-
06/04/2022
-
23
-
41 bài viết
Tản mạn về kỹ thuật ẩn mình khi truy cập mạng - Phần 2: Nguy cơ
Hí ae, lại là Tommy đây. Trong phần 1 của bài viết chúng ta đã cùng tìm hiểu về một vài kỹ thuật “Ẩn mình” giúp ae có thể thoải mái “du lịch” trong thế giới rộng lớn của Internet mà không phải lo lắng về những ánh nhìn không mấy thiện cảm. Tuy nhiên đây chỉ là những giải pháp chủ động, ở ngoài kia còn rất nhiều các mối nguy hại khác có thể khiến cho ae trở tay không kịp nếu không trang bị thêm cho mình những kỹ năng “phòng thủ” bị động. Vậy những kỹ năng đó là gì, chúng ta hãy cùng tìm hiểu nhé!
Nếu ae hay theo dõi Tommy thì sẽ thấy rằng tui rất thích phong cách tư duy ngược. Đầu tiên chúng ta cần biết mật khẩu sẽ bị bẻ khóa (hoặc lộ lọt) qua những phương thức nào?
Đầu tiên, Brute Force, thực ra ae cũng không cần phải quan tâm quá về vấn đề này (miễn là ae đặt mật khẩu khó đoán). Bởi ngày nay thì nền tảng nào cũng sẽ có cơ chế chống Brute Force. Đơn cử như cơ chế “Bạn đã nhập sai quá 5 lần, tài khoản của bạn sẽ bị khóa” hoặc “Bạn đã nhập sai quá nhiều, vui lòng thử lại sau ít phút”. Đây đều là những cách để ngăn chặn kẻ tấn công Brute Force tài khoản của bạn. Chỉ cần đảm bảo các bạn đặt mật khẩu đủ mạnh (để kẻ tấn công không thể bẻ khóa chỉ sau 1 vài lần thử) thì vấn đề này ae có thể bỏ qua.
Tiếp theo, đặt mật khẩu dễ đoán. Đừng nghĩ rằng ae chỉ cần đáp ứng đủ các yêu cầu của 1 mật khẩu mạnh thì sẽ không phải lo lắng gì nữa nhé! Tui tin rằng cũng phải đến 80% ae sẽ nghĩ như thế này:
Đặt mật khẩu giống nhau trên các nền tảng khác nhau: Cái này thì đúng thật là khó tránh, kể cả tui ngày xưa cũng hay làm như vậy ^^. Tuy nhiên ae vẫn nên đặt các mật khẩu khác nhau trên các nền tảng khác nhau, sau đó sử dụng một phần mềm quản lý mật khẩu để tránh việc sau này ae bị quên. Hiện nay có rất nhiều các giải pháp quản lý mật khẩu, và tui khuyên ae nên sử dụng những phần mềm offline thôi nhé. Nếu họa hoằn lắm mà ae vẫn phải dùng Online thì tui khuyên ae nên sử dụng tính năng quản lý mật khẩu của Google, và hãy nhớ tạo Passkey cho nó nhé!
Sử dụng SSO, thực ra nếu ae đặt mật khẩu đủ mạnh thì việc sử dụng SSO của Facebook hoặc Google hoàn toàn không có gì đáng ngại. Ae chỉ nên cân nhắc khi sử dụng SSO của những nền tảng không phổ biến mà thôi, ví dụ nếu giờ này ae còn đang sử dụng SSO của Yahoo thì nên chuyển hết sang Google đi nhé! Hoặc các nền tảng xin việc thì hay sử dụng SSO của Linkedin, mà mình thì không tin tưởng vào khả năng bảo mật của nền tảng này cho lắm bởi mình đã từng bị hack nick mặc dù mật khẩu của mình cực kỳ khó đoán.
Bị dính các phần mềm độc hại? Cái này thì có ti tỉ những lời khuyên trên mạng rồi, nào là không tải phần mềm crack, bật tường lửa vs windows defender, … Ae cứ thế mà làm theo thôi!
Cái này thì tui cũng chỉ đàm đạo với ae thôi, chứ tui tin là ae chúng mình cũng chưa đủ thẩm quyền để có thể ngăn chặn hoàn toàn việc này. Vậy ae có thể bị nghe lén qua những đâu?
