Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?

Bằng một vài thủ đoạn lừa đảo tích hợp cùng việc tận dụng lỗ hổng trên mạng lưới hệ thống, kẻ xấu hoàn toàn có thể trấn áp tài khoản Zalo của một người, nếu lừa được họ tin và click vào đường link lạ .Hồi tháng 8/2021, trên forum trao đổi tài liệu Raid * * * * * của giới hacker, một tài khoản mang tên ilovevng đã đăng nội dung chào bán lỗ hổng 0 – day ( Zero day ) giúp chiếm quyền trấn áp tài khoản Zalo Chat hay Zalo Pay .

Người đăng tải thông tin cho biết, để làm điều này, họ chỉ cần gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. Nếu nạn nhân click vào đường link đó, tài khoản của họ sẽ dễ dàng bị kiểm soát. 

” Lỗ hổng này không để lại bất kể dấu vết nào, không cảnh báo nhắc nhở … Nạn nhân hoàn toàn có thể là bất kể ai bạn muốn “, tin tặc cho biết .Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?Những người muốn được chia sẻ cách chiếm quyền kiểm soát tài khoản Zalo sẽ phải trả cho hacker bằng tiền điện tử. Đến thời điểm hiện tại, bài đăng này vẫn còn tồn tại trên diễn đàn Raid*****. Ảnh: Trọng ĐạtTrong một hành động nhằm mục đích vạch trần thủ đoạn của giới tin tặc, mới gần đây, Công ty Dịch Vụ Thương Mại An ninh mạng VinCSS đã cho công bố phương pháp mà thủ phạm của vấn đề trên triển khai .Theo đó, nhóm Săn mối nguy của VinCSS đã phát hiện một số ít điểm yếu bảo mật thông tin cho phép kẻ xấu hoàn toàn có thể hình thành một chuỗi khai thác để chiếm quyền trấn áp tài khoản Zalo và ZaloPay của người dùng .Điểm đặc biệt quan trọng của chuỗi khai thác là kẻ xấu hoàn toàn có thể chiếm quyền trấn áp một tài khoản Zalo bất kể bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy phức tạp. Khi truy vấn thành công xuất sắc vào tài khoản, ứng dụng Zalo trên điện thoại cảm ứng của nạn nhân sẽ không Open bất kể cảnh báo nhắc nhở về phiên đăng nhập mới .Cụ thể, trong quy trình sử dụng Zalo, VinCSS đã phát hiện tính năng “ Đăng nhập qua ứng dụng Zalo ” sống sót lỗ hổng Open Redirection, được cho phép đổi khác địa chỉ nhận token từ ứng dụng .Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?Nhóm chuyên gia của VinCSS đã phát hiện ra một lỗ hổng trong tính năng đăng nhập qua ứng dụng Zalo. Khi sử dụng ứng dụng Zalo nền tảng web hoặc một số ít ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung ứng tuỳ chọn “ Đăng nhập qua ứng dụng Zalo ”. Bằng việc khai thác lỗ hổng Open Redirection trong chính sách đăng nhập này, kẻ xấu sẽ có được cookies được cho phép truy vấn vào tài khoản .Để làm được điều đó, kẻ xấu cần chuyển hướng người dùng sau xác nhận tới một website thuộc quyền trấn áp của chúng, từ đó lấy được mã token để đăng nhập tài khoản .Tuy nhiên, nếu chỉ sử dụng duy nhất lỗ hổng này, kẻ xấu sẽ khó dẫn dụ người dùng truy vấn vì đường link trông sẽ rất lạ .Để triển khai hiệu suất cao hơn, kẻ xấu đã khai thác một chuỗi những lỗ hổng, trong đó có lỗ hổng trong tính năng xem trước nội dung link. Điều này giúp chúng hoàn toàn có thể ẩn đi đường link phishing, từ đó dẫn dụ người dùng nhấp vào đường link hiển thị nội dung trang đích giống như thật .Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?Một đường link dẫn đến website phishing được các chuyên gia VinCSS ngụy trang như thật thông qua lỗ hổng trong tính năng xem trước nội dung liên kết trên Zalo. Khi người dùng nhấp vào và bị chuyển hướng đến server của kẻ xấu, website này sẽ tự động hóa ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Do quy trình chuyển hướng diễn ra rất nhanh, người dùng sẽ không hề biết họ vừa lướt qua website trá hình .

