Cách tìm Số Điện Thoại trên Facebook trong Bán Hàng Online 2018
Cách tìm số điện thoại của bất kỳ ai trên Facebook dành cho dân kinh doanh bán hàng online, Facebook thật sự luôn muốn có số điện thoại của bạn, ngay từ khi bạn bắt đầu sử dụng nó. Bạn nghĩ việc bảo mật tài khoản bằng cách sử dụng phương pháp bảo mật “Xác thực 2 yếu tố” (đăng nhập sử dụng mã từ điện thoại và mật khẩu) là tốt. Nhưng, ngược lại, việc này thậm chí còn khiến cho việc tìm kiếm số điện thoại của người dùng trở nên dễ dàng hơn, thậm chí là của những người nổi tiếng hay các chính trị gia. Chúng ta hãy tìm hiểu xem các Hacker làm việc ấy như thế nào, qua đó học cách để tự bảo vệ quyền riêng tư của chính mình.
Xem thêm: Kích thước Ảnh Cover Fanpage chuẩn nhất Facebook 2018
Nhiều người dùng Facebook thậm chí còn không nhận ra hoặc đã quên rằng số điện thoại của họ đã được liên kết với Facebook. Facebook không được phép tiết lộ số điện thoại cá nhân của người dùng, tuy nhiên, họ có thể làm điều đó bằng cách sử dụng các ứng dụng tương đương, chúng liên tục yêu cầu bạn xác nhận và nhập số điện thoại mỗi khi bạn khởi động Facebook.
Cài đặt bảo mật mặc định trên Facebook sẽ cho phép bất kỳ ai tìm thấy bạn bằng số điện thoại nếu bạn đã liên kết số điện thoại của mình trước đó. Đây là một vấn đề đã tồn tại từ lâu, bạn có thể tìm kiếm mọi thứ nếu sử dụng công cụ Facebook Graph, nhưng Facebook lại coi vấn đề này như một tính năng.
Chắc chắn rằng, đối với một số đối tượng đặc biệt như những người nổi tiếng hay các chính trị gia, thì việc bảo mật số điện thoại cá nhân của họ phải được chú ý hơn những người khác một chút, bởi nếu một Hacker nào đó có được số điện thoại và tên của bạn, họ có thể sử dụng các công cụ mã nguồn mở thông minh (OSINT) để khai thác các dữ liệu cá nhân có liên quan của bạn như gia đình, nghề nghiệp, các mối quan hệ, …
Xem thêm: Cách Lấy Email, Số điện thoại qua Facebook UID trong Kinh doanh Online
Các Hacker có thể sử dụng những thông tin này để thực hiện các hành vi lừa đảo bằng việc trực tiếp gọi điện thoại cho bạn. Một người bình thường sẽ rất dễ bị lừa khi bất ngờ nhận được một cuộc điện thoại từ một người biết tên tuổi và toàn bộ thông tin về họ.
Vậy Hacker làm thế nào để tìm được số điện thoại của bạn?
Về mặt lý thuyết, nếu có thời gian, họ chỉ cần dò trong số tất cả 9,999,999,999 cho đến khi tìm thấy số của bạn. Tuy nhiên, rõ ràng đây là điều bất khả thi, vì vậy chúng ta hãy cùng tìm hiểu cách thực sự để tìm số điện thoại của ai đó ngay sau đây. Ví dụ, tôi sẽ sử dụng Thị trưởng của DC là Muriel Bowser (2017) như một đối tượng ngẫu nhiên. Trong các ví dụ dưới đây, số của cô đã được thay đổi để bảo vệ số thực của cô.
Bước 1: Sử dụng mã vùng:
Nếu như mục tiêu là một số điện thoại nào có 10 số nào đó ở Hoa Kỳ, thì chúng ta sẽ dễ dàng tìm ra khoảng 10 tỷ số như vậy, một con số quá lớn để tìm kiến. Tuy nhiên đối với Hacker, họ có thể giảm con số này xuống bằng cách sử dụng North American Numbering Plan (NANP) – có thể tạm gọi là kế hoạch đánh số Bắc Mỹ.
Lấy ví dụ, một số điện thoại dạng 234-235-5678. Nhìn trên NANP thì ta có thể thấy 3 số đầu tiên (234) chính là mã vùng, theo đúng quy định thì sẽ cho phép sử dụng các số từ 2 – 9 cho số đầu tiên và từ 0 – 9 cho số thứ 2 và thứ 3, vận nên, nhờ thông tin này, hacker có thể loại bỏ khoảng 1 tỷ con số từ danh sách.
Xem thêm: Facebook UID là gì? Làm thế nào để bảo vệ Facebook UID của bạn?
Nếu hacker biết nơi bạn đang sống thì họ cũng có thể tận dụng điều này, bởi có thể dễ dàng tìm kiếm mã vùng trên Google, việc này sẽ giúp loại bỏ khoảng 9 tỷ 990 triệu số điện thoại không liên quan.
Ba số tiếp theo sau mã vùng trong ví dụ của chúng tôi (235) là tiền tố văn phòng trung tâm. Một lần nữa, lại áp dụng quy luật 2-9 cho chữ số đầu tiên và 0–9 cho cả chữ số thứ hai và thứ ba.
Trong các mã vùng có chữ số thứ hai là 1, số thứ ba không thể là 1. Điều này lại loại bỏ một số lượng lớn các số điện thoại khỏi danh sách của hacker. Bốn số cuối của số điện thoại là số dòng, trong trường hợp này là 5678.
Tôi đã đoán rằng Thị trưởng DC sẽ có mã vùng DC và hacker cũng có thể tra cứu tài khoản Facebook của mục tiêu và có thể tìm thấy quê hương hoặc thành phố hiện tại mà mục tiêu sống hoặc làm việc. Một số thành phố lớn hơn như Los Angeles sẽ có nhiều mã vùng trong đó, nhưng dù có bao nhiêu mã vùng thì nó vẫn làm giảm đáng kể danh sách các số có thể của hacker.
Bước 2: Lấy số cuối
Bây giờ tôi biết số mục tiêu của tôi là 202 – ??? – ????, tôi muốn thử và loại bỏ càng nhiều dấu hỏi càng tốt, làm cho việc tìm kiếm trên Facebook trở nên dễ dàng hơn sau này. Rất may, Facebook lại giúp thực hiện điều này một cách dễ dàng, sau khi sử dụng mã vùng. Để có được hai số cuối cùng, chúng tôi chỉ cần thực hiện một vài bước trong quá trình đặt lại mật khẩu.
Để làm điều này, hacker truy cập trang Facebook chính và nhấp vào “Quên tài khoản” để bắt đầu quá trình.
Tiếp theo, họ nhập tên của mục tiêu và nhấn vào nút “Tìm kiếm”. Sau đó, một danh sách bao gồm một hình ảnh đại diện được ghép nối với mỗi tài khoản phù hợp giúp họ nhanh chóng xác định mục tiêu của họ.
Facebook sau đó sẽ cung cấp cho hacker hai chữ số cuối trong số điện thoại của mục tiêu, cùng với một số thông tin về tài khoản email được liên kết với tài khoản Facebook của họ, chẳng hạn như chữ cái đầu tiên và cuối cùng, và đôi khi là cả tên miền email.
Bước 3: Sử dụng các nguồn từ bên ngoài:
Với hơn 218 triệu người dùng, PayPal và các dịch vụ khác có thể giúp thêm vào việc thu thập thông tin. Trong trường hợp này, nếu mục tiêu là người dùng PayPal, tin tặc có thể nhận thêm hai chữ số của số điện thoại mà chúng tôi đang tìm kiếm. Trong hình trên, bạn có thể nhận thấy rằng email đầu tiên được liệt kê là tài khoản Gmail bắt đầu bằng “M” và kết thúc bằng “R.”
Điều đó thật may mắn, vì tên mục tiêu của tôi bắt đầu bằng chữ “M” và họ của cô kết thúc bằng chữ “R.” Hacker có thể đoán được rằng đối tượng sử dụng chính tên của mình để làm email. Tôi đã kiểm tra nó trên Gmail bằng cách gõ nó vào.
Google chấp nhận nó, nhưng điều đó không có nghĩa là đó là email của mục tiêu. Hacker có thể kiểm tra bằng cách thực hiện cùng một mẹo đặt lại mật khẩu mà họ đã dùng trên Facebook.
Đúng, tài khoản này liên kết với một số điện thoại kết thúc bằng 69. Sự hợp ngẫu nhiên ư? Tôi nghĩ là không. Bây giờ tôi có một email để làm việc cùng, tôi có thể chuyển sang PayPal trong một tab mới, và một lần nữa, sử dụng cùng một mẹo đặt lại mật khẩu.
Lần này, khi màn hình đặt lại mật khẩu hiện lên, tôi nhận được không chỉ là 4 số cuối cùng, mà còn có cả số đầu tiên của mã vùng.
Điều này cho phép tôi chắc chắn rằng tôi đang đi đúng hướng với mã vùng, và công việc của tôi bây giờ chỉ là tìm kiếm vài con số cuối cùng. Tôi đã có các con số 202 – ??? – 6969. Danh sách của tôi đã chuyển từ 10 tỷ lựa chọn sang khoảng một ngàn chỉ trong vài phút làm việc.
Bước 4: Sử dụng phương pháp Brute Force:
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu.
Facebook cho phép bạn tải lên danh sách liên hệ ở định dạng CSV và sau đó cho bạn biết liệu họ có trên Facebook để bạn có thể thêm họ làm bạn bè hay không. Bằng cách xây dựng danh sách liên hệ của riêng tôi về các số điện thoại tiềm năng, tôi có thể nhanh chóng loại trừ một số lượng lớn các số sai.
Trong trường hợp này, tôi biết số phải nằm trong khoảng từ 202-000-6969 đến 202-999-6969. Bằng cách cắt giảm một nửa và tạo một danh sách các số từ 202-000-6969 đến 202-500-6969, tôi có thể loại bỏ một nửa danh sách của mình một cách hiệu quả, vì mục tiêu sẽ chỉ nằm trong một trong hai danh sách nửa được tạo. Sau đó, tôi có thể tải lên danh sách và ngay lập tức xác định xem họ có đang ở trên đó hay không.
Để tạo danh sách này, tôi đã truy cập Google Contact và nhấp vào “Xuất” để lấy tệp CSV mẫu để tiếp tục làm việc
Từ đó, Hacker có thể mở tệp trong Google Sheets hoặc Excel và thay đổi công thức cột cho số điện thoại thành số sẽ lặp qua các số họ cần kiểm tra, như được thấy trong ví dụ sau.
Trong công thức excel bên dưới (=(ROW()*10000) +2020006969 ), tôi bắt đầu bằng cách lấy số điện thoại có giá trị thấp nhất, trong trường hợp này là 202-000-6969, sau đó tôi thêm 10.000 vào số đó để tăng số thứ năm bằng 1. Công thức này sẽ lặp lại nhiều lần nếu cần, nhưng chúng ta không nên làm điều đó hơn 1.000 lần bởi vì chỉ có một nghìn số trong danh sách của chúng ta để đoán. Nếu mục tiêu không có tài khoản PayPal để giúp chúng tôi lấy được chữ số thứ ba và thứ tư, thì chúng tôi sẽ thêm 100 để tăng số thứ ba thay thế.
Sau đó, việc đăng nhập vào tài khoản Facebook thật đơn giản và đi tới tính năng “Tìm bạn bè“. Nhấp vào biểu tượng Gmail và sau đó “Tìm bạn bè”. Tiếp theo, cuộn xuống cuối trang và tải lên tệp CSV của bạn chứa số điện thoại bạn muốn thử. Sau khi nó được tải lên, Facebook đưa ra cho hacker một danh sách “Bạn bè” để thêm từ danh sách. Sau đó, họ sẽ tìm kiếm mục tiêu của họ bên trong danh sách đó. Mục tiêu của tôi dường như không có ở đây, vì vậy tôi biết họ không nằm trong phần một nửa mà chúng tôi đang tìm kiếm.
Tiếp theo, thay vì kiểm tra 500 tiếp theo, tôi chia 500 phần tiếp theo làm đôi và kiểm tra một nửa số đó. Điều này là do tôi đã biết mục tiêu sẽ nằm trong danh sách thứ hai vì họ không ở trong danh sách đầu tiên chúng tôi vừa kiểm tra. Hacker có thể tiếp tục tìm kiếm theo cách này cho đến khi mục tiêu xuất hiện trên danh sách số điện thoại.
Sau đó, hacker sẽ kiểm tra các số nhỏ hơn và nhỏ hơn cho đến khi chúng chỉ có một số ít để kiểm tra. Tôi dừng lại khi tôi giảm xuống còn khoảng 30 con số. Rõ ràng, điều này sẽ mất nhiều thời gian hơn nếu Hacker có ít thông tin về các chữ số khác của số điện thoại để bắt đầu, vì chúng sẽ có nhiều số hơn để tìm kiếm. Facebook sẽ đánh giá giới hạn hacker xuống năm lần mỗi ngày nhưng họ có thể giải quyết vấn đề này bằng cách đăng nhập vào một tài khoản khác.
Bước 5: Kiểm tra những con số cuối cùng:
Một khi Hacker đã xuống đến một số ít, họ có thể vào thanh tìm kiếm của Facebook và gõ từng số một. Để làm như vậy, chỉ cần nhập số vào thanh tìm kiếm mà không có dấu gạch nối. Nếu các yêu cầu đang diễn ra quá nhanh, hoặc nếu họ tìm kiếm quá nhiều, Facebook sẽ bắt đầu giới hạn chúng với CAPTCHA. Tuy nhiên, điều này là vô ích khi hacker chỉ có 30 con số để kiểm tra
Tóm lại, tôi mất khoảng 30 phút đến một giờ để tìm số của mục tiêu và các bước tương tự này có thể được sử dụng cho bất kỳ ai có điện thoại của họ được kết nối với Facebook.
Bước 6: Bảo vệ tài khoản của chính mình:
Điều đơn gian và dễ thấy nhất là không liên kết số điện thoại của bạn với Facebook, nếu bạn vẫn muốn sử dụng Bảo mật “Xác thực 2 yếu tố” thì Facebook cho phép bạn sử dụng thiết bị USB U2F mà không cần dùng số điện thoại.
Nếu bạn bắt buộc phải liên kết số điện thoại của mình, hãy vào phần Cài đặt Facebook, chọn “Bảo mật”, sau đó vào “Ai có thể tra cứu bạn bằng số điện thoại bạn đã cung cấp?” Đặt tùy chọn này thành “Bạn bè”. Thật không may, Facebook không cho phép bạn đặt dòng này thành “Chỉ mình tôi”.
Trên thiết bị di động, bạn sẽ nhấn vào biểu tượng menu, chọn “Cài đặt tài khoản” (Người dùng iOS sẽ phải chọn “Cài đặt” trước), sau đó nhấn vào “Bảo mật”. Bạn sẽ thấy câu hỏi ” Ai có thể tra cứu bạn bằng số điện thoại bạn đã cung cấp?” như ở trên và thay đổi tùy chọn của mình thành “Bạn bè”. Điều này vẫn sẽ không cung cấp bảo vệ tuyệt đối, nhưng nó sẽ làm cho Hacker phải vất vả hơn nhiều nếu muốn có được số điện thoại của bạn.
Cảm ơn các bạn đã theo dõi bài viết của chúng tôi !
Phùng Minh Hải dịch
