09:58 13/08/2021

Vụ rao bán chiếm đoạt tài khoản Zalo: Rủi ro nhắm vào người dùng điện thoại Android?

Nam Anh

Ngay sau vụ rao bán dữ liệu Bkav, một hacker với tài khoản ilovevng mới lập tháng 8/2021 đã đăng bài chào bán lỗ hổng 0-day (Zero day) giúp "chiếm quyền kiểm soát bất kỳ tài khoản Zalo Chat hay Zalo Pay nào"...

Bài đăng rao bán cách khai thác lỗ hổng trong tài khoản Zalo trên diễn đàn hacker nổi tiếng R***.
Bài đăng rao bán cách khai thác lỗ hổng trong tài khoản Zalo trên diễn đàn hacker nổi tiếng R***.

Cụ thể, trên diễn đàn trao đổi dữ liệu của hacker tên Raid***, tài khoản mới lập ilovevng giới thiệu từng quan sát nhóm bảo mật của VNG (công ty mẹ đang sở hữu Zalo) tại các sự kiện an ninh mạng toàn cầu nên quyết định “thử làm gì đó với Zalo”.

"99% NẠN NHÂN CÓ THỂ BỊ HACK"

 
Hacker yêu cầu chỉ giao dịch bằng tiền ảo và không cung cấp thêm thông tin nào khác vì có thể đội ngũ phát triển ứng dụng sẽ nhận ra và sửa lỗi.

Tin tặc cho biết cần phải gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. Hacker này khẳng định: “Bạn chỉ gửi một đường link đến nạn nhân. Nạn nhân chỉ cần click vào link, tài khoản đó sẽ thuộc về bạn. Chỉ cần click, không cần làm gì khác. Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo. Nạn nhân có thể là bất kỳ ai bạn muốn”.

Tài khoản ilovevng cam kết sẽ cung cấp mẹo hay để khi gửi link thì 99% nạn nhân sẽ click mà không hề nghi ngờ. Đồng thời, gửi một đoạn video thực tế cách chiếm đoạt tài khoản Zalo của nạn nhân cho khách hàng xem, trước khi quyết định có mua công cụ khai thác này hay không.

Hacker yêu cầu chỉ giao dịch bằng tiền ảo và không cung cấp thêm thông tin nào khác vì có thể đội ngũ phát triển ứng dụng sẽ nhận ra và sửa lỗi. Ngoài ra, tài khoản này cũng nhắn những chuyên gia bảo mật hãy thử khám phá, biết đâu sẽ phát hiện ra lỗ hổng đó.

Như nhiều bài rao bán dữ liệu khác được đăng tải trên diễn đàn, chủ đề của thành viên nói trên được khá nhiều người quan tâm. Trong số này đã có những người liên hệ và nhận được bằng chứng từ người bán. Tuy nhiên, một thành viên diễn đàn từ năm 2019 lập tức phản hồi rằng quá trình khai thác lỗ hổng đó giống y hệt với lỗi từng được một hacker khác công khai trước đó.

Phản hồi lại yêu cầu công khai bằng chứng, hacker khẳng định chỉ bán cách khai thác lỗ hổng, không phải dữ liệu rò rỉ, vì vậy nếu đưa quá nhiều thông tin lên, phía Zalo có thể vá lỗi trước khi khách hàng của người này kịp đạt được mục đích. Lỗ hổng 0-day (Zero day) là những lỗi an ninh của phần mềm mà nhà phát triển chưa phát hiện hoặc bị khai thác khi chưa kịp có phương án khắc phục.

CHỈ ẢNH HƯỞNG TỚI NGƯỜI DÙNG ĐIỆN THOẠI ANDROID?

Theo chuyên gia an toàn thông tin mạng của hãng bảo mật F-Secure, cách hacker viết bài rao bán này rất lạ. Thông thường, người bán trong diễn đàn cung cấp thông tin về lỗ hổng bảo mật hoặc ảnh chụp màn hình như một cách để đảm bảo với người mua về mặt hàng rao bán của mình là chính xác. Tuy nhiên, trên những diễn đàn này cũng rất nhiều các bài viết lừa đảo hoặc nhằm mục đích lợi ích khác. 

 
"Nếu nội dung rao bán của tin tặc này là có thật, chúng tôi cho rằng nó sẽ chỉ ảnh hưởng tới người dùng Zalo trên máy điện thoại chạy hệ điều hành Android".
Chuyên gia bảo mật F-Secure.

Theo chuyên gia, ở ngay đoạn đầu quảng cáo của tin tặc, có thể thấy tin tặc viết là  "3-4 lỗ hổng khác nhau", tuy nhiên phải cần cụ thể là 3 hoặc 4.

Ngoài ra, tin tặc này có vẻ là người mới vì tài khoản đăng thông tin này mới được tạo. Đồng thời, trong bài viết có tiết lộ những thông tin không cần thiết như "Tôi biết nhiều kỹ sư bảo mật của VNG chơi CTF,...". Điều này có thể cho thấy người rao bán này tuổi còn trẻ và không có kinh nghiệm, đại diện hãng bảo mật F-Secure nhìn nhận, và cho rằng, ở gần cuối bài đăng, người bán này còn nói chuỗi khai thác đó không phải là lỗ hổng, ngược lại hoàn toàn nội dung ở đầu bài viết. 

Theo chuyên gia F-Secure, nội dung bài đăng gợi ý về việc khai thác có thể nhắm mục tiêu hệ điều hành trước (như lấy quyền truy cập root trong android) trên thiết bị di động và sau đó khai thác payload có thể ăn cắp cookie/thông tin đăng nhập của ứng dụng trò chuyện Zalo, điều này có thể được thực hiện trên cả Facebook và gần như bất kỳ ứng dụng nào nếu có quyền truy cập vào thiết bị dưới dạng root (ví dụ như một ứng dụng gián điệp/trojan gửi thông tin đăng nhập cho kẻ tấn công). 

“Nếu nội dung rao bán của tin tặc này là có thật, chúng tôi cho rằng nó sẽ chỉ ảnh hưởng tới người dùng Zalo trên máy điện thoại chạy hệ điều hành Android, vì với hệ điều hành iOS phiên bản mới nhất thì hiện chưa có lỗ hổng nào được biết đến để “bẻ khóa và giành quyền truy cập root”, chuyên gia F-Secure khẳng định.

Hãng bảo mật này cũng khuyến cáo người dùng cần nâng cấp phiên bản hệ điều hành mới nhất cho thiết bi, sử dụng Firewall (tường lửa) để giám sát nguồn gốc và điểm đến của các kết nối ứng dụng, đồng thời cài đặt phần mềm bảo mật thiết bị trên máy tính hoặc máy điện thoại của mình, cũng như sử dụng dịch vụ Internet an toàn để bảo vệ các truy cập ra Internet. 

Cùng đó, người dùng cũng nên cẩn trọng trước khi click vào bất kỳ đường link nào được chia sẻ, ngay cả khi người đó là bạn bè của mình.