# Hackwekend Session 2 - Information Security, Team and Phishing Attack ###### tags: `research` `exploits` `redteam` `blueteam` `security` `presentation` # Tiếng việt (TL;DR) *Xin gửi lời cảm ơn đến anh: Louis Cremen-@proxyblue để có được thông tin thành một bài viết như vậy* ## Tổng quan về an toàn thông tin, cấu trúc của một đội ngũ security và văn hóa DevSecOps trong doanh nghiệp ### An toàn thông tin là gì ? > An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép. Ngày nay vấn đề an toàn thông tin được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên, kỹ thuật, khoa học xã hội và kinh tế.  An toàn thông tin ngày càng trở nên quan trọng, việc đảm bảo dữ liệu hay bảo vệ được bản thân trên không gian mạng này càng trở nên thiết yếu hơn bao giờ hết  > Chúng ta nên tự bảo vệ mình, nếu không muốn một ngày hình ảnh ta nó ở đâu đó trên mạng mà mình không biết --> Very terrify accident :scream: **Việc đảm bảo an toàn thông tin sẽ có 3 yếu tố tiên quyết CIA, nếu mình thỏa mãn được thì điều này sẽ hạn chế (nhưng không hoàn toàn), có thể đảm bảo những gì ta sử dụng đang đảm bảo và tránh được các tác nhân về bảo mật ngay thời điểm hiện tại :coffee:** :  - Confidential (Bí mật, bảo mật) - Đây là chuỗi hành động được áp dụng bằng cách phải control và ngăn ngừa được các rủi ro xảy ra một cách cố ý hay là vô tình liên quan đến dữ liệu - Đây sẽ là hình thức mà ta phải định danh được tức là phải thỏa mãn authen and authorize, đối tượng nào được phép truy cập vào dữ liệu nào và ngược lại - Ví dụ: Chúng ta phải áp dụng một cái policy về việc truy cập tài khoảng ngân hàng chẳng hạn, thì mình phải make sure được rằng phải có những quyền hạn cụ thể để chỉ những đối tượng thích hợp mới được phép và phải loại trừ tất cả còn lại. --> **"Nguyên tắc Zerotrust"**  - Cụ thể thì những việc làm trên đồng nghĩa là những nhà nghiên cứu về bảo mật hay tin tặc họ đều đã nghĩ tới và tìm cách **bypass** [**cụm từ xài khá nhiều trong CNTT và rất nhiều trong ATTT**]. Đối tượng mà các cá nhân hay đơn vị này sẽ nhắm tới không đơn thuần là data, có thể liên quan đến chiếm quyền, gây thiệt hại hệ thống về tính ổn định, ... - Và đối với việc tấn công bảo mật này thì có một loại hình tấn công khá phổ biến và độ nguy hại cao đó là MITM (MAN IN THE MIDDLE)   Đó là việc hacker hay nhà nghiên cứu bảo mật trực tiếp can thiệp vào bên trong một hệ thống và thực hiện được công việc sau:  Tất cả là mọi việc đều có thể qua hacker trước khi về người dùng - Do đó một số hành động triển khai mà ta nên áp dụng: 1. Ta nên tìm cách phân quyền (Tức là authorize) nhưng đối tượng nào với chính sách nào, được các quyền nào trong việc truy cập đối với data hay là bất cứ thứ gì không thể expose public trên internet. 2. Để bảo vệ ta nên và rất nên sử dụng (MFA) Multi factor authentication để bảo vệ chính tài khoảng và các dữ liệu cá nhân 3. Nên tìm cách lưu giữ dữ liệu dưới dạng mã hóa, untrust nhưng dữ liệu hay package ta gửi đi mà nont secure protect. 4. Hi vọng rằng ta chưa và không phải là đối tượng của kẻ tấn công (Sự may mắn)  - Integrity (Toàn vẹn) - Đây sẽ là công việc đảm bảo dữ liệu đó phải toàn vẹn và không bị can thiệp giả mạo. Và tạo được quy chuẩn về việc xác định được độ chính xác và sự tin cậy của dữ liệu đó - Ví dụ: Ta có một cái thông báo về việc rất hệ trọng như là các thông tin được đăng tải trên các trang GOV chẳng hạn, thì việc đảm bảo dữ liệu phải được áp dụng rất chặc chẽ vì có thể việc hacker can thiệp và chỉnh sửa được dữ liệu --> Dẫn đến tạo thành nguồn tin độc hai gây mất uy tín, thiết hại nhiều thứ, ...  - Một số trường hợp hacker có thể khai thác tính toàn vẹn dữ liệu bằng cách bypass các loại mã hóa (thông thường là các mã hóa cổ điển hày là set những password, key thông thường), hoặc tình cờ lợi dụng được việc truy cập đâu đó không untrust tình cờ của một ai đó và từ đó lợi dụng để thay đổi các policy về phần quyền truy cập. Điều đó tạo nên một sâu chuỗi rất khó để detect hoặc blame cho bất cứ ai. - Một số cách để phòng vệ bản thân trong trường hợp này: 1. Sử dụng các loại mã hóa, đặc biệt là những loại mã hóa hiện đại và mất rất nhiều thời gian để tấn công   2. Không chỉ nên sử dụng encrypt mà nên kết hợp với hash, thì đối với hash bình thường thì việc tấn công dò tìm (Bruteforce hay vét cạn) sẽ rất dễ bị decrypt mặc dù đây là mã hóa một chiều --> Ta nên và khuyến khích thêm muối (salt) và tiêu (pepper) vào trong hash để thêm phần đậm đà :smiley:  3. Nên sử dụng các cơ chế xác thực trên internet chẳng hạng như là SSL hoặc là digital signing để thay đổi data mà chỉ chính những người dùng endpoint có thể giải mã được thông qua bên xác thực như (CA) chẳng hạn. 4. Một lần nữa chính là sự may mắn và cẩn thận trong việc sử dụng internet - Availability (Sẵn sàng) - Đây là tính chất, sự đảm bảo là một hệ thống luôn luôn sẵn sàng để làm việc. Việc ta đảm bảo 2 tính chất trên kéo theo một hệ thống không truy cập thì tất cả mọi thử bỏ đi. Việc làm này giúp ta phải tìm hiểu loại bỏ những truy cập tốn nhiều thời gian cũng như luôn luôn tìm cách để ổn định hệ thống để giảm thiểu delay trong việc truy cập - Ví dụ: Một điển hình mà mọi người hay gặp là trong việc mua vé concert chẳng hạn, thì việc truy cập quá mức mà ta không handle nó mà cứ để như bình thường sẽ gây ra việc tắc nghẽn lưu thông trong web --> Dẫn tới mất đi khách hàng, ảnh hưởng tới vấn đề sản phẩm cũng như chất lượng của buổi concert chẳng hạn,...  - Một hình tấn công phổ biến với vấn đề này chính là DoS và DDoS (Ditribution Denial of Service ), làm tắc nghen hệ thống và dẫn tới down server ==> Gây tổn thật về thời gian khôi phục dịch vụ, mất mát tài chính và ảnh hưởng dữ liệu,...  - Một số hình thức mà ta có thể giải quyết vấn đề: 1. Xây dựng các cơ chế dự phòng để đáp ứng vấn đề này đó chính là sự ra đời của nhiều cơ chế scaling trên các hạ tầng hệ thống 2. Các thiện hệ thống để tránh các lỗ hỏng cho người tấn công có thể khai thác, dẫn đến việc triển khai các hệ thống tường lửa, IDS, IPS là cần thiết cho hệ thống 3. Có giải pháp để recovery để bảo toàn hệ thống, dữ liệu nếu chẳng may gặp phải tình huống này như backup hoặc là cơ chế disater recovery. 