Friday, May 18, 2012

เมื่อผมเจอคำถาม "พี่ครับ สอนแฮก ให้ผมหน่อย", "แฮก facebook ยังไง", "แฮก camfrogยังไง"

แรกๆ ผมมองว่า ประโยค "พี่ครับ สอนแฮก ให้ผมหน่อย" นี้
เป็น "ประโยคขอร้อง" ที่ผู้พูด กล่าวออกมาเพื่อ ขอความช่วยเหลือ จากเรานะ

แต่หลังๆ ผมมองเป็นประโยคคำถาม ไปซะแล้ว
เพราะผมรู้สึกว่า ผมเองไม่ได้เก่งพอที่จะ ตอบว่า ผมรู้ไปหมดทุกเรื่องเหมือนกัน (ก็ผมไม่ใช่แฮกเกอร์นี่หน่า)

ดังนั้นผมจึกมักถามกลับไปว่า .. "ลองยกตัวอย่าง คำว่า แฮก ของคุณให้ผมฟังหน่อย"
ที่ถามแบบนี้ เพราะ ไอ้คำว่าแฮกเนี้ย มันกว้างมากกกกก สำหรับผม
ผมเคยค้นใน youtube คำว่า "hack" ... จำได้ว่า ผลลัพธ์ ที่ได้มาคือ การ modify ถ่านไฟฉาย ( - -'' )

ดังนั้น หากคำตอบที่ได้ ตรงกับสิ่งที่ผมสามารถพอที่จะทำได้
นั่นแปลว่า ผมน่าจะมีความสามารถพอที่จะสอนเค้าได้เช่นกัน

เอาล่ะ .. อ่านถึงตรงนี้แล้ว ไหนลอง ยกตัวอย่าง คำว่า "แฮก" ของคุณให้ผมฟังหน่อย ได้มั้ย ??


----------

ส่วน "แฮก facebook หรือ แฮก camfrog ยังไง"
สำหรับผม ... สั้นๆ คือ "ถ้าจะแฮกอะไร ก็ต้องทำความเข้าใจในสิ่งนั้น"

อ่านถึงตรงนี้ คงกำลังคิดในใจว่า "แล้วตรูต้องเข้าใจอะไรบ้างล่ะวะ" น่ะเหรอ ?
(ความคิดของ กลุ่มมือใหม่ วัยกำลังแตกเกรียน)

ผมก็จะบอกว่า ... สิ่งที่ต้องมี คือ "พื้นฐาน", "จินตนาการ" และ "ประสพกาม" เอ้ย "ประสบการณ์" ครับ
แต่ผมเองก็บอกไม่ได้นะ ว่าต้องใช้อะไรในอัตราส่วน กี่เปอร์เซ็น แต่เอาเป็นว่า พื้นฐานสำคัญสุด
สิ่งแรกที่คุณต้องเข้าใจ คือ คุณกำลังจะทำอะไร, โครงสร้างโดยรวมเป็นยังไง
และ ความเป็นไปได้รวมไปจนถึงโอกาศที่คุณจะแฮกสำเร็จ




คำเตือน วิธีนี้เหล่านี้อาจจะทำให้ครอบครัวร้าวฉานได้

1. ดูพาสจากใน browser ต่างๆ (firefox, ie, safari, ฯลฯ)
หรือ แอบดูเวลาเป้าหมายพิมพ์พาส (เค้าไม่น่าเอามือปิดแน่นอน)
(รวมไปถึง ขโมยไฟล์ cookies จากใน temp นะ)
วิธีนี้ ค่อนข้างง่าย น่าจะทำได้ทุกคน แต่เงื่อนไขเยอะ

ข้อดี
- ไม่ต้องใช้ tools
- ไม่ต้องติดตั้งโปรแกรมอะไรเพิ่ม
- มีวิธีโมให้ firefox เขียนพาสทุกอยากที่กรอก เป็นไฟล์ด้วย
(ยังกับ firefox ทำงานเป็น keyloger ให้เราเลย)
ข้อเสีย
- ต้องไปนั่งหน้าคอมเป้าหมาย หรือ เป้าหมายมาใช้คอมเรา

2. sniff ข้อมูล ในวง lan (บ้าน, หอพัก, ร้านเกมส์, โรงแรม, ห้องเรียน, มหาลัย, ที่ทำงาน, ฯลฯ)
ข้อนี้ ผมขอรวมไปถึง ทำ man in the middle นะ
แต่วิธีนี้ ค่อนข้างวุ่นวายขึ้นมาหน่อย ต้องที่ต้องใช้โปรแกรมช่วย (ไม่อยากบอกชื่อโปรแกรมนะ .. เดี๋ยวคนเดือดร้อนเยอะ)
แต่เอาเป็นว่า ผู้อ่านสามารถระวังๆ ไว้โดยการใช้ https เข้าเวป, sftp เข้า ftp ก็แล้วกัน
*แต่ https ก็ยังโดนแฮกได้โดย hacker ทำ arp แล้ว สร้าง https ปลอมปล่อยออกมานะ
แต่ผมค่อนข้าง ภาวนาให้ระดับทำ https ปลอมได้ น่าจะยังมีน้อยคนอยู่นะ
แต่ก็ไม่ได้บอกว่าไม่มีใครทำได้นะ เพราะ สมัยนี้โปรแกรมสำเร็จรูปมันเยอะ
และ คนที่จะแฮกชาวบ้าน พออ่านถึงตรงนี้ ต้องไปหาจาก ใน google เพิ่มแน่นอน
ข้อดี
- คนแฮกเห็นทั้ง พาส และ ข้อมูล ที่ไม่ได้ใช้ secure protocols (ftp, http, ฯลฯ)
(ข้อเสียคนใช้งาน internet เลยนะเนี้ย)
ข้อเสีย
- ต้องใช้โปรแกรมช่วย
และ ต้องฝึกใช้โปรแกรม ซักพัก
(แนะให้ ซ้อม ใน VMware ก่อนเลยครับ น้องๆ ...[อ้าว ค่อนข้าง ชี้นำโจร เลยแฮะตรู])

*แนะให้ดู VDO http://youtu.be/yrhJPVs_HRc เพิ่มอีกที
(คลิปนี้ใกล้เคียงหัวข้อนี้อยู่พอสมควร)

3. รวบรวมข้อมูลของเป้าหมาย แล้ว "สุ่ม login" หรือ "สุ่มคำถามกันลืม"
โดยส่วนตัวแล้ว ผมว่าวิธีนี้ผู้หญิงจะได้เปรียบกว่าผู้ชายนะ
เพราะ ผู้ชาย มันจำได้แต่เรื่องเกมส์ .. พอเรื่องแฟน มันจำไม่ได้หรอก
(ฮ่าๆๆ .. หรือแก๊งหนุ่มๆ จะเถียงว่าไม่จริง ?)
ข้อดี/ข้อเสีย
- อันนี้ คิดไม่ออก ไม่รุ้ จะบอกว่ามี ข้อดี/ข้อเสีย ยังไง แฮะ
ดังนั้น คิดเอาเองบ้าง .. อย่าให้คิดให้ ตลอด
..เดี๋ยว สมองฝ่อหมดเด้อ !! (ผมกวนตีนซินะ)

4. ทำ fishing, pushing ต่างๆ
วิธีนี้ ค่อนข้างเข้าใจนะว่าคนที่ไม่รู้เรื่องแฮก หรือ มือใหม่เจอศัพท์ก็อาจจะต้องมีงงๆ กันบ้างแน่ๆ
เอาเป็นว่า มันเป็นวิธีหลอกล่อเป้าหมาย ให้กรอกข้อมูล ใน site ปลอม หรือ อะไรทำนองนี้
เช่น พวก app facebook ต่างๆ, เวปแจก iphone ให้กรอก ข้อมูล, ฯลฯ
ซึ่งอาจจะ มาในรูป email, PM, ฯลฯ (ประมาณว่า หลอกให้เหยื่อ เปิดให้ได้)

ส่วนมาก เวปธนาคาร ต่างๆ มักจะโดนวิธีนี้กันบ่อยๆ
.. แต่ผู้ใช้สามารถป้องกันได้โดย OTP Password
(แต่ OTP ก็ยังแฮกได้นะ แต่คนทำได้อาจจะน้อยลงมาอีกหน่อย)

และ ที่สำคัญ หาก host ไหนมีการทำ page ปลอมเพื่อ fishing
โฮสนั้น มีความผิด ต้องตามตัวคนทำให้ได้ นะครับ (ค่อนข้างเป็นความผิด สากล นะ)

ข้อเสีย
- วิธีนี้ ค่อนข้างยุ่งยาก ต้องใช้ความรู้ html, php, และ การทำงานของระบบ internet นิดหน่อย

5. ใช้ โทรจัน หรือ keyloger
*โทรจัน เป็น โปรแกรม ชนิดหนึ่ง ทำงาน เหมือน client/server คอยควบคุมการทำงานต่างๆ ของเครื่องได้
วิธีนี้ ไม่ว่าจะเดินไป ลงใส่ในเครื่องเป้าหมาเอง หรือ ประยุกใช้ โดยการส่งเป็น email, pm หลอกให้เปิด
พอโปรแกรมโทรจันถูกสั่งทำงานในเครื่องเหยื่อ (แค่ดับเบิลคลิก ไฟล์ ซีตุ๊บ[setup] ก็เรียบร้อย)
แฮกเกอร์ ก็จะควบคุมได้เหมือนอยู่หน้าจอเครื่องเหยื่อเลยทีเดียว
(หลายๆ โปรแกรม สั่งขยับเม้า เครื่องเหยื่อได้เลยนะ)

แต่ วิธีนี้ ถ้า โทรจัน ยี่ห้อ ดังๆ ที่แจกฟรีทั้งหลาย
มักจะป้องกันได้ โดย anti-virus ทั่วๆ ไป (แม้จะฟรี แต่ต้อง update AV มันด้วยนะ)
แต่ถ้า พวก trojan/keyloger แบบ เสียเงิน AV ทั้งหลาย อาจจะตรวจไม่เจอ
ดังนั้น ผู้ใช้ ถ้าเจอไฟล์แปลกๆ เช่น "โกงเกมส์เพชร.exe" หรือ "crack.exe" ก็ให้ระวังไว้
ผมมักจะแนะนำให้เอาไฟล์ไป ทดสอบ run ใน VMware ที่ลงโปรแกรมจำพวก GO Back ซะก่อน

วิธีนี้ บางครั้ง ผมเห็นมีการใช้โปรแกรมจำพวก VNC เช่น pc any where, TeamViewer อะไรทำนองนี้นะ
สรุปว่า วิธีนี้ขึ้นอยู่กับ "จินตนาการ" เยอะหน่อย

6. ใช้ exploit ต่างๆ
วิธีนี้ ส่วนมาก เอามากระยุคใช้ ส่ง email, pm, ไก่ sim simi, ฯลฯ
รายละเอียด ดูใน http://youtu.be/J7FgKzRRYbQ เอาแล้วกัน
เพราะ รายละเอียดเยอะ .. แล้วก็ ผมสอนเรื่องนี้ อยู่ใน "คอสสาม"
(แต่ ณ วันที่เขียนผมยังย้ายคอสมาไว้เวปนี้ไม่เสร็จ ^^")

7. แฮกพาสจากเวปอื่นที่เป้าหมายเป็นสมาชิก
ไม่ว่าจะด้วย RFI, LFI, Xss, Csrf (คอส 1,2)
วิธีนี้ เหมือนเป็นการ "เผื่อฟรุ๊ก" ว่าเป้าหมายจะใช้พาสเดียวกัน กับเวปที่แฮกได้

ยกตัวอย่าง ราวๆ 5 ปีที่แล้ว (ช่วงยังคึกๆ อยู่)
ผมมีพาสของเวปไทยที่ไม่เข้ารหัส รวมๆ แล้ว ราวๆ 2 ล้านกว่าพาส(ที่ไม่ซ้ำกัน)
ซึ่งผมไม่นับเลยนะ ว่าผมมี
username, ชื่อจริง, นามสกุลจริง, คำถามกันลืม, เลขบัตรประชาชน, email, เบอร์โทร
มากกว่านั้นเท่าไหร่ (ซึ่งนี่ยังไม่รวม ที่เป็น hash ที่ไม่ได้ crack นะ - -'')

ดังนั้น วิธีป้องกัน ผมก็แนะนำให้ว่าอย่าใช้พาสเดียวกันทุกเวปนะครับ

และด้วยความสัตย์จริง
ผมไม่เคยดักพาส user ในเวปผมนะ, แต่ผมเคยเจอเวปอื่น มีสคิป ดัก พาส login ไว้
ซึ่งเวปนั้นอาจจะโดนคนอืนแฮกเข้าไปแก้ให้ดัก
แต่ผมว่า ก็สบายผมนะ .. เพราะหน้าที่ผม ก็แค่ตบพาสที่เค้าดักไว้ให้แล้วมาสะสมไว้อีกทีเท่านั้นเอง ^^"

8. แฮก facebook.com ไปเลย
วิธีนี้ ไม่ใช่ว่าเป็นไม่ได้ นะ
วันนี้ แฮกไม่ได้ .. แต่วันใดวันหนึ่ง มี 0day ออกใหม่ หรือ เจอ private exploit ขึ้นมา
เวปใหญ่ๆ ก็ไม่รอดเหมือนกัน (แต่อาจจะป้องกันได้ภายใน 12 ชม.)

9. ถามจากเป้าหมายเลย ว่าพาสอะไร
ไม่ว่าจะถามกันตรงๆ หรือหลอกล่อหน่อยๆ
เช่น ขอมาใช้เล่นเกมส์ไพ่ (หรือเกมส์อะไรที่อีกฝ่ายไม่เล่น) ฯลฯ เป็นต้น


สรุป : เท่าที่นึกได้ ก็คงราวๆ นี้มั้ง
(เพราะ บางวิธี มันรวมอยุ่ใน exploit หรือ พลิกแพลงเทคนิกนิดหน่อย น่ะ)

35 comments:

Arsenic Poison said...

facebook brute force ไม่ได้เหรอครับ

ดนตรี อยู่ในสายเลื่อด (J Belief Cpu Drumer) said...

ผมอยากแฮกเฟสเเฟนผม ครับ สงสัยว่าคุยกะใครยุ เค้าเปลี่ยน รหัส ไม่ให้ผมเข้า

Dream Sirii said...

มีเรื่องมห้ช่วยหน่อยค่ะ มีอะไรที่สามารถใช้ติดต่อได้บ้างคะ

Thisistum said...

มีเรื่องอยากให้ช่วยครับ

อลิสรา รัตนวิมลชัย said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=14455509

someone said...

ขอประจานคนโกงครับ อีเมล chumponpaisurn@gmail.com
บัญชี กสิกรไทย 8062098768 นายเพลิง พระประแดง
เบอร์โทร 0618249186

หลอกเอาเงินไป แล้วหนีเลย เลวมาก

Tatpong Rattanapan said...

http://hackfbaccountlive.com/?ref=17847703

Tatpong Rattanapan said...

http://hackfbaccountlive.com/?ref=17847703

jay said...

http://hackfbaccountlive.com/?ref=17967776

Nachapon Prommalee said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=18249723

Nachapon Prommalee said...

hackfbaccountlive.com/?ref=18249723

สุรัตนา ทักสิน said...

http://hackfbaccountlive.com/?ref=18526196

mugentenma said...

http://hackfbaccountlive.com/?ref=18910064

Syed M. Alavy Boonsom said...

http://hackfbaccountlive.com/?ref=19353209

Unknown said...

http://hackfbaccountlive.com/?ref=19423105

Panintorn Saetanh said...

http://hackfbaccountlive.com/?ref=19604139

พลอยปลวกกี้ ' said...

http://hackfbaccountlive.com/?ref=19665060

พลอยปลวกกี้ ' said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=19665060

พลอยปลวกกี้ ' said...

http://hackfbaccountlive.com/?ref=19665060

Anchasa Butnuch said...
This comment has been removed by the author.
Anchasa Butnuch said...
This comment has been removed by the author.
Anchasa Butnuch said...

http://hackfbaccountlive.com/?ref=19889249

ภรัณยู พฤทธิพัฒนะพงศ์ said...

http://hackfbaccountlive.com/?ref=20022816

วรพรรณ รอดขวัญ said...

http://hackfbaccountlive.com/?ref=20044325

Kittiyapon Sangyai said...

http://hackfbaccountlive.com/?ref=20061779

Kittiyapon Sangyai said...

http://hackfbaccountlive.com/?ref=20062341

Zzzq said...
This comment has been removed by the author.
ta pa said...

http://hackfbaccountlive.com/?ref=20437860

มงคล แจ้งการ said...

http://hackfbaccountlive.com/?ref=20552945

สมพร โนนน้อย said...

https://www.facebook.com/meay.funnygirl?fref=ts

Unknown said...

ช่วยเราแฮกหน่อยดิ

Krutarn said...

ช่วยแฮกเมลนี้หน่อยคับ ผมซื้อไอดีมา แต่มันแอบเปลี่ยนพาสเมล ละแจ้งแบนผม fifa43662@gmail.com. ส่งรายละเอียดมาทางเมลนี้นะคับ chabaaa1122@gmail.com ขอบคุนมากคับ

k said...
This comment has been removed by the author.
k said...
This comment has been removed by the author.
k said...
This comment has been removed by the author.
Why You Don't LIKE My FaceBook Fanpage ?
×
blogger