An toàn thông tin cho cán bộ kỹ thuật - Chuyên đề 3: Các kỹ thuật tấn công phổ biến vào hệ thống thông tin (P2)

1/28/2016 1 AN TOÀN THÔNG TIN CHO CÁN BỘ KỸ THUẬT Học viện Công nghệ Bưu chính Viễn thông CÁC KỸ THUẬT TẤN CÔNG PHỔ BIẾN VÀO HỆ THỐNG THÔNG TIN CHUYÊN ĐỀ 3 1/28/2016 2 TỔNG QUAN NỘI DUNG 1. Khái quát kỹ thuật tấn công hệ thống máy tính 2. Một số kỹ thuật tấn công phổ biến 3 2. Một số kỹ thuật tấn công phổ biến 1/28/2016 3 2. Một số kỹ thuật tấn công phổ biến 1. Tấn công Spoofing 2. Tấn công IP Fragmentation 3. Tấn công Packet Sniffing 4. Tấn công MitM (Man-in-the-Middle) 5. Tấn công Replay 6. Tấn công Session Hijacking 7. Tấn công TCP Sequence Prediction 5 2. Một số kỹ thuật tấn công phổ biến 8. Tấn công DoS và DDoS  Ping of Death  Land Attack  SYN Flooding 9. Tấn công DNS 10. Tấn công Buffer Overflow 11. Tấn công Format String 12. Tấn công Back Door 13. Tấn công kiểu Social Engineering 6 1/28/2016 4 2.1. Tấn công giả mạo (Spoofing) Spoofing  Tấn công giả mạo (Spoofing) là tình huống một người/một chương trình giả mạo thành công là một người khác/một chương trình khác bằng cách làm sai lệch dữ liệu và do đó đạt được một lợi thế không chính đáng.  Có nhiều loại tấn công giả mạo như:  Giả mạo IP  Giả mạo MAC  Giả mạo URL  Giả mạo ARP  Giả mạo DNS  Giả mạo địa chỉ Email 8 1/28/2016 5 Giả mạo địa chỉ IP  Giả mạo địa chỉ IP là kỹ thuật được dùng để chiếm quyền truy cập trái phép vào máy tính. Kẻ tấn công sẽ gửi các thông điệp đến một máy tính sử dụng một địa chỉ IP giả mạo với mục đích lừa gạt để người nhận tin rằng thông điệp được phát ra từ một máy tính đáng tin cậy.  Có nhiều kỹ thuật hacker sử dụng để lấy được các địa chỉ IP tin cậy, sau đó sửa đổi tiêu đề gói tin để chèn các địa chỉ giả mạo. Tuy nhiên, các router và firewall thế hệ mới với cấu hình thích hợp có thể ngăn chặn được giả mạo IP. 9 A 10.10.10.1 www.abc.com 124.111.1.10 10.10.10.1 Src_IP 124.111.1.10 dst_IP Any (>1024) Src_port 80 dst_port 11.11.11.1 Src_IP 134.117.1.60 dst_IP Any (>1024) Src_port 80 dst_port Giả mạo Giả mạo địa chỉ IP (tiếp) 10 1/28/2016 6 Giả mạo địa chỉ IP (tiếp) 11 Tại sao dễ dàng thực hiện tấn công giả mạo IP?  Các lỗi trong cấu hình router  Router chỉ quan tâm các địa chỉ đích  Việc xác thực chỉ dựa trên các địa chỉ nguồn  Thay đổi các trường trong gói tin IP rất dễ dàng 12 1/28/2016 7 Các biến thể của tấn công giả mạo IP Có một số tấn công sử dụng giả mạo IP: 1. Non-blind spoofing 2. Blind spoofing 3. Tấn công chiếm kết nối (connection hijacking) 4. Tấn công từ chối dịch vụ (DoS) 5. Tấn công Smurf 13 Các biến thể của tấn công giả mạo IP (tiếp) 1. Non-blind spoofing  Tấn công này xảy ra khi kẻ tấn công nằm trên cùng subnet với mục tiêu bị tấn công. Khi đó, mục tiêu bị tấn công có thể quan sát được các trường sequence và acknowledgement của các gói tin. 14 1/28/2016 8 Người gửi Nạn nhân partner Tôi đã nhận được gói tin từ bạn tôi. Tôi sẽ xử lý nó! Mạo danh 15 Host tin cậy A B Kẻ tấn công Bắt tay 3 bước: SYN(A) ACK(A+1) SYN(B) ACK(B+1) 16 1/28/2016 9 Các biến thể của tấn công giả mạo IP (tiếp) 2. Blind spoofing  Tấn công này có thể xảy ra từ bên ngoài, do đó không thể truy cập được giá trị sequence và acknowledgement của gói tin. Kẻ tấn công thường gửi nhiều gói tin đến các máy tính mục tiêu để lấy mẫu giá trị sequence.  Tấn công này sử dụng giả mạo để can thiệp vào một kết nối (hoặc tạo ra một kết nối) không cùng subnet với mục tiêu. 17 Người gửi Ô hay, có rất nhiều gói tin đến. Nhưng gói nào mới là thật sự? flooding attack Nạn nhân 18 1/28/2016 10 Các biến thể của tấn công giả mạo IP (tiếp) 3. Tấn công chiếm kết nối (connection hijacking)  Trong kiểu tấn công này, bên tấn công chặn một kết nối hợp lệ giữa hai host để kiểm soát thông tin và sau đó loại bỏ hoặc thay đổi các thông tin được gửi bởi một trong những bên tham gia lúc đầu mà họ không biết. 19 Người gửi Gói tin IP giả mạo Nạn nhân reflector src: nạn nhân dst: reflector Ô hay, có quá nhiều gói tin trả lời không đi kèm yêu cầu Reflection attack 20 1/28/2016 11 Các biến thể của tấn công giả mạo IP (tiếp) 4. Tấn công từ chối dịch vụ (DoS)  Khi tiến hành các cuộc tấn công, kẻ tấn công giả mạo IP nguồn khiến việc truy tìm và ngăn chặn DoS trở nên khó khăn. Do đó khi nhiều máy đã bị hack tham gia vào các cuộc tấn công, rất khó khăn để có thể nhanh chóng ngăn chặn các lưu lượng truy cập này.  