4. Lại là sự may mắn, vì chỉ có may mắn ta mới không thành đội tượng của nhiều cuộc DDoS hàng loạt gây tổn thật nhiều mặt  **Do đó việc đảm bảo CIA là rất cần thiết, một phần hạn chế được rủi ro và an toàn cho công việc của tổ chức hay cá nhân. Luôn luôn phải Zero trust trước anything, tăng cường một số trải nghiệm về cybersecurity để giúp cá nhân cũng như doanh nghiệp có nhiều biện pháp phòng ngừa chẳng hạn, ...** ### Lĩnh vực an toàn thông tin bao gồm những gì Ta sẽ chia nhỏ các lĩnh vực trong an toàn thông tin thành nhiều mục: ***Vì đây là lĩnh vực rất rộng và trải dài trên nhiều dạng kiến thức từ việc nghiên cứu business, nghiên cứu các lỗ hỏng bảo mật, tấn công, khai thác và offer các giải pháp, dẫn đến nhiều các branch được hình thành trong lĩnh vực này*** **Cyber security, info sec domain map 2021**   Trong đó có vài cái tên nổi bật như: * Application security (Penestration Testing) * Data loss prevention (DLP) * Forensics (GOV, Police - Prevent Accident on Ethernet) * Incident response * Network security * Security architecture * Threat intelligence * Vulnerability management * OSINT * ... *Và rất rất nhiều cái tên khác, đã và sắp xuất hiện thêm trong lĩnh vực này. Việc song hành giữa bảo mật và công nghệ được xây dựng thành một liên kết hoàn chỉnh, công nghệ mới xây dựng thì có lỗi và đó là những vấn đế dẫn tới Security Risk, CyberCrime, .... --> Tạo điều kiện thúc đẩy các vấn đề infomation security hoặc là cyber security trong doanh nghiệp, cũng như trong chính phủ*  *Và đây đã trở thành một cuộc chơi lớn cho các công ty công nghệ hiện nay, các nhánh về security đang được xây dựng để triển khai các giải pháp tới sản phẩm cá nhân công ty đó hoặc offer các dịch vụ cho các business khác, điển hình như cá nhân ở việt nam như VCS, CMC, VNG, Cyberstack,... Và các competition sẵn sàng đổ hàng trăm tới triệu đô la hằng năm để offer và nghiên cứu về bảo mật cho các sản phẩm công ty công ty họ, kéo theo nhiều hội thảo và nhà nghiên cứu xuất hiện* PWN2OWN: Competition để nghiên cứu về ZeroDay  DEFCON: Hacking Conference  BLACKHAT: Hacking conference  Trên cơ sở hiện nay cho những người mới bắt đầu vào security, thì những newbie sẽ học hỏi bằng cách tham gia các bài Lab và các cuộc thi CTF trên thời gian thực:   - Lab và CTF là 2 trong nhiều phương thức tiếp cận trực tiếp vào lĩnh vực này, đây là những mô phỏng các lỗ hổng bảo mật, những chuỗi kiến thức về tất cả mọi thứ trên không gian mạng được gọi gọn lại để giúp người chơi tiếp cận, học hỏi và nâng cao trình độ - Như các lĩnh vực bên trên thông qua việc tiếp cận CTF cũng sẽ có các mục cụ thể như: - Web (Vulnerable, Logic bug, Trick and Trick in framework,...) - Pwnable (Bufferoverflow attack, Exploit Server or firmware,...) - Reverse (Assembly, Hardware, mobile, application reverse, malware analysis,...) - Crypto ( Hash, Math, Encrypt Decrypt, ...) - Forensic (Network Analysis, Hide information, Recover Memory, Computer analysis...) - MISC ( Machine Learning, Web3, Combine a bunch above to once, ...) > Đây là việc tóm gọn các công việc bên trên thành nhiều mục để người chơi, nhà nghiên cứu có thể lựa chọn để tập trung vào vì một security researcher hay là một hacker thì không thể học hết được tất cả mọi kiến thức (Trừ khi đó là thiên tài), ta có thể tạo nên các đội nhóm để nghiên cứu , giúp đỡ lần nhau trong các issue gặp phải Đây sẽ là một số Roadmap cho người mới start, để từ đó có nhiều góc nhìn cụ thể hơn: - [Pentester RoadMap](https://hackemall.live/index.php/2020/08/08/pentester-roadmap/) - [WebApp Security RoadMap](https://hackemall.live/index.php/2020/04/26/web-application-security-roadmap/) - ... Và mỗi lĩnh vực trên, mỗi công việc trên sẽ làm việc với nhiều mối đe dọa khác nhau và các loại hình biển thể các thành phần bên trong công việc khác nhau. Sẽ có một vài ví dụ điển hình như: **Web-pentesting**  **Osint**  Để dễ tìm hiểu bên trong thì ta sẽ đến mô hình các role công việc trong security và các target object của các đối tượng trong đó nhưng trước đó mình sẽ ngó sang một chút về các chứng chỉ để verify được bản thân mình ha :smile:  Nguồn https://pauljerimy.com/security-certification-roadmap/ Tính tới tháng 1 năm 2023 thì trong này bao gồm 473 tín chỉ trải dài trên nhiều lĩnh vực của security và một số cái tên điển hình để recommend như: CEH  OSCP  Và rất nhiều các chứng chỉ khác tùy theo mục đích. Next qua phần các team security ### Các Team trong Security và bức tranh tổng quan  * Red Team: Những người thuần về tấn công và khai thác các lỗ hổng bảo mật (The breaker) * Blue Team: Những người tham gia lĩnh vực này sẽ đảm nhiệm vấn đề bảo vệ và phòng vệ các lỗ hỏng bảo mật (The defender) Đây là **2 team chính trong an toàn thông tin** nhưng ngày này cho do việc combine các team làm xuất hiện thêm biến thể công việc ==> xuất hiện thêm các team khác [phỏng theo bài viết](https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700) **Infosec wheel**   Do tính chất của một đôi ngũ InfoSec và giúp nâng cao văn hóa DevSecOps thì red và blue team không thể xử lí hết việc. Do đó việc xuất hiện yellow team là tất yếu  * Đây là đội nhóm thực hiện việc xây dựng, thiết kế hệ thống và tích hợp để mang lại sản phẩm cho ra hiểu quả cao. * Do đó có thể xem Dev, PM hoặc System Architecture là người thuộc nhóm này. * Dev là đối tượng sẽ tập trung vào việc functionallity - giúp tăng hiệu quả và tốc độ xử lí trong một product. Đó chính là trách nhiệm và là công việc họ làm tốt nhất để bàn giao sản phẩm tới người dùng cũng như khách hàng. * Nhưng sẽ có một vấn đề đặt ra đó là việc đôi khi hoặc có thể chắc chắn vấn đề về bảo mật sẽ xảy ra trong qua trình builder - đây không phải là việc họ làm tốt nhất  > *If debugging is the process of removing bugs, then programming is the process of putting bugs into the application. Testing only proves the presence of bugs, not the absence of them.