WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Dữ liệu trôi nổi tiết lộ hơn 100 nghìn tài khoản Facebook bị xâm phạm
Các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo trên phạm vi toàn cầu nhắm vào người dùng Facebook. Vụ việc được tiết lộ sau khi một cơ sở dữ liệu không an toàn được những kẻ lừa đảo sử dụng để lưu trữ tên người dùng Facebook và mật khẩu của ít nhất 100.000 nạn nhân được tìm thấy.
Theo đó, tội phạm mạng đã lừa người dùng Facebook cung cấp thông tin đăng nhập tài khoản bằng một công cụ giả mạo tiết lộ ai đang truy cập hồ sơ của họ.
Những kẻ lừa đảo sau đó “sử dụng thông tin đăng nhập bị đánh cắp để bình luận spam vào các bài đăng trên Facebook, hướng người dùng đến các trang web lừa đảo của chúng. Tất cả các trang web này đều dẫn đến một nền tảng giao dịch Bitcoin giả mạo được sử dụng để lừa người dùng chi ít nhất 295 USD”.
Theo các nhà nghiên cứu, chưa có bằng chứng cho thấy dữ liệu bị truy cập hay bị rò rỉ bởi bất kỳ bên độc hại nào khác.
Cơ sở dữ liệu
Cơ sở dữ liệu Elasticsearch không an toàn (5.5 gigabyte) có chứa 13.521.774 bản ghi của ít nhất 100.000 người dùng Facebook, ược mở từ tháng 6 đến tháng 9 năm nay, phát hiện vào ngày 21/9 và đóng vào ngày 22/9.
Dữ liệu trong đó bao gồm thông tin đăng nhập và địa chỉ IP, phác thảo các bình luận mà những kẻ lừa đảo sẽ thực hiện trên các trang Facebook (thông qua tài khoản bị tấn công) hướng mọi người đến các trang web đáng ngờ và lừa đảo và dữ liệu thông tin nhận dạng cá nhân (PII) như email, tên và số điện thoại của các nạn nhân bị lừa đảo Bitcoin.
Các nhà nghiên cứu cho biết, để xác nhận cơ sở dữ liệu đang hoạt động và có thật, họ đã nhập thông tin đăng nhập giả trên một trong các trang web lừa đảo và xác minh rằng chúng được ghi lại.
Một ngày sau khi họ phát hiện ra cơ sở dữ liệu, các nhà nghiên cứu tin rằng nó đã bị tấn công bởi cuộc tấn công mạng Meow đang diễn ra trên diện rộng, xóa sạch hoàn toàn tất cả dữ liệu của nó. Một cuộc tấn công Meow đề cập đến các cuộc tấn công đang diễn ra bắt đầu trước đó vào tháng 7 và khiến 1.000 cơ sở dữ liệu không an toàn bị xóa vĩnh viễn. Tin tặc Meow gần đây cũng đã nhắm mục tiêu vào một máy chủ Mailfire được định cấu hình sai và bị bỏ ngỏ.
Lừa đảo
Chiến dịch lừa đảo toàn cầu nhắm vào người dùng Facebook bắt đầu với một mạng lưới các trang web thuộc sở hữu của những kẻ lừa đảo, lừa người dùng Facebook cung cấp thông tin đăng nhập bằng cách hứa hẹn hiển thị danh sách những người đã truy cập hồ sơ của họ thời gian gần đây.
Không rõ bằng cách nào mà khách truy cập đến được các trang web này nhưng các nhà nghiên cứu đã tìm thấy 29 tên miền gắn liền với mạng này, bao gồm các trang: askviewer[.]com, capture-stekers[.]com và followviewer[.]com.
Trang web cho nạn nhân biết “Đã có 32 người truy cập hồ sơ trên trang của bạn trong 2 ngày qua! Tiếp tục xem danh sách” và chỉ họ đến nút có nội dung “Mở danh sách!” Khi nạn nhân nhấp vào nút này, họ sẽ được đưa đến một trang đăng nhập Facebook giả mạo, được yêu cầu nhập thông tin đăng nhập. Sau khi làm như vậy, một trang giả mạo xuất hiện, hứa hẹn chia sẻ danh sách đầy đủ và nạn nhân được chuyển hướng đến trang Google Play cho một ứng dụng phân tích Facebook không liên quan.
Các nhà nghiên cứu cho biết: “Trong quá trình này, những kẻ lừa đảo đã lưu tên người dùng và mật khẩu Facebook trong cơ sở dữ liệu bị lộ để sử dụng cho các hoạt động tội phạm khác. Chúng được lưu trữ ở định dạng plaintext, giúp cho bất kỳ ai tìm thấy cơ sở dữ liệu đều có thể xem, tải xuống và lấy cắp chúng”.
Sau đó, những kẻ tấn công sử dụng thông tin đăng nhập của nạn nhân cho giai đoạn tiếp theo của cuộc tấn công - chiếm tài khoản và bình luận các bài đăng trên Facebook được xuất bản trong mạng của nạn nhân, với các liên kết dẫn đến một mạng lưới các trang web lừa đảo khác do những kẻ tấn công sở hữu. Các trang web này liên quan đến một kế hoạch gian lận Bitcoin. Khi một người bạn trên Facebook của nạn nhân truy cập một trong các trang web, họ sẽ được hướng dẫn đăng ký một tài khoản giao dịch Bitcoin miễn phí và gửi 295 USD để bắt đầu giao dịch.
“Bằng cách bao gồm các liên kết đến các trang web tin tức giả mạo, những kẻ lừa đảo hy vọng sẽ qua mặt và gây nhầm lẫn cho các công cụ phát hiện bot và gian lận của Facebook. Nếu các tài khoản bị tấn công chỉ đăng đi đăng lại các liên kết giống nhau đến một vụ lừa đảo Bitcoin, chúng sẽ nhanh chóng bị chặn”.
Người dùng Facebook được khuyến cáo thay đổi thông tin đăng nhập của mình ngay lập tức nếu cho rằng mình là nạn nhân của chiến lược gian lận này.
“Hơn nữa, nếu bạn sử dụng mật khẩu Facebook trên bất kỳ tài khoản nào khác, hãy thay đổi mật khẩu đó ngay lập tức. Bạn nên sử dụng trình tạo mật khẩu để tạo mật khẩu mạnh, duy nhất cho mọi tài khoản cá nhân của mình và thay đổi chúng theo định kỳ”, các nhà nghiên cứu khuyến cáo.
Theo đó, tội phạm mạng đã lừa người dùng Facebook cung cấp thông tin đăng nhập tài khoản bằng một công cụ giả mạo tiết lộ ai đang truy cập hồ sơ của họ.
Những kẻ lừa đảo sau đó “sử dụng thông tin đăng nhập bị đánh cắp để bình luận spam vào các bài đăng trên Facebook, hướng người dùng đến các trang web lừa đảo của chúng. Tất cả các trang web này đều dẫn đến một nền tảng giao dịch Bitcoin giả mạo được sử dụng để lừa người dùng chi ít nhất 295 USD”.
Theo các nhà nghiên cứu, chưa có bằng chứng cho thấy dữ liệu bị truy cập hay bị rò rỉ bởi bất kỳ bên độc hại nào khác.
Cơ sở dữ liệu
Cơ sở dữ liệu Elasticsearch không an toàn (5.5 gigabyte) có chứa 13.521.774 bản ghi của ít nhất 100.000 người dùng Facebook, ược mở từ tháng 6 đến tháng 9 năm nay, phát hiện vào ngày 21/9 và đóng vào ngày 22/9.
Dữ liệu trong đó bao gồm thông tin đăng nhập và địa chỉ IP, phác thảo các bình luận mà những kẻ lừa đảo sẽ thực hiện trên các trang Facebook (thông qua tài khoản bị tấn công) hướng mọi người đến các trang web đáng ngờ và lừa đảo và dữ liệu thông tin nhận dạng cá nhân (PII) như email, tên và số điện thoại của các nạn nhân bị lừa đảo Bitcoin.
Các nhà nghiên cứu cho biết, để xác nhận cơ sở dữ liệu đang hoạt động và có thật, họ đã nhập thông tin đăng nhập giả trên một trong các trang web lừa đảo và xác minh rằng chúng được ghi lại.
Một ngày sau khi họ phát hiện ra cơ sở dữ liệu, các nhà nghiên cứu tin rằng nó đã bị tấn công bởi cuộc tấn công mạng Meow đang diễn ra trên diện rộng, xóa sạch hoàn toàn tất cả dữ liệu của nó. Một cuộc tấn công Meow đề cập đến các cuộc tấn công đang diễn ra bắt đầu trước đó vào tháng 7 và khiến 1.000 cơ sở dữ liệu không an toàn bị xóa vĩnh viễn. Tin tặc Meow gần đây cũng đã nhắm mục tiêu vào một máy chủ Mailfire được định cấu hình sai và bị bỏ ngỏ.
Lừa đảo
Chiến dịch lừa đảo toàn cầu nhắm vào người dùng Facebook bắt đầu với một mạng lưới các trang web thuộc sở hữu của những kẻ lừa đảo, lừa người dùng Facebook cung cấp thông tin đăng nhập bằng cách hứa hẹn hiển thị danh sách những người đã truy cập hồ sơ của họ thời gian gần đây.
Không rõ bằng cách nào mà khách truy cập đến được các trang web này nhưng các nhà nghiên cứu đã tìm thấy 29 tên miền gắn liền với mạng này, bao gồm các trang: askviewer[.]com, capture-stekers[.]com và followviewer[.]com.
Trang web cho nạn nhân biết “Đã có 32 người truy cập hồ sơ trên trang của bạn trong 2 ngày qua! Tiếp tục xem danh sách” và chỉ họ đến nút có nội dung “Mở danh sách!” Khi nạn nhân nhấp vào nút này, họ sẽ được đưa đến một trang đăng nhập Facebook giả mạo, được yêu cầu nhập thông tin đăng nhập. Sau khi làm như vậy, một trang giả mạo xuất hiện, hứa hẹn chia sẻ danh sách đầy đủ và nạn nhân được chuyển hướng đến trang Google Play cho một ứng dụng phân tích Facebook không liên quan.
Các nhà nghiên cứu cho biết: “Trong quá trình này, những kẻ lừa đảo đã lưu tên người dùng và mật khẩu Facebook trong cơ sở dữ liệu bị lộ để sử dụng cho các hoạt động tội phạm khác. Chúng được lưu trữ ở định dạng plaintext, giúp cho bất kỳ ai tìm thấy cơ sở dữ liệu đều có thể xem, tải xuống và lấy cắp chúng”.
Sau đó, những kẻ tấn công sử dụng thông tin đăng nhập của nạn nhân cho giai đoạn tiếp theo của cuộc tấn công - chiếm tài khoản và bình luận các bài đăng trên Facebook được xuất bản trong mạng của nạn nhân, với các liên kết dẫn đến một mạng lưới các trang web lừa đảo khác do những kẻ tấn công sở hữu. Các trang web này liên quan đến một kế hoạch gian lận Bitcoin. Khi một người bạn trên Facebook của nạn nhân truy cập một trong các trang web, họ sẽ được hướng dẫn đăng ký một tài khoản giao dịch Bitcoin miễn phí và gửi 295 USD để bắt đầu giao dịch.
“Bằng cách bao gồm các liên kết đến các trang web tin tức giả mạo, những kẻ lừa đảo hy vọng sẽ qua mặt và gây nhầm lẫn cho các công cụ phát hiện bot và gian lận của Facebook. Nếu các tài khoản bị tấn công chỉ đăng đi đăng lại các liên kết giống nhau đến một vụ lừa đảo Bitcoin, chúng sẽ nhanh chóng bị chặn”.
Người dùng Facebook được khuyến cáo thay đổi thông tin đăng nhập của mình ngay lập tức nếu cho rằng mình là nạn nhân của chiến lược gian lận này.
“Hơn nữa, nếu bạn sử dụng mật khẩu Facebook trên bất kỳ tài khoản nào khác, hãy thay đổi mật khẩu đó ngay lập tức. Bạn nên sử dụng trình tạo mật khẩu để tạo mật khẩu mạnh, duy nhất cho mọi tài khoản cá nhân của mình và thay đổi chúng theo định kỳ”, các nhà nghiên cứu khuyến cáo.
Theo Threatpost