Tin tặc lừa Meta AI để hack nhiều tài khoản Instagram

Các tin tặc đã thao túng chatbot hỗ trợ AI của Meta để chiếm quyền kiểm soát nhiều tài khoản Instagram. Meta xác nhận đã khắc phục sự cố, song chưa công bố số lượng người dùng bị ảnh hưởng…

Ảnh minh hoạ.
Ảnh minh hoạ.

Những tài khoản được cho là đã bị xâm nhập bao gồm tài khoản lưu trữ nội dung về Nhà Trắng dưới thời cựu Tổng thống Barack Obama, thương hiệu mỹ phẩm Sephora và tài khoản của một quan chức cấp cao thuộc Lực lượng Vũ trụ Mỹ.

Sự việc lần đầu được công khai bởi các nhà nghiên cứu bảo mật ZachXBT và Dark Web Informer.

Thông tin nhanh chóng lan rộng khi nhiều người dùng trên Reddit, X và Telegram đồng loạt phản ánh tình trạng tài khoản bị chiếm quyền hoặc có dấu hiệu truy cập bất thường.

Một đoạn video được đăng tải trên X đã mô tả chi tiết quy trình các đối tượng tấn công sử dụng để chiếm quyền tài khoản Instagram, cho thấy cuộc tấn công không dựa vào mã độc phức tạp hay các chiến dịch lừa đảo tinh vi. Thay vào đó, kẻ tấn công chủ yếu khai thác quy trình hỗ trợ khôi phục tài khoản được tích hợp AI của Meta.

Theo đó, tin tặc trước tiên sử dụng mạng riêng ảo (VPN) nhằm giả lập vị trí truy cập gần với khu vực của nạn nhân, qua đó hạn chế nguy cơ kích hoạt các cơ chế bảo vệ tự động của Instagram.

Sau khi truy cập quy trình hỗ trợ tài khoản, chúng mở cuộc trò chuyện với trợ lý Meta AI và yêu cầu chatbot thêm một địa chỉ email mới vào tài khoản mục tiêu. Trong video, chatbot được cho là đã gửi mã xác minh đến địa chỉ email do tin tặc cung cấp.

Khi mã xác minh này được nhập lại vào cuộc trò chuyện, hệ thống hiển thị tùy chọn "Đặt lại mật khẩu”. Lúc này, kẻ tấn công chỉ cần thiết lập mật khẩu mới là có thể giành toàn quyền kiểm soát tài khoản của nạn nhân. Toàn bộ quá trình có thể diễn ra mà không cần truy cập vào email hay số điện thoại thực tế của nạn nhân.

Ở một hình thức khai thác khác được ghi nhận, kẻ tấn công thậm chí chỉ cần yêu cầu chatbot gửi trực tiếp mã khôi phục mật khẩu đến địa chỉ email của mình. Nếu chatbot chấp thuận, chúng có thể sử dụng mã nhận được để hoàn tất quá trình chiếm quyền tài khoản.

TechCrunch cho biết đã tiến hành xác minh độc lập một phần quy trình này. Kết quả cho thấy địa chỉ email công khai trong video đã thực sự nhận được mã xác minh do Instagram gửi tới. 

Điểm đáng chú ý của hình thức tấn công này là trong suốt quá trình, tin tặc không cần xâm nhập vào địa chỉ email hợp pháp đang được liên kết với tài khoản Instagram của nạn nhân. Thay vào đó, chúng tìm cách khiến hệ thống hỗ trợ của Meta tự cấp quyền cho một địa chỉ email mới do mình kiểm soát.

Trước những phản ánh từ người dùng và giới nghiên cứu bảo mật, người phát ngôn của Instagram, Andy Stone, cho biết Meta đã khắc phục lỗ hổng này. Dẫu vậy, Meta vẫn chưa công bố số lượng tài khoản Instagram đã bị truy cập trái phép hoặc bị ảnh hưởng bởi sự cố bảo mật nói trên.

Đáng chú ý, ngay cả sau khi bản vá được triển khai, một số nạn nhân cho biết họ vẫn gặp nhiều khó khăn trong quá trình khôi phục quyền truy cập vào tài khoản của mình.

TP. Hồ Chí Minh đề xuất hỗ trợ doanh nghiệp thuê chuyên gia mức tối đa 60 triệu đồng/tháng

Để đáp ứng nhu cầu nhân lực cho các lĩnh vực chip bán dẫn, trí tuệ nhân tạo (AI) và công nghệ số trọng điểm, TP. Hồ Chí Minh đề xuất hỗ trợ doanh nghiệp thuê chuyên gia với mức tối đa 60 triệu đồng/người/tháng, đồng thời thúc đẩy các chương trình đào tạo nhân lực chất lượng cao đạt chuẩn quốc tế cho giai đoạn phát triển mới...

Ấn Độ bùng nổ làn sóng đầu tư học AI

Làn sóng ứng dụng trí tuệ nhân tạo (AI) đang thúc đẩy thị trường đào tạo AI bùng nổ tại Ấn Độ. Ngày càng nhiều người lao động sẵn sàng chi hàng nghìn USD để học AI nhằm nâng cao năng lực cạnh tranh, song sự phát triển nhanh của thị trường cũng đặt ra những câu hỏi về chất lượng và giá trị thực tế của các khóa học…

Dưới tác động của biến đối khi hậu, tình trạng thời tiết, thiên tai diễn biến bất thường, cực đoan hơn, đòi hỏi công tác dự báo, cảnh báo sớm, giúp các ngành, địa phương và người dân chủ động ứng phó, giảm thiểu thiệt hại. Đặc biệt với các hiện tượng khí hậu như El Nino, ông Hoàng Đức Cường cho rằng khi nhận diện sớm nguy cơ, dự báo cảnh báo sớm sẽ giúp có thời gian chủ động lên kế hoạch sớm, có các giải pháp ứng phó, góp phần giảm thiểu ảnh hưởng, tác động đến hoạt động sản xuất và đời sống sinh hoạt của người dân.

VnEconomy Interactive

VnEconomy Interactive

Interactive là một sản phẩm báo chí mới của VnEconomy vừa được ra mắt bạn đọc từ đầu tháng 3/2023 đã gây ấn tượng mạnh với độc giả bởi sự mới lạ, độc đáo. Đây cũng là sản phẩm độc quyền chỉ có trên...

VnEconomy
VnEconomy