* Do đó việc ta có thể giải quyết vần đề này theo nguyên tắc sau: **Yellow are educated with Red and work hand-in-hand with Blue.** Do đó Yellow team là môt phần không thể thiếu trong InfoSec và nó có thể trở thành một văn hóa tích cực. Để có thể giúp cải thiện Yellow ta có thể: - Nên tìm hiểu về các hình thức tấn công mạng và loại hình chủ yếu xoay quanh về network, web attack từ red team. - Và các biện pháp phòng thủ chủ động và bị động đối với công việc đang làm từ blue team. - Công việc sẽ thuận lợi cho việc giúp secure một sản phẩm được cải thiện. --> Do đó có thể hiểu việc Red, Blue team không thể handle tất cả và Yellow team (Dev/PM/SA) cũng thế. Do đó ta có thể work together để làm nên một liên kết bền vững giúp tạo thành một văn hóa tốt. --> Red, Blue và Yellow sẽ là những màu chủ đạo giúp tạo nên bức tranh toàn cảnh của an toàn thông tin hiện nay và tương lai. **Role combine**  Việc ta fusion hai role lại sẽ tạo tiền đề cho ra các vị trí mới hơn, tạo điều kiện cho việc secure một product tốt hơn dựa trên các skill của role đó **Purple team**  - Đây là role đã được công bố và thực sự tồn tại, nó là sự dung hợp giữa tấn công và phong thủ đem lại kinh nghiệm lớn cho bất cứ ai đang ở role này - Đây là một vị trí rất tốt, người hội tụ cả 2 kĩ năng phòng thủ và tấn công sẽ là tạo ra nhiều giá trị lớn cho công ty và doanh nghiệp **Orange team**  - Mục đích là tác động tới Yellow team bằng cách truyền nhận kiến thức, tạo tiền đề và động lực để kết nối giữa Yellow với red team **Green team**  - Mục tiêu là giúp cải thiện chất lượng của code về mặt security và dựa trên thiết kế đề phòng vệ và đề phòng các sự cố và điều tra dữ liệu - Và Green team sẽ là người cùng với blueteam và purple team xây dưng * DFIR Output * Logging improvements * Log content / events * Log generation standardising * Change Management * Integrity Monitoring * Anti-Virus / End Point Protection * Full coverage monitoring Ngoài ra thì còn có White team và Combine của tất cả  Thì đây có thể hiểu là những nhóm mà họ sẽ manage những team còn lại, đây không phải là nhóm thiên về kĩ thuật những sẽ là cần thiết để tạo nên một tổ chức bền vững **Một văn hóa mới ra đời DevSecOps (Có thể hẹn mọi người ở một session khác) hiện tại thì chỉ có ảnh và một số lời bình về DevSecOps**    ==> Đây sẽ là giải pháp tiếp theo kế thừa từ devops và tích hợp thêm các dịch vụ secure các vấn đề bảo mật thông qua các dịch vụ được offer vào trong pipeline đây là giải pháp hiểu quả cho qua trình automatic vào trong qua trình release và phát triển phần mềm.  Việc ta offer các service hay integrate tools security vào trong pipeline chỉ góp phần làm cho quá trình release có những phương tiện để security một cách cụ thể và đôi khi làm rất tốt, nhưng nhìn chung ta vẫn cần những con người làm việc vì khi đó ta sẽ làm một động tác nữa là manual working - Đôi khi manual test sẽ đem lại một tổng quan lớn - với cái webapp hay cái application đó --> Security sẽ được tăng thêm một bước nữa và đảm bảo tốt hơn.  Hiện này có một ngành nghề đó là (Bug Bounty, Bug hunter) là những nhà kiểm thử security (penetration testing) và làm việc freelencer, độc lập hay cho doanh nghiệp để trực tiếp kiểm thử trên sản phẩm (BlackBox, WhiteBox, Graybox, ...). Và đó sẽ là một trong các phương tiện kết nối giữa các doanh nghiệp với hacker, nhà nghiên cứu bảo mật để đề phòng và tránh các lỗi bảo mật phức tạp mà các framework tích hợp không làm được. Nền tảng phổ biến như hackerone, bugcrownd,... còn trong nước sẽ là VCS, CMCS, VNPT, ...  ### Keywork của một số công việc, cách thức triển khai liên quan đến an toàn thông tin Việc tấn công lỗ hỏng bảo mật cũng có nhiều cái tên, cụ thể về mảng WebApp ta sẽ có những lỗ hổng của OWASP Top 10 và OWASP Top 10API. Ngoài ra còn có nhiều hình thức tấn công khác trên không gian mạng và độ lớn sẽ tùy theo nhiều mức mà hacker muốn nhắm đến - Trojan - Malware - DDOS - DOS - Phising - MITM (Man in the middle) - ...  Với tấn công thì cũng có nhưng cơ chế phòng thủ một số cái tên điển hình trong này bao gồm - IDS/IPS - Firewall - Sandboxes - SIEM - ACL - Tunneling (VPN) - ... -  ## Tấn Công và phòng tránh phising attack trong cuộc sống (REAL LIFE) ### Khái quát về Phising Attack 1. Khái niệm - Đây là một loại hình Social Engineer Attack (Có thể hiệu là thao túng tâm lý) và có mức độ rủi ro rất cao đối với người dùng Internet - Hình thức này sẽ tấn công người dùng bằng cách thâm dò và khiến họ phải để lộ thông tin cá nhân của mình hoặc là cài các loại mã độc, đặc biệt là mã độc tống tiền (Ransomware). - Hiện này thì phising attack đã trở thành một hình thức tấn công rất tinh vi và phức tạp, có thể vượt qua rất nhiều rào cản và ảnh hưởng rất cao đối với người dùng trên Internet gay thất thoát về vật chất lẫn tinh thần  - Những ví dụ cụ thể mà phising attack có thể thấy là các tin nhắn, cuộc gọi giả mạo, email tấn công vào người dùng nhằm thu thập và khiến người dùng tiết lộ thông tin bí mật hoặc quan trọng như Mật khẩu, Sổ thẻ, tài khoảng và ID. - Phising attack hay Tấn công lừa đảo đã được VTV nhắn đến trong thời gian gần đây và là hành vi tương đối phức tạp.  2. Lịch sử - Thì đối với phising attack thì đây là một hình thức tấn công có mặt từ sớm và xuất hiện ở đầu thập niên 90 của thế kỷ trước, được phát triển và nghiên cứu thông qua viêc cracking trong tool kit [AOHelll](https://en.wikipedia.org/wiki/AOHell)  - Tiếp theo đó thì đầu những năm 2000, Phising attack nở rộ và trở thành kĩ thuật được khai thác bởi nhiều hacker, điển hình là sự chuyển hướng qua các trang tài chính --> lừa đảo chiểm đoạt các tài khoảng paypal, visa xuất hiện khiến người dùng phải nhập thông tin cũng như password qua các trang lừa đảo. - Với thời điểm hiện tại thì đó trở thành một rủi ro và hứng chịu nhiều tổn hại cho người dùng với rất nhiều kĩ thuật mới được phát triển và ra đời.  ### Một số loại hình phising phổ biến ngày này 1. Điển hình và phổ biến số nhất - EMAIL PHISING  - Đây là một hình ảnh một email phising, nhìn trông có vẻ rất nguy hiểm và mang tính rủi ro vào tài sản của mọi người - Nếu một buổi sáng email của bạn có một cái như này thì thật đáng sợ. - Thì Email phising là một chủ để không xa lạ với người dùng mạng, đối tượng thường là cá nhân hoặc một nhóm người sử dụng các dịch vụ tài chính điển hình như paypal hoặc là các trang mạng xã hội như facebook hoặc twitter và nhiều hơn thế nữa. - Hình thức này chủ yếu sẽ khiến bạn phải nhập password và các thông tin đăng nhập cho hacker hoặc là các phần mềm độc hải được gửi theo file đính kèm, tương đối nguy hại và độ rủi ro cao cho người dùng. 2. Spearfishing - Loại hình này thương sẽ là một hình thức nguy hại hơn nó nhắm trực tiếp vào doanh nghiệp, các thông tin sẽ được nghiên cứu rất bài bản và gửi các email có nội dung rất là bussiness tới người dùng - Loại hình này sẽ thường là nhắn đến các nhân vật lớn nhằm khai thác được các đặc quyền của họ có tên website hoặc các trường phòng tài chỉnh nhằm chiếm đoạn được các đặc quyền của họ để truy cập và khai thác các tài nguyên bí mật. - Hình thức này thường có sự nghiên cứu rất kĩ càng và email được làm sao cho giống hệt với các tiêu chuẩn email của một doanh nghiệp - Có một khảo sát cho rằng > *A study on spear phishing susceptibility among different age groups found that 43% of 100 young and 58 older users clicked on simulated phishing links in daily emails over 21 days. Older women had the highest susceptibility, while susceptibility in young users declined over the study, but remained stable in older users.*  3. Vishing và Smishing: - Đây là 2 cái tên xuất hiện hàng loạt trên các mặt báo ở Việt Nam hiện nay chỉ một cú click link lạ trên SMS hoặc một cuộc điện thoại sẽ khiến người dùng sẽ bị SCAM  4. Video call phising - Nếu bạn là một người kĩ tính trong nghe điện thoại thì đây có thể là xem là một hình thức nâng cao hơn, trực tiếp sử dụng videocall để gọi cho nạn nhân - Mục đích thì cũng không khác nhưng hình thức này có thể khai thác các nhận diện sinh trắc học của người dùng chẳng hạn cử chỉ khuông mặt để bypass các identify của ngân hàng chẳng hạn, ...  - Với thời điểm AI đang phát triển mạnh mẽ sẽ kéo theo các kĩ thuật về deep face càng có chỗ đứng thì chỉ cần vài hình ảnh hacker có thể tạo ra một vỏ bọc cho mình và đây đang là mối nguy hại rất phổ biển trên internet thời gian gần đây ### Demo cách thức thực hiện một cuộc tấn công phising *Trước khi vô phần này, khuyến cáo đây chỉ là những công cụ học tập và nghiên cứu về bảo mật, khuyến cáo không nên sử dụng để trục lợi và lợi dụng để có những ý đồ xấu, hãy văn minh và sử dụng có trách nhiệm* 1. Các công cụ dùng để dựng một cuộc tấn công phising hiên nay phổ biến gồm: - SEToolkit: [Repo](https://github.com/trustedsec/social-engineer-toolkit)  - Rất nhanh - Đơn giản và dễ sử dụng - Tùy biến cao và có thể dùng ở những dạng phức tạp hơn vì tích hợp nhiều công cụ lớn - Setup tương đối đơn giản và dễ sử dụng - Zphisher: [Repo](https://github.com/htr-tech/zphisher)  - Cũng rất dễ setup và sử dụng - Tập chung chủ yếu cho các trang social network và lợi dụng để scam password (Login page) - Có rất nhiều cơ chế để sử dụng như tunneling hoặc thay đổi DNS (Mark URL) - Gophising: [Repo](https://github.com/gophish/gophish)  - Dùng để dựng lab và môi trường để pentesting - Dùng để training và khai thác vấn đề về phising - Có dockerfile và compose tích hợp - Dễ setup và triển khai 2. Triển khai tool được sử dụng ở đây là Zphisher * Cách setup 1. Truy cập github repo của Zphisher tại [đây](https://github.com/htr-tech/zphisher) 2. Nhìn vào phần ReadMe và làm theo thôi: Đối với linux thì đơn giản chỉ cần clone và ./zphisher.sh 3. Enjoy  * Thực hành 1. Về phần sử dụng thì tương đối đơn giản thôi, pick một con số tương ứng với trang web mà bạn muốn sử dụng + enter  2. Lựa chọn các option mà muốn sử dụng như ta sẽ sử dụng thử trang microsoft, thì popup tiếp theo sẽ cho bạn chọn kiểu hosting cái trang web thì cơ bản bạn có thể Localhost cho đơn giản: 01 + enter  3. Thì ở đây nó sẽ cho bạn lựa chọn port để expose trang web nếu port 8080 trên máy chưa được sử dụng thì cứ chọn N hoặc nếu đã được sử dụng thì chọn Y và type một cái Port khác:  4. Và thành công ta có một web phising khá là xịn xò   5. Tại đây bạn có thể dùng nhiều phương pháp để đưa được đường dẫn này đến nhiều người bằng nhiều cách như NAT port (portforwarding) hoặc tiện hơn thì có thể dùng ngrok để dẫn trực tiếp về  Thì cơ bản phising sẽ lắng nghe các request post của người dùng và cứ thể ta sẽ có được ít nhất là tài khoảng và mật khẩu người dùng --> Đôi khi có nhiều thứ phức tạp hơn nữa 6. Và cuối cùng là gửi nó cho nạn nhân và bắt đầu chờ cắn câu. Kết quả sẽ là màn hình bên phải bạn thu được username và password của trang dùng để phising  * Document để hướng dẫn cài đặt và sử dụng [Link](https://anonyviet.com/huong-dan-dung-zphisher-de-tao-trang-web-phishing-tu-dong/) ### Cách để phòng tránh Quiz của google để test case study về phising tập trung Email Phising: [Link](https://phishingquiz.withgoogle.com/)  1. Cẩn thận với những cú click chuột (Đằng sau đó phức tạp hơn bạn nghĩ)  2. Sử dụng những công cụ bảo vệ như anti-phishing (Này mình chưa sử dụng) hoặc đơn giản hơn dùng các công cụ để bảo vệ như 2FA hoặc Authentication Code (Khuyến nghị nên enable cho an toàn hơn -- nên dùng những 2FA hợp lý và đừng quên Password)  3. Nâng cao trình độ và nhận biết của bản thân thông qua các bài viết về cuộc tấn công mạng và cách thức triển khai để cân nhắc 4. Nên dụng mật khẩu phức tạp có các kí tự đặc biệt và nếu có thể thì thay đổi mật khẩu thường xuyên 5. Và may mắn là thứ không thể thiếu  ## Một số loại hình tấn công hiện đại hơn về phising ### Fake DNS - Possion DNS Đây là một open session khác mình sẽ nói về một pattern khai thác với DNS rất được sử dụng, độ nguy hiểm khá cao và sẽ có sức ảnh hướng lớn đối với dữ liệu cá nhân nều trở thành một đối tượng bị nhắm đến.  ## Tổng kết Hi vọng sau bài viết này mọi người đã có được góc nhìn tổng quan về an toàn thông tin và vai trò to lớn của an toàn thông tin. Đây là cuộc cách mạng lớn trên thế giới và hi vọng mọi người đã học được nhiều và có được thời gian nghiên cứu được hình thức tấn công phising, cách phòng tránh và nhiều nhiều thứ khác, hẹn mọi người ở một kì workshop khác về security. Happy hacking and have safe.  ## Tài liệu kèm theo [Trending about security 2023](https://www.upguard.com/blog/cybersecurity-predictions-2023) [Phishing-Wiki](https://en.wikipedia.org/wiki/Phishing) --- # English (TL;DR) *Thank you to: Louis Cremen-@proxyblue for getting the information into such an article* ## Overview of information security, structure of a security team and DevSecOps culture in the enterprise ### What is information security? > Information security is the act of preventing, preventing the unauthorized use, access, disclosure, sharing, distribution, recording or destruction of information. Today, the issue of information security is considered one of the top concerns of society, having a great influence on most of the natural sciences, engineering, social sciences and economics.  Information security is becoming more and more important, securing your data or protecting yourself in this cyberspace is more important than ever.  > We should protect ourselves, if we don't want one day our picture is somewhere on the internet that we don't know --> Very terrify accident :scream: **Ensuring information security will have 3 prerequisites CIA, if you can satisfy this, this is limited (Not completely), can make sure what we use is secure and avoid threats accident right now :coffee:** :  - Confidential (Confidentiality, Confidentiality) - This is a sequence of actions applied by having to control and prevent risks that occur intentionally or accidentally related to data. - This will be the form that we must identify, ie must satisfy authen and authorize, which objects are allowed to access which data and vice versa. - For example: We must apply a policy about accessing a bank account, for example, then we must make sure that there must be specific permissions so that only the appropriate objects are allowed and must be excluded. minus all the rest. --> **"Zerotrust Principle"**  - Specifically, the above jobs mean that security researchers or hackers have thought of and found ways to **bypass** [**phrase used a lot in IT and a lot in cyber security and infosec* *]. The object that these individuals or units will target is not just data, which may be related to hijacking, causing system damage to stability, ... - And for this security attack, there is a fairly common and highly dangerous type of attack that is MITM (MAN IN THE MIDDLE).   That is, hackers or security researchers directly intervene inside a system and do the following:  Everything can go through the hacker before returning to the user - Therefore some implementation actions that we should apply: 1. We should find a way to decentralize (ie authorize) but who with what policy, what rights in access to data or anything that cannot be exposed publicly on the internet. 2. For your protection you should and should use (MFA) Multi factor authentication to protect your own account and personal data 3. Should find a way to store data in an encrypted, untrusted form, but the data or packages we send are not secure protected. 4. Hopefully we are not and are not the target of an attacker (Lucky)  - Integrity - This will be the job to ensure that data is intact and not tampered with. And create a standard for determining the accuracy and reliability of that data - For example: We have a very important notice such as information posted on GOV pages, for example, data security must be applied very closely because it is possible for hackers to interfere. and edit the data --> Leads to the formation of a toxic source of information that causes discredit, damages many things, ...  - In some cases, hackers can exploit data integrity by bypassing encryption types (usually classical encryptions or set of common passwords and keys), or by accidently taking advantage of access to data. Access someone's untrusted somewhere and take advantage of that to change the policies about the access rights. That creates a chain worm that is difficult to detect or blame for anyone. Some ways to protect yourself in this case: 1. Use encryption types, especially modern ones, and take a long time to attack   2. Not only should encrypt but should be combined with hash, then for normal hash, the detection attack (bruteforce or exhaustive) will be very easy to decrypt even though this is one-way encryption --> Ta It is recommended and recommended to add salt (salt) and pepper (pepper) to the hash to add flavor :smiley:  3. It is recommended to use authentication mechanisms on the internet such as SSL or digital signing to change data that only the endpoint users can decrypt through the authenticator 4. Once again it's luck and care in using the internet - Availability (Ready) - This is the nature, the guarantee is that a system is always ready to work. The fact that we ensure the above two properties leads to an inaccessible system, then all attempts are discarded. This helps us to learn to eliminate time-consuming accesses as well as always looking for ways to stabilize the system to minimize delay in access. - Example: A typical example that people often encounter is in buying concert tickets for example, the excessive access that we do not handle it but leave it as usual will cause traffic congestion in the web -- > Leads to the loss of customers, affects the product problem as well as the quality of the concert, for example,...  - A common form of attack with this problem is DoS and DDoS (Ditribution Denial of Service), which clogs the system and leads to server down==> Real loss of service recovery time, loss of resources key and impact data,...  - There are several ways in which we can solve the problem: 1. Building redundancy mechanisms to meet this problem is the introduction of many scaling mechanisms across system infrastructures. 