là thuật ngữ dùng để chỉ bất kỳ thông tin nào có thể được thu thập hợp pháp từ các nguồn công khai, miễn phí về một cá nhân hoặc tổ chức. Trên thực tế, bất cứ hoạt động nào thông qua Internet đều phải để lại các thông tin có thể thu thập được, từ thông tin về tên miền, máy chủ web, máy chủ e-mail đến các file tài liệu, bài thuyết trình, video, hình ảnh… và cả những bài post, comment, hashtag trên các mạng xã hội có liên quan đến từ khóa nào đó. OSINT cũng là công cụ mà giới tội phạm mạng dùng để nghiên cứu thông tin đối tượng mà họ nhắm tới trước khi tấn công. Tuy nhiên, ở chiều ngược lại thì doanh nghiệp cũng có thể dùng để điều tra xác minh đối tác giao dịch qua mạng để phát hiện những dấu hiện khả nghi. Trong bài viết ngày hôm nay, MeSec sẽ đề xuất một vài trang web sẽ giúp cho bạn học tập và rèn luyện
Đăng nhận xét
Đọc thêm