Đổi mật khẩu ngay - Phát hiện đường dây chiếm đoạt tài khoản ngân hàng, Facebook, Gmail... ở VN

poseidon

Well-Known Member
09/04/2017
34
92 bài viết
Đổi mật khẩu ngay - Phát hiện đường dây chiếm đoạt tài khoản ngân hàng, Facebook, Gmail... ở VN
Báo tri thức trẻ vừa đưa tin: Chuyên gia bảo mật phát hiện đường dây chiếm đoạt tài khoản ngân hàng, Facebook, Gmail... cực lớn ở Việt Nam, bạn cũng có thể là nạn nhân

Theo nội dung trong bài thì các hacker đã giả mạo tiện ích mở rộng (extension) trên Chrome (trình duyệt web nhiều người dùng nhất hiện nay) để lấy cắp các thông tin:

  • 55.000 tài khoản Facebook
  • 6.000 tài khoản Google
  • 5.000 tài khoản Yahoo
  • Hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal
  • Và nhiều tài khoản nội bộ của các doanh nghiệp, ngân hàng ở Việt Nam

Các bạn có ý kiến gì không, làm cách nào mà hacker có thể làm được như vậy?
Làm cách nào để đưa được extension chứa mã độc lên Google Store?
Cách ngăn chặn thế nào?

Bài gốc: http://ttvn.vn/cong-nghe/chuyen-gia...-cung-co-the-la-nan-nhan-7201723691619660.htm

Lần theo dấu vết phạm tội

Mới đây, trong quá trình tăng cường bảo mật cho hệ thống của công ty, nhóm chuyên gia bảo mật đến từ phòng An toàn thông tin trực thuộc VCCorp đã tình cờ tìm ra và lần theo dấu vết của một đường dây chiếm đoạt thông tin quy mô lớn tại Việt Nam. Bằng cách lợi dụng trình duyệt web, nhóm hacker này đã có trong tay nhiều thông tin tài khoản thuộc hệ thống của nhiều tổ chức lớn.

gone-phishing-1498146799766.jpg


Cụ thể, vào ngày 21/6, khi phát hiện dấu hiệu bất thường ở một tài khoản quản trị trên một website quen thuộc, nhóm chuyên gia bảo mật đã lập tức vào cuộc tìm hiểu nguyên nhân. Sau khi thực hiện nhiều biện pháp nghiệp vụ, họ đã xác định được: thông tin tài khoản đã bị lấy cắp từ máy tính cá nhân của nhân viên này, bởi một malware dưới dạng extension (phần mở rộng) trên trình duyệt Chrome.

Extension độc hại giả dạng Internet Download Manager đã tồn tại một thời gian khá dài trên Chrome Web Store.
Lưu ý: tên tác giả của extension này đã được xác nhận là giả mạo, mục đích hiện đang được làm rõ.

Lượng thông tin bị đánh cắp nhiều chưa từng thấy

Điểm đáng chú ý, đây lại là một extension làm nhái lại của extension IDM - Internet Download Manager rất phổ biến tại Việt Nam, sử dụng được trên 2 trình duyệt hàng đầu Google Chrome và Cốc Cốc. Dù không lạ với hình thức lừa đảo này, nhưng sự tinh vi, chuyên nghiệp trong cách thức hành động cũng như việc nạn nhân lại là người Việt Nam, các chuyên gia đã tiếp tục lần theo những dấu vết rất nhỏ. Kết quả tìm được đã thực sự làm cả nhóm chuyên gia vô cùng bất ngờ - dù họ đã quen với thế giới an ninh mạng nhiều biến cố.

Hacker đã chiếm được lượng lớn tài khoản điện tử, trong đó có tài khoản Vietcombank

Theo thống kê sơ bộ, nhóm hacker này đã lấy cắp được thông tin đăng nhập (Username/Password) của khoảng 55.000 tài khoản Facebook, 6.000 tài khoản Google, 5.000 tài khoản Yahoo và đáng sợ nhất là hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal. Với việc nhóm hacker sở hữu cả cookie, nếu bạn có cẩn thận dùng tính năng bảo mật 2 lớp cũng xin chia buồn, chúng vẫn có thể hoàn toàn chiếm quyền sử dụng của bạn.

Nhiều khách hàng BIDV cũng là nạn nhân của hacker

Nhóm chuyên gia cũng lưu ý, dạng malware này đã tồn tại khá lâu nhưng không bị các phần mềm antivirus “bắt” được và ngăn chặn vì sự tinh quái trong phương thức lây nhiễm. Người dùng có thể “vô tình” nhiễm phải malware này qua 2 đường chính:

1. Lây nhiễm thông qua việc phát tán phần mềm lậu (crack):

Khi người dùng tải về phần mềm lậu từ trang mạng bất kỳ (do hacker tải lên), trong các file crack sẽ đính kèm một file thực thi nhiệm vụ theo trình tự sau: tắt trình duyệt (Chrome/Cốc Cốc) nếu đang chạy, tạo kết nối tới trang chứa extension và cuối cùng là tải extension về và cài đặt trong máy nạn nhân.

screen-shot-2017-06-23-at-1-11-52-am-1498183196962.png

Bản log ghi lại việc file thực thi tự động tải về và cài đặt extension.

2. Sử dụng liên kết (link) gây tò mò:

Trước đây, bằng cách lách luật, hacker đã đăng tải được tới 11 phiên bản khác nhau của extension giả mạo này trên Chrome Web Store. Hacker sẽ lan truyền nhiều đường link gây tò mò, nạn nhân sau khi click vào sẽ nhận được mời cài đặt một “plugin” (để xem được nội dung, để dùng lướt web hơn,v.v…). Do extension tồn tại trên Chrome Web Store một cách hợp lệ, nên phần đông người dùng sẽ chấp nhận cài đặt.

