Friday, May 18, 2012

เมื่อผมเจอคำถาม "พี่ครับ สอนแฮก ให้ผมหน่อย", "แฮก facebook ยังไง", "แฮก camfrogยังไง"

แรกๆ ผมมองว่า ประโยค "พี่ครับ สอนแฮก ให้ผมหน่อย" นี้
เป็น "ประโยคขอร้อง" ที่ผู้พูด กล่าวออกมาเพื่อ ขอความช่วยเหลือ จากเรานะ

แต่หลังๆ ผมมองเป็นประโยคคำถาม ไปซะแล้ว
เพราะผมรู้สึกว่า ผมเองไม่ได้เก่งพอที่จะ ตอบว่า ผมรู้ไปหมดทุกเรื่องเหมือนกัน (ก็ผมไม่ใช่แฮกเกอร์นี่หน่า)

ดังนั้นผมจึกมักถามกลับไปว่า .. "ลองยกตัวอย่าง คำว่า แฮก ของคุณให้ผมฟังหน่อย"
ที่ถามแบบนี้ เพราะ ไอ้คำว่าแฮกเนี้ย มันกว้างมากกกกก สำหรับผม
ผมเคยค้นใน youtube คำว่า "hack" ... จำได้ว่า ผลลัพธ์ ที่ได้มาคือ การ modify ถ่านไฟฉาย ( - -'' )

ดังนั้น หากคำตอบที่ได้ ตรงกับสิ่งที่ผมสามารถพอที่จะทำได้
นั่นแปลว่า ผมน่าจะมีความสามารถพอที่จะสอนเค้าได้เช่นกัน

เอาล่ะ .. อ่านถึงตรงนี้แล้ว ไหนลอง ยกตัวอย่าง คำว่า "แฮก" ของคุณให้ผมฟังหน่อย ได้มั้ย ??


----------

ส่วน "แฮก facebook หรือ แฮก camfrog ยังไง"
สำหรับผม ... สั้นๆ คือ "ถ้าจะแฮกอะไร ก็ต้องทำความเข้าใจในสิ่งนั้น"

อ่านถึงตรงนี้ คงกำลังคิดในใจว่า "แล้วตรูต้องเข้าใจอะไรบ้างล่ะวะ" น่ะเหรอ ?
(ความคิดของ กลุ่มมือใหม่ วัยกำลังแตกเกรียน)

ผมก็จะบอกว่า ... สิ่งที่ต้องมี คือ "พื้นฐาน", "จินตนาการ" และ "ประสพกาม" เอ้ย "ประสบการณ์" ครับ
แต่ผมเองก็บอกไม่ได้นะ ว่าต้องใช้อะไรในอัตราส่วน กี่เปอร์เซ็น แต่เอาเป็นว่า พื้นฐานสำคัญสุด
สิ่งแรกที่คุณต้องเข้าใจ คือ คุณกำลังจะทำอะไร, โครงสร้างโดยรวมเป็นยังไง
และ ความเป็นไปได้รวมไปจนถึงโอกาศที่คุณจะแฮกสำเร็จ




คำเตือน วิธีนี้เหล่านี้อาจจะทำให้ครอบครัวร้าวฉานได้

1. ดูพาสจากใน browser ต่างๆ (firefox, ie, safari, ฯลฯ)
หรือ แอบดูเวลาเป้าหมายพิมพ์พาส (เค้าไม่น่าเอามือปิดแน่นอน)
(รวมไปถึง ขโมยไฟล์ cookies จากใน temp นะ)
วิธีนี้ ค่อนข้างง่าย น่าจะทำได้ทุกคน แต่เงื่อนไขเยอะ

ข้อดี
- ไม่ต้องใช้ tools
- ไม่ต้องติดตั้งโปรแกรมอะไรเพิ่ม
- มีวิธีโมให้ firefox เขียนพาสทุกอยากที่กรอก เป็นไฟล์ด้วย
(ยังกับ firefox ทำงานเป็น keyloger ให้เราเลย)
ข้อเสีย
- ต้องไปนั่งหน้าคอมเป้าหมาย หรือ เป้าหมายมาใช้คอมเรา

2. sniff ข้อมูล ในวง lan (บ้าน, หอพัก, ร้านเกมส์, โรงแรม, ห้องเรียน, มหาลัย, ที่ทำงาน, ฯลฯ)
ข้อนี้ ผมขอรวมไปถึง ทำ man in the middle นะ
แต่วิธีนี้ ค่อนข้างวุ่นวายขึ้นมาหน่อย ต้องที่ต้องใช้โปรแกรมช่วย (ไม่อยากบอกชื่อโปรแกรมนะ .. เดี๋ยวคนเดือดร้อนเยอะ)
แต่เอาเป็นว่า ผู้อ่านสามารถระวังๆ ไว้โดยการใช้ https เข้าเวป, sftp เข้า ftp ก็แล้วกัน
*แต่ https ก็ยังโดนแฮกได้โดย hacker ทำ arp แล้ว สร้าง https ปลอมปล่อยออกมานะ
แต่ผมค่อนข้าง ภาวนาให้ระดับทำ https ปลอมได้ น่าจะยังมีน้อยคนอยู่นะ
แต่ก็ไม่ได้บอกว่าไม่มีใครทำได้นะ เพราะ สมัยนี้โปรแกรมสำเร็จรูปมันเยอะ
และ คนที่จะแฮกชาวบ้าน พออ่านถึงตรงนี้ ต้องไปหาจาก ใน google เพิ่มแน่นอน
ข้อดี
- คนแฮกเห็นทั้ง พาส และ ข้อมูล ที่ไม่ได้ใช้ secure protocols (ftp, http, ฯลฯ)
(ข้อเสียคนใช้งาน internet เลยนะเนี้ย)
ข้อเสีย
- ต้องใช้โปรแกรมช่วย
และ ต้องฝึกใช้โปรแกรม ซักพัก
(แนะให้ ซ้อม ใน VMware ก่อนเลยครับ น้องๆ ...[อ้าว ค่อนข้าง ชี้นำโจร เลยแฮะตรู])

*แนะให้ดู VDO http://youtu.be/yrhJPVs_HRc เพิ่มอีกที
(คลิปนี้ใกล้เคียงหัวข้อนี้อยู่พอสมควร)

3. รวบรวมข้อมูลของเป้าหมาย แล้ว "สุ่ม login" หรือ "สุ่มคำถามกันลืม"
โดยส่วนตัวแล้ว ผมว่าวิธีนี้ผู้หญิงจะได้เปรียบกว่าผู้ชายนะ
เพราะ ผู้ชาย มันจำได้แต่เรื่องเกมส์ .. พอเรื่องแฟน มันจำไม่ได้หรอก
(ฮ่าๆๆ .. หรือแก๊งหนุ่มๆ จะเถียงว่าไม่จริง ?)
ข้อดี/ข้อเสีย
- อันนี้ คิดไม่ออก ไม่รุ้ จะบอกว่ามี ข้อดี/ข้อเสีย ยังไง แฮะ
ดังนั้น คิดเอาเองบ้าง .. อย่าให้คิดให้ ตลอด
..เดี๋ยว สมองฝ่อหมดเด้อ !! (ผมกวนตีนซินะ)

4. ทำ fishing, pushing ต่างๆ
วิธีนี้ ค่อนข้างเข้าใจนะว่าคนที่ไม่รู้เรื่องแฮก หรือ มือใหม่เจอศัพท์ก็อาจจะต้องมีงงๆ กันบ้างแน่ๆ
เอาเป็นว่า มันเป็นวิธีหลอกล่อเป้าหมาย ให้กรอกข้อมูล ใน site ปลอม หรือ อะไรทำนองนี้
เช่น พวก app facebook ต่างๆ, เวปแจก iphone ให้กรอก ข้อมูล, ฯลฯ
ซึ่งอาจจะ มาในรูป email, PM, ฯลฯ (ประมาณว่า หลอกให้เหยื่อ เปิดให้ได้)

ส่วนมาก เวปธนาคาร ต่างๆ มักจะโดนวิธีนี้กันบ่อยๆ
.. แต่ผู้ใช้สามารถป้องกันได้โดย OTP Password
(แต่ OTP ก็ยังแฮกได้นะ แต่คนทำได้อาจจะน้อยลงมาอีกหน่อย)

และ ที่สำคัญ หาก host ไหนมีการทำ page ปลอมเพื่อ fishing
โฮสนั้น มีความผิด ต้องตามตัวคนทำให้ได้ นะครับ (ค่อนข้างเป็นความผิด สากล นะ)

ข้อเสีย
- วิธีนี้ ค่อนข้างยุ่งยาก ต้องใช้ความรู้ html, php, และ การทำงานของระบบ internet นิดหน่อย

5. ใช้ โทรจัน หรือ keyloger
*โทรจัน เป็น โปรแกรม ชนิดหนึ่ง ทำงาน เหมือน client/server คอยควบคุมการทำงานต่างๆ ของเครื่องได้
วิธีนี้ ไม่ว่าจะเดินไป ลงใส่ในเครื่องเป้าหมาเอง หรือ ประยุกใช้ โดยการส่งเป็น email, pm หลอกให้เปิด
พอโปรแกรมโทรจันถูกสั่งทำงานในเครื่องเหยื่อ (แค่ดับเบิลคลิก ไฟล์ ซีตุ๊บ[setup] ก็เรียบร้อย)
แฮกเกอร์ ก็จะควบคุมได้เหมือนอยู่หน้าจอเครื่องเหยื่อเลยทีเดียว
(หลายๆ โปรแกรม สั่งขยับเม้า เครื่องเหยื่อได้เลยนะ)

แต่ วิธีนี้ ถ้า โทรจัน ยี่ห้อ ดังๆ ที่แจกฟรีทั้งหลาย
มักจะป้องกันได้ โดย anti-virus ทั่วๆ ไป (แม้จะฟรี แต่ต้อง update AV มันด้วยนะ)
แต่ถ้า พวก trojan/keyloger แบบ เสียเงิน AV ทั้งหลาย อาจจะตรวจไม่เจอ
ดังนั้น ผู้ใช้ ถ้าเจอไฟล์แปลกๆ เช่น "โกงเกมส์เพชร.exe" หรือ "crack.exe" ก็ให้ระวังไว้
ผมมักจะแนะนำให้เอาไฟล์ไป ทดสอบ run ใน VMware ที่ลงโปรแกรมจำพวก GO Back ซะก่อน

วิธีนี้ บางครั้ง ผมเห็นมีการใช้โปรแกรมจำพวก VNC เช่น pc any where, TeamViewer อะไรทำนองนี้นะ
สรุปว่า วิธีนี้ขึ้นอยู่กับ "จินตนาการ" เยอะหน่อย

6. ใช้ exploit ต่างๆ
วิธีนี้ ส่วนมาก เอามากระยุคใช้ ส่ง email, pm, ไก่ sim simi, ฯลฯ
รายละเอียด ดูใน http://youtu.be/J7FgKzRRYbQ เอาแล้วกัน
เพราะ รายละเอียดเยอะ .. แล้วก็ ผมสอนเรื่องนี้ อยู่ใน "คอสสาม"
(แต่ ณ วันที่เขียนผมยังย้ายคอสมาไว้เวปนี้ไม่เสร็จ ^^")

7. แฮกพาสจากเวปอื่นที่เป้าหมายเป็นสมาชิก
ไม่ว่าจะด้วย RFI, LFI, Xss, Csrf (คอส 1,2)
วิธีนี้ เหมือนเป็นการ "เผื่อฟรุ๊ก" ว่าเป้าหมายจะใช้พาสเดียวกัน กับเวปที่แฮกได้

ยกตัวอย่าง ราวๆ 5 ปีที่แล้ว (ช่วงยังคึกๆ อยู่)
ผมมีพาสของเวปไทยที่ไม่เข้ารหัส รวมๆ แล้ว ราวๆ 2 ล้านกว่าพาส(ที่ไม่ซ้ำกัน)
ซึ่งผมไม่นับเลยนะ ว่าผมมี
username, ชื่อจริง, นามสกุลจริง, คำถามกันลืม, เลขบัตรประชาชน, email, เบอร์โทร
มากกว่านั้นเท่าไหร่ (ซึ่งนี่ยังไม่รวม ที่เป็น hash ที่ไม่ได้ crack นะ - -'')

ดังนั้น วิธีป้องกัน ผมก็แนะนำให้ว่าอย่าใช้พาสเดียวกันทุกเวปนะครับ

และด้วยความสัตย์จริง
ผมไม่เคยดักพาส user ในเวปผมนะ, แต่ผมเคยเจอเวปอื่น มีสคิป ดัก พาส login ไว้
ซึ่งเวปนั้นอาจจะโดนคนอืนแฮกเข้าไปแก้ให้ดัก
แต่ผมว่า ก็สบายผมนะ .. เพราะหน้าที่ผม ก็แค่ตบพาสที่เค้าดักไว้ให้แล้วมาสะสมไว้อีกทีเท่านั้นเอง ^^"

8. แฮก facebook.com ไปเลย
วิธีนี้ ไม่ใช่ว่าเป็นไม่ได้ นะ
วันนี้ แฮกไม่ได้ .. แต่วันใดวันหนึ่ง มี 0day ออกใหม่ หรือ เจอ private exploit ขึ้นมา
เวปใหญ่ๆ ก็ไม่รอดเหมือนกัน (แต่อาจจะป้องกันได้ภายใน 12 ชม.)

9. ถามจากเป้าหมายเลย ว่าพาสอะไร
ไม่ว่าจะถามกันตรงๆ หรือหลอกล่อหน่อยๆ
เช่น ขอมาใช้เล่นเกมส์ไพ่ (หรือเกมส์อะไรที่อีกฝ่ายไม่เล่น) ฯลฯ เป็นต้น


สรุป : เท่าที่นึกได้ ก็คงราวๆ นี้มั้ง
(เพราะ บางวิธี มันรวมอยุ่ใน exploit หรือ พลิกแพลงเทคนิกนิดหน่อย น่ะ)

36 comments:

Unknown said...

facebook brute force ไม่ได้เหรอครับ

ดนตรี อยู่ในสายเลื่อด (J Belief Cpu Drumer) said...

ผมอยากแฮกเฟสเเฟนผม ครับ สงสัยว่าคุยกะใครยุ เค้าเปลี่ยน รหัส ไม่ให้ผมเข้า

Unknown said...

มีเรื่องมห้ช่วยหน่อยค่ะ มีอะไรที่สามารถใช้ติดต่อได้บ้างคะ

Thisistum said...

มีเรื่องอยากให้ช่วยครับ

Unknown said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=14455509

someone said...

ขอประจานคนโกงครับ อีเมล chumponpaisurn@gmail.com
บัญชี กสิกรไทย 8062098768 นายเพลิง พระประแดง
เบอร์โทร 0618249186

หลอกเอาเงินไป แล้วหนีเลย เลวมาก

Unknown said...

http://hackfbaccountlive.com/?ref=17847703

Unknown said...

http://hackfbaccountlive.com/?ref=17847703

jay said...

http://hackfbaccountlive.com/?ref=17967776

Unknown said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=18249723

Unknown said...

hackfbaccountlive.com/?ref=18249723

สุรัตนา ทักสิน said...

http://hackfbaccountlive.com/?ref=18526196

Unknown said...

http://hackfbaccountlive.com/?ref=18910064

Unknown said...

http://hackfbaccountlive.com/?ref=19353209

Unknown said...

http://hackfbaccountlive.com/?ref=19423105

Unknown said...

http://hackfbaccountlive.com/?ref=19604139

พลอยปลวกกี้ ' said...

http://hackfbaccountlive.com/?ref=19665060

พลอยปลวกกี้ ' said...

Wow this is amazing. Never knew you could hack anyone on facebook this easily.
Try it out guys, it works.
hackfbaccountlive.com/?ref=19665060

พลอยปลวกกี้ ' said...

http://hackfbaccountlive.com/?ref=19665060

Unknown said...
This comment has been removed by the author.
Unknown said...
This comment has been removed by the author.
Unknown said...

http://hackfbaccountlive.com/?ref=19889249

Unknown said...

http://hackfbaccountlive.com/?ref=20022816

Unknown said...

http://hackfbaccountlive.com/?ref=20044325

Unknown said...

http://hackfbaccountlive.com/?ref=20061779

Unknown said...

http://hackfbaccountlive.com/?ref=20062341

Zzzq said...
This comment has been removed by the author.
Unknown said...

http://hackfbaccountlive.com/?ref=20437860

Unknown said...

http://hackfbaccountlive.com/?ref=20552945

Unknown said...

https://www.facebook.com/meay.funnygirl?fref=ts

Unknown said...

ช่วยเราแฮกหน่อยดิ

Krutarn said...

ช่วยแฮกเมลนี้หน่อยคับ ผมซื้อไอดีมา แต่มันแอบเปลี่ยนพาสเมล ละแจ้งแบนผม fifa43662@gmail.com. ส่งรายละเอียดมาทางเมลนี้นะคับ chabaaa1122@gmail.com ขอบคุนมากคับ

k said...
This comment has been removed by the author.
k said...
This comment has been removed by the author.
k said...
This comment has been removed by the author.
Hacker said...

รับแฮคเฟสบุ๊ค ไอจี ไลน์ อีเมล
ยินดีให้คำปรึกษาปัญหาเกี่ยวโซเชียลฟรี
เครดิตดี ทักไลน์เข้าสอบถามกันได้ครับ
Id line @hacker2018 มี@ด้วยนะครับ

Why You Don't LIKE My FaceBook Fanpage ?
×
blogger