Bằng một vài thủ đoạn lừa đảo kết hợp cùng việc lợi dụng lỗ hổng trên hệ thống, kẻ xấu có thể kiểm soát tài khoản Zalo của một người, nếu lừa được họ tin và click vào đường link lạ.

Trong tháng 8/2021, trên diễn đàn trao đổi dữ liệu Raid**** của cộng đồng hacker, tài khoản ilovevng đã đăng bài chào bán lỗ hổng 0-day (Zero day) để chiếm quyền kiểm soát tài khoản Zalo Chat hoặc Zalo Pay.

Người đăng tải thông tin cho biết rằng, để thực hiện việc này, họ chỉ cần chia sẻ một liên kết thông qua ứng dụng Zalo với nạn nhân. Nếu nạn nhân bấm vào liên kết đó, tài khoản của họ có thể bị xâm nhập một cách dễ dàng.

"Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Tin tặc cho biết nạn nhân có thể là bất kỳ ai bạn muốn."

Trong một hành động nhằm phanh phui hành vi của các tin tặc, gần đây, VinCSS, một đơn vị cung cấp dịch vụ bảo mật mạng đã tiết lộ cách mà kẻ gây ra sự cố thực hiện.

Theo thông tin từ nhóm Săn mối nguy của VinCSS, đã phát hiện một số lỗ hổng bảo mật cho phép tin tặc tạo chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.

Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền kiểm soát một tài khoản Zalo bất kỳ bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo về phiên đăng nhập mới.

Trong quá trình sử dụng Zalo, VinCSS phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” có lỗ hổng Open Redirection, cho phép thay đổi địa chỉ nhận token từ ứng dụng.

Khi sử dụng ứng dụng Zalo trên nền tảng web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng có thể chọn "Đăng nhập qua ứng dụng Zalo". Bằng cách tận dụng lỗ hổng Open Redirection trong cơ chế đăng nhập này, kẻ xấu có thể đánh cắp cookies để truy cập vào tài khoản của người dùng.

Để thực hiện điều này, hacker cần phải dẫn dụ người dùng đến một trang web mà họ kiểm soát, sau đó lấy được mã token để truy cập vào tài khoản của họ.

Tuy nhiên, chỉ sử dụng duy nhất lỗ hổng này có thể khó dẫn dụ người dùng truy cập vì đường link sẽ trông rất lạ.

Để tăng hiệu quả trong việc thực hiện, kẻ xấu đã tận dụng chuỗi lỗ hổng, bao gồm cả lỗ hổng trong chức năng xem trước nội dung liên kết. Điều này cho phép chúng che giấu đường link phishing để lừa người dùng nhấp vào đường link mà họ nghĩ là đường link đích thực.

Khi người dùng bị chuyển hướng đến server của kẻ xấu sau khi nhấp vào, trang web sẽ tự động ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Qua quá trình chuyển hướng diễn ra nhanh chóng, người dùng sẽ không nhận ra họ vừa trải qua trang web giả mạo.

VinCSS phát hiện rằng Zalo đang áp dụng một cơ chế cho phép người dùng đăng nhập lại vào phiên sử dụng Zalo web thông qua việc sử dụng cookie của session đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động cho các session chưa từng đăng nhập, làm ẩn đi thông báo về việc đã đăng nhập trên thiết bị mới.

Hai lỗ hổng bảo mật khác bao gồm lỗ hổng liên quan đến thời hạn của session và việc đăng nhập vào ZaloPay với token thu được có thể cho phép kẻ xấu truy cập và chiếm quyền kiểm soát tài khoản lâu dài, cũng như đăng nhập vào các ứng dụng khác của Zalo, trong đó có ZaloPay.

Theo thông tin từ VinCSS, việc kết hợp 5 lỗ hổng có thể tạo ra một chuỗi khai thác nhằm vào người dùng của ứng dụng Zalo. Đây chính là phương pháp và thủ đoạn mà những kẻ xấu đã sử dụng trong vụ việc xảy ra vào tháng 8/2021. May mắn khi vấn đề sau đó đã được xử lý kịp thời.

Chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) chia sẻ với VietNamNet về vấn đề này và nhấn mạnh rằng các lỗ hổng được đề cập được xem là lỗ hổng phía máy khách (client-side vulnerability).

Để tận dụng các lỗ hổng như vậy, hacker cần thực hiện một cuộc tấn công phishing để lừa đảo và thuyết phục người dùng bấm vào đường link của họ để có thể thành công.

Lỗ hổng phía máy chủ (server-side vulnerability) đáng lo ngại hơn lỗ hổng phía máy khách vì không đòi hỏi sự tương tác nhiều từ người dùng. May mắn là trong trường hợp này, không có lỗ hổng phía máy chủ nào tồn tại.

Để tránh rơi vào tình trạng lừa đảo, người dùng cần phải tự bảo vệ bản thân bằng cách không bấm vào các đường link không rõ nguồn gốc. Để chắc chắn, người dùng cần thực hiện cuộc gọi điện thoại trong khoảng 1-2 phút với người gửi link để xác minh tính hợp lệ của nó.

Người dùng cũng có thể phát triển thói quen truy cập website không quen thuộc thông qua Chế độ ẩn danh (Incognito Mode) của trình duyệt hoặc truy cập trang web thông qua trang browserling.com.

Khi tải xuống một tệp tin không quen thuộc, người dùng nên thường xuyên quét virus trước khi mở tệp tin đó. Bạn có thể dễ dàng thực hiện việc quét virus thông qua trang web http://virustotal.com, một trong những đối tác của dự án Chống lừa đảo (Chongluadao.vn). Chuyên gia Ngô Minh Hiếu khuyên rằng, không chỉ với các đường link mà cả với các tệp tin tải về, người dùng cũng cần duy trì sự cảnh giác.

Để mở những tập tin tài liệu dạng Word hoặc Excel có dấu hiệu đáng ngờ, người dùng có thể sử dụng công cụ Google Docs. Điều này giúp người dùng tránh rủi ro khi tải xuống và mở các file có thể chứa virus hoặc phần mềm độc hại.

Theo chuyên gia Hieupc, một trong những biện pháp dễ nhất để tăng cường bảo mật là luôn sử dụng mật khẩu có độ phức tạp cao và không chia sẻ thông tin đó cho người khác.

Trọng Đạt