-
09/04/2020
-
125
-
1.586 bài viết
Tin tặc lạm dụng xác thực Telegram để chiếm quyền tài khoản người dùng
Người dùng Telegram có thể mất quyền kiểm soát tài khoản chỉ bằng một thao tác xác nhận tưởng như vô hại, bởi thao tác này thực chất là bước phê duyệt một yêu cầu đăng nhập do tin tặc khởi tạo. Trong chiến dịch phishing tinh vi vừa bị phát hiện, các đối tượng đã lợi dụng trực tiếp quy trình xác thực chính thức của Telegram để chiếm trọn phiên truy cập mà không cần đánh cắp mật khẩu.
Theo phân tích của Cyfirma, các đối tượng đứng sau chiến dịch không tìm cách thu thập thông tin đăng nhập theo cách thông thường. Thay vào đó, chúng chủ động khởi tạo yêu cầu đăng nhập thật từ thiết bị của kẻ tấn công, sau đó dụ nạn nhân vô tình phê duyệt yêu cầu này thông qua giao diện giả mạo được thiết kế giống các bước kiểm tra bảo mật quen thuộc của Telegram.
Các nạn nhân được dẫn tới những trang đăng nhập giả, hỗ trợ cả quét mã QR lẫn nhập số điện thoại thủ công, với giao diện và ngôn ngữ được thiết kế bám sát Telegram nhằm tạo cảm giác hợp pháp. Những trang này thường được triển khai trên các tên miền ngắn hạn để né tránh phát hiện. Tuy nhiên, thay vì thu thập dữ liệu đăng nhập như các chiến dịch phishing truyền thống, mọi thao tác của người dùng lại trực tiếp kích hoạt một quy trình đăng nhập hợp lệ do chính kẻ tấn công khởi xướng.
Điểm nguy hiểm nằm ở chỗ, khi người dùng nhận được thông báo xác thực ngay trong ứng dụng Telegram và chấp thuận yêu cầu, họ tin rằng mình đang thực hiện bước xác minh danh tính hoặc kiểm tra bảo mật thông thường. Trên thực tế, hành động này đã cấp cho tin tặc một phiên đăng nhập đầy đủ và hợp lệ, cho phép truy cập lâu dài vào tài khoản mà không cần khai thác lỗ hổng hay vượt qua cảnh báo đăng nhập bất thường.
Thông báo yêu cầu xác thực trong ứng dụng (Nguồn: Cyfirma)
Sau khi chiếm quyền phiên, kẻ tấn công có thể âm thầm theo dõi nội dung trao đổi, thu thập thông tin và tiếp tục mở rộng chiến dịch bằng cách phát tán lừa đảo tới danh sách liên hệ của nạn nhân. Do phiên đăng nhập được tạo ra thông qua quy trình hợp pháp, người dùng gần như không nhận được cảnh báo bất thường nào từ hệ thống.
Về mặt kỹ thuật, chiến dịch này cho thấy mức độ đầu tư cao trong hạ tầng phía sau. Logic lừa đảo không được cố định trong mã HTML của trang web mà được điều khiển động thông qua các yêu cầu API chéo miền. Khi người dùng truy cập, trang phishing sẽ truy vấn một máy chủ điều khiển trung tâm để lấy cấu hình thời gian thực, bao gồm api_id, api_hash của Telegram API cùng dữ liệu ngôn ngữ phù hợp với từng khu vực.
Thiết kế dựa trên cấu hình này cho phép các đối tượng tấn công liên tục thay đổi tên miền, hạ tầng phân phối và giao diện hiển thị mà không cần chỉnh sửa sâu mã nguồn, qua đó né tránh các biện pháp phát hiện và chặn lọc tự động. Đồng thời, các thông báo trên trang lừa đảo được soạn thảo có chủ đích, hướng người dùng chú ý vào thao tác xác nhận trong ứng dụng Telegram, nơi mức độ tin cậy vốn đã rất cao.
Trước mối đe dọa này, các chuyên gia khuyến nghị người dùng tuyệt đối không phê duyệt bất kỳ yêu cầu đăng nhập nào nếu không phải do chính mình khởi tạo, kể cả khi thông báo mang danh nghĩa kiểm tra bảo mật hay xác minh hoạt động bất thường. Việc quét mã QR từ các trang web không rõ nguồn gốc cũng cần được xem là rủi ro cao.
Bên cạnh đó, người dùng nên thường xuyên kiểm tra danh sách thiết bị và phiên đăng nhập đang hoạt động trong phần cài đặt Telegram để kịp thời phát hiện truy cập trái phép. Việc bật tính năng Two Step Verification đóng vai trò then chốt, bởi lớp mật khẩu bổ sung này có thể ngăn chặn việc tạo phiên đăng nhập mới ngay cả khi nạn nhân bị đánh lừa phê duyệt yêu cầu xác thực ban đầu.
Chiến dịch lần này cho thấy ranh giới giữa hành vi hợp pháp và tấn công đang ngày càng bị xóa mờ, khi tin tặc không cần khai thác lỗ hổng mà chỉ cần thao túng niềm tin của người dùng vào chính các quy trình xác thực quen thuộc. Đây cũng là lời cảnh báo rõ ràng rằng trong bối cảnh hiện nay, yếu tố con người vẫn là mắt xích dễ bị khai thác nhất trong chuỗi an ninh.
Về mặt kỹ thuật, chiến dịch này cho thấy mức độ đầu tư cao trong hạ tầng phía sau. Logic lừa đảo không được cố định trong mã HTML của trang web mà được điều khiển động thông qua các yêu cầu API chéo miền. Khi người dùng truy cập, trang phishing sẽ truy vấn một máy chủ điều khiển trung tâm để lấy cấu hình thời gian thực, bao gồm api_id, api_hash của Telegram API cùng dữ liệu ngôn ngữ phù hợp với từng khu vực.
Thiết kế dựa trên cấu hình này cho phép các đối tượng tấn công liên tục thay đổi tên miền, hạ tầng phân phối và giao diện hiển thị mà không cần chỉnh sửa sâu mã nguồn, qua đó né tránh các biện pháp phát hiện và chặn lọc tự động. Đồng thời, các thông báo trên trang lừa đảo được soạn thảo có chủ đích, hướng người dùng chú ý vào thao tác xác nhận trong ứng dụng Telegram, nơi mức độ tin cậy vốn đã rất cao.
Trước mối đe dọa này, các chuyên gia khuyến nghị người dùng tuyệt đối không phê duyệt bất kỳ yêu cầu đăng nhập nào nếu không phải do chính mình khởi tạo, kể cả khi thông báo mang danh nghĩa kiểm tra bảo mật hay xác minh hoạt động bất thường. Việc quét mã QR từ các trang web không rõ nguồn gốc cũng cần được xem là rủi ro cao.
Bên cạnh đó, người dùng nên thường xuyên kiểm tra danh sách thiết bị và phiên đăng nhập đang hoạt động trong phần cài đặt Telegram để kịp thời phát hiện truy cập trái phép. Việc bật tính năng Two Step Verification đóng vai trò then chốt, bởi lớp mật khẩu bổ sung này có thể ngăn chặn việc tạo phiên đăng nhập mới ngay cả khi nạn nhân bị đánh lừa phê duyệt yêu cầu xác thực ban đầu.
Chiến dịch lần này cho thấy ranh giới giữa hành vi hợp pháp và tấn công đang ngày càng bị xóa mờ, khi tin tặc không cần khai thác lỗ hổng mà chỉ cần thao túng niềm tin của người dùng vào chính các quy trình xác thực quen thuộc. Đây cũng là lời cảnh báo rõ ràng rằng trong bối cảnh hiện nay, yếu tố con người vẫn là mắt xích dễ bị khai thác nhất trong chuỗi an ninh.
Theo Cyber Security News