Những người muốn được chia sẻ cách chiếm quyền kiểm soát tài khoản Zalo sẽ phải trả cho hacker bằng tiền điện tử. Đến thời điểm hiện tại, bài đăng này vẫn còn tồn tại trên diễn đàn Raid*****. Ảnh: Trọng Đạt

Trong một động thái nhằm vạch trần thủ đoạn của giới tin tặc, mới đây, Công ty Dịch vụ An ninh mạng VinCSS đã cho công bố cách thức mà thủ phạm của vụ việc trên thực hiện. 

Theo đó, nhóm Săn mối nguy của VinCSS đã phát hiện một số điểm yếu bảo mật cho phép kẻ xấu có thể hình thành một chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.

Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền kiểm soát một tài khoản Zalo bất kỳ bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo về phiên đăng nhập mới.

Cụ thể, trong quá trình sử dụng Zalo, VinCSS đã phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” tồn tại lỗ hổng Open Redirection, cho phép thay đổi địa chỉ nhận token từ ứng dụng.

Nhóm chuyên gia của VinCSS đã phát hiện ra một lỗ hổng trong tính năng đăng nhập qua ứng dụng Zalo.

Khi sử dụng ứng dụng Zalo nền tảng web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung cấp tuỳ chọn “Đăng nhập qua ứng dụng Zalo”. Bằng việc khai thác lỗ hổng Open Redirection trong cơ chế đăng nhập này, kẻ xấu sẽ có được cookies cho phép truy cập vào tài khoản.

Để làm được điều đó, kẻ xấu cần chuyển hướng người dùng sau xác thực tới một trang web thuộc quyền kiểm soát của chúng, từ đó lấy được mã token để đăng nhập tài khoản.

Tuy nhiên, nếu chỉ sử dụng duy nhất lỗ hổng này, kẻ xấu sẽ khó dẫn dụ người dùng truy cập vì đường link trông sẽ rất lạ. 

Để thực hiện hiệu quả hơn, kẻ xấu đã khai thác một chuỗi các lỗ hổng, trong đó có lỗ hổng trong tính năng xem trước nội dung liên kết. Điều này giúp chúng có thể ẩn đi đường link phishing, từ đó dẫn dụ người dùng nhấp vào đường link hiển thị nội dung trang đích giống như thật. 

Một đường link dẫn đến website phishing được các chuyên gia VinCSS ngụy trang như thật thông qua lỗ hổng trong tính năng xem trước nội dung liên kết trên Zalo.

Khi người dùng nhấp vào và bị chuyển hướng đến server của kẻ xấu, trang web này sẽ tự động ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Do quá trình chuyển hướng diễn ra rất nhanh, người dùng sẽ không hề biết họ vừa lướt qua trang web giả mạo. 

VinCSS cũng phát hiện ra rằng, Zalo đang sử dụng một cơ chế cho phép người dùng đăng nhập lại phiên sử dụng Zalo web với cookie của session đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động với session chưa từng đăng nhập, ẩn đi tin nhắn thông báo đã đăng nhập trên thiết bị mới.

Hai lỗ hổng khác gồm lỗ hổng liên quan đến thời hạn của session và việc đăng nhập vào ZaloPay với token thu được cũng giúp kẻ xấu truy cập và chiếm quyền kiểm soát tài khoản lâu dài, đồng thời đăng nhập đến các ứng dụng khác của Zalo, trong đó có ZaloPay.

Theo VinCSS, khi kết hợp 5 lỗ hổng, có thể hình thành một chuỗi khai thác nhằm vào người dùng Zalo. Đó chính là phương thức, thủ đoạn mà kẻ xấu trong vụ việc hồi tháng 8/2021 đã thực hiện. Rất may mắn khi vấn đề sau đó đã được xử lý một cách nhanh chóng. 

Đến thời điểm hiện tại, cả 5 lỗ hổng nêu trên đều đã được Zalo Security team khắc phục. Do đó, cách thức tin tặc lợi dụng lỗ hổng này đã được công bố như một bài nghiên cứu. Ảnh: Trọng Đạt

Chia sẻ với VietNamNet về câu chuyện này, chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) cho biết, những lỗ hổng trên được gọi là lỗ hổng phía máy khách (client-side vulnerability).

Để lợi dụng những lỗ hổng dạng này, kẻ xấu cần phải thực hiện một vụ tấn công phishing (lừa đảo), để dẫn dụ và thuyết phục nạn nhân click vào đường link của chúng thì mới có thể thành công được. 

So với lỗ hổng phía máy khách thì lỗ hổng phía máy chủ (server-side vulnerability) nguy hiểm hơn nhiều. Đây là dạng lỗ hổng không cần tương tác gì nhiều từ phía người dùng. Rất may trong ví dụ trên không tồn tại lỗ hổng phía máy chủ. 

Để hạn chế việc trở thành nạn nhân của những vụ việc kiểu như vậy, người dùng cần biết tự bảo vệ mình bằng việc không click vào những đường link lạ. Người dùng nên kiểm chứng bằng cách gọi điện thoại trong khoảng 1-2 phút với người gửi link để xác thực về liên kết này. 

Người dùng cũng có thể tập cho mình thói quen truy cập website lạ thông qua Chế độ ẩn danh (Incognito Mode) của trình duyệt. Còn một cách khác là truy cập trang web thông qua website http://browserling.com.

Khi tải về một tệp tin lạ, người dùng nên có thói quen quét virus trước khi mở tệp tin này. Việc quét virus có thể được thực hiện dễ dàng thông qua trang web http://virustotal.com. Đây là một trong những đối tác của dự án Chống lừa đảo (Chongluadao.vn).Theo chuyên gia Ngô Minh Hiếu, không chỉ với các đường link mà với các tệp tin tải về, người dùng cũng cần cảnh giác như vậy. 

