Tôi Khiến Kẻ Lừa Đảo Bạn Tôi “Khóc Thét”

Mở bài

Trong thời gian học cấp 3, tôi có một người bạn bị lừa đảo khi mua tài khoản game thông qua dịch vụ đăng ký bằng SMS. Vấn đề ở đây là bạn tôi đã chuyển tiền trước cho kẻ xấu và sau đó bị lừa. Bạn ấy đã nhờ tôi giúp đỡ.

Thân bài

Thăm dò

Với một chút kiến thức về Social Engineering và kỹ năng lập trình cơ bản, tôi đã đưa ra một số hướng tiếp cận để thu thập thông tin về kẻ lừa đảo.

Tôi phát hiện kẻ xấu đang sử dụng một website để nhận mã SMS và đăng ký các tài khoản ảo. Từ đó, tôi dẫn dụ hắn truy cập vào trang web do tôi tự thiết kế.

Phân tích và lựa chọn phương thức tấn công

Tôi phát hiện có các công cụ như IP Logger có thể thu thập các thông tin như trình duyệt, thiết bị, user-agent và địa chỉ IP (REMOTE_ADDR) chỉ cần thông qua việc truy cập trang web. Nhưng tôi muốn nhiều hơn thế.

JavaScript và các API hữu ích

Nếu bạn từng học JavaScript, chắc bạn sẽ biết về Google Map, các trang kiểm tra webcam hoặc các trang quét mã QR.

Chúng ta có thể truy cập camera (nếu thiết bị hỗ trợ) bằng cách sử dụng API camera thông qua navigator.mediaDevices.getUserMedia. Do bài viết dài, bạn có thể tham khảo mã nguồn tại:
https://anonystick.com/blog-developer/su-dung-javascript-truy-cap-camera-sau-truoc-va-chup-man-minh-thiet-bi-di-dong-2020061162339379

Ngoài ra, trình duyệt còn cung cấp API Geolocation để xác định vị trí thiết bị bằng cách lấy tọa độ vĩ độ (Latitude) và kinh độ (Longitude), từ đó xác định vị trí trên bản đồ Google với sai số rất thấp (~vài mét).
Tham khảo: https://www.w3schools.com/html/html5_geolocation.asp

Giả mạo trang đăng ký SMS

Tôi đã giả mạo một trang đăng ký SMS giống thật để đánh lừa nạn nhân (do đã mất mã nguồn cũ nên tôi dựng lại một bản demo đơn giản).

Trong phần đăng ký tài khoản, tôi cài một nút để gửi hình ảnh từ camera trước và cả vị trí thực tế của người dùng.

Lưu ý: Các API định vị và camera cần người dùng cấp quyền truy cập. Do đó, nên thiết kế một trang web chuyên nghiệp và chỉ yêu cầu quyền khi đến bước đăng ký tài khoản để tránh gây nghi ngờ.
(Đa số người dùng điện thoại thường sẽ quen tay nhấn "Cho phép" mà không đọc kỹ.)

Do API này hoạt động ổn định trên trình duyệt Chrome, tôi đã thêm một đoạn mã để kiểm tra user-agent và tự động chuyển hướng sang trang lỗi 404 nếu không đúng trình duyệt yêu cầu.

Triển khai

Tôi đã gửi liên kết cho kẻ xấu và kiên nhẫn thuyết phục. Sau 3 ngày, kết quả đã đến:

• Kẻ lừa đảo đã cấp quyền truy cập.
• Tôi đã lấy được ảnh và vị trí thực tế của hắn.

Đây là chân dung kẻ đã lừa bạn tôi. Ảnh đã được che mặt để tránh ảnh hưởng và vi phạm quyền riêng tư.

Kết bài

Qua câu chuyện này, ta rút ra được một số điều:

• Học lập trình không bao giờ là đủ.
• Social Engineering là một kỹ năng nâng cao, cực kỳ nguy hiểm nếu rơi vào tay kẻ xấu.
• Cần cảnh giác với những trang web lạ để không trở thành nạn nhân như bạn tôi.