Nghe lén trên đường truyền? Nó chính là kiểu tấn công MitM, cái này thì trên mạng có rất nhiều rồi, ae tự tìm hiểu nhé.
Email bị đọc? Cái này tui xin sure kèo 100% luôn là các chủ sở hữu của các nền tảng Email đều có khả năng đọc Email của người dùng, chỉ là họ có công khai việc đó hay không thôi. Xin phép trích dẫn 1 đoạn trong “Nghệ thuật ẩn mình” của Kevin Mitnick:
“Một ngày nọ, Stuart Diamond, một cư dân sống ở Bắc California, đã nhận ra điều đó. Anh để ý thấy rằng các quảng cáo mà anh nhìn thấy ở góc trên bên phải của email Yahoo không hiện ra ngẫu nhiên mà được dựa theo nội dung các email ra vào hòm thư của anh. Ví dụ, nếu trong một email tôi nhắc đến chuyến đi diễn thuyết sắp tới ở Dubai, thì những quảng cáo xuất hiện trong tài khoản email của tôi có thể sẽ liên quan đến các hãng hàng không, khách sạn, và những việc cần làm khi ở các Tiểu vương quốc Ả-rập Thống nhất.”
Và kể cả với Gmail, ae cứ thử mà xem. Hãy tạo một tài khoản Gmail mới, sau đó gửi khoảng chục cái Email xin việc. Đợi khoảng 1 tuần rồi sang mục “Email quảng cáo”, ae sẽ thấy có hàng chục cái quảng cáo liên quan đến TopCV hoặc VietNamWorks. Vâng, đúng rồi đó, Email của ae đã bị Google đọc!
Nói chung thì vấn đề này ae không có thẩm quyền để giải quyết đâu, kể cả tui cũng thế. Vậy nên hãy lựa chọn những nền tảng uy tín để hạn chế tối đa việc dữ liệu bị lộ lọt mà thôi. Ngoài ra thì những thông tin nhạy cảm ae không nên trao đổi qua Email nhé, gặp trực tiếp người nhận mà nói chuyện thôi!
Các phần mềm có cơ chế ghi âm? Về vấn đề này thì tui tin là ae group cũng đang chia ra làm 2 nửa: CÓ ghi âm và KHÔNG thể ghi âm. Nửa trên thì sẽ nghĩ rằng chỉ khi chúng ta cho phép ứng dụng ghi âm thì nó mới có quyền ghi âm, còn nửa dưới thì sẽ nghĩ rằng chỉ có ghi âm thì ứng dụng mới gợi ý ra những thứ liên quan đến cuộc nói chuyện của họ ngoài đời, đơn cử như Tiktok ads hoặc Facebook ads. Được rồi, còn đây là ý kiến CÁ NHÂN của mình nhé:
Social Engineering là gì? Nói cho dễ hiểu thì đây là kiểu tấn công phi kỹ thuật, tức là kẻ tấn công sẽ nhắm vào bản tính của con người để lợi dụng chứ không quá chú trọng vào các kỹ thuật tấn công. Nó giống như mấy bài quảng cáo: “Bạn đã trúng giải độc đắc 5 tỷ, vui lòng nạp 100k để làm thủ tục,…”. Thực ra những thứ này thì quá dễ thấy rồi, nên một lần nữa Tommy tui sẽ nhắc lại: “Tommy tui ở đây là để mang đến cho ae những kiến thức hay ho và mới mẻ chứ không phải những thứ đã được nói nhan nhản trên các bài báo khác”.
Vậy có thứ gì mới mẻ ở đây? Đầu tiên, ae có biết anh Hiếu PC đã bị bắt như thế nào không? Mọi thứ bắt nguồn từ một người bạn “trong ngành” của anh ấy đã hợp tác với mật vụ Mỹ để truy bắt các tội phạm mạng khác. Khi được người bạn đó rủ thực hiện một phi vụ để kiếm lời, anh Hiếu PC đã không ngần ngại mà qua đảo Guam để bàn chuyện làm ăn, nhưng khi tới đó thì bị mật vụ Mỹ bắt (đó là theo lời kể của anh Hiếu PC, còn thực tế như thế nào thì mình không biết).
Ae có biết mình muốn nói gì ở đây không? Đó là kể cả với những người giỏi như anh Hiếu PC mà cũng đã bị lừa bởi một thủ thuật Social Engineering, thì chẳng có lý do gì mà chúng ta không thể mắc phải. Các thủ thuật sẽ ngày càng tinh vi hơn, ngày càng đánh mạnh vào tâm lý người dùng nhiều hơn. Hãy cùng đọc ví dụ sau để thấy rõ hơn nhé:
Đặt mật khẩu?
Đọc đến đây chắc nhiều ae sẽ nghĩ: “Khéo ông này lại bắt đầu lảm nhảm mấy thứ như đặt mật khẩu mạnh, chứa ít nhất 1 ký tự đặc biệt và ký tự số, bla bla …”. Những thứ này thì xưa như trái đất rồi (mặc dù xưa nhưng không bao giờ lỗi thời đâu nha) nhưng Tommy tui ở đây là để mang đến cho ae những kiến thức hay ho và mới mẻ chứ không phải những thứ đã được nói nhan nhản trên các bài báo khác.Nếu ae hay theo dõi Tommy thì sẽ thấy rằng tui rất thích phong cách tư duy ngược. Đầu tiên chúng ta cần biết mật khẩu sẽ bị bẻ khóa (hoặc lộ lọt) qua những phương thức nào?
- Brute Force: Đây chắc hẳn là thứ đầu tiên mà ae hay nghĩ đến, và nó cũng là phương pháp kinh điển để bẻ khóa mật khẩu. Công cụ phổ biến nhất có lẽ là “john the ripper”. Thông tin chi tiết thì ae search Google nhé, đầy rẫy trên mạng luôn!
- Mật khẩu dễ đoán? Mặc dù ngày nay các nền tảng đều khuyến nghị người dùng sử dụng mật khẩu phải có ít nhất 8 ký tự trở lên, có chứa ít nhất 1 ký tự đặc biệt và 1 chữ số, … Nhưng không phải vì thế mà nó trở nên khó đoán hơn đâu nha! Tí nữa tui sẽ nói thêm về điều này cho mà xem!
- Đặt mật khẩu giống nhau trên các nền tảng khác nhau: Tui tin rằng thói quen của 99,9% ae là đặt các mật khẩu giống nhau trên những nền tảng khác nhau, bởi đơn giản là nó dễ nhớ. Điều này rất nguy hiểm, bởi chỉ cần 1 trong các nền tảng mà ae sử dụng bị lộ lọt dữ liệu là toàn bộ các tài khoản khác đều có nguy cơ bị kẻ xấu xâm phạm. Thực ra điều này cũng khó tránh, bởi hiện nay hầu hết các trang web đều có cơ chế lưu trữ Cookie/Session để tối ưu hóa trải nghiệm người dùng, nên có những trang web mà khéo cả năm ae cũng không cần nhập mật khẩu. Vậy giải pháp cho vấn đề này là gì? Đợi tí nữa nhé!
- Sử dụng SSO (Single Sign On): Để cho dễ hiểu thì SSO là cơ chế cho phép bạn đăng nhập vào nhiều nền tảng khác nhau chỉ với 1 cơ chế xác thực duy nhất. Đơn cử là tùy chọn “đăng nhập với Google” mà bạn sẽ bắt gặp thường xuyên khi thực hiện đăng nhập trên các trang web. Nói đến đây thì ae cũng mường tượng ra được lỗ hổng là gì rồi đúng không? Nếu chẳng may mật khẩu Google của bạn bị lộ lọt thì toàn bộ các nền tảng mà bạn sử dụng SSO với Google đều sẽ có nguy cơ bị xâm phạm.
- Bị dính các phần mềm độc hại, Keylogger trong máy: Cái này khỏi phải nói rồi, cứ nhiễm mã độc thì chỗ nào cũng nguy hiểm hết.
Đầu tiên, Brute Force, thực ra ae cũng không cần phải quan tâm quá về vấn đề này (miễn là ae đặt mật khẩu khó đoán). Bởi ngày nay thì nền tảng nào cũng sẽ có cơ chế chống Brute Force. Đơn cử như cơ chế “Bạn đã nhập sai quá 5 lần, tài khoản của bạn sẽ bị khóa” hoặc “Bạn đã nhập sai quá nhiều, vui lòng thử lại sau ít phút”. Đây đều là những cách để ngăn chặn kẻ tấn công Brute Force tài khoản của bạn. Chỉ cần đảm bảo các bạn đặt mật khẩu đủ mạnh (để kẻ tấn công không thể bẻ khóa chỉ sau 1 vài lần thử) thì vấn đề này ae có thể bỏ qua.
Tiếp theo, đặt mật khẩu dễ đoán. Đừng nghĩ rằng ae chỉ cần đáp ứng đủ các yêu cầu của 1 mật khẩu mạnh thì sẽ không phải lo lắng gì nữa nhé! Tui tin rằng cũng phải đến 80% ae sẽ nghĩ như thế này:
- Đầu tiên, mật khẩu cần ít nhất 8 ký tự: Chỉ cần lấy những cụm từ gần với tên của mình là đã dư sức có 8 ký tự rồi. Ví dụ: namnguyen, nguyenhainam, hainamnguyen, namdeptrai, …
- Tiếp theo, cần có ít nhất 1 chữ hoa. Cứ lấy các chữ cái đầu tiên của từng từ: NamNguyen, NguyenHaiNam, HaiNamNguyen, NamDepTrai, … Hoặc có những ae lắt léo hơn thì thêm cả ký tự đầu và cuối của mỗi từ: NaMNguyeN, NguyeNHaINaM, …
- Cần ít nhất 1 chữ số? Lấy ngày sinh hoặc số điện thoại: NamNguyen290198, NamNguyen29011998, …
- Ký tự đặc biệt? Cái này hơi khó nhớ nên cứ lấy ký tự đặc biệt đầu tiên trên bàn phím, nó là dấu chấm than (tổ hợp “Shift + 1”) hoặc !@# (tổ hợp “Shift + 1-2-3”): NamNguyen290198!, NamNguyen290198!@#, …
Đặt mật khẩu giống nhau trên các nền tảng khác nhau: Cái này thì đúng thật là khó tránh, kể cả tui ngày xưa cũng hay làm như vậy ^^. Tuy nhiên ae vẫn nên đặt các mật khẩu khác nhau trên các nền tảng khác nhau, sau đó sử dụng một phần mềm quản lý mật khẩu để tránh việc sau này ae bị quên. Hiện nay có rất nhiều các giải pháp quản lý mật khẩu, và tui khuyên ae nên sử dụng những phần mềm offline thôi nhé. Nếu họa hoằn lắm mà ae vẫn phải dùng Online thì tui khuyên ae nên sử dụng tính năng quản lý mật khẩu của Google, và hãy nhớ tạo Passkey cho nó nhé!
Sử dụng SSO, thực ra nếu ae đặt mật khẩu đủ mạnh thì việc sử dụng SSO của Facebook hoặc Google hoàn toàn không có gì đáng ngại. Ae chỉ nên cân nhắc khi sử dụng SSO của những nền tảng không phổ biến mà thôi, ví dụ nếu giờ này ae còn đang sử dụng SSO của Yahoo thì nên chuyển hết sang Google đi nhé! Hoặc các nền tảng xin việc thì hay sử dụng SSO của Linkedin, mà mình thì không tin tưởng vào khả năng bảo mật của nền tảng này cho lắm bởi mình đã từng bị hack nick mặc dù mật khẩu của mình cực kỳ khó đoán.
Bị dính các phần mềm độc hại? Cái này thì có ti tỉ những lời khuyên trên mạng rồi, nào là không tải phần mềm crack, bật tường lửa vs windows defender, … Ae cứ thế mà làm theo thôi!
Nghe lén?
Nghe lén trên đường truyền? Nó chính là kiểu tấn công MitM, cái này thì trên mạng có rất nhiều rồi, ae tự tìm hiểu nhé.
Email bị đọc? Cái này tui xin sure kèo 100% luôn là các chủ sở hữu của các nền tảng Email đều có khả năng đọc Email của người dùng, chỉ là họ có công khai việc đó hay không thôi. Xin phép trích dẫn 1 đoạn trong “Nghệ thuật ẩn mình” của Kevin Mitnick:
“Một ngày nọ, Stuart Diamond, một cư dân sống ở Bắc California, đã nhận ra điều đó. Anh để ý thấy rằng các quảng cáo mà anh nhìn thấy ở góc trên bên phải của email Yahoo không hiện ra ngẫu nhiên mà được dựa theo nội dung các email ra vào hòm thư của anh. Ví dụ, nếu trong một email tôi nhắc đến chuyến đi diễn thuyết sắp tới ở Dubai, thì những quảng cáo xuất hiện trong tài khoản email của tôi có thể sẽ liên quan đến các hãng hàng không, khách sạn, và những việc cần làm khi ở các Tiểu vương quốc Ả-rập Thống nhất.”
Và kể cả với Gmail, ae cứ thử mà xem. Hãy tạo một tài khoản Gmail mới, sau đó gửi khoảng chục cái Email xin việc. Đợi khoảng 1 tuần rồi sang mục “Email quảng cáo”, ae sẽ thấy có hàng chục cái quảng cáo liên quan đến TopCV hoặc VietNamWorks. Vâng, đúng rồi đó, Email của ae đã bị Google đọc!
Nói chung thì vấn đề này ae không có thẩm quyền để giải quyết đâu, kể cả tui cũng thế. Vậy nên hãy lựa chọn những nền tảng uy tín để hạn chế tối đa việc dữ liệu bị lộ lọt mà thôi. Ngoài ra thì những thông tin nhạy cảm ae không nên trao đổi qua Email nhé, gặp trực tiếp người nhận mà nói chuyện thôi!
Các phần mềm có cơ chế ghi âm? Về vấn đề này thì tui tin là ae group cũng đang chia ra làm 2 nửa: CÓ ghi âm và KHÔNG thể ghi âm. Nửa trên thì sẽ nghĩ rằng chỉ khi chúng ta cho phép ứng dụng ghi âm thì nó mới có quyền ghi âm, còn nửa dưới thì sẽ nghĩ rằng chỉ có ghi âm thì ứng dụng mới gợi ý ra những thứ liên quan đến cuộc nói chuyện của họ ngoài đời, đơn cử như Tiktok ads hoặc Facebook ads. Được rồi, còn đây là ý kiến CÁ NHÂN của mình nhé:
- Đầu tiên, hãy xác định rõ ràng 2 việc: Bật/Tắt mic và Cho phép/Từ chối quyền ghi âm là 2 việc hoàn toàn khác nhau. Ứng dụng KHÔNG Thể ghi âm nếu bạn “Từ chối” quyền ghi âm, nhưng nó hoàn toàn CÓ THỂ ghi âm nếu bạn chỉ “Tắt” mic. Chắc chắn ae đã từng sử dụng các ứng dụng cuộc họp như Google Meet, Zoom hay Microsoft Teams rồi phải không? Khi đang ở trong trạng thái tắt mic, có bao giờ ae tự nhiên nói chuyện bên ngoài rồi nhìn thấy trong ứng dụng hiện lên một thông báo “Bạn đang tắt mic, hãy bật mic lên nếu bạn muốn nói điều gì đó”? Vâng, đó là khả năng ghi âm của ứng dụng ngay cả khi bạn đang “Tắt” mic đấy! Điều tương tự cũng sẽ xảy ra khi bạn sử dụng các ứng dụng cuộc gọi như Message, Zalo hoặc Whatsapp. Nếu bạn muốn chặn hoàn toàn viêc ghi âm của ứng dụng, và kể cả những chức năng không cần thiết khác như “truy cập danh bạ”, “truy cập vị trí” thì hãy vào phần cài đặt ứng dụng và loại bỏ tất cả các quyền không cần thiết đó.
- Tiếp theo, không phải chỉ mỗi bạn, mà bạn bè của bạn cũng có thể là phương tiện để Facebook hoặc Tiktok khai khác. Ví dụ bạn A thân với bạn B. Trong những buổi nói chuyện bạn A thường xuyên đề cập tới việc mua laptop và tham khảo ý kiến bạn B. Điện thoại của bạn A đã chặn tất cả các quyền ghi âm của ứng dụng, nhưng bạn B thì không. Từ đó dữ liệu về các cuộc nói chuyện đã bị ghi lại. Thông qua phân tích dữ liệu, Facebook/Tiktok nhận thấy rằng người bạn A này đang rất quan tâm tới Laptop, do đó trên ứng dụng của bạn A sẽ tràn ngập các quảng cáo liên quan.
Tấn công Social Engineering
Vậy có thứ gì mới mẻ ở đây? Đầu tiên, ae có biết anh Hiếu PC đã bị bắt như thế nào không? Mọi thứ bắt nguồn từ một người bạn “trong ngành” của anh ấy đã hợp tác với mật vụ Mỹ để truy bắt các tội phạm mạng khác. Khi được người bạn đó rủ thực hiện một phi vụ để kiếm lời, anh Hiếu PC đã không ngần ngại mà qua đảo Guam để bàn chuyện làm ăn, nhưng khi tới đó thì bị mật vụ Mỹ bắt (đó là theo lời kể của anh Hiếu PC, còn thực tế như thế nào thì mình không biết).
Ae có biết mình muốn nói gì ở đây không? Đó là kể cả với những người giỏi như anh Hiếu PC mà cũng đã bị lừa bởi một thủ thuật Social Engineering, thì chẳng có lý do gì mà chúng ta không thể mắc phải. Các thủ thuật sẽ ngày càng tinh vi hơn, ngày càng đánh mạnh vào tâm lý người dùng nhiều hơn. Hãy cùng đọc ví dụ sau để thấy rõ hơn nhé:
- Đầu tiên, thay vì những mẩu tin lộ liễu như “Bạn đã trúng giải …” thì bây giờ kẻ tấn công sẽ tinh vi hơn. Chúng sẽ xây dựng một cộng đồng người dùng lớn mạnh cùng với một lịch sử hoạt động sạch sẽ nhất có thể. Chúng sẽ bắt đầu xây dựng các trang Facebook/Tiktok, đăng một loạt các bài viết hài hước hoặc giới thiệu những thông tin hữu ích để thu hút người xem. Cũng sẽ có khoảng vài trăm nick ảo vào Like, Share và tương tác để khơi gợi tâm lý đám đông, để mọi người thấy rằng cộng đồng này là uy tín.
- Mọi chuyện cứ thế tiếp diễn cho tới vài tháng sau, chúng sẽ đăng các bài viết để giới thiệu về một trang web hữu ích và hướng người dùng truy cập vào nó. Bạn nghĩ rằng nếu mình chỉ truy cập vào trang web đó thôi và không làm gì khác thì sẽ không có vấn đề gì, và đúng thật là chẳng có vấn đề gì cả. Bạn thử tìm hiểu mọi thứ trên trang web đó, và nó thực sự rất bổ ích. Thậm chí trải nghiệm người dùng cũng rất tốt, chẳng có bất cứ một quảng cáo nào trên trang web đó cả.
- Vài tháng sau đó nữa, trang web bắt đầu có thêm các tính năng bổ ích hơn, và bạn cần đăng nhập để sử dụng nó. Kể cả bạn có nghi ngờ, nhưng với cộng động Facebook lớn mạnh (lúc này có thể đã có hơn 100k thành viên với lịch sử hoạt động sạch sẽ), bạn có muốn không tin cũng không được (tin tôi đi, lý trí của bạn lúc đó so với lúc mà bạn đang đọc bài viết này nó khác nhau nhiều lắm ).
- Bạn bắt đầu đăng nhập vào và sử dụng trang web đó, và … vẫn chẳng có gì xảy ra cả. Mọi thứ vẫn ổn. Bạn thấy trang web này thực sự hữu ích, tính năng rất hay. Bạn bắt đầu rủ mọi người cùng tham gia vào trang web.
- Một ngày đẹp trời, chẳng hạn 1 năm sau đó, khi hệ thống của chúng đã có khoảng 500k người dùng, chúng mang dữ liệu của bạn đi bán!
- Đầu tiên, dữ liệu của bạn (chỉ là thông tin cá nhân, địa chỉ, số điện thoại) có thể được bán trên chợ đen với giá bèo nhất là 100d/1 dữ liệu. 500k người dùng => 50tr
- Tiếp theo, hãy nhớ rằng có tới 80% người dùng đặt các mật khẩu giống nhau trên các trang web khác nhau. Dữ liệu đăng nhập được bán với giá bèo nhất là 0.5[imath]/1 dữ liệu. 80% của 500k người dùng => 200k[/imath] => gần 5 tỏi
- Bán trang Facebook, tui không rành về lĩnh vực này cho lắm nên cũng không biết. Nhưng một trang Facebook với khoảng 100k lượt theo dõi cũng có giá ngót nghét 20tr.
5. Kết luận
Thôi, tạm thế đã, hơi bí ý tưởng rồi ^^. Ae cho gợi ý xem còn thứ gì hay ho để Tommy tui lên tiếp phần 3 nào!Tommy
Chỉnh sửa lần cuối bởi người điều hành:
