Lấy thông tin địa chỉ nhà và ảnh chân dung của kẻ xấu lừa đảo qua đường link

vuhoanganh

vuhoanganh

New Member
02/12/2021
3
1 bài viết
Lấy thông tin địa chỉ nhà và ảnh chân dung của kẻ xấu lừa đảo qua đường link
vuhoanganh

Mở bài :​

Loanh quanh hồi c3 tôi có một người bạn bị lừa đảo bằng cách mua acc game reg sms gì đấy nhưng quan trọng bạn tôi đã chuyển cho kẻ xấu tiền trước và bị scam. Và có nhờ t giúp ;(

Thân bài :​

Với một chút kiến thức về Social engineering và code ghẻ tôi đã đưa ra một vài phương hướng tấn công nhắm lấy thông tin của kẻ xấu.

- Thăm dò

Với vài lời cơ bản tôi biết bạn ấy có sửa dụng một web để nhận code sms để reg các tài khoản ảo từ đó tôi dẫn dụ đến web của tôi ;D

1.png

- Tiến hành phân tích và đưa ra các phương thức tấn công

+ một vòng ngó qua thì tôi thấy có các trang như IP Logger .. có thể lấy vài thông tin như trình duyệt thiết bị user-agent và ip của người dùng [REMOTE_ADDR] chỉ qua việc click vào web site để log lại [nhưng tôi muốn nhiều hơn thế]

[JAVASCRIPT]

- Nếu bạn đã học qua js bạn sẽ biết google map và các web check webcam hoặc chụp ảnh scan qr đúng không.

Ta có thể truy suất camera nếu thiết bị có hỗ trợ thông qua tìm api camera qua navigator bằng đoạn script sau. Vì bài viết khá dài nên tôi sẽ đưa src ở đây bạn có thể tham khảo.

2.png

Ngoài ra trong navigator còn có một api geolocation để lấy định vị bằng cách đưa ra toạ độ gồm Latitude(Vĩ Độ), Longitude(Kinh độ) từ đó dóng lên địa chỉ vật lý của mình trên google map với sai số cực ít ~ vài mét.

3.png

==> Social engineering + Code​

Mạo danh 1 trang reg sms hoàn hảo để đánh lừa nạn nhân( ._. vì lâu r mất code cũ nên tôi demo lại nhanh phèn phèn)

4.png

Phần tạo tài khoản sẽ là button gửi hình ảnh từ camera trước và gửi địa chỉ thật

5.png

Lưu ý các api này(định vị và camera) cần người dùng cấp quyền -> [nên tạo một web chuyên nghiệp và đến phần reg sms mới yêu cầu thông tin để đủ quyền reg nhé ;D này web demo thôi] (Thường thì người dùng trên điện thoại sẽ quen tay bấm allow mà không biết nó là gì cả)

6.png

7.png

Vì api này hoạt động ổn định trên chrome nên tôi cũng code thêm một chức năng get user-agent để chuyển hướng người dùng vào web 404 nếu và không đúng duyệt tôi yêu cầu.

8.png

==> tiến hành gửi link cho kẻ xấu và tiến hành thuyết phục.

Sau 3 ngày ròng rã tôi cũng lượm lại chút trái ngọt

- Kẻ xấu đã thực sự cho phép các quyền và tôi đã lấy được ảnh và địa chỉ thật của kẻ xấu ;D

9.png

Chân dung kẻ xấu đã lừa đảo bạn tôi lưu ý ảnh đã được che đi để đỡ bị ảnh hưởng vi phạm

10.png

(._. vì số tiền ko quá lớn với cậu bé rén qua nên thôi)

Kết bài :​

Qua bài viết ta được được một số điều :
  • Học code không bao giờ là đủ
  • Social engineering là một kỹ thuật nâng cao
  • Ngoài ra ta còn phải đề phòng từ những web lạ để không bị dính sai lầm như cậu bé trên ảnh.
;D tôi biết bạn vừa ấn link Facebook từ Group WhiteHat để vào đây mà hệ hệ.
 
Chỉnh sửa lần cuối:
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hỏi về: Bị lấy ảnh cá nhân đăng bài nói xấu thì nên xử lý như nào?
  • Ai đó giúp em lấy lại Fanpage với :<
  • Cần hỗ trợ lấy lại email bị hack
  • Hướng dẫn lấy lại mật khẩu Facebook khi bị lừa đảo qua mạng
  • Mã độc ZCryptor lây lan qua ổ cứng di động
  • Lấy lại Facebook khi bị mất sim điện thoại
    • Thẻ
    code execution hack javascript share social engineering
    Bên trên