[CEH Tiếng Việt] Module 2 – Phần 4: Email Footprinting – Truy vết email

Ở các bài trước ta đã tìm hiểu về footprinting bằng các công cụ tìm kiếm, qua các trang mạng xã hội và trên các trang web. Bây giờ, ta sẽ tiếp tục với kỹ thuật email footprinting. Phần này mô tả cách theo dõi thông tin liên lạc qua email, cách thu thập thông tin từ tiêu đề email và các công cụ theo dõi email.

Email footprinting là gì?

Email tracking (truy vết email) có nghĩa là giám sát email của một người cụ thể. Loại theo dõi này có thể thực hiện được thông qua các bản ghi được gắn timestamp cho biết thời gian khi mục tiêu nhận và mở một email nào đó.

Các công cụ theo dõi email cho phép attacker thu thập thông tin như IP, email server và nhà cung cấp dịch vụ liên quan đến việc gửi email. Những attacker có thể sử dụng thông tin này để xây dựng chiến lược tấn công và thực hiện kỹ thuật social engineering cũng như các ký thuật tấn công khác. Một số công cụ theo dõi email như: eMailTrackerPro, Infoga và Mailtrack.

Thông tin về nạn nhân được thu thập bằng các công cụ theo dõi email bao gồm:

• Địa chỉ IP của người nhận: cho phép theo dõi địa chỉ IP của người nhận.
• Vị trí địa lý: ước tính và hiển thị vị trí của người nhận trên bản đồ và thậm chí có thể tính toán khoảng cách từ attacker đến nạn nhân.
• Đã nhận và đọc email hay chưa: thông báo cho attacker khi người nhận nhận và đọc email.
• Thời gian đọc: thời gian người nhận dành để đọc email do người gửi gửi.
• Proxy: cung cấp thông tin về loại server được người nhận sử dụng.
• Liên kết: kiểm tra xem các liên kết được gửi đến người nhận qua email đã được kiểm tra chưa.
• Thông tin hệ điều hành và trình duyệt: lấy được thông tin về hệ điều hành và trình duyệt được người nhận sử dụng, từ đó tìm các sơ hở trong bản hệ điều hành này sau đó thực hiện các kỹ thuật tấn công khác.
• Forward email: xác định xem email được gửi đến người dùng có được chuyển tiếp đến người khác hay không.
• Loại thiết bị: cung cấp thông tin về loại thiết bị được sử dụng để mở và đọc email, ví dụ: máy tính để bàn, thiết bị di động hoặc máy tính xách tay.
• Truy vết path: theo dõi đường dẫn email đi qua các tác nhân chuyển email từ hệ thống nguồn đến hệ thống đích.

Các phần mềm email thường sử dụng:

• eM Client
• Mailbird Lite
• Hiri
• Mozilla Thunderbird
• Spike
• Claws Mail
• SmarterMail Webmail
• Outlook

Email header có thể chứa những thông tin sau:

• Mail server của người gửi
• Ngày và giờ nhận được bởi mail server của người khởi tạo.
• Hệ thống xác thực (authentication) được sử dụng bởi mail server của người gửi
• Dữ liệu và thời gian gửi thông điệp
• Giá trị số duy nhất do mx.google.com chỉ định để nhận dạng thông điệp
• Họ và tên đầy đủ của người gửi
• Địa chỉ IP của người gửi và địa chỉ mà từ đó thông điệp được gửi đi

Attacker có thể theo dõi và thu thập tất cả thông tin này bằng cách thực hiện phân tích chi tiết một email header.

Các công cụ truy vết email

Infoga

Infoga là một công cụ được sử dụng để giả mạo thông tin email (IP, tên máy chủ, quốc gia, …) từ các nguồn khác nhau (công cụ tìm kiếm, máy chủ khóa pgp và Shodan) và kiểm tra xem email có bị rò rỉ hay không bằng cách sử dụng API hasibeenpwned.com.

Ví dụ, lệnh python infoga.py -domain microsoft.com --source all --breach -v22 --report ../m4110k.txt sẽ truy xuất tất cả các địa chỉ email công khai liên quan đến miền microsoft.com. Ví dụ tìm thấy tổng cộng là 3 email ở các nguồn Google và Yahoo.

eMailTrackerPro

Nguồn tại Source: http://www.emailtrackerpro.com.

whois

Whois là một giao thức truy vấn và phản hồi được sử dụng để truy vấn CSDL lưu trữ người dùng đã đăng ký hoặc người được chuyển nhượng tài nguyên Internet như tên miền, IP range. Giao thức này lắng nghe các request trên port 43 (TCP). Cơ quan đăng ký Internet khu vực (RIR) lưu trữ CSDL này.

Đối với mỗi tài nguyên, CSDL Whois cung cấp các bản ghi thông tin về chính tài nguyên đó và thông tin người được chuyển nhượng, người đăng ký và thông tin quản lý (ngày tạo và ngày hết hạn).

Hai loại mô hình dữ liệu để lưu trữ và tra cứu thông tin Whois:

• Thick Whois: lưu trữ thông tin Whois đầy đủ từ tất cả các công ty.
• Thin Whois: chỉ lưu trữ tên của máy chủ Whois của công ty đăng ký tên miền.

Thông tin lấy được từ whois

Truy vấn Whois trả về các thông tin như:

• Chi tiết tên miền
• Thông tin liên hệ của chủ sở hữu miền
• DNS
• NetRange
• Tên miền được tạo khi nào?
• Khi nào tên miền hết hạn?
• Thời gian mà các record (bản ghi) tên miền được chỉnh sửa lần cuối

Attacker sử dụng thông tin này, kẻ tấn công có thể tạo ra network map của tổ chức, lừa chủ sở hữu miền bằng các kỹ thuật social engineering.

Cơ quan đăng ký Internet khu vực (RIR – Regional Internet Registries)

• ARIN (Cơ quan đăng ký số Internet của Hoa Kỳ) (https://www.arin.net)
• AFRINIC (Trung tâm Thông tin Mạng Châu Phi) (https://www.afrinic.net)
• APNIC (Trung tâm Thông tin Mạng Châu Á Thái Bình Dương) (https://www.opnic.net)
• RIPE (Trung tâm Điều phối Mạng Réseaux IP Européens) (https://www.ripe.net)
• LACNIC (Trung tâm Thông tin Mạng Châu Mỹ Latinh và Caribe) (https://www.lacnic.net)

Tra cứu Whois online

Ta có thể tra cứu Whois bằng một số công cụ online như http://whois.domaintools.com hay https://www.tamos.com.

Tìm thông tin vị trí địa lí của IP

Vị trí địa lý IP giúp thu thập thông tin liên quan đến mục tiêu như quốc gia, khu vực/tiểu bang, thành phố, vĩ độ, kinh độ, mã ZlP/postaI, múi giờ, tốc độ kết nối, ISP, tên miền, mã quốc gia IDD, mã vùng, nhà cung cấp dịch vụ di động, …

Các công cụ tra cứu vị trí địa lý IP như IP2Location, IP Location Finder và IP Address Geographical Location Finder giúp thu thập thông tin vị trí địa lý IP về mục tiêu, cho phép attacker thực hiện các cuộc tấn công social engineer như gửi thư rác và lừa đảo.

Ở ví dụ trên ta có thể thấy được vị trí của IP 207.46.232.182 là ở Singapore với ISP là Microsoft Corporation, ZIP code 179431, …

Mình xin kết thúc bài viết này ở đây. Các bạn có thể tìm đọc thêm nhiều bài viết hơn về CEH Tiếng Việt tại đây.