Cách hack Facebook, Gmail vượt qua xác thực 2 bước

[HustReMw]

Chào các bạn, đã bao giờ bạn thắc mắc hacker làm cách nào để hack tài khoản Facebook, Gmail hay bất kỳ tài khoản nào khác...ngay cả khi bạn bật tính năng bảo mật xác thực 2 bước.

Dưới đây là tóm tắt quá trình cách hacker đánh cắp tài khoản mình nghiên cứu dựa trên một mẫu mã độc thực tế:

​

Cơ chế lưu thông tin tài khoản của trình duyệt?

Khi chúng ta đăng nhập bất kỳ một tài khoản nào trên trình duyệt. Lúc đó thông tin phiên đăng nhập sẽ được lưu trong file Cookies của trình duyệt, tiếp theo trình duyệt sẽ hỏi bạn có muốn lưu mật khẩu không. Nếu bạn chọn đồng ý, trình duyệt sẽ lưu thông tin mật khẩu vào file Login Data.

Trình duyệt Chrome phổ biến nhất, mình sẽ mô tả chi tiết về trình duyệt này, các trình duyệt khác như Firefox, Opera... cơ chế cũng tương tự.

Đường dẫn lưu Cookie: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Cookies
Đường dẫn lưu user/pass: C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Login Data

Cookie và User/Pass được lưu trong 2 file ở trên, trước khi lưu trình duyệt đã mã hóa, tuy nhiên dữ liệu này hoàn toàn có thể giải mã để lấy được plaintex. Chrome phiên bản 80 về trước mình đã có bài giải mã lấy mật khẩu, các bạn có thể tham khảo tại đây. Các phiên bản Chrome 80 trở về sau bổ sung thêm mã hóa AES, các bạn có thể tìm hiểu cách giải mã trên stackoverflow và code trên github tại đây

Như vậy, khi hacker có được 2 thông tin plaintex cookies và user/pass hoàn toàn có thể dùng chúng để lấy cắp tài khoản của bạn. Hacker dùng cookies để đăng nhập tài khoản Facebook, Gmail... để không cần xác thực 2 bước. Sau đó hacker vào tài khoản thực hiện đổi số điện thoại, email khôi phục (lúc đổi có yêu cầu nhập mật khẩu) và đăng xuất ra khỏi thiết bị của bạn, khi đó tài khoản của bạn đã bị mất vĩnh viễn.

Chi tiết về mã độc?

- Thông tin cơ bản của mã độc: Code bằng C#, bị pack, obfuscate

- Sau mấy ngày chiến đấu mình đã unpack được code đẹp của mã độc, chúng ta có thể thấy C&C của mã độc: https://iphoneweb.xyz/

- Đây là đoạn code mã độc đọc và giải mã cookie, login data của trình duyệt

- Sau khi lấy được mã độc sẽ đóng gói kết quả và gửi về C&C

- Trên là những đoạn code chứng minh mã độc ăn cắp tài khoản của chrome, ngoài ra mã độc ăn cắp trên các trình duyệt khác như Firefox, Opera và rất nhiều hành vi động hại khác.

Tổng kết mã độc này có những hành vi độc hại sau:

• Ăn cắp cookies, user/pass
• Ăn cắp ví tiền ảo
• Ăn cắp tài khoản Outlook
• Lấy thông tin máy tính
• Chụp ảnh màn hình
• Tải và thực thi mã độc khác

Mình sẽ nghiên cứu thêm và tiếp tục bài viết về con này ở phần sau nhé các bạn!!!

 

Cảm ơn mod, bài viết rất có ích.

 

Bài viết chất lượng quá, thank mod đã chia sẻ.

 

Xin hỏi mod @HustReMw về việc sử dụng cookies đăng nhập gmail!
Có thể sử dụng tool/extension nào có thể export/import cookies của gmail trên trình duyệt?
Hoặc khi đã có trong tay cookies của gmail rồi, thì dùng tool nào đê đăng nhập???

 

Xin hỏi mod @HustReMw về việc sử dụng cookies đăng nhập gmail!
Có thể sử dụng tool/extension nào có thể export/import cookies của gmail trên trình duyệt?
Hoặc khi đã có trong tay cookies của gmail rồi, thì dùng tool nào đê đăng nhập???

Có thể sử dụng một số extension như: Edit this cookie, j2team cookie để import, export cookie
Có cookie rồi có thể dùng một số tool trên để đăng nhập nhé bạn

 

Có thể sử dụng một số extension như: Edit this cookie, j2team cookie để import, export cookie
Có cookie rồi có thể dùng một số tool trên để đăng nhập nhé bạn

Mình đã test 2 extension này rồi. Không được! Đã tự export, sau đó import ngay đều không được. Nên mới hỏi xem có tool nào khác không?

 

Gmail mình import lúc được lúc không, hầu như chỉ import được drive thôi. Có vẻ vấn đề nằm ở chỗ: lúc export cookie thì nó ở trang gmail.com, nhưng khi import thì lại ở trang account.google..... cookie drive khác với cookie gmail

 

tks mod :3, như vậy tính ra dùng cr@ck là con dao 2 lưỡi.

 

Vì vậy bất kì thao tác nào trên account như thay đổi thông tin sđt, username, password, rút tiền. chuyển tiền đều cần thêm 1 bước xác thực OTP hoặc 2FA để giảm thiểu những rủi ro của cách tấn công này

 

có cách nào bằng kali linux không ad

 

có cách nào bằng kali linux không ad

em mới bị hack mất account gmail giờ vẫn cay

 

có cách nào bằng kali linux không ad

Cơ chế là thế bạn ạ, còn code trên windows hay linux đều được

 

tks mod :3, như vậy tính ra dùng cr@ck là con dao 2 lưỡi.

đâu có cái gì tạo ra là miễn phí đâu bác....

 

đâu có cái gì tạo ra là miễn phí đâu bác....

Chuẩn bác

 

Cơ chế là thế bạn ạ, còn code trên windows hay linux đều được

Vâng cảm ơn ad nhiều