Cài mã độc từ xa lợi dụng cơn sốt Pokémon Go

08:33 | 16/08/2016

Khai thác sự nổi tiếng của Pokémon Go, tội phạm mạng có thể dễ dàng đánh lừa người dùng cài đặt phần mềm độc hại trên thiết bị di động của họ. Webinjects (tiêm/cấy mã độc trên web từ xa) – một công cụ hỗ hỗ trợ đắc lực cho các Trojan trong hệ thống tài chính, ngân hàng để qua mặt các hệ thống bảo mật ngân hàng – đang có nguy cơ bùng phát.



Pokémon Go – game di động thực tế ảo, đang tạo nên cơn sốt trên toàn cầu. Dù phát hành chưa lâu, nhưng game này hiện đã đạt tới 100 triệu lượt tải về trên toàn thế giới. Thậm chí tiềm năng của Pokémon Go còn rất lớn khi tới đây nó được phát hành ở nhiều quốc gia hơn. Ngày 6/8, Niantic Labs - nhà phát triển game thực tế ảo Pokémon Go đã thông báo trên Facebook và Twitter cho biết có thêm người dùng tại 15 nước được tải về game này, trong đó có Việt Nam. Hiện tại người chơi có thể tải miễn phí game Pokémon Go trên các kho ứng dụng App Store và Google Play. Phiên bản chính thức có dung lượng hơn 120 MB, người chơi có thể thấy đầy đủ các điểm PokeStop, GYM cũng như các loại Pokemon xung quanh. 

Tuy nhiên, cũng đã bắt đầu xuất hiện nhiều ý kiến lo ngại về khả năng game Pokémon Go bị cài phần mềm gián điệp, bởi không thấy bất kỳ chính sách đảm bảo an ninh nào từ Niantic. Ứng dụng game di động này yêu cầu truy cập camera và vị trí thiết bị của người chơi khi họ đi săn và “bắt” nhân vật Pokémon ảo trong thế giới thực. Điều này đã cho thấy tiềm ẩn những mối lo ngại an ninh, đặc biệt là vấn đề an toàn dữ liệu riêng tư và việc điện thoại của người dùng lây nhiễm những phần mềm độc hại và ransomware khi tải các phiên bản giả mạo của ứng dụng này. 

Vậy những rủi ro trên thực tế là gì? và cách đảm bảo an toàn khi trải nghiệm ứng dụng này? 

Đánh lừa cài đặt Trojan truy cập từ xa (RAT)

Điểm mấu chốt là tội phạm mạng có thể dễ dàng khai thác sự nổi tiếng của Pokémon Go để đánh lừa người dùng cài đặt phần mềm độc hại trên thiết bị di động của họ. Thiết bị di động bị nhiễm trojan truy cập từ xa (RAT) như DroidJack, sẽ tạo ra một cửa hậu (back door), từ đó tin tặc có thể tấn công vào các dịch vụ mà chủ sở hữu thiết bị truy cập, như ngân hàng trực tuyến, thương mại điện tử và các dịch vụ kinh doanh quan trọng khác.

Trojan sử dụng thông tin ghi lại từ bàn phím và tạo đăng ký giả mạo để ăn cắp thông tin truy cập trực tuyến của khách hàng, hiện nay chúng cũng sử dụng các file webinject (tiêm/cấy mã độc trên web từ xa) phổ biến để phá vỡ phòng thủ không gian mạng và thực hiện các gian lận tài chính. Những loại Trojan đã được biết đến  như Zeus và SpyEye, sử dụng webinjects để chiếm quyền điều khiển phiên trình duyệt của người dùng trên các máy tính hoặc các thiết bị di động bị nhiễm malware.   

Đặc biệt là đối với các ngân hàng, