Web phishsing - Từ tạo website tấn công đến tự bảo vệ Phần 2

Thảo luận trong 'Web Security' bắt đầu bởi nonellldd, 23/01/17, 10:01 AM.

  1. nonellldd

    nonellldd Guest

    Tiếp theo phần 1, trong phần 2 này mình sẽ hướng dẫn deploy và cách nhận biết trang web phishing.
    Các công việc cần làm là:
    1. Đăng ký 1 hosting để upload website,
    2. Đăng ký 1 domain giống với trang web định giả mạo,
    3. Nếu website định giả mạo sử dụng https thì cần tạo 1 certification để sử dụng,
    • Đăng ký hosting. Thực hiện đăng ký một hosting để có thể deploy code trang phising. Các bạn có thể mua ở hostinger.vn, tenten.vn, …. Sau khi đăng ký tài khoản và mua thành công, thực hiện up code html đã clone từ trước lên host. Khi up code lên host, bạn cần code thêm phần php để xử lý khi người dùng click vào nút đăng nhập thông tin về username và password sẽ được lưu lại và chuyển đến trang facebook thât.
    • Đăng ký tên miền cho trang phising, có thể đăng ký tại trang cung cấp hosting. Với tên miền, chúng ta đang giả mạo trang login của facebook nên đăng ký một tên miền giống của facebook ví dụ như facebookvn-login.com chẳng hạn, thực hiện trỏ tên miền về địa chỉ ip của host.
    • Vì facebook sử dụng https nên cẩn thận hơn ta sẽ tạo 1 chứng chỉ ssl để trang phising chạy https. Vào trang https://csrgenerator.com/ để tạo certificate online.
    [​IMG]




    Sau khi Genertare CSR, chia dữ liệu thành 2 file là public.key và private.key [​IMG]
    [​IMG]




    Sau đó liên hệ với nhà cung cấp dịch vụ hosting để được hướng dẫn cách import các file này vào trong host.

    OK vậy là đã có trang phising để đi chơi xa rồi. Bây giờ là làm cách nào để cho mọi người biết đến và sử dụng nữa thôi :D
    Trên đây mình đã hướng dẫn cách tạo trang web phising kế đến là cách phòng chống.
    Để phòng chống phising dễ không phải là dễ mà khó cũng không phải khó. Mình xin đưa ra 2 biện pháp để phòng chống như sau.
    BP1: dùng kỹ thuật.
    Phân biệt domain: Sự khác nhau giữa trang web thật và trang phising đó là domain. Khi đang sử dụng internet, được chuyển hướng đến một trang login với giao diện giống với trang login của facebook, gmail, hay trang đăng nhập của ngân hàng bạn đang sử dụng thì bạn cần nhìn vào thanh url ở trình duyệt xem có chính xác 100% là domain thật hay không. Domain của trang phising sẽ rất giống với trang thật nên hãy nhìn thật kỹ đừng xem lướt qua.
    Phân biệt certificate: Tiếp đến nếu trang web có sử dụng https thì bạn nên để ý đến phần này. Trang web thật sẽ có chứng chỉ màu xanh.
    [​IMG]




    Trang fake sẽ có chứng chỉ màu đỏ. [​IMG]




    Việc phân biệt qua certificate này chỉ đúng tầm … 60% vì cert này bạn cũng có thể mua online được.

    BP2:
    Thông thường nạn nhân sẽ nhận được email với nội dung rất hot và đánh trúng tâm lý, ví dụ trúng thưởng tiền, thông tin về sự vụ đang hot hay tài khoản của bạn đang bị người khác cố gắng đăng nhập hãy đăng nhập lại để xác nhận mật khẩu … và “để biết thông tin chi tiết bấm vào đây”. Đây là những trường hợp gặp rất nhiều trong tấn công phising, các bạn cần cẩn thận khi nhận được những email có nội dung như thế này.

    Trên đây mình đã hướng dẫn cách tạo trang phising giả mạo trang đăng nhập facebook, đối với các trang web khác như gmail, ngân hàng, ... thực hiện tương tự.
    nonellldd​
     
    Chỉnh sửa cuối: 23/01/17, 10:01 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Cord thích bài này.
  2. krone

    krone VIP Members

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 260
    Đã được thích: 137
    Điểm thành tích:
    43
    Hi Vọng có phần 3, cách cat các user và pass đã bị bắt. :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Cord thích bài này.
  3. nonellldd

    nonellldd Guest

    Nếu có phần 3 chắc nội dung sẽ là "tôi đã có tài khoản ngân hàng của người khác như thế nào :D"
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan