thắc mắc Cơ chế hoạt động của đường dẫn - click vào là bay facebook

Không liên quan lắm, nhưng mình có nghe đến việc extension có thể lấy password/cookie của trang web. Cách đây vài tháng có vụ nhà cung cấp extension (mảng tmđt) ăn cắp cookie của khách trên Zalo, được đưa tin trên J2 Team
 
Đây gần như dạng kiểu tấn công Phishing ý bác.

Cơ Chế Hoạt Động:​

  1. Chuyển Hướng Đến Trang Phishing: Khi nạn nhân nhấp vào đường link trong tin nhắn hoặc email, họ sẽ được đưa đến trang web giả mạo.
  2. Nhập Thông Tin: Trang giả mạo sẽ yêu cầu nạn nhân nhập thông tin cá nhân, thường là username và password.
  3. Thu Thập Thông Tin: Khi nạn nhân nhập thông tin, dữ liệu này sẽ được gửi đến kẻ tấn công.
  4. Sử Dụng hoặc Bán Thông Tin: Kẻ tấn công có thể sử dụng thông tin này để đăng nhập vào tài khoản Facebook của nạn nhân, hoặc bán thông tin này.
 
Thêm case lừa đảo cho mn tham khảo nhé
0jtAlLv.gif


Log in to Facebook

Log in to Facebook to start sharing and connecting with your friends, family and people you know.
www.facebook.com www.facebook.com
 
hgdom said:
nghĩ sao FB lại bị có lỗ hổng nào liên quan tới 2 thằng này để mà lợi dụng?
Click to expand...
Không phải tự dưng mà có cái thông báo này. Hồi 2015 nở rộ mấy trò dark theme, xem ai vào tường nhà bạn nhiều nhất,... là miếng mồi rất ngon. Rất nhiều người đã dán code vào console chạy rồi. Kết quả là Bùm, mất tài khoản :haha:


1696388507316.png
 
zaizai_vjp said:
Không phải tự dưng mà có cái thông báo này. Hồi 2015 nở rộ mấy trò dark theme, xem ai vào tường nhà bạn nhiều nhất,... là miếng mồi rất ngon. Rất nhiều người đã dán code vào console chạy rồi. Kết quả là Bùm, mất tài khoản :haha:


View attachment 2107789
Click to expand...
Giờ bạn gửi cho mình bất cứ script nào đi mình mở console facebook lên chạy cho (đùng gửi script like, comment, share dạo các kiểu là đc, hack tài khoản thôi nhé), chưa kể đây là mình tự chạy script cho bạn chứ ko phải do bạn inject XSS từ lỗ hổng nào đó của FB
Hiện tại chỉ có cách "hack" duy nhất là tạo ra 1 trang web giả mạo rồi bằng mọi cách phải làm sao cho nạn nhân truy cập vào đó rồi tiếp tục dụ nạn nhân cung cấp tiếp user/pass thôi
Ngoài ra còn có cách ctrl+U copy toàn bộ source gửi cho hacker (cách này ko biết hiện tại còn sử dụng đc nữa hay ko).
Nhưng tất cả những cách trên đều ko được gọi là XSS hay CRFS nhé
 
Last edited:
Theo mình hiểu:
1. Có trang web giả mạo nhưng hình ảnh giống thật 100%, mỗi đường link là "fake" nên người dùng ít chú ý cứ thế là lao vào.
2. Sau khi vào trang đó thì phải truy nhập, dùng pass, khai báo vài thứ ....
3. Kẻ gian thu thập thông tin đó và vào trang web thật để truy nhập, đổi pass, email, phương thức kiểm tra 2 lớp ...
4. Nếu OK thì chính thức mất TK.
Nhưng có thắc mắc: Nếu mình dùng bảo mật 2 lớp thì khi thay đổi như vậy thường các mã xác nhận được gửi đến email, hay số ĐT đã đăng ký. Mà email hay số ĐT đó thì kẻ gian chưa thể thay thế của mình ngay được nên ko thể hack, hay chiếm quyền TK đó được.
Nên khi nhận được thông báo về mã số xác thực thì hoặc ko làm gì hoặc truy nhập trang của mình để kiểm tra và đổi pass ...
 
hgdom said:
Giờ bạn gửi cho mình bất cứ script nào đi mình mở console facebook lên chạy cho (đùng gửi script like, comment, share dạo các kiểu là đc, hack tài khoản thôi nhé), chưa kể đây là mình tự chạy script cho bạn chứ ko phải do bạn inject XSS từ lỗ hổng nào đó của FB
Hiện tại chỉ có cách "hack" duy nhất là tạo ra 1 trang web giả mạo rồi bằng mọi cách phải làm sao cho nạn nhân truy cập vào đó rồi tiếp tục dụ nạn nhân cung cấp tiếp user/pass thôi
Ngoài ra còn có cách ctrl+U copy toàn bộ source gửi cho hacker (cách này ko biết hiện tại còn sử dụng đc nữa hay ko).
Nhưng tất cả những cách trên đều ko được gọi là XSS hay CRFS nhé
Click to expand...
Nếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!
 
zaizai_vjp said:
Nếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!
Click to expand...
Người ta ko hiểu thì giải thích lịch sự nhẹ nhàng, người ta cũng đâu có thượng đẳng gì với anh đâu? Chỗ này ko phải F33 mà anh bày tỏ quan điểm mạnh mẽ vậy?
 
hminh2005 said:
Theo mình hiểu:
1. Có trang web giả mạo nhưng hình ảnh giống thật 100%, mỗi đường link là "fake" nên người dùng ít chú ý cứ thế là lao vào.
2. Sau khi vào trang đó thì phải truy nhập, dùng pass, khai báo vài thứ ....
3. Kẻ gian thu thập thông tin đó và vào trang web thật để truy nhập, đổi pass, email, phương thức kiểm tra 2 lớp ...
4. Nếu OK thì chính thức mất TK.
Nhưng có thắc mắc: Nếu mình dùng bảo mật 2 lớp thì khi thay đổi như vậy thường các mã xác nhận được gửi đến email, hay số ĐT đã đăng ký. Mà email hay số ĐT đó thì kẻ gian chưa thể thay thế của mình ngay được nên ko thể hack, hay chiếm quyền TK đó được.
Nên khi nhận được thông báo về mã số xác thực thì hoặc ko làm gì hoặc truy nhập trang của mình để kiểm tra và đổi pass ...
Click to expand...
Bật được bảo mật 2 lớp là một lớp bảo vệ rất mạnh mẽ. Nhưng vấn đề là nhiều người sẽ ko nhận thức được, otp gửi về là phải giữ bí mật, ko được chia sẻ với bất kì ai.
Nhiều người ko biết, gửi cả opt cho hacker. Vậy là đi rồi.
Mà kịch bản như vậy lại xảy ra cực kì phổ biến nhé.
0jtAlLv.gif
 
zaizai_vjp said:
Nếu bạn có vấn đề về đọc hiểu, không phân biệt được quá khứ và hiện tại thì mình xin phép dừng tranh luận nhé. Chào bạn!
Click to expand...
Khi bạn ko biết trả lời ntn, hãy dùng mẫu câu này, thoát pressing ác
 
Có một cách phishing nhưng tinh vi hơn, là kiểu giả pop-up login của facebook bằng HTML/CSS.

Như ảnh dưới này nó có thể thay đổi cả URL trên cái pop-up giả để trông giống y change pop-up window thật. Làm kỹ thì detect User Agent rồi show ra những giao diện khác nhau cho mỗi hđh/trình duyệt, thậm chí có cả toolkit lo việc đó luôn.
Cái này người có kiến thức vẫn có thể bị lừa, cứ nghĩ là lỗi hoặc lâu ngày không đăng nhập nó tự đăng xuất,...

Để phòng tránh thì khi thấy pop-up dạng này, mình nên tập thói quen kéo window con ra ngoài window trình duyệt khi đăng nhập, nếu kéo ra được và domain tin cậy thì có thể đăng nhập được.
1696848558833.png
 
datltv said:
Có một cách phishing nhưng tinh vi hơn, là kiểu giả pop-up login của facebook bằng HTML/CSS.

Như ảnh dưới này nó có thể thay đổi cả URL trên cái pop-up giả để trông giống y change pop-up window thật. Làm kỹ thì detect User Agent rồi show ra những giao diện khác nhau cho mỗi hđh/trình duyệt, thậm chí có cả toolkit lo việc đó luôn.
Cái này người có kiến thức vẫn có thể bị lừa, cứ nghĩ là lỗi hoặc lâu ngày không đăng nhập nó tự đăng xuất,...

Để phòng tránh thì khi thấy pop-up dạng này, mình nên tập thói quen kéo window con ra ngoài window trình duyệt khi đăng nhập, nếu kéo ra được và domain tin cậy thì có thể đăng nhập được.
View attachment 2117409
Click to expand...
adu cao chiêu phết
 
hminh2005 said:
Theo mình hiểu:
1. Có trang web giả mạo nhưng hình ảnh giống thật 100%, mỗi đường link là "fake" nên người dùng ít chú ý cứ thế là lao vào.
2. Sau khi vào trang đó thì phải truy nhập, dùng pass, khai báo vài thứ ....
3. Kẻ gian thu thập thông tin đó và vào trang web thật để truy nhập, đổi pass, email, phương thức kiểm tra 2 lớp ...
4. Nếu OK thì chính thức mất TK.
Nhưng có thắc mắc: Nếu mình dùng bảo mật 2 lớp thì khi thay đổi như vậy thường các mã xác nhận được gửi đến email, hay số ĐT đã đăng ký. Mà email hay số ĐT đó thì kẻ gian chưa thể thay thế của mình ngay được nên ko thể hack, hay chiếm quyền TK đó được.
Nên khi nhận được thông báo về mã số xác thực thì hoặc ko làm gì hoặc truy nhập trang của mình để kiểm tra và đổi pass ...
Click to expand...
Facebook lỗ hổng đầy, mới năm trc còn vụ bị khai thác bypass 2fa code :D nên đừng thắc mắc làm gì, hacker nó nhiều cái ảo lắm :D
 

Similar threads

4 More Years
Nhiều người mất sạch bài đăng trên Facebook
Replies
0
Views
232
4 More Years
4 More Years
Thất học
Hacker chỉ mất 60 giây để chiếm đoạt tài khoản Facebook, tài khoản ngân hàng
3 4 5
Replies
95
Views
8K
chauthienqui
chauthienqui
Nguyễn Minh Hà
kiến thức Bật mí: Phân tích 4 cơ chế hoạt động chính của thị trường ngoại hối giúp bạn dễ dàng kiếm lợi nhuận trong đầu tư ngoại hối!
Replies
0
Views
92
Nguyễn Minh Hà
Nguyễn Minh Hà
JRFX-Asia Vn
thảo luận Bật mí: Phân tích 4 cơ chế hoạt động chính của thị trường ngoại hối giúp bạn dễ dàng kiếm lợi nhuận trong đầu tư ngoại hối!
Replies
0
Views
62
JRFX-Asia Vn
JRFX-Asia Vn
H
thảo luận Kiếm N3 Token_Kèo Network3.AI_Treo máy kiếm Point miễn phí
Replies
4
Views
287
leetuan264
L

Share this page

Back
Top