Chưa đầy 1 phút Facebook của bạn có thể bị "đánh cắp"

Dạo gần đây mình có đọc được nhiều bài viết về việc bị mất tài khoản facebook sau đó bị mất luôn các group hoặc fanpage mà những tài khoản này làm quản trị viên. Mới hôm trước cũng có một anh làm quản trị viên của một group gần một trăm nghìn thành viên đã nhắn tin cho mình vì trước đấy anh cũng bị lừa và đã “bay” mất group đó.

​

Về hình thức tấn công mà kẻ lừa đảo sử dụng là hình thức tấn công kỹ thuật xã hội hay social engineering.

Cụ thể, kẻ tấn công sẽ nhắm mục tiêu đến các fanpage hoặc các group có nhiều thành viên và có lượng tương tác tốt. Sau đó kẻ này sẽ tiếp tục tìm hiểu thêm các thông tin về fanpage hoặc group. Khi đã tìm hiểu kỹ về thông tin của “con mồi” người này sẽ liên hệ với quản trị viên của fanpage hoặc group để trao đổi về việc mua lại fanpage hoặc group với giá cao hay liên hệ để chạy quảng cáo, … Khi đó, bằng “nghiệp vụ” của mình hắn sẽ tìm cách để xin được quyền truy cập vào máy của nạn nhân (teamview, ultraviewer…). Chỉ sau khi teamview vài phút thì tài khoản facebook của nạn nhân đã tự đăng xuất và bị chiếm đoạt một cách dễ dàng, thậm chí những kẻ này còn có thể thay đổi được email hoặc số điện thoại đăng ký tài khoản, điều đó đồng nghĩa với việc kẻ xấu đã có quyền quản trị các fanpage hoặc group mà tài khoản này làm quản trị viên.

Đoạn tin nhắn lừa để có được quyền truy cập vào máy tính của nạn nhân.
​

Có thể thấy hacker đã có được lòng tin và xin được quyền truy cập vào máy tính của nạn nhân. Nhưng điều đang nói ở đây sau khi truy cập vào máy thì làm cách nào để tên này có thể chiếm được tài khoản Facebook khi không có thông tin về tài khoản và mật khẩu. Thậm chí là tài khoản này cũng đã sử dụng xác thực đa yếu tố?

Sau một thời gian nằm vùng và tìm hiểu thì mình được biết là các “hackfacebooker” ở Việt Nam thường không dùng tài khoản và mật khẩu mà sử dụng cookie để đăng nhập. Hiểu nôm na là việc đăng nhập như vậy sẽ tránh được checkpoint của Facebook khi sử dụng nhiều tài khoản trên cùng một trình duyệt từ đó sẽ tránh được nguy cơ bị Facebook quét dẫn đến “bay” nick.

Vậy thì việc lấy cookie sẽ diễn ra thế nào?

Ở đây có rất nhiều cách để có thể lấy được cookie ví dụ như: sử dụng các extension của trình duyệt, trên Chrome có thể xem trong phần “Cookie và các dữ liệu khác của trang web” hoặc lợi dụng tính năng “Developer Tools” (bấm F12) để xem được cookie.

Xem cookie bằng “Developer Tools”​

Ở đây một số bạn sẽ thắc mắc là tại sao không dùng script ở trong “Console” ví dụ như là “document.cookie” để xem cookie.
Theo mặc định một số giá trị cookie của Facebook sẽ được gắn flag HttpOnly. Flag này có tác dụng làm cho cookie đó chỉ có thể sử dụng bởi server mà không bị thao tác bởi các script phía người dùng. Điều này để tránh các cuộc tấn công XSS. Các bạn có thể thử tác dụng của flag này bằng cách là bỏ tick ở cột HttpOnly.

Khi xem cookie của Facebook các bạn có thể thấy Facebook có lưu một số giá trị cookie như “c_user”, “datr”, “fr”, “locale”, “presence”, “sb”, “spin”, “wd”, “xs”. Các giá trị này dùng để xác định người dùng, phiên đăng nhập, timestamp, trạng thái trò chuyện (tab trò chuyện nào đang mở) …

Ở đây ta quan tâm đến 2 giá trị cookie là “c_user” và “xs”:

• “c_user” chứa ID người dùng hiện đang đăng nhập
• “xs” chứa các giá trị được ngăn cách bởi dấu “:” đã được mã hóa thành giá trị “%3A”.
  • Giá trị đầu tiên là một số có tối đa hai chữ số đại diện cho số phiên
  • Giá trị thứ hai là phiên bí mật (session secret).
  • Giá trị thứ ba là tùy chọn thêm flag "secure" nếu người dùng đã bật tính năng duyệt web an toàn.

Đây là 2 giá trị cookie hết sức quan trọng bởi vì chỉ cần 2 giá trị này kẻ tấn công hoàn toàn có thể chiếm phiên đăng nhập của nạn nhân hết sức dễ dàng. Tuy nhiên, phiên đăng nhập này sẽ bị xóa đi nếu người dùng thực hiện đăng xuất theo cách thông thường.

Vậy, thủ đoạn của những kẻ lừa đảo ở đây là sẽ cố gắng lấy được các giá trị cookie sau đó xóa các giá trị đó ở máy nạn nhân. Như vậy cookie sẽ chỉ bị xóa ở máy nạn nhân còn phiên đăng nhập đó vẫn còn tồn tại.

Sau khi tìm hiểu thì mình biết được Facebook luôn gửi một gói tin “bnzai? ...” có chứa các giá trị cookie. Để nhanh chóng lấy được cookie kẻ tấn công chỉ tần tìm đến gói tin đó và lấy đi cookie là xong.

Giá trị cookie được gửi đi trong các gói tin “bnzai …”​

VIDEO DEMO

​

Có thể thấy chỉ cần chưa đầy 30 giây kể từ khi teamview được vào máy của “con mồi”, kẻ tấn công đã có thể lấy được cookie và xóa các giá trị cookie đó khỏi máy của nạn nhân khiến tài khoản bị đăng xuất khỏi thiết bị. Từ đó kẻ xấu hoàn toàn có được quyền truy cập vào tài khoản mà không cần dùng đến tên đăng nhập hay mật khẩu, thậm chí còn không cần phải xác thực đa yếu tố. Khi đã có quyền truy cập tài khoản chúng có thể thay đổi email hoặc số điện thoại và chiếm quyền quản trị của các page và group mà tài khoản này là quản trị viên. Cuối cùng, những kẻ này có thể sử dụng tài khoản đã lấy được để tiếp tục đi lừa đảo tiếp hoặc giao bán các fanpage hoặc group đã lấy cắp được với mức giá khà hời.

Một số khuyến cáo dành cho người dùng:

• Tuyệt đối không cho người lạ truy cập vào máy tính cá nhân
• Khi dùng xong nên đăng xuất khỏi các thiết bị
• Định kỳ đổi mật khẩu và chọn đăng xuất khỏi tất cả các thiết bị để xóa các phiên đăng nhập cũ
• Không nên lưu mật khẩu ở trên trình duyệt
• Không để bị lộ cookie (vì nó quan trọng hơn cả tài khoản mật khẩu)
• Nên sử dụng tab ẩn danh khi đăng nhập ở máy lạ
• Không nên sử dụng mạng công cộng