Footprinting: Bước Chân Đầu Tiên Trong Mọi Cuộc Tấn Công Mạng

Footprinting là bước đầu tiên trong quá trình hacking, nhằm mục đích thu thập thông tin về mục tiêu (như hệ thống, mạng hoặc tổ chức) để xác định các lỗ hổng tiềm ẩn.

Dưới đây là các kỹ thuật phổ biến, đối tượng tấn công, các lỗ hổng thường bị khai thác và ví dụ minh họa chi tiết.

Footprinting là gì?

Footprinting là quá trình thu thập dữ liệu (có thể là công khai hoặc riêng tư), bao gồm thông tin về hạ tầng mạng, nhân sự hoặc công nghệ của mục tiêu.

Có hai loại Footprinting chính:

• Passive (Thụ động): Không tương tác trực tiếp với mục tiêu.
• Active (Chủ động): Có tương tác trực tiếp với hệ thống của mục tiêu.

Các kỹ thuật Footprinting và Phương pháp tấn công

1. OSINT (Open Source Intelligence)

• Mục đích: Thu thập thông tin từ các nguồn công khai như website, mạng xã hội hoặc báo cáo.
• Đối tượng: Website công ty, báo cáo nội bộ.
• Lỗ hổng (Security Holes): Dữ liệu nhạy cảm không được bảo vệ.
• Phương pháp & Công cụ: Hacker sử dụng Google Dork (truy vấn tìm kiếm nâng cao) để dấu vết dữ liệu nhạy cảm. Một số câu lệnh phổ biến:
  • site:example.com filetype:pdf inurl:confidential → Tìm tất cả file PDF có chứa từ "confidential".
  • site:example.com inurl:login → Tìm các trang đăng nhập không được bảo vệ.
• Công cụ hỗ trợ: Maltego (phân tích mối quan hệ dữ liệu), theHarvester (thu thập email & subdomain).

Ví dụ: Hacker nhắm vào TechCorp. Với truy vấn site:techcorp.com filetype:doc intext:password, họ tìm thấy một file Word chứa mật khẩu tài khoản người dùng. Sau đó, hacker sử dụng mật khẩu này để đăng nhập vào hệ thống nội bộ của TechCorp qua cổng VPN (techcorp.com/vpn).

2. WHOIS & DNS

• Mục đích: Truy vấn thông tin tên miền (WHOIS) hoặc bản ghi DNS để xác định máy chủ, địa chỉ IP hoặc email quản trị.
• Đối tượng: Tên miền (Domain), máy chủ DNS.
• Lỗ hổng: Dữ liệu WHOIS không được bảo vệ, cấu hình DNS sai.
• Phương pháp & Công cụ:
  • Sử dụng whois.domaintools.com hoặc lệnh whois techcorp.com.
  • Sử dụng dnsdumpster.com để tìm các bản ghi DNS, xác định subdomain hoặc IP.

Ví dụ: Hacker truy vấn WHOIS cho techcorp.com và tìm thấy email admin là [email protected]. Sau đó, họ gửi một email Phishing với tiêu đề "Security Alert: Your Account is Compromised" để dụ admin click vào URL giả mạo techcorp-login.com nhằm đánh cắp thông tin đăng nhập.

3. Network Scanning

• Mục đích: Sử dụng các công cụ quét để xác định thiết bị, các cổng đang mở (open ports) và các dịch vụ đang chạy.
• Đối tượng: Server, router, dịch vụ (HTTP, FTP).
• Lỗ hổng: Các cổng mở không cần thiết, dịch vụ lỗi thời (outdated).
• Phương pháp & Công cụ: Sử dụng Nmap để quét mạng. Ví dụ:
  • nmap -sS 192.168.1.0/24 → Quét TCP SYN để xác định thiết bị.
  • nmap -sV -p 21 192.168.1.100 → Kiểm tra phiên bản dịch vụ đang chạy trên cổng 21 (FTP).

Ví dụ: Hacker quét mạng nội bộ của TechCorp và phát hiện server tại 192.168.1.100 đang mở cổng 21, chạy vsftpd 2.3.4. Hacker khai thác lỗ hổng backdoor trong phiên bản này (CVE-2011-2523) bằng cách gửi chuỗi ký tự đặc biệt USER hack:), từ đó chiếm được quyền shell trên hệ thống.

4. Social Media

• Mục đích: Phân tích hồ sơ LinkedIn hoặc Twitter để thu thập thông tin nhân viên.
• Đối tượng: Nhân sự chủ chốt, dữ liệu nội bộ.
• Lỗ hổng: Nhân viên vô tình chia sẻ thông tin nhạy cảm.
• Phương pháp & Công cụ:
  • Tìm kiếm Twitter với từ khóa như "TechCorp" AND "SAP".
  • Sử dụng Social-Searcher để phân tích bài đăng.
  • Tìm kiếm nâng cao trên LinkedIn để tìm kiếm nhân sự IT.

Ví dụ: Hacker tìm thấy tài khoản Twitter của một nhân viên IT tại TechCorp với bài đăng: "Vừa triển khai hệ thống SAP mới tại TechCorp #SAP". Hacker nghiên cứu các lỗ hổng trong SAP (ví dụ: CVE-2020-6287 – RECON) và sử dụng các công cụ như Metasploit để khai thác hệ thống ERP, từ đó đánh cắp dữ liệu.

Các biện pháp phòng ngừa

1. Hạn chế công bố thông tin: Sử dụng dịch vụ WHOIS protection, kiểm soát nội dung đăng tải công khai.
2. Đào tạo nhân viên: Nâng cao nhận thức về bảo mật và các hình thức Phishing.
3. Quản trị hệ thống: Đóng các cổng không cần thiết, cập nhật phần mềm thường xuyên và sử dụng tường lửa (Firewall) mạnh.

Tổng kết

Footprinting giúp hacker hiểu rõ mục tiêu và chuẩn bị cho các cuộc tấn công hiệu quả hơn. Hiểu và ngăn chặn các kỹ thuật này là chìa khóa để bảo vệ tổ chức trước các mối đe dọa an ninh mạng.

Bài viết này nhằm giới thiệu các kỹ thuật phổ biến, phương pháp tấn công và ví dụ thực tế. Nếu bạn có bất kỳ câu hỏi hoặc đóng góp nào, hãy để lại bình luận bên dưới nhé!

Cảm ơn bạn đã theo dõi bài viết!