Lấy cắp mật khẩu Facebook thật dễ dàng!

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 02/04/20, 11:04 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Bạn đã bao giờ thắc mắc Hacker ăn cắp mật khẩu Facebook bằng cách nào. Bài viết này sẽ giải đáp giúp các bạn nhé :D
    upload_2020-4-2_23-16-44.png

    Cơ chế lưu mật khẩu của trình duyệt
    Như chúng ta đã biết, trên các trình duyệt có cơ chế lưu lại mật khẩu sau khi bạn đăng nhập vào các trang web, giúp bạn không cần phải đăng nhập lại ở các lần truy cập tiếp theo, tất nhiên phải có sự đồng ý của bạn.

    Những trang web nổi tiếng như Facebook, Gmail, thương mại điện tử… là các trang web có rất nhiều thông tin quan trọng và nhạy cảm mà chúng ta truy cập hàng ngày dẫn đến khả năng lưu lại mật khẩu của các trang này trên trình duyệt rất cao.

    Đối với người dùng bình thường, để xem các mật khẩu đã lưu chúng ta vào trong Settings của trình duyệt và phải nhập mật khẩu của máy tính để xác thực.
    upload_2020-4-2_23-14-4.png

    Đối với hacker, chúng đã ăn cắp được user/pass dạng plain text mà không cần xác thực.

    Phân tích chi tiết kỹ thuật của hacker

    Trên trình duyệt Chrome mật khẩu trong một file database ở vị trí “AppData\Local\Google\Chrome\User Data\Default\Login Data”, tất nhiên mật khẩu đã ở dạng mã hóa.

    Trình duyệt sử dụng cơ chế mã hóa dựa vào ID và thông tin đăng nhập của máy, vì vậy bất thì thông tin nào sử dụng cơ chế mã hóa này đều có thể giải mã trên chính máy tính đó. Cụ thể cơ chế mã hóa này thông qua API CryptProtectData do Windows cung cấp, để giải mã chúng ta sử dụng CryptUnprotectData

    Như vậy, Hacker chỉ cần đọc thông tin user/pass của Facebook lưu trong file LoginData và gọi API giải mã của hệ thống để có được mật khẩu dạng plain text.

    Để chứng minh điều này, mình đã viết một công cụ, hình ảnh bên trên là thành quả của việc lấy pass, các bạn có thể tải về và thử nhé :D.
    https://drive.google.com/file/d/1Y7E_7Xcdq9EH9oZyvtMddbG8JPyEaKRo/view?usp=sharing

    Làm sao để bảo vệ pass Facebook?
    Hãy xóa bỏ tất cả các mật khẩu đang lưu trên trình duyệt và bật tính năng xác thực 2 bước của Facebook nhé các bạn!

    Bài viết mang tính chất nghiên cứu học hỏi, từ đó biết cách phòng tránh. Không được vận dụng ở các mục đích khác.
     
    Chỉnh sửa cuối: 03/04/20, 01:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 340
    Đã được thích: 263
    Điểm thành tích:
    63
    Cám ơn Mod đã có bài cảnh báo thú vị, từ ví dụ của bạn, theo mình có thể lấy được tất cả những thông tin cá nhân lưu trên trình duyệt chrome.
     
    Chỉnh sửa cuối: 03/04/20, 09:04 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Kay Tee

    Kay Tee New Member

    Tham gia: 03/04/20, 12:04 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    em đã tải về và giải nén, nhưng khi mở file thì không chạy được ạ :((
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. longh9

    longh9 New Member

    Tham gia: 02/03/20, 11:03 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    anh học bách khoa hả :D..
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HHH

    HHH New Member

    Tham gia: 19/04/18, 05:04 PM
    Bài viết: 1
    Đã được thích: 2
    Điểm thành tích:
    3
    Mod mà cũng đưa virus ăn cắp mật khẩu lên à ? File này thực hiện copy C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\Login Data rồi gửi đến 1 server khác ở TQ. Ai muốn mất mật khẩu cứ thử nhé.
    Cái Getpass.exe này liên lạc với 1 máy chủ tại TQ rồi có hành vi tải 1 mớ virus về, sau đó mớ virus này thực thi rồi lại nối với 1 mớ các máy chủ tại TQ. Anh em nào reverse cái này ra rồi phân tích tiếp nhé.
     
    Chỉnh sửa cuối: 04/04/20, 07:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    longh9 and Lê Sỹ Hoà like this.
  6. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Copy ra thư mục hiện tại để tránh trường hợp bạn đang mở trình duyệt thì file database sẽ bị look lại nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Vâng bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. caocat

    caocat Member

    Tham gia: 08/01/20, 08:01 AM
    Bài viết: 11
    Đã được thích: 0
    Điểm thành tích:
    1
    Sao mình không thấy mục
    Sao mình không thấy mục ...Default\Login Data?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Bạn win gì nhỉ. Chrome đều để ở đó mà
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    caocat thích bài này.
  10. caocat

    caocat Member

    Tham gia: 08/01/20, 08:01 AM
    Bài viết: 11
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình dùng Win 10. Đã cho hiên files ẩn nhưng vẫn không thấy. :(
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Chắc lỗi gì đó trên win10. Bạn thử win7 giúp mình nhé
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    caocat thích bài này.
  12. RussianKriegsmarine

    RussianKriegsmarine Member

    Tham gia: 15/04/20, 03:04 PM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Mình dùng phần mềm này bằng win8.1 bị lỗi "Access is denied" làm gì bây h? upload_2020-4-15_15-42-40.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 340
    Đã được thích: 263
    Điểm thành tích:
    63
    Run cmd with administrator đi bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. RussianKriegsmarine

    RussianKriegsmarine Member

    Tham gia: 15/04/20, 03:04 PM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    cũng tịt luôn upload_2020-4-15_16-10-16.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. 2TbP

    2TbP W-------

    Tham gia: 10/04/14, 02:04 AM
    Bài viết: 1
    Đã được thích: 1
    Điểm thành tích:
    1
    Có source code file GetPass.exe gửi mình tham khảo với mod ơi {6}
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HustReMw thích bài này.