Đối với những file tài liệu dạng Word, Excel có dấu hiệu khả nghi, người dùng có thể mở chúng bằng công cụ Google Docs. 

Bên cạnh đó, một trong những biện pháp tăng cường bảo mật dễ nhất là luôn để mật khẩu có độ khó cao và không chia sẻ nó cho bất kỳ ai, chuyên gia Hieupc khuyến cáo. 

Trọng Đạt

Nhiều game thủ Axie Infinity bị lừa đảo mất tiền oan bởi sự cố hy hữu

Hơn 150 game thủ Axie Infinity đã bị tin tặc lừa đảo và chiếm đoạt số tiền lên đến gần 100.000 USD.

Sở hữu vị trí trung tâm kết nối tam giác kinh tế trọng điểm phía Bắc Hà Nội - Hải Phòng - Quảng Ninh, TP. Uông Bí với tốc độ phát triển kinh tế nhanh, cùng thế mạnh về du lịch tâm linh - sinh thái luôn được đánh giá là khu vực tiềm năng bậc nhất của tỉnh Quảng Ninh. Đồng thời, BĐS tại đây luôn có sức hút lớn với các nhà đầu tư.

Đặc biệt, tại khu vực ven đường Quốc lộ 18, nhiều ông lớn ngành địa ốc như Vingroup, FLC Group, Đất Xanh Group… cũng đã và đang phát triển nhiều dự án quy mô tại đây. Điển hình như Trung tâm thương mại - dịch vụ Vincom + Uông bí, dự án Khu đô thị mới Yên Thanh tổng mức đầu tư 9.500 tỷ đồng, dự án Trung tâm văn hóa thể thao TP. Uông Bí, tổng vốn đầu tư 300 tỷ đồng…

Các dự án được quy hoạch trên trục Quốc lộ 18A được giới đầu tư săn đón

Cùng với định hướng mở rộng không gian đô thị về phía Nam thành phố, tuyến đường tránh phía Nam đấu nối với tỉnh lộ 338 dài 5,7km sẽ được triển khai trong năm 2020 và việc quy hoạch, mở rộng đường Quốc lộ 18 đoạn qua Uông Bí được hoàn thành, là những yếu tố khiến thị trường BĐS tại các khu vực này tăng nhiệt thấy rõ.

Trong đó, dự án khu đô thị Uông Bí New City đang là tâm điểm thu hút khách hàng bởi nhiều yếu tố từ quy mô lớn, hạ tầng đồng bộ, sản phẩm đa dạng, hệ thống tiện ích hiện đại và có tiềm năng đầu tư sinh lời cao cho các nhà đầu tư.

“Tuyệt phẩm” phân khúc cao cấp cho giới thượng lưu

Sau thành công của dòng sản phẩm đất nền liền kề và shophouse, tới đây đơn vị phân phối Đất Xanh Miền Bắc cùng chủ đầu tư Tân Thành tiếp tục tung ra thị trường một “độc phẩm” thuộc phân khúc cao cấp tại dự án Uông Bí New City - phân khu biệt thự Uông Bí Royal Villas.

Uông Bí Royal Villas với dòng sản phẩm đất nền biệt thự nằm cận kề khu công viên trung tâm và trường mầm non của dự án.

Phân khu biệt thự Uông Bí Royal Villas

Một trong những lý do để Uông Bí Royal Villas trở thành lựa chọn hàng đầu của giới thượng lưu là bởi dự án sử hữu hệ thống tiện ích đẳng cấp, đồng bộ dành riêng cho những chủ nhân xứng tầm như Trung tâm thương mại Vincom+, hồ điều hòa, công viên trung tâm, trường mầm non, trường học, nhà sinh hoạt cộng đồng…

Trong đó, trường học liên cấp quốc tế Stephen Hawing nằm ngay trong khuôn viên dự án đã tuyển sinh từ tháng 9/2019, hệ thống shophouse dọc trên tuyến đường trung tâm rộng 35m sắp bàn giao và đi vào hoạt động. Đây sẽ là nơi quy tụ hàng trăm tiện ích dịch vụ đa dạng, tâm điểm giao thương buôn bán, kinh doanh, vui chơi giải trí sầm uất bậc nhất khu vực. Theo đó, giá trị BĐS tại đây cũng được dự báo sẽ bùng nổ trong những tháng cuối năm 2019 với khả năng tăng giá cao. 

Với lợi thế nằm trong khu đô thị Uông Bí New City, khu biệt thự Uông Bí Royal Villas ngoài việc được hưởng trọn tất cả các tiện ích nội khu còn dễ dàng kết nối tới các tiện ích khu vực như: Chợ Yên Thanh, chợ Thanh Sơn, UBND và CAND phường Yên Thanh, vườn hoa, các ngân hàng, trường học, bệnh viện Việt Nam - Thụy Điển, chùa Ba Vàng…

Được định vị là phân khu cao cấp theo phong cách kiến trúc châu Âu tinh tế, biệt thự Uông Bí Royal Villas với số lượng giới hạn chỉ 44 lô biệt thự, diện tích từ 292m2 - 366m2 hứa hẹn sẽ là nơi quy tụ cộng đồng cư dân thượng lưu, đẳng cấp.

Đặc biệt, tất cả các căn biệt thự tại đây đều có khuôn viên sân vườn rộng rãi để gia chủ có thể trồng nhiều cây xanh và hoa bốn mùa đem lại không gian thư giãn, riêng tư trọn vẹn cho không gian sống.

Minh Tuấn