Giải mã cách hacker lừa đảo chiếm đoạt tài khoản Zalo

Rate this post

Vào tháng 8 năm 2021, trên diễn đàn hacker Raid *****, một tài khoản có tên ilovevng đã đăng nội dung cung cấp lỗ hổng 0 ngày (Zero day) để giúp chiếm quyền kiểm soát tài khoản. Tài khoản Zalo Chat hoặc Zalo Pay.

Người đăng tải thông tin cho biết, để thực hiện, chúng chỉ cần gửi đường link cho nạn nhân thông qua ứng dụng Zalo. Nếu nạn nhân nhấp vào liên kết đó, tài khoản của họ sẽ dễ dàng bị kiểm soát.

“Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo … Nạn nhân có thể là bất kỳ ai bạn muốn”, hacker nói.



{từ khóa}
Những ai muốn chia sẻ cách chiếm quyền kiểm soát tài khoản Zalo của mình sẽ phải trả tiền cho hacker bằng tiền mã hóa. Hiện tại, bài đăng này vẫn đang tồn tại trên diễn đàn ***** Đột Kích. Ảnh: Trọng Đạt

Trong một động thái vạch trần thủ đoạn của hacker, mới đây, Công ty Dịch vụ An ninh mạng VinCSS đã công bố thủ phạm của vụ án trên đã thực hiện như thế nào.

Theo đó, nhóm Threat Hunt của VinCSS đã phát hiện ra một số điểm yếu về bảo mật cho phép kẻ xấu hình thành chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.

Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền điều khiển bất kỳ tài khoản Zalo nào bằng cách dụ nạn nhân click vào một đường link được che giấu tinh vi. Khi truy cập thành công tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo nào về một phiên đăng nhập mới.

Cụ thể, trong quá trình sử dụng Zalo, VinCSS phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” có lỗ hổng Chuyển hướng mở, cho phép thay đổi địa chỉ nhận token từ ứng dụng.



{từ khóa}
Đội ngũ chuyên gia của VinCSS đã phát hiện ra lỗ hổng trong tính năng đăng nhập qua ứng dụng Zalo.

Khi sử dụng ứng dụng Zalo nền web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung cấp tùy chọn “Đăng nhập qua ứng dụng Zalo”. Bằng cách khai thác lỗ hổng Chuyển hướng mở trong cơ chế đăng nhập này, kẻ xấu sẽ lấy được các tập tin cookie cho phép truy cập vào tài khoản.

Để làm được điều đó, kẻ xấu cần chuyển hướng người dùng đã xác thực đến một trang web do chúng kiểm soát, từ đó lấy được mã thông báo để đăng nhập vào tài khoản.

Tuy nhiên, nếu chỉ sử dụng lỗ hổng này, những kẻ xấu sẽ khó dụ người dùng truy cập vì đường dẫn sẽ trông rất lạ.

Để hiệu quả hơn, kẻ xấu đã khai thác hàng loạt lỗ hổng, trong đó có một lỗ hổng trong tính năng xem trước nội dung liên kết. Điều này khiến chúng có thể ẩn liên kết lừa đảo, từ đó dụ người dùng nhấp vào liên kết để hiển thị nội dung trang đích ngoài đời thực.



{từ khóa}
Đường link dẫn đến trang web lừa đảo được các chuyên gia VinCSS ngụy trang y như thật thông qua một lỗ hổng trong tính năng xem trước nội dung đường link trên Zalo.

Khi người dùng nhấp chuột và được chuyển hướng đến máy chủ của kẻ xấu, trang web này sẽ tự động ghi lại mã thông báo và chuyển hướng người dùng đến trang đích thực. Bởi vì chuyển hướng quá nhanh, người dùng thậm chí sẽ không biết họ vừa bắt gặp một trang web giả mạo.

VinCSS cũng phát hiện Zalo đang sử dụng cơ chế cho phép người dùng đăng nhập lại phiên web Zalo bằng cookie của phiên đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động với các phiên chưa từng đăng nhập, ẩn thông báo đã đăng nhập trên thiết bị mới.

Hai lỗ hổng khác gồm lỗ hổng liên quan đến thời lượng phiên và việc đăng nhập ZaloPay bằng token lấy được cũng giúp kẻ xấu truy cập và chiếm quyền điều khiển tài khoản trong thời gian dài, đăng nhập vào các ứng dụng khác của công ty. Zalo, bao gồm cả ZaloPay.

Theo VinCSS, khi gộp 5 lỗ hổng lại, có thể tạo thành chuỗi khai thác hướng đến người dùng Zalo. Đó là phương thức, thủ đoạn mà kẻ xấu trong vụ việc tháng 8/2021 đã làm. May mắn thay, sự cố sau đó đã được xử lý nhanh chóng.



{từ khóa}
Tính đến thời điểm hiện tại, cả 5 lỗ hổng nói trên đều đã được đội ngũ Bảo mật Zalo khắc phục. Do đó, cách thức các hacker lợi dụng lỗ hổng này đã được công bố dưới dạng một bài báo nghiên cứu. Ảnh: Trọng Đạt

Chia sẻ với VietNamNet về câu chuyện này, chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) cho rằng, các lỗ hổng trên được gọi là lỗ hổng phía máy khách.

Để lợi dụng các lỗ hổng dạng này, kẻ xấu cần thực hiện tấn công lừa đảo (phishing), dụ dỗ, thuyết phục nạn nhân click vào đường dẫn của chúng thì mới thành công.

So với lỗ hổng phía máy khách, lỗ hổng phía máy chủ nguy hiểm hơn nhiều. Đây là một loại lỗ hổng không cần nhiều sự tương tác từ người dùng. Rất may trong ví dụ trên không có lỗ hổng phía máy chủ.

Để hạn chế trở thành nạn nhân của những vụ việc như vậy, người dùng cần biết cách tự bảo vệ mình bằng cách không click vào những đường link lạ. Người dùng nên xác minh bằng cách gọi điện trong khoảng 1-2 phút với người gửi liên kết để xác minh liên kết này.

Người dùng cũng có thể có thói quen truy cập các trang web lạ thông qua Chế độ ẩn danh của trình duyệt. Một cách khác là truy cập trang web thông qua trang web http://browserling.com.

Khi tải một tập tin lạ, người dùng nên tập thói quen quét virus trước khi mở tập tin này. Quét vi-rút có thể được thực hiện dễ dàng thông qua trang web http://virustotal.com. Đây là một trong những đối tác của dự án Chống Lừa đảo (Chongluadao.vn). Theo chuyên gia Ngô Minh Hiếu, không chỉ với các đường dẫn mà ngay cả với các tập tin tải về, người dùng cũng cần đề cao cảnh giác.

Đối với những tập tin tài liệu Word và Excel có dấu hiệu khả nghi, người dùng có thể mở chúng bằng công cụ Google Docs.

Bên cạnh đó, một trong những biện pháp tăng cường bảo mật đơn giản nhất là luôn giữ mật khẩu có độ khó cao và không chia sẻ với bất kỳ ai, chuyên gia Hieupc khuyến cáo.

Trọng Đạt

Rất nhiều game thủ Axie Infinity đã bị lừa đảo và mất tiền chỉ vì một sự cố hi hữu

Rất nhiều game thủ Axie Infinity đã bị lừa đảo và mất tiền chỉ vì một sự cố hi hữu

Hơn 150 game thủ Axie Infinity đã bị hacker lừa đảo và chiếm đoạt số tiền lên đến gần 100.000 USD.

Thanh Thuy

Leave a Reply

Your email address will not be published.