Giả mạo IP hầu như luôn được sử dụng trong tấn công từ chối dịch vụ (DoS), trong đó kẻ tấn công tiêu hao băng thông và tài nguyên bằng cách gây ngập lụt các mục tiêu với rất nhiều gói tin trong một khoảng thời gian ngắn. 21 Các biến thể của tấn công giả mạo IP (tiếp) 5. Tấn công Smurf  Gửi gói tin ICMP ping với địa chỉ IP nguồn giả mạo tới một mạng LAN, rồi sau đó gói tin này sẽ được quảng bá đến tất cả các host trên mạng LAN  Mỗi host sẽ gửi một gói tin trả lời đến địa chỉ IP giả mạo, từ đó dẫn tới từ chối dịch vụ. 22 1/28/2016 12 Tấn công “Smurf” 23 router Nạn nhân 1 ICMP Echo Req Src: địa chỉ nạn nhân Dest: địa chỉ quảng bá Giống gói tin ping hợp lệ “Bạn còn sống chứ?” yêu cầu từ nạn nhân Mọi host trong mạng gửi gói ping trả lời (ICMP Echo Reply) tới nạn nhân Luồng các gói tin ping trả lời tràn ngập máy nạn nhân Giả mạo địa chỉ MAC  Kẻ tấn công nghe lén địa chỉ MAC của máy trạm hợp pháp trong mạng, sau đó dùng địa chỉ MAC đó để truy cập mạng.  Bằng cách dùng địa chỉ MAC ăn cắp được của nạn nhân, kẻ tấn công có thể nhận được tất cả các lưu lượng đi từ máy nạn nhân tới đích. 24 1/28/2016 13 Giả mạo địa chỉ MAC (tiếp)  Nếu MAC được quyền thực thi trong mạng, kẻ tấn công có thể có quyền thực thi trong mạng đó.  Kẻ tấn công có thể tiến hành nhận dạng một ai đó trên mạng  Công cụ giả mạo MAC trên MS Windows:  SMAC 2.0 25 Email Spoofing 26 1/28/2016 14 2.2. Tấn công phân mảnh IP (IP fragmentation) Định dạng IP datagram ver length 32 bits dữ liệu (độ dài thay đổi, tùy theo đoạn TCP hoặc UDP) 16-bit identifier header checksum time to live 32 bit địa chỉ IP nguồn số hiệu phiên bản giao thức IP độ dài header (bytes) số hop còn lại tối đa (giảm xuống tại mỗi router) dành cho việc phân mảnh/ tổng hợp tổng độ dài datagram (bytes) giao thức lớp trên head. len type of service “kiểu” của dữ liệu flgs fragment offset upper layer 32 bit địa chỉ IP đích tùy chọn (nếu có) ví dụ: trường timestamp ghi nhận đường đi, danh sách các router để đi đến 28 1/28/2016 15 ID =x offset =0 fragflag =0 length =4000 ID =x offset =0 fragflag =1 length =1500 ID =x offset =185 fragflag =1 length =1500 ID =x offset =370 fragflag =0 length =1040 1 datagram lớn thành một vài datagram nhỏ hơn Phân mảnh và tập hợp lại gói tin IP Ví dụ  4000 byte datagram  MTU = 1500 bytes 1480 bytes trong trường dữ liệu offset = 1480/8 29 Tấn công phân mảnh IP  Tấn công phân mảnh IP  Giá trị offset quá nhỏ  Xác định các gói nhỏ bất thường  Có thể vượt qua một số thiết bị lọc gói tin  Sự chồng lấn các mảnh IP  Giá trị offset xác định sự chồng lấn  Tấn công Teardrop 30 1/28/2016 16 Tấn công phân mảnh IP (tiếp)  Router và Internet Gateway là các thiết bị chung  Các gói tin được phân mảnh không đúng thường được chuyển tiếp với lưu lượng khác.  Yêu cầu “kiểm tra Statefull” 31 2.3. Tấn công Packet Sniffing 1/28/2016 17 Định tuyến IP  Định tuyến internet sử dụng địa chỉ IP số  Định tuyến điển hình sử dụng một số hops. Alice Bob ISP Office gateway 121.42.33.12 132.14.11.51 5 Source Destination Sequence Packet 121.42.33.12 121.42.33.1 132.14.11.51 132.14.11.1 33 Packet Sniffing  Promiscuous Network Interface Card (Cạc giao diện mạng ngẫu nhiên) đọc tất cả các gói tin  Đọc tất cả các dữ liệu được mã hóa (e.g., “ngrep”)  ftp, telnet gửi mật khẩu rõ ràng Alice Bob Eve Network 34 1/28/2016 18 Xem xét các thiết bị kết nối  Hub  Switch  Router 35 Hub  Hub về cơ bản là bộ lặp (repeater) tại tầng vật lý:  Các bit đến từ một liên kết và đi đến các liên kết khác theo cùng tỷ lệ  Không có vùng đệm cho khung dữ liệu (frame)  Không sử dụng CSMA/CD tại hub: các adapter sẽ phát hiện xung đột  Cung cấp chức năng quản trị mạng twisted pair hub 36 1/28/2016 19 Sniffing  Kẻ tấn công nằm bên trong firewall  Yêu cầu:  Host của kẻ tấn công được kết nối với môi trường chia sẻ  NIC phải ở trong “chế độ ngẫu nhiên” • Xử lý tất cả các khung đến NIC  Sniffer có 2 thành phần:  Bắt gói tin  Phân tích gói tin  Lấy và chuyển đi  Các userid và password  Số thẻ tín dụng  Các cuộc hội thoại email bí mật  Tấn công Island hopping:  Đi qua các máy tính đơn (ví dụ, vi rút)  Cài đặt sniffer, quan sát password, đi qua nhiều máy, cài đặt các sniffer 37 Sniffing thụ động  Dễ dàng sniff:  Lưu lượng 802.11 (802.11 traffic)  Lưu lượng Ethernet qua một hub • Bất kỳ gói tin nào gửi cho hub cũng được quảng bá đến tất cả các giao diện • Không đúng cho một switch  Lưu lượng cable modem  Các sniffer thông dụng  Wireshark  tcpdump (for unix)  Snort (sniffing và kiểm tra xâm nhập) 38 1/28/2016 20 Sniffing chủ động qua một switch switch Kẻ tấn công Nạn nhân Làm thế nào kẻ tấn công có thể sniff các gói tin đến/từ một nạn nhân? Có thể lấy được các gói tin của nạn nhân đi đến kẻ tấn công! 39 Sniffing qua một switch: cách tiếp cận làm tràn bộ nhớ switch  Host gửi ngập tràn các frames với các địa chỉ MAC nguồn ngẫu nhiên  Bảng chuyển tiếp của switch sẽ được điền đầy với các địa chỉ MAC không có thật  Khi “gói tin tốt đi đến,” địa chỉ MAC đích sẽ không nằm trong bộ nhớ của switch  Switch gửi quảng bá các gói tin thật đến tất cả các liên kết  Sniff tất cả các gói tin quảng bá 40 1/28/2016 21 Cách phòng thủ  Gắn các địa chỉ MAC vào cổng switch  Có sẵn trên các switch cao cấp  Cấu hình phức tạp Ưu tiên cho ánh xạ hiện có  Chỉ thay thế chúng khi timeout đã hết 41 Sniffing qua LAN: phá hoại bảng ARP của nạn nhân Kẻ tấn công Thế giới bên ngoài Router mặc định cho LAN switchNạn nhân (1) Gửi các đáp ứng ARP giả, ánh xạ địa chỉ IP của router thành địa chỉ MAC của kẻ tấn công (2) Nạn nhân gửi lưu lượng đã đến ra thế giới bên ngoài. Bảng ARP bị phá hoại là nguyên nhân làm cho lưu lượng được gửi đến kẻ tấn công. (3) Các gói tin được chuyển tiếp từ host của kẻ tấn công tới router mặc định. (0) Sniff tất cả các frame đến. Cấu hình để các gói IP đến từ nạn nhân được chuyển tiếp đến router mặc định Ý tưởng: có lưu lượng của client được chuyển đến kẻ tấn công 42 1/28/2016 22 Các công cụ sniffing mạnh  Dsniff và ettercap  Làm tràn bộ nhớ switch  Phá hoại bảng ARP 43 Phòng thủ Sniffing  Mã hóa dữ liệu: IPsec, SSL, PGP, SSH  Không sử dụng hub: chuyển hoàn toàn sang mạng chuyển mạch.  Sử dụng mã hóa cho cả không dây và các kênh cáp.  Cấu hình các switch với địa chỉ MAC  Tắt tính năng tự học (biết ánh xạ giữa các cổng và các địa chỉ MAC)  Loại bỏ vấn đề tràn bộ nhớ  Các hệ thống kiểm tra xâm nhập  Xem xét được số lượng lớn đáp ứng ARP  Honeypot  Tạo mật khẩu giả mạo và gửi mật khẩu qua mạng  Xác định kẻ tấn công khi họ sử dụng mật khẩu 44 1/28/2016 23 2.4. Tấn công MitM (Man-in-the-Middle) Kịch bản chung Server Client Kẻ tấn công 46 1/28/2016 24 Các kịch bản tấn công MITM  Cách tấn công khác nhau trong các tình huống khác nhau LOCAL AREA NETWORK: - Phá hoại ARP - Giả mạo DNS - STP mangling - Đánh cắp cổng TỪ LOCAL TỚI REMOTE (qua gateway): - Phá hoại ARP - Giả mạo DNS - Giả mạo DHCP - ICMP redirection - Giả mạo IRDP - route mangling REMOTE: - Phá hoại DNS - traffic tunneling - route mangling 47 Ví dụ local MIMT: giả mạo DNS  Nếu kẻ tấn công nghe trộm được ID của bản tin DNS request, họ có thể gửi trả lời trước server DNS thật HOST DNSserverX.localdomain.in 10.1.1.50 MITM 10.1.1.1 48 1/28/2016 25 Các công cụ dùng trong giả mạo DNS  ettercap (  Phantom plugin  dsniff (  Dnsspoof  zodiac ( 49 Ví dụ local tới remote MIMT: chuyển hướng ICMP  Nếu kẻ tấn công có thể bắt chuyển hướng gói ICMP nhằm chuyển lưu lượng tới chúng G1 AT H T ICMP redirect to AT 50 1/28/2016 26 Các công cụ dùng trong chuyển hướng ICMP  IRPAS icmp_redirect (Phenoelit) (  icmp_redir (Yuri Volobuev) 51 Ví dụ tấn công MIMT từ xa: đường hầm dữ liệu 52 Router 1 Gateway INTERNET Server Client Host giả mạo Kẻ tấn công Tunnel GRE 1/28/2016 27 Các công cụ  ettercap (  Zaratan plugin  tunnelX ( 53 2.5. Tấn công lặp lại (Replay) 1/28/2016 28 {“trừ $100 từ credit card”}AET-secret {“trừ $100 từ credit card”}AET-secret Alice’s balance = $100 {“trừ $100 từ credit card”}AET-secret 2 Kẻ tấn công thậm chí không biết tí gì về mật khẩu ! 55 Tấn công lặp lại  Trước tiên, kẻ tấn công chặn thông điệp  Việc này khá dễ dàng 56 1/28/2016 29 Tấn công lặp lại (tiếp)  Sau đó, kẻ tấn công truyền lại (lặp lại) thông điệp tới host đích ban đầu  Không cần thiết phải đọc được thông điệp để truyền lại 57 Tấn công lặp lại (tiếp)  Tại sao lại thực hiện tấn công lặp lại?  Để chiếm quyền truy cập tới tài nguyên bằng cách lặp lại thông điệp xác thực  Trong tấn công DoS, được dùng để gây nhiễu host đích 58 1/28/2016 30 2.6. Tấn công chiếm đoạt phiên (Session Hijacking) Session hijacking  Lấy quyền điều khiển của một phía trong kết nối TCP  Kết hợp sniffing và spoofing Alice telnet Alice Bob Attacker 60 1/28/2016 31 Chi tiết tấn công session hijacking  Kẻ tấn công trên đoạn lưu lượng giữa Alice và Bob  Kẻ tấn công sniff các gói tin  Nhìn thấy các gói tin TCP giữa Bob và Alice và các số thứ tự (sequence number) của chúng.  Kẻ tấn công nhảy vào, gửi các gói TCP tới Bob; địa chỉ IP nguồn = Địa chỉ IP của Alice  Lúc này Bob sẽ nghe lệnh được gửi từ kẻ tấn công, vì nghĩ là nó được gửi từ Alice.  Nguyên lý phòng thủ: mã hóa  Kẻ tấn công không có khóa để mã hóa và chèn lưu lượng có ý nghĩa. 61 Hạn chế của session hijacking Alice Bob Kẻ tấn công 1. Số ACK đặc biệt cho dữ liệu không bao giờ gửi 2. Để đồng bộ hóa, Alice gửi segment với số thứ tự (seq#) đúng. Bob nhận được segments từ kẻ tấn công và Alice. Địa chỉ IP nguồn là như nhau, nhưng số thứ tự (seq#) khác nhau. Bob sẽ ngắt kết nối. Cách thức của kẻ tấn công:  Gửi các đáp ứng ARP không được yêu cầu tới Alice và Bob với địa chỉ MAC không tòn tại.  Ghi đè lên bảng ARP IP-to-MAC  Segments của Alice sẽ không tới được Bob và ngược lại.  Nhưng kẻ tấn công sẽ tiếp tục nghe ngóng các segments từ phía Bob, liên lạc với Bob. 62 1/28/2016 32 Các công cụ session Hijacking  Hunt   Hỗ trợ phá hoại ARP  Netcat  Rất thông dụng 63 2.7. Tấn công TCP Sequence Prediction 1/28/2016 33 Số thứ tự TCP (TCP Sequence Numbers)  Số thứ tự (32 bits) – có hai vai trò:  Nếu cờ SYN được lập, thì đây là số thứ tự khởi tạo. Số thứ tự của byte dữ liệu đầu tiên thực tế là số thứ tự này công thêm 1.  Nếu cờ SYN bị xóa, thì đây là số thứ tự tích lũy của byte dữ liệu đầu tiên của gói tin này cho phiên hiện tại.  Số báo nhận (Acknowledgment number) (32 bits)  Nếu cờ ACK được lập thì đây là số thứ tự tiếp theo mà bên nhận mong đợi.  Điều này báo nhận rằng đã nhận được tất cả các byte trước đó (nếu có) 65 TCP quản lý kết nối Chú ý: Bên gửi và bên nhận TCP thiết lập “kết nối” trước khi trao đổi dữ liệu  khởi tạo các biến TCP:  các số thứ tự đoạn  thông tin các bộ đệm, điều khiển luồng (như RcvWindow)  client: người khởi xướng kết nối Socket clientSocket = new Socket("hostname","port number");  server: được tiếp xúc bởi client Socket connectionSocket = welcomeSocket.accept(); Bắt tay 3 bước: Bước 1: client host gửi đoạnTCP SYN đến server • xác định số thứ tự khởi đầu • không phải dữ liệu Bước 2: server host nhận SYN, trả lời với đoạn SYNACK • server cấp phát các bộ đệm • xác định số thứ tự khởi đầu Bước 3: client nhận SYNACK, trả lời với đoạn ACK (có thể chứa dữ liệu) 66 1/28/2016 34 TCP quản lý kết nối (tiếp) Đóng một kết nối: client đóng socket: clientSocket.close(); Bước 1: client gửi đoạn điều khiển TCP FIN đến server Bước 2: server nhận FIN, trả lời với ACK. Đóng kết nối, gửi FIN. client server đóng đóng đã đóng th ờ i g ia n c h ờ 67 TCP quản lý kết nối (tiếp) Bước 3: client nhận FIN, trả lời với ACK.  Trong khoảng “thời gian chờ” – sẽ phản hồi với ACK để nhận các FIN Bước 4: server, nhận ACK. Kết nối đã đóng. Chú ý: với một sửa đổi nhỏ, có thể quản lý nhiều FIN đồng thời. đã đóng client server đang đóng đang đóng th ờ i g ia n c h ờ đã đóng 68 1/28/2016 35 Tấn công dự đoán số thứ tự TCP (TCP sequence prediction)  Dự đoán số thứ tự được dùng để xác định các gói tin trong một kết nối TCP, và sau đó giả mạo các gói tin.  Kẻ thù: không có toàn quyền kiểm soát mạng, nhưng có thể chèn các gói tin với địa chỉ IP giả.  Ví dụ, điều khiển một máy tính trên mạng cục bộ.  Số thứ tự TCP được dùng để xác thực các gói tin  Khởi tạo seq# cần tiên đoán ở mức độ cao.  Nếu kẻ tấn công biết seq # khởi tạo và tính được lưu lượng gửi, thì có thể ước lượng giá trị có khả năng hiện tại.  Một số cài đặt dễ bị công kích 69 Blind TCP Session Hijacking  A, B kết nối tin cậy  Gửi các gói tin với số thứ tự dự đoán được.  E đóng vai B tới A  Mở kết nối tới A để lấy số thứ tự khởi tạo  Hàng đợi DoS của B  Gửi các gói tin tới A mà tương tự như của B truyền đi  E không thể nhận được, nhưng có thể thực hiện lệnh trên A Server A B E Tấn công có thể bị chặn nếu E nằm bên ngoài tường lửa 70 1/28/2016 36 Các điểm yếu từ Session Hijacking  Chèn dữ liệu vào trong một lưu lượng không được mã hóa từ server đến server, như trao đổi e-mail, các chuyển vùng DNS,  Chèn dữ liệu vào lưu lượng không được mã hóa từ client đến server, như tải tệp ftp, các đáp ứng http.  Địa chỉ IP thường được dùng để kiểm tra sơ bộ trên các tường lửa hoặc tại mức dịch vụ.  Giấu nguồn gốc của tấn công độc hại.  Thực hiện các cuộc tấn công MITM trên các giao thức mật mã yếu.  Thường dẫn đến cảnh báo cho người dùng là được bỏ qua.  Tấn công từ chối dịch vụ, như là đặt lại các kết nối. 71 DoS bị công kích bởi session hijacking  Giả sử kẻ tấn công có thể đoán số thứ tự cho một kết nối đang tồn tại:  Kẻ tấn công có thể gửi gói tin Reset tới kết nối đóng. Kết quả trong DoS.  Bài toán thành công, cơ bản là 1/232 (32-bit seq.#).  Hầu hết các hệ thống cho phép chấp nhận một cửa sổ lớn seq. #. • Xác xuất thành công cao hơn nhiều  Tấn công hiệu quả nhất chống lại các kết nối có thời gian tồn tại lâu, ví dụ BGP. 72 1/28/2016 37 2.8. Tấn công DoS và DDoS Từ chối dịch vụ (Denial-of-Service)  Cài đặt tấn công công kích:  Gửi một vài tin nhắn thủ công đến ứng dụng đích dễ bị công kích.  