19400818-2061503577324356-1675523039-o-1498183186079.png

Extension này có nhiều quyền có thể lạm dụng vào việc xấu và không cần thiết.

Ở đây hacker tiếp tục lấy tên người khác ở mục tác giả.

Hacker làm thế nào để đăng tải được tới 11 phiên bản khác nhau của extension độc hại này và vượt qua nhiều công cụ bảo mật ra sao, do khuôn khổ của bài viết có hạn, chúng tôi sẽ cung cấp thông tin chi tiết cho bạn đọc vào bài sau. Trở lại với vụ việc, extension này sau khi được cài đặt sẽ lấy cắp thông tin đăng nhập của nạn nhân khi truy cập vào mọi trang web, cũng như thu lại toàn bộ cookie của người dùng gửi về server của hacker.

Vì vậy, khi đọc được bài viết này, bạn đọc hãy lập tức thực hiện các bước sau, đặc biệt là khi thấy mình có những hành vi giống với những gì được đề cập trong 2 cách lây nhiễm bên trên:

- Kiểm tra các extension trong trình duyệt máy tính, bạn có thể sử dụng các công cụ tương tự như trong bài viết này.

- Nếu có dấu hiệu khả nghi như sử dụng quyền không cần thiết ở extension nào, hãy thẳng tay xóa nó. Bạn có thể tham khảo ý nghĩa các quyền của extension tại địa chỉ này.

- Thay đổi toàn bộ mật khẩu ở mọi tài khoản điện tử của bạn.

Đồng thời với việc kiểm tra máy tính của mình, bạn đọc hãy tích cực chia sẻ thông tin này tới những người xung quanh, nhất là những người có ít hiểu biết về công nghệ. Đừng để những kẻ xấu chiếm đoạt thông tin của mọi người, hay lợi dụng chúng để phục vụ các mục đích nguy hiểm hơn.

Chúng tôi sẽ đưa thông tin chi tiết về cách thức các chuyên gia bảo mật lần tìm ra nhóm thủ phạm trong những bài tiếp theo. Mong bạn đọc chú ý theo dõi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Với tiện ích IDM có lượt bình chọn là 4 đến 5 sao thì chắc người dùng không khả nghi gì mà thêm vào tiện ích luôn , rất khó để phát hiện .
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Làm sao mà chuyên gia tìm ra được các thông tin về:
  • 55.000 tài khoản Facebook
  • 6.000 tài khoản Google
  • 5.000 tài khoản Yahoo
  • Hơn 5 triệu cookie các trang phổ biến như Facebook, Google Mail, Yahoo Mail, Hotmail hay cả PayPal
  • Và nhiều tài khoản nội bộ của các doanh nghiệp, ngân hàng ở Việt Nam
các bác nhỉ? Hay là ...

Vừa đọc bài này bên genk, dẫn nguồn từ tri thức trẻ, qua tri thức trẻ lại thấy lấy ảnh nguồn thừ genk. Méo hiểu là thằng nào theo thằng nào. Chắc đều PR cho bọn VC
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã bạn nào thử cookie của những tài khoản dùng xác thực 2 yếu tố có thể chuyển tiền ngân hàng không ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình biết thì Cốc Cốc đã tích hợp sẵn IDM, vì vậy nên nếu dính thì dính hết hoặc ngược lại người dùng cốc cốc gần như ko bị (trừ trường hợp tự xóa extension rồi cài lại)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
Giả mạo được extension. Hacker này giỏi đấy. Sao chẳng thấy Google có cảnh báo gì cho người dùng về việc này nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã bạn nào thử cookie của những tài khoản dùng xác thực 2 yếu tố có thể chuyển tiền ngân hàng không ?
Mình vừa thử export cookie tài khoản Facebook có bật xác thực 2 bước và import vào một máy khác, vẫn đăng nhập được. Các tài khoản khác chắc cũng tương tự thôi.

Update thêm: Fb sau khi đăng nhập được ở máy khác thì đã bị phát hiện và Fb cảnh báo:
Someone recently tried to log in to your account from an unrecognised computer or mobile browser. Because you set up two-factor authentication, your account has been temporarily locked. Please complete the following steps to regain access to your account.

Team này làm chuẩn đấy.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình biết thì Cốc Cốc đã tích hợp sẵn IDM, vì vậy nên nếu dính thì dính hết hoặc ngược lại người dùng cốc cốc gần như ko bị (trừ trường hợp tự xóa extension rồi cài lại)
Đây chỉ là trường hợp extension chưa malware làm nhái lại extension của IDM - Internet Download Manager, dĩ nhiên là IDM thật vẫn an toàn.

Cơ mà mình có thể khẳng định 96,69% là IDM ở Việt Nam các bạn toàn dùng crack.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vẫn là bài học cũ mà nhiều người mắc phải: muốn an toàn trên mạng thì đừng tò mò.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: NgMSon
Comment
Làm sao mà thống kê được số lượng acc bị ảnh hưởng cụ thể thế kia. Tôi nghĩ là bọn VCC này đang cố tình PR cho nó thôi, không lẽ tấn công ngược lại hacker để tìm ra.

Biết đâu mấy cái extension lại của chính ông này phát tán. Chưa kể giờ thời gian hết hạn của cookie ngắn thì có lấy về mà không dùng luôn được cũng vô vọng.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã bạn nào thử cookie của những tài khoản dùng xác thực 2 yếu tố có thể chuyển tiền ngân hàng không ?
Cookie login của ngân hàng time out rất nhanh khó login được chứ chưa nói chuyển tiền bác nhé!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên