Tình hình an ninh mạng, bảo mật thông tin luôn diễn biến hết sức phức tạp. Có hàng tá phương thức, thủ đoạn hack mới được sáng tạo ra mỗi ngày và chỉ cần một thoáng lơ là mất cảnh giác là bạn hoàn toàn có thể sẽ phải “ôm hận”. Với Facebook, bây giờ là năm 2019, và chỉ cần bạn “chót dại” nhấp chuột vào một URL độc hại thì xin chia buồn, rất có thể tài khoản của bạn đã bị hack. Đây là một loại liên kết độc hại mới, được tạo theo phương thức đặc biệt để cho phép kẻ tấn công hack tài khoản Facebook của bạn mà không cần thêm bất kỳ tương tác nào.
Mới đây, cụ thể là vào tháng trước một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng liên quan đến tính năng bảo vệ liên kết chéo giữa nhiều trang web (CSRF) đặc biệt nguy hiểm, xuất hiện trong một số nền tảng mạng xã hội phổ biến nhất (chủ yếu là Facebook), và có thể cho phép kẻ tấn công chiếm đoạt tài khoản Facebook của nạn nhân bằng cách lừa họ nhấp vào liên kết độc hại.
- Tin tặc sử dụng ngân hàng làm điểm khởi đầu cho các cuộc tấn công lừa đảo
Cụ thể hơn, nhà nghiên cứu bảo mật nổi tiếng có biệt danh "Samm0uda" đã tìm thấy lỗ hổng này sau khi anh ta phát hiện ra một sai sót trong điểm cuối (facebook.com/comet/dialog_DONOTUSE/) có thể bị khai thác để vượt qua sự bảo vệ của CSRF và chiếm đoạt tài khoản của nạn nhân. Ngoài ra, theo nhà nghiên cứu bảo mật này, điểm cuối nằm dưới tên miền chính www.facebook.com cũng là một yếu tố giúp kẻ tấn công dễ dàng lừa nạn nhân của mình truy cập vào URL độc hại đó.
Tóm lại, tất cả những gì kẻ tấn công cần làm là lừa các nạn nhân nhấp vào một URL Facebook được chế tạo đặc biệt, như đã đề cập phía trên. Liên kết này được thiết kế để thực hiện nhiều hành động như đăng bất cứ thông tin nào trên dòng thời gian của họ, thay đổi hoặc xóa ảnh đại diện và thậm chí là lừa người dùng xóa toàn bộ các thông tin quan trọng trên tài khoản Facebook của mình.
Việc chiếm quyền kiểm soát hoàn toàn tài khoản của nạn nhân, hoặc lừa họ xóa toàn bộ tài khoản Facebook của mình sẽ đòi hỏi thêm một chút nỗ lực từ phía kẻ tấn công, vì nạn nhân cần phải nhập mật khẩu để xác nhận trước khi xóa tài khoản.
Để làm điều này, nhà nghiên cứu cho biết hacker sẽ yêu cầu các nạn nhân truy cập vào 2 URL riêng biệt, một để thêm email hoặc số điện thoại và một để xác nhận lại các thông tin.
Đó là "bởi vì các điểm cuối 'bình thường' được sử dụng để thêm email hoặc số điện thoại sẽ không có tham số 'next' để chuyển hướng người dùng sau khi yêu cầu được thực hiện thành công", nickname Samm0uda cho biết.
- Các tổ chức có thể làm được gì để bảo vệ mình trước những cuộc tấn công mạng?
Tuy nhiên, nhà nghiên cứu này vẫn có thể lấy quyền tiếp quản tài khoản chỉ với một URL bằng cách tìm các điểm cuối có tham số “next” và ủy quyền cho một ứng dụng độc hại thay mặt cho nạn nhân và lấy mã thông báo truy cập Facebook của họ.
Khi đã nắm trong tay quyền truy cập vào mã thông báo xác thực của nạn nhân, địa chỉ email do kẻ tấn công kiểm soát sẽ được tự động thêm vào tài khoản của họ, cho phép kẻ tấn công chiếm đoạt hoàn toàn tài khoản bằng cách đặt lại mật khẩu và “đá văng” người dùng hợp pháp ra khỏi tài khoản Facebook của họ.
Các cuộc tấn công chiếm đoạt tài khoản như vậy có thể được ngăn ngừa một phần nếu bạn đã bật tính năng xác thực hai yếu tố cho tài khoản Facebook của mình, ngăn chặn tin tặc đăng nhập vào tài khoản cho đến khi hoặc trừ khi chúng tìm ra được mật mã 6 chữ số được gửi đến thiết bị di động của bạn.
Tuy nhiên, một khi tài khoản của bạn đã bị hack, sẽ không có cách nào để ngăn chặn tin tặc thực hiện một số hành động thay mặt bạn tận dụng lỗ hổng này, như thay đổi hoặc xóa ảnh đại diện, xóa album ảnh hoặc đăng bất cứ điều gì trên dòng thời gian của bạn.
- Sử dụng mật khẩu Windows NTLM 8 ký tự? Xin chúc mừng, mật khẩu của bạn có thể bị bẻ khóa chỉ sau 2.5 giờ
Samm0uda đã báo cáo lỗ hổng bảo mật này, cùng với chi tiết các bước khai thác của mình lên Facebook vào ngày 26 tháng 1. Trang mạng xã hội khổng lồ này đã thừa nhận vấn đề và giải quyết nó vào ngày 31 tháng 1, đồng thời thưởng cho nhà nghiên cứu 25.000 đô la như một phần của chương trình tiền thưởng phát hiện lỗi của Facebook.