Thông điệp độc hại được gọi là “khai thác”  Dừng điều khiển từ xa hoặc đánh sập các dịch vụ Tấn công ngập lụt kết nối  Áp đảo hàng đợi kết nối với ngập lụt SYN. Tấn công ngập lụt băng thông  Áp đảo liên kết truyền thông với các gói tin  Sức mạnh trong tấn công ngập lụt nằm trong khối lượng nhiều hơn là nội dung. Ngăn chặn truy nhập bởi người dùng hợp pháp hoặc dừng các tiến trình hệ thống quan trọng. 74 1/28/2016 38 DoS và DDoS  DoS:  Nguồn tấn công là số lượng nhỏ các nút  IP nguồn điển hình bị giả mạo  DDoS  Từ hàng nghìn nút  Địa chỉ IP thường không giả mạo 75 DoS: ví dụ các tấn công lỗ hổng  Land: gửi gói tin giả mạo với địa chỉ/cổng nguồn và đích giống nhau.  Ping of death: gửi gói tin ping quá kích cỡ  Jolt2: gửi một luồng các mảnh, không mảnh nào có offset là 0. Tập hợp lai sử dụng tất cả nguồn lực xử lý. Teardrop, Newtear, Bonk, Syndrop: các công cụ gửi các segment chồng nhau, nghĩa là, offset của các mảnh không đúng. 76 xem tại 1/28/2016 39 Áp đảo băng thông liên kết với các gói tin  Lưu lượng tấn công được tạo ra tương tự như lưu lượng hợp pháp, gây trở ngại cho phát hiện.  Luồng lưu lượng phải tiêu tốn nguồn tài nguyên băng thông của mục tiêu.  Kẻ tấn công cần gắn kết với nhiều hơn một máy => DDoS  Có thể dễ dàng hơn để đạt được mục tiêu lấp đầy băng thông upstream: truy nhập async  Ví dụ: tấn công các seed của BitTorrent 77 DoS phân tán: DDos InternetKẻ tấn công Nạn nhân bot bot bot bot Kẻ tấn công chiếm giữ nhiều máy, gọi là “bots”. Các bots tiền năng là các máy dễ bị công kích. Các tiến trình của bot sẽ đợi lệnh từ kẻ tấn công để làm ngập lụt mục tiêu 78 1/28/2016 40 DDoS: Tấn công phản xạ Kẻ tấn công Nạn nhân DNS server DNS server DNS server DNS server request request request request reply reply reply reply IP nguồn = IP của nạn nhân 79 DDoS: Tấn công phản xạ (tiếp)  Địa chỉ IP nguồn giả mạo = IP của nạn nhân  Mục tiêu: tạo ra câu trả lời dài dòng hoặc nhiều cho các yêu cầu ngắn: khuếch đại  Nếu không có khuếch đại: nên làm gì?  Tấn công tháng 1 năm 2001:  Yêu cầu bản ghi DNS lớn  Tạo ra lưu lượng 60-90 Mbps  Tấn công phản xạ có thể cũng được thực hiện với Web hoặc các dịch vụ khác. 80 1/28/2016 41 Phòng thủ tấn công DDoS  Không để cho hệ thống của bạn trở thành bot  Giữ hệ thống cập nhật bản vá  Cung cấp lọc chống giả mạo đi ra trên router ngoài.  Lọc các gói tin nguy hiểm  Các tấn công lỗ hổng  Hệ thống ngăn chặn xâm nhập  Dự phòng tài nguyên lớn  Băng thông dồi dào  Tài nguyên server lớn  ISP cũng cần băng thông dồi dào  Nhiều ISPs  Chữ ký, phát hiện bất thường và lọc  Giới hạn tốc độ  Giới hạn số lượng gói tin từ nguồn đến đích 81 ICMP Ping Of Death • Flag=last fragment • Offset*8 + Length > 65535 Ping of death: gửi gói tin ping có kích thước quá khổ Là một kiểu tấn công DoS ! Tấn công DoS: Ping of Death 82 1/28/2016 42 Tấn công DoS: Ping of Death (tiếp)  ICMP Echo Request (Ping) là 56 bytes  Nếu một thông điệp ping lớn hơn 65536 bytes (là kích thước lớn nhất của một gói tin IP), thì có thể làm cho một số máy bị sập khi tập hợp lại gói tin.  Các hệ thống windows cũ 83 Tấn công DoS: LAND  Local Area Network Denial  Gói tin giả mạo với tập cờ SYN  Gửi tới cổng mở  Địa chỉ/Cổng nguồn giống địa chỉ/cổng đích  Nhiều hệ điều hành bị khóa Là một loại tấn công DoS lớp 4 84 1/28/2016 43 Tấn công ICMP LAND 85  Client gửi gói tin SYN với số thứ tự khởi đầu khi khởi tạo một kết nối  TCP trên máy server cấp phát bộ nhớ cho hàng đợi của nó để theo dõi trạng thái của kết nối half-open mới  Với mỗi kết nối half-open, server đợi ACK segment, thường sử dụng timeout > 1 phút  Tấn công: Gửi nhiều gói tin SYN, hàng đợi kết nối đầy các kết nối half-open  Có thể giả mạo địa chỉ IP nguồn!  Khi hàng đợi kết nối bị sử dụng hết, thì sẽ không có kết nối mới nào được khởi tạo bởi người dùng hợp lệ Cần phải biết các cổng mở trên máy của nạn nhân: Quét cổng 86 Ngập lụt kết nối: Hàng đợi kết nối áp đảo w/ SYN flood Tấn công DoS: SYN Flooding 1/28/2016 44 Tấn công SYN Flooding (tiếp) 87 S SYNC1 Lắng nghe Tạo ra một thread mới, lưu dữ liệu của kết nốiSYNC2 SYNC3 SYNC4 SYNC5 và thêm nữa và thêm nữa và thêm nữa và thêm nữa và thêm nữa Tấn công SYN Flooding (tiếp)  Kẻ tấn công gửi nhiều yêu cầu kết nối (SYNs) với địa chỉ nguồn giả mạo  Nạn nhân cấp phát tài nguyên cho mỗi yêu cầu  Trạng thái kết nối, luồng (thread) mới được duy trì đến khi timeout  Cố định ràng buộc trên các kết nối half-open  Khi nguồn tài nguyên bị cạn kiệt, các yêu cầu từ client hợp pháp sẽ bị từ chối.  Đây là một dạng tấn công từ chối dịch vụ cổ điển  Mô hình chung: không tốn kém gì để client gửi một yêu cầu kết nối, nhưng TCP server phải sinh ra một luồng cho mỗi yêu cầu – không đối xứng!  Cho một ví dụ khác về hành vi này? 88 1/28/2016 45 Vấn đề của SYN flood Nạn nhân Kẻ tấn công Alice Hàng đợi kết nối được giải phóng với các RST segment Tấn công không chuyên: Tấn công chuyên nghiệp: Sử dụng nhiều nguồn địa chỉ IP, mỗi nguồn từ các địa chỉ không phản hồi 89 2.9. Tấn công DNS 1/28/2016 46 Tấn công DNS  Tấn công phản xạ : đã đề cập  Tận dụng DNS cho các cuộc tấn công vào mục tiêu tùy ý  Từ chối dịch vụ DNS  Dừng DNS server gốc  Dừng top-level-domain servers (ví dụ, miền .com)  Dừng server cục bộ (servers tên mặc định)  Sử dụng DNS giả mạo để trả lời nhằm chuyển hướng người dùng  Phá hoại DNS (poisoning):  Chèn bản ghi tài nguyên lỗi vào các vùng đệm DNS khác nhau.  Các bản ghi lỗi chứa địa chỉ IP được điều hành bởi kẻ tấn công. 91 Tấn công DDos DNS Ngày 21, tháng 10, năm 2002  Các gói tin Ping được gửi từ chương trình đến 13 DNS servers gốc. Mục đích: làm cho các server ngập lụt băng thông.  Tác động tối thiểu  DNS caching  Hạn chế tốc độ tại các upstream router: lọc ping khi chúng đến với tốc độ quá mức  Trong khi tấn công, một số mạng lọc ping; các server gốc tương ứng vẫn up lên  Tấn công server gốc dễ dàng được phòng thủ: download CSDL server gốc về server tên (mặc định) cục bộ.  Không có nhiều dữ liệu trong server gốc; thay đổi thường xuyên  TLD servers dễ biến mất (volatile)  Tương tự loại tấn công vào tháng 5 năm 2004, tháng 2 năm 2007 92 1/28/2016 47 Tấn công DNS: chuyển hướng network Kẻ tấn công client DNS Server cục bộ hub hoặc WiFi 1 2 1. Client gửi truy vấn DNS query tới DNS server cục bộ của nó; sniffing bởi kẻ tấn công. 2. Kẻ tấn công trả lời bằng đáp ứng DNS không có thật. Vấn đề: • Phải spoof địa chỉ IP: thiết lập DNS server cục bộ (dễ dàng) • Phải so khớp ID trả lời với ID yêu cầu (dễ dàng) • Có thể cần dừng đáp ứng từ DNS server cục bộ (khó khăn hơn) 93 Phá hoại bộ đệm DNS (1)  Phá hoại (Poisoning): Cố gắng đưa các bản ghi giả vào trong vùng đệm của DNS name server.  Các bản ghi giả có thể trỏ đến các nút của kẻ tấn công  Các nút của kẻ tấn công có thể giả mạo.  Nhưng những trả lời không được yêu cầu sẽ không được chấp nhận tại một name server.  Các name server sử dụng ID trong thông điệp DNS để so khớp đáp ứng với truy vấn.  Do vậy, không thể chỉ chèn một bản ghi vào trong một name server bằng cách gửi một thông điệp đáp ứng DNS.  Nhưng có thể gửi trả lời cho một yêu cầu. 94 1/28/2016 48 Phá hoại máy chủ DNS cục bộ (2) Local DNS Server (eg, Berkeley) Attacker in Australia: 17.32.8.9 1. DNS query uab.edu=? 3. DNS reply uab.edu= 17.32.8.9 2. Các truy vấn DNS lặp lại authoritative DNS cho uab.edu Mục tiêu: Đặt địa chỉ IP giả cho uab.edu trong Berkeley DNS server cục bộ 1) Kẻ tấn công truy vấn DNS server cục bộ 2) DNS cục bộ làm cho các truy vấn lặp lại 3) Kẻ tấn công đợi một thời gian; gửi một đáp ứng giả, lừa server thẩm quyền (authoritative server) cho uab.edu. 95 Phá hoại máy chủ DNS cục bộ (3) DNS server cục bộ bị đầu độc (ví dụ, Berkeley) Attacker in Australia 17.32.8.9 1. DNS query uab.edu=? 2. DNS query uab.edu=? authoritative DNS cho uab.edu Đáp ứng DNS có thể cung cấp địa chỉ Ip của server độc hại ! 96 1/28/2016 49 Phá hoại DNS (4)  Vấn đề:  Kẻ tấn công có thể cần dừng upstream name server từ việc đáp ứng • Do vậy, server bị tấn công không nghi ngờ • Ping of death, DoS, overflows, 97 Tóm tắt tấn công DNS  DNS là một thành phần quan trọng của cơ sở hạ tầng Internet  Nhưng rất đáng ngạc nhiên:  Các cuộc tấn công DDoS chống lại các servers gốc phần lớn là thành công.  Tấn công đầu độc và tấn công chuyển hướng là khó khăn trừ khi bạn có thể sniff các yêu cầu DNS • Và thậm chí, có thể cần dừng DNS servers từ việc đáp ứng.  DNS có thể được tận dụng cho các tấn công phản chiếu chống lại các nút không phải là DNS. 98 1/28/2016 50 2.10. Tấn công Buffer Overflow Vấn đề void foo(char *s) { char buf[10]; strcpy(buf,s); printf(“buf is %s\n”,s); } foo(“thisstringistolongforfoo”); 100 1/28/2016 51 Khai thác  Ý tưởng chung là để cung cấp cho các chương trình (server) các chuỗi ký tự rất lớn đến mức sẽ làm tràn bộ đệm.  Đối với một server với mã cẩu thả - có thể dễ dàng đánh sập server bằng việc làm tràn bộ đệm.  Đôi khi chúng có thể làm bất kỳ điều gì với server mà chúng muốn (thay vì đánh sập). 101 Kiến thức cần biết  Hàm C và ngăn xếp  Một ít kiến thức về ngôn ngữ máy/hợp ngữ  Hiểu được cách hệ thống gọi thực thi (tại mức mã máy)  Các lời gọi hệ thống exec()  Cách “đoán” được một số tham số quan trọng. 102 1/28/2016 52 Phụ thuộc CPU/OS  Xây dựng một khai thác yêu cầu kiến thức của CPU cụ thể và hệ điều hành của mục tiêu.  Ở đây chỉ nói về x86 và Linux, nhưng các phương pháp làm việc cho cả CPU và OS khác.  Một số chi tiết rất khác nhau, nhưng các khái niệm đều giống nhau. 103 C Call Stack  Khi một hàm gọi được thực hiện, các địa chỉ trả lại được đặt trên ngăn xếp.  Thường thì giá trị của các tham số được đặt trên ngăn xếp.  Thông thường hàm sẽ ghi con trỏ khung ngăn xếp (stack frame pointer) (trên ngăn xếp).  Các biến cục bộ được đặt trên ngăn xếp. 104 1/28/2016 53 Hướng ngăn xếp  Trên Linux (x86) ngăn xếp đi từ địa chỉ cao đến địa chỉ thấp.  Đẩy một cái gì đó trên ngăn xếp đi từ đỉnh của ngăn xếp (Top of Stack) hướng về địa chỉ 0. 105 Một khung của ngăn xếp (A Stack Frame) 106 Các tham số (Parameters) Địa chỉ trả về (Return Address) Gọi con trỏ khung (Calling Frame Pointer) Các biến cục bộ (Local Variables) 00000000 Addresses SP SP+offset 1/28/2016 54 Demo  Jumps: Giới thiệu cách các ngôn ngữ như C sử dụng các khung ngăn xếp để lưu trữ các biến cục bộ, chuyển các biến từ hàm tới hàm bằng giá trị và bằng tham chiếu, và cũng trả lại con trỏ điều khiển đến chương trình con đang gọi khi thoát chương trình con đang được gọi. Minh họa này dùng giả mã trong trường hợp ngôn ngữ C.  Stacks: 107 “Phá Stack”*  Ý tưởng chung là làm tràn bộ đệm đến mức ghi đè lên địa chỉ trả về.  Khi hàm được thực hiện, nó sẽ nhảy đến bất kỳ địa chỉ nào trên ngăn xếp.  Ta đặt một số mã trong bộ đệm và thiết lập địa chỉ trả về để trỏ đến nó! *tham khảo Phrack 49-7 108 1/28/2016 55 Trước và sau void foo(char *s) { char buf[100]; strcpy(buf,s); address of s return-address saved sp buf address of s pointer to pgm Small Program 109 2.11. Tấn công Format String 1/28/2016 56 Hãy thử tìm ra lỗi #include int main(int argc, char* argv[]) { if (argc > 1) printf(argv[1]); return 0; } Chương trình này dễ bị tấn công format string, khi gọi chương trình với các xâu có chứa ký tự đặc biệt có thể dẫn đến kết quả tấn công tràn bộ đệm. 111 Tấn công Format String  int printf(const char *format [, argument]);  snprintf, wsprintf  Chuyện gì sẽ xảy ra khi thực hiện: printf(string);  Khi xâu ký tự (string) được người dùng cung cấp?  Nếu nó có chứa các ký tự đặc biệt, ví dụ: %s, %x, %n, %hn? 112 1/28/2016 57 Tấn công Format String  Tại sao điều này có thể xảy ra?  Nhiều chương trình trì hoãn thông báo đầu ra để hiển thị hàng loạt: fprintf(STDOUT, err_msg);  Trong đó, err_msg được đưa vào bởi người dùng  Nếu người dùng có thể thay đổi err_msg một cách tùy ý, thì tấn công format string có thể xảy ra. 113 Tấn công Format String  %x đọc và in ra 4 bytes từ ngăn xếp  Điều này có thể làm rò rỉ dữ liệu nhạy cảm  %n ghi số ký tự được in vào ngăn xếp  Điều này có thể dẫn đến các tấn công làm tràn bộ đệm...  C format strings phá vỡ nguyên lý “không trộn dữ liệu & code”.  “Dễ dàng” phát hiện & sửa chữa:  thay printf(str) bởi printf(“%s”, str) 114 1/28/2016 58 Sử dụng máy Unix  Máy Unix: eustis.eecs.ucf.edu  Phải sử dụng SSH để kết nối  Tìm SSH client rỗi trên Internet • Ví dụ, Putty (dựa trên dòng lệnh) • • Tìm một SSH client dựa trên GUI  Username: NID  Password mặc định: khởi tạo đầu tiên là tên của bạn viết in hoa và 5 chữ số cuối cùng là PID của bạn. 115 Ví dụ“%x” --- Rò rỉ bộ nhớ 116 #include void main(int argc, char **argv){ int a1=1; int a2=2; int a3=3; int a4=4; printf(argv[1]); } czou@:~$ ./test czou@eustis:~$ ./test "what is this?" what is this?czou@eustis:~$ czou@eustis:~$ czou@eustis:~$ ./test "%x %x %x %x %x %x" 4 3 2 1 bfc994b0 bfc99508czou@eustis:~$ czou@eustis:~$ Bfc994b0: con trỏ ngăn xếp được lưu Bfc99508: địa chỉ trả về 1/28/2016 59 #include void foo(char *format){ int a1=11; int a2=12; int a3=13; int a4=14; printf(format); } void main(int argc, char **argv){ foo(argv[1]); printf("\n"); } $./format-x-subfun "%x %x %x %x : %x, %x, %x " 80495bc e d c : b, bffff7e8, 80483f4 Trả lại địa chỉ4 biến số 117  Các xâu (“%x:%x:%s”) làm gì?  In 2 từ đầu tiên trong bộ nhớ ngăn xếp  Xử lý từ trong bộ nhớ ngăn xếp tiếp theo như địa chỉ bộ nhớ và in ra tất cả mọi thứ cho đến đầu tiên '\0‘ • Segment có thể bị lỗi nếu đi đến bộ nhớ của chương trình khác. 118 1/28/2016 60  Sử dụng định dạng %n để viết bất kỳ giá trị nào cho bất kỳ địa chỉ nào trong bộ nhớ của máy nạn nhân.  %n --- viết 4 byte cùng lúc  %hn --- viết 2 byte cùng lúc  Cho phép kẻ tấn công gắn các cuộc tấn công chứa mã độc  Giới thiệu code tại bất cứ đâu trong bộ nhớ của máy nạn nhân  Sử dụng lỗi định dạng xâu để ghi đè lên địa chỉ trả lại trong ngăn xếp (hoặc một con trỏ hàm) với con trỏ tới mã độc. 119 Ví dụ với “%n”---- viết dữ liệu vào bộ nhớ #include void main(int argc, char **argv){ int bytes; printf(“%s%n\n”, argv[1], &bytes); printf(“You input %d characters\n”, bytes); } czou@eustis:~$./test hello hello You input 5 characters 120 1/28/2016 61 Con trỏ hàm bị ghi đè - Function Pointer Overwritten  Con trỏ hàm: (được dùng trong tấn công trên PHP 4.0.2)  Việc tràn bộ đệm sẽ ghi đè lên con trỏ hàm.  Khó phòng thủ hơn kiểu tấn công return-address overflow. High addr. Of stackbuf[128] FuncPtr 121 Tìm lỗi tràn bộ đệm Kẻ tấn công tìm tràn bộ đệm như sau:  Chạy chương trình server đích trên máy cục bộ.  Vấn đề yêu cầu với các thẻ dài. Tất cả các thẻ dài đều kết thúc với “$$$$$”.  Nếu web server sập, tìm “$$$$$” để xác định vị trí tràn. Một số công cụ tự động: eEye Retina, ISIC. Sau đó sử dụng các bộ phân tách và gỡ lỗi (disassemblers và debuggers) (ví dụ, IDA-Pro) để khai thác. 122 1/28/2016 62  char Signed 8-bit integer hoặc text string  Không nên gán một giá trị > 128 cho một biến “char”  unsigned char Unsigned 8-bit integer  short Signed 16-bit integer  unsigned short Unsigned 16-bit integer  int Signed 32-bit integer (Không dùng long)  unsigned int Unsigned 32-bit integer  long long Signed 64-bit integer  unsigned long long Unsigned 64-bit integer  float 32-bit real  double 64-bit real 123 Tự kiểm tra #include void main(void){ /* short x = 32767;*/ unsigned short x = 65535; x = x +1; printf("x= %d\n", x); }  Thử chạy để xem việc tràn xảy ra như thế nào  Sửa đổi định nghĩa x để xem các trường hợp tràn số nguyên khác 124 1/28/2016 63 2.12. Tấn công Back Door Tấn công Backdoor (BD) Backdoor: là một phần mềm ẩn hoặc một kỹ thuật phần cứng, thường được dùng để kiểm tra hoặc xử lý sự cố. --Theo chuẩn quốc gia của Mỹ cho Viễn thông 126 1/28/2016 64 Attacker Mail Client E-mail Trojan “Trojan” downloads backdoor Attack activity  Khi người dùng chạy file, nó sẽ cài đặt chương trình độc hại mà người dùng không biết. Tấn công Trojans  Kẻ tấn công sử dụng kỹ thuật mạng xã hội hoặc các phương tiện khác để cài đặt các chương trình độc hại trên máy của nạn nhân. Ví dụ, kẻ tấn công có thể gửi email với một file chạy, như là một file hát mừng sinh nhật, tới một người dùng không nghi ngờ. 127 Attacks: Trojans Attacker Mail Client E-mail Trojan “Trojan” downloads backdoor Attack activity Kẻ tấn công truy nhập backdoor, và server bị thỏa hiệp. Kẻ tấn công có toàn quyền kiểm soát máy chủ. Kẻ tấn công sau đó sẽ tương tác với chương trình độc hại để giành quyền điều khiển host của nạn nhân, cho phép chúng làm bất cứ điều gì chúng muốn trên mạng từ phía sau tường lửa. 128 1/28/2016 65 2.13. Tấn công Social Engineering Tấn công Social Engineering  Social engineering là kỹ thuật lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì.  Các kiểu tấn công  Dựa trên con người • Mạo danh qua các cuộc gọi hỗ trợ • Nghe trộm • Nhìn trộm • Tailgating • Tìm thông tin trong thùng rác • Ăn cắp các tài liệu • Piggybacking  Dựa trên máy tính • Cửa sổ pop-up • Giả mạo (Phishing) • Phần mềm giả danh • Trojan • SMS • Email • Chat 130 1/28/2016 66 Các kiểu tấn công  Mạo danh  Giả làm người sử dụng hợp pháp về nhân dạng và yêu cầu các thông tin nhạy cảm: • Xin chào. Tôi là A, đang làm ở bộ phận X. Tôi đã quên mật khẩu email của tôi, nhờ anh đọc lại giúp tôi được không.  Giả làm người sử dụng quan trọng: như thư ký giám đốc, khách hàng quan trọng  Giả làm nhân viên hỗ trợ kỹ thuật và yêu cầu ID+mật khẩu để khôi phục dữ liệu 131 Các kiểu tấn công (tiếp)  Nghe trộm  Nghe trộm các cuộc điện thoại hoặc đọc tin nhắn trái phép  Nhìn trộm  Nhìn trộm bàn phím khi người dùng đang nhập mật khẩu bằng cách nhìn sau lưng, hay thậm chí bằng ống nhòm, webcam  Tailgating  Đeo thẻ nhân viên giả mạo được để xâm nhập vào công ty  Tìm thông tin từ thùng rác  Hóa đơn, thông tin liên lạc, thông tin tài chính, thông tin cá nhân 132 1/28/2016 67 Các kiểu tấn công (tiếp)  Piggybacking  Giả vờ quên thẻ ở nhà để người khác rủ lòng thương  được người có thẩm quyền cho phép được truy cập trái phép  Cửa sổ pop-up  Lừa người dùng điền thông tin hoặc download phần mềm độc hại  Giả mạo (Phishing)  Lừa đảo bằng cách giả mạo qua các phương tiện liên lạc như email, SMS  Phần mềm giả danh  Giả dạng màn hình chờ hay phần mềm hợp lệ 133 Các mối nguy hại khác từ con người  Tấn công từ bên trong:  Đối thủ cạnh tranh muốn gây thiệt hại bằng cách cài người của họ vào công ty  Nhân viên bất mãn  Những nhân viên bất mãn với công ty có thể tự phá hoại hoặc bán thông tin cho công ty cạnh tranh 134 1/28/2016 68 Nguy cơ từ mạng xã hội  Kẻ tấn công mạo danh trên mạng xã hội để tạo ra hoặc tham gia vào các nhóm mà nạn nhân cũng tham gia và thu thập các thông tin riêng tư của họ. Các thông tin này được sử dụng cho các cuộc tấn công khác. 135