Tin tặc lừa Meta AI để hack nhiều tài khoản Instagram

Những tài khoản được cho là đã bị xâm nhập bao gồm tài khoản lưu trữ nội dung về Nhà Trắng dưới thời cựu Tổng thống Barack Obama, thương hiệu mỹ phẩm Sephora và tài khoản của một quan chức cấp cao thuộc Lực lượng Vũ trụ Mỹ.

Sự việc lần đầu được công khai bởi các nhà nghiên cứu bảo mật ZachXBT và Dark Web Informer.

Thông tin nhanh chóng lan rộng khi nhiều người dùng trên Reddit, X và Telegram đồng loạt phản ánh tình trạng tài khoản bị chiếm quyền hoặc có dấu hiệu truy cập bất thường.

Một đoạn video được đăng tải trên X đã mô tả chi tiết quy trình các đối tượng tấn công sử dụng để chiếm quyền tài khoản Instagram, cho thấy cuộc tấn công không dựa vào mã độc phức tạp hay các chiến dịch lừa đảo tinh vi. Thay vào đó, kẻ tấn công chủ yếu khai thác quy trình hỗ trợ khôi phục tài khoản được tích hợp AI của Meta.

Theo đó, tin tặc trước tiên sử dụng mạng riêng ảo (VPN) nhằm giả lập vị trí truy cập gần với khu vực của nạn nhân, qua đó hạn chế nguy cơ kích hoạt các cơ chế bảo vệ tự động của Instagram.

Sau khi truy cập quy trình hỗ trợ tài khoản, chúng mở cuộc trò chuyện với trợ lý Meta AI và yêu cầu chatbot thêm một địa chỉ email mới vào tài khoản mục tiêu. Trong video, chatbot được cho là đã gửi mã xác minh đến địa chỉ email do tin tặc cung cấp.

Khi mã xác minh này được nhập lại vào cuộc trò chuyện, hệ thống hiển thị tùy chọn "Đặt lại mật khẩu”. Lúc này, kẻ tấn công chỉ cần thiết lập mật khẩu mới là có thể giành toàn quyền kiểm soát tài khoản của nạn nhân. Toàn bộ quá trình có thể diễn ra mà không cần truy cập vào email hay số điện thoại thực tế của nạn nhân.

Ở một hình thức khai thác khác được ghi nhận, kẻ tấn công thậm chí chỉ cần yêu cầu chatbot gửi trực tiếp mã khôi phục mật khẩu đến địa chỉ email của mình. Nếu chatbot chấp thuận, chúng có thể sử dụng mã nhận được để hoàn tất quá trình chiếm quyền tài khoản.

TechCrunch cho biết đã tiến hành xác minh độc lập một phần quy trình này. Kết quả cho thấy địa chỉ email công khai trong video đã thực sự nhận được mã xác minh do Instagram gửi tới. 

Điểm đáng chú ý của hình thức tấn công này là trong suốt quá trình, tin tặc không cần xâm nhập vào địa chỉ email hợp pháp đang được liên kết với tài khoản Instagram của nạn nhân. Thay vào đó, chúng tìm cách khiến hệ thống hỗ trợ của Meta tự cấp quyền cho một địa chỉ email mới do mình kiểm soát.

Trước những phản ánh từ người dùng và giới nghiên cứu bảo mật, người phát ngôn của Instagram, Andy Stone, cho biết Meta đã khắc phục lỗ hổng này. Dẫu vậy, Meta vẫn chưa công bố số lượng tài khoản Instagram đã bị truy cập trái phép hoặc bị ảnh hưởng bởi sự cố bảo mật nói trên.

Đáng chú ý, ngay cả sau khi bản vá được triển khai, một số nạn nhân cho biết họ vẫn gặp nhiều khó khăn trong quá trình khôi phục quyền truy cập vào tài khoản của mình.