2. System improvements to avoid vulnerabilities that can be exploited by attackers, leading to the deployment of firewalls, IDS, IPS systems are necessary for the system. 3. There is a solution to recovery to preserve the system and data if unfortunately encountering this situation such as backup or disater recovery mechanism. 4. It's luck again, because it's only luck that we don't become the target of many mass DDoS attacks that cause a lot of damage.  ** Therefore, ensuring the CIA is very necessary, partly to limit the risk and safety of the work of organizations or individuals. Always have to Zero trust before anything, enhance some cybersecurity experience to help individuals and businesses take many precautions such as, ...** ### What does the field of information security include We will break down the areas of information security into several categories: *** Because this is a very broad field and spans many forms of knowledge from researching business, researching security holes, attacks, exploits and offering solutions, leading to many branches being formed. in this field*** **Cyber security, info sec domain map 2021**   Among them are some prominent names such as: * Application security (Penestration Testing) * Data loss prevention (DLP) * Forensics (GOV, Police - Prevent Accident on Ethernet) * Incident response * Network security * Security architecture * Threat intelligence * Vulnerability management * OSINT * ... *And many other names, already and about to appear in this field. The parallel between security and technology is built into a complete link, newly built technology has errors and those are the problems that lead to Security Risk, CyberCrime, .... --> Facilitating promote information security or cyber security issues in business, as well as in government*  *And this has become a big game for technology companies today, security branches are being built to deploy solutions to that company's individual products or offer services to other businesses. Typically, individuals in Vietnam such as VCS, CMC, VNG, Cyberstack,... And competitors are willing to pour hundreds to millions of dollars annually to offer and research on security for public company products. company, leading to many conferences and researchers appearing* PWN2OWN: Competition to study ZeroDay  DEFCON: Hacking Conference  BLACKHAT: Hacking conference  On a current basis for security beginners, newbies will learn by participating in real-time Labs and CTF competitions:   Lab and CTF are two of the many direct approaches to this field, these are simulations of security holes, knowledge chains about all things cyber are condensed to help people approach play, learn and improve - Like the above fields, through the CTF approach, there will also be specific items such as: - Web (Vulnerable, Logic bug, Trick and Trick in framework,...) - Pwnable (Bufferoverflow attack, Exploit Server or firmware,...) - Reverse (Assembly, Hardware, mobile, application reverse, malware analysis,...) - Crypto (Hash, Math, Encrypt Decrypt, ...) - Forensic (Network Analysis, Hide information, Recover Memory, Computer analysis...) - MISC (Machine Learning, Web3, Combine a bunch above to once, ...) > This is a summary of the work above into several categories for players and researchers to choose to focus on because a security researcher or a hacker cannot learn all of the knowledge (Except for that). when it's genius), we can create teams to research, help each other in problems encountered. Here are some Roadmaps for beginners, from which there are more specific perspectives: - [Pentester RoadMap](https://hackemall.live/index.php/2020/08/08/pentester-roadmap/) - [WebApp Security RoadMap](https://hackemall.live/index.php/2020/04/26/web-application-security-roadmap/) - ... And each of the above areas, each of the above jobs will work with many different threats and different types of job insiders. There will be a few typical examples such as: **Web-pentesting**  **Osint**  To make it easier to learn inside, we will come to the model of job roles in security and the target objects of the objects in it, but before that I will look a little bit about the certificates to verify myself ha :smile :  Source https://pauljerimy.com/security-certification-roadmap/ As of January 2023, this includes 473 credits spanning many areas of security and some typical names to recommend such as: CEH  OSCP  And many other certificates depending on the purpose. Next to the security teams section ### Teams in Security and overview  * Red Team: Those who are pure in attack and exploit security holes (The breaker) * Blue Team: The participants in this field will take care of the protection and defense of security holes (The defender) These are the **2 main teams in information security** but today because of the combination of teams, there are more variations of work ==> appear more other teams [adapted from the article](https:/ /hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700) **Infosec wheel**   Due to the nature of an InfoSec team and helping to foster the DevSecOps culture, the red and blue teams couldn't handle it all. Therefore, the appearance of the yellow team is inevitable  * This is the team that does the building, system design and integration to bring the product to high efficiency. * Therefore, it is possible to consider Dev, PM or System Architecture to be in this group. * Dev is an object that will focus on functionallity - helping to increase efficiency and processing speed in a product. That is their responsibility and the job they do best to deliver products to users as well as customers. * But there is a problem that sometimes or can be sure security issues will occur during the builder process - this is not what they do best  > *If debugging is the process of removing bugs, then programming is the process of putting bugs into the application. Testing only proves the presence of bugs, not the absence of them.* Therefore, we can solve this problem according to the following principle: **Yellow are educated with Red and work hand-in-hand with Blue.** Therefore Yellow team is an integral part of InfoSec and it can become a positive culture. To help improve Yellow we can: - Should learn about the forms of network attack and the type mainly revolves around the network, web attack from the red team. - And active and passive defenses against the work in progress from the blue team. - The job will be favorable for helping to secure an improved product. --> So it can be understood that Red, Blue team can't handle all and Yellow team (Dev/PM/SA) too. So we can work together to make a lasting bond that helps create a good culture. --> Red, Blue and Yellow will be the main colors to help create a panorama of information security now and in the future. **Role combine**  The fusion of the two roles will set the stage for new positions, facilitating a better product security based on that role's skills. **Purple team**  - This is a role that has been announced and actually exists, it is a combination of attack and defense that gives a great experience to anyone playing this role. - This is a very good position, the person who converges both defensive and offensive skills will create great value for the company and the business. **Orange team**  - The goal is to influence the Yellow team by imparting knowledge, creating a premise and motivation to connect Yellow with the red team. **Green team**  The goal is to help improve the quality of code in terms of security and design-based crash prevention and prevention and data investigation. - And Green team will be the one to build with blueteam and purple team * DFIR Output * Logging improvements * Log content / events * Log generation standardising * Change Management * Integrity Monitoring * Anti-Virus / End Point Protection * Full coverage monitoring In addition, there is the White team and the Combine of all  Then these can be understood as the groups that they will manage the remaining teams, this is not a technical team but will be necessary to create a sustainable organization. **A new culture was born DevSecOps (Can make an appointment at another session) Currently only pictures and some comments about DevSecOps**    ==> This will be the next solution to inherit from devops and integrate more secure services for security issues through the offered services into the pipeline. This is an effective solution for the automatic process in the past. release and software development.  The fact that we offer services or integrate security tools into the pipeline only contributes to making the release process have the means to secure specifically and sometimes do very well, but in general we still need people to work because when Then we will do one more move is manual working - Sometimes manual test will give a big overview - with that webapp or application --> Security will be increased one step further and better guaranteed.  Currently there is a profession that is (Bug Bounty, Bug hunter) who are security testers (penetration testing) and work as freelancers, independent or for businesses to directly test on products (BlackBox, WhiteBox, Graybox) , ...). And that will be one of the means of connecting businesses with hackers and security researchers to prevent and avoid complex security errors that integrated frameworks cannot do. Popular platforms such as hackerone, bugcrownd, ... while in the country will be VCS, CMCS, VNPT, ...  ### Keywork of some jobs, how to deploy information related to information security Attacking security holes also has many names, specifically in the WebApp array, we will have the vulnerabilities of OWASP Top 10 and OWASP Top 10API. There are also many other types of attacks in cyberspace, and the magnitude will depend on how many levels the hacker wants to target - Trojans - Malware - DDOS - DOS - Phising - MITM (Man in the Middle) - ...  With attack, there are also defense mechanisms some typical names in this include - IDS/IPS - Firewall - Sandboxes - SIEM - ACL - Tunneling (VPN) - ... -  ## Attack and avoid phising attack in life (REAL LIFE) ### Phising Attack Overview 1. Concepts - This is a type of Social Engineer Attack (Can be labeled as psychological manipulation) and has a very high level of risk for Internet users. - This form will attack users by probing and causing them to reveal their personal information or install malicious code, especially ransomware. - Currently, phising attack has become a very sophisticated and complex form of attack that can overcome many barriers and greatly affect users on the Internet, both physically and mentally.  - Specific examples that phising attacks can see are fake messages, calls, emails that attack users in order to collect and cause users to reveal confidential or important information such as Passwords, Card Book , account and ID. - Phising attack or Phishing attack has been sent by VTV recently and is a relatively complicated behavior.  2. History - Well, for phising attack, this is an early form of attack and appeared in the early 90s of the last century, developed and researched through cracking in the tool kit [AOHelll](https: //en.wikipedia.org/wiki/AOHell)  - Following that, in the early 2000s, Phising attack flourished and became a technique exploited by many hackers, typically the redirection to financial sites -> scams to appropriate paypal, visa accounts appears to cause users to enter information as well as passwords through phishing sites. - At the present time, it becomes a risk and suffers a lot of harm to users with a lot of new techniques being developed and released.  ### Some types of phising are popular these days 1. Typical and most popular - EMAIL PHISING  - This is an image of a phishing email, looking very dangerous and putting people's assets at risk - If one morning your email has something like this, it's scary. - Then email phising is a topic that is not unfamiliar to network users, who are usually individuals or a group of people using typical financial services such as paypal or social networking sites such as facebook or twitter and many others. more than that. - This form will mainly cause you to enter passwords and login information for hackers or malicious software sent in attachments, relatively dangerous and high risk for users. 2. Spearfishing - This type is often a more dangerous form than it is directly aimed at businesses, the information will be researched very well and send emails with very business content to users. - This type will usually be messages to big players to exploit their privileges such as websites or financial room schools in order to gain their privileges to access and exploit secret resources. secret. - This form is often very carefully researched and the email is made to match the email standards of a business. - There is a survey that > *A study on spear phishing susceptibility among different age groups found that 43% of 100 young and 58 older users clicked on simulated phishing links in daily emails over 21 days. Older women had the highest susceptibility, while conductivity in users declined over the study, but young remained stable in older users.*  3. Vishing and Smishing: - These are 2 names appearing in mass on newspapers in Vietnam today, just a strange link click on SMS or a phone call will cause users to be SCAM  4. Video call phising - If you are a skilled person in answering the phone, this can be considered as a more advanced form, directly using videocall to call the victim. - The purpose is the same, but this form can exploit the user's biometric identifications such as facial gestures to bypass bank identities, for example, ...  - With the time when AI is developing strongly, it will lead to more and more deep face techniques, just a few images of hackers can create a cover for themselves and this is a very common threat on the internet. internet lately ### Demo how to perform a phising attack *Before entering this section, it is recommended that these are only learning and research tools about security, it is recommended not to use it for profit and to take advantage of it to have bad intentions, be civilized and use it wisely. responsibility* 1. The tools used to build a phishing attack today are common: - SEToolkit: [Repo](https://github.com/trustedsec/social-engineer-toolkit)  - Very fast - Simple and easy to use - Highly customizable and can be used in more complex forms because of the integration of many large tools - Setup is relatively simple and easy to use - Zphisher: [Repo](https://github.com/htr-tech/zphisher)  - It's also very easy to set up and use - Focusing mainly on social networking sites and taking advantage of password scams (Login page) - There are many mechanisms to use such as tunneling or changing DNS (Mark URL) - Gophising: [Repo](https://github.com/gophish/gophish)  - Used to build lab and environment for pentesting - Used for training and exploiting phising problems - Built-in dockerfile and compose - Easy to setup and deploy 2. Deployment tool used here is Zphisher * How to set up 1. Visit Zphisher's github repo at [here](https://github.com/htr-tech/zphisher) 2. Look at the ReadMe section and follow along: For linux simply clone and ./zphisher.sh 3. Enjoy  * Practice 1. The use part is relatively simple, pick a number corresponding to the website you want to use + enter  2. Select the options that you want to use like we will use the microsoft site, then the next popup will let you choose the type of hosting the website, then you can basically Localhost for simplicity: 01 + enter  3. Then here it will let you choose the port to expose the website. If port 8080 on the machine is not used, just choose N or if it is already in use, choose Y and type another Port:  4. And successfully, we have a pretty good phising website   5. Here you can use many methods to get this link to many people in many ways such as NAT port (portforwarding) or more convenient, you can use ngrok to direct to many people.  So basically phising will listen to the user's post requests and so on we will get at least the user account and password --> Sometimes more complicated things 6. And finally send it to the victim and start waiting for the bait. The result will be the screen on the right where you get the username and password of the site used for phising  * Document to guide installation and use [Link](https://anonyviet.com/huong-dan-dung-zphisher-de-tao-trang-web-phishing-tu-dong/) ### How to avoid Quiz by google to test case study on centralized phising Email Phising: [Link](https://phishingquiz.withgoogle.com/)  1. Be careful with mouse clicks (Behind it is more complicated than you think)  2. Use protection tools like anti-phishing (I haven't used it yet) or simply use protection tools like 2FA or Authentication Code (Recommended to enable for more security -- use these 2FA is reasonable and don't forget the Password)  3. Improve your level and awareness through articles on cyberattacks and how to consider deploying them 4. Use complex passwords with special characters and, if possible, change them frequently 5. And luck is indispensable  ## Some more modern phishing attacks ### Fake DNS - Possion DNS This is another open session I will talk about an exploit pattern with DNS is very used, quite dangerous and will have a great impact on personal data if it becomes a targeted object.  ## Summary Hopefully, after this article, everyone has had an overview of information security and the great role of information security. This is a great revolution in the world and I hope everyone has learned a lot and had time to study phishing attacks, how to avoid them and many more, see you in another workshop about this. security. Happy hacking and have safe.  ## Attached documents [Trending about security 2023](https://www.upguard.com/blog/cybersecurity-predictions-2023) [Phishing-Wiki](https://en.wikipedia.org/wiki/Phishing)