 

VinCSS cũng phát hiện ra rằng, Zalo đang sử dụng một chính sách được cho phép người dùng đăng nhập lại phiên sử dụng Zalo web với cookie của session đã đăng nhập. Tuy nhiên, chính sách này vẫn hoạt động giải trí với session chưa từng đăng nhập, ẩn đi tin nhắn thông tin đã đăng nhập trên thiết bị mới .Hai lỗ hổng khác gồm lỗ hổng tương quan đến thời hạn của session và việc đăng nhập vào ZaloPay với token thu được cũng giúp kẻ xấu truy vấn và chiếm quyền trấn áp tài khoản vĩnh viễn, đồng thời đăng nhập đến những ứng dụng khác của Zalo, trong đó có ZaloPay .Theo VinCSS, khi tích hợp 5 lỗ hổng, hoàn toàn có thể hình thành một chuỗi khai thác nhằm mục đích vào người dùng Zalo. Đó chính là phương pháp, thủ đoạn mà kẻ xấu trong vấn đề hồi tháng 8/2021 đã triển khai. Rất như mong muốn khi yếu tố sau đó đã được giải quyết và xử lý một cách nhanh gọn .Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?Đến thời điểm hiện tại, cả 5 lỗ hổng nêu trên đều đã được Zalo Security team khắc phục. Do đó, cách thức tin tặc lợi dụng lỗ hổng này đã được công bố như một bài nghiên cứu. Ảnh: Trọng ĐạtChia sẻ với VietNamNet về câu truyện này, chuyên viên bảo mật thông tin Ngô Minh Hiếu ( Hieupc ) cho biết, những lỗ hổng trên được gọi là lỗ hổng phía máy khách ( client-side vulnerability ) .Để tận dụng những lỗ hổng dạng này, kẻ xấu cần phải thực thi một vụ tiến công phishing ( lừa đảo ), để dẫn dụ và thuyết phục nạn nhân click vào đường link của chúng thì mới hoàn toàn có thể thành công xuất sắc được .So với lỗ hổng phía máy khách thì lỗ hổng phía sever ( server-side vulnerability ) nguy khốn hơn nhiều. Đây là dạng lỗ hổng không cần tương tác gì nhiều từ phía người dùng. Rất may trong ví dụ trên không sống sót lỗ hổng phía sever .Để hạn chế việc trở thành nạn nhân của những vấn đề kiểu như vậy, người dùng cần biết tự bảo vệ mình bằng việc không click vào những đường link lạ. Người dùng nên kiểm chứng bằng cách gọi điện thoại cảm ứng trong khoảng chừng 1-2 phút với người gửi link để xác nhận về link này .Người dùng cũng hoàn toàn có thể tập cho mình thói quen truy vấn website lạ trải qua Chế độ ẩn danh ( Incognito Mode ) của trình duyệt. Còn một cách khác là truy vấn website trải qua website http://browserling.com .Khi tải về một tệp tin lạ, người dùng nên có thói quen quét virus trước khi mở tệp tin này. Việc quét virus hoàn toàn có thể được triển khai thuận tiện trải qua website http://virustotal.com. Đây là một trong những đối tác chiến lược của dự án Bất Động Sản Chống lừa đảo ( Chongluadao. vn ). Theo chuyên viên Ngô Minh Hiếu, không riêng gì với những đường link mà với những tệp tin tải về, người dùng cũng cần cẩn trọng như vậy .

Đối với những file tài liệu dạng Word, Excel có dấu hiệu khả nghi, người dùng có thể mở chúng bằng công cụ Google Docs. 

Bên cạnh đó, một trong những giải pháp tăng cường bảo mật thông tin dễ nhất là luôn để mật khẩu có độ khó cao và không san sẻ nó cho bất kể ai, chuyên viên Hieupc khuyến nghị .

Trọng Đạt

Nhiều game thủ Axie Infinity bị lừa đảo mất tiền oan bởi sự cố hy hữu

Nhiều game thủ Axie Infinity bị lừa đảo mất tiền oan bởi sự cố hy hữu

Hơn 150 game thủ Axie Infinity đã bị tin tặc lừa đảo và chiếm đoạt số tiền lên đến gần 100.000 USD .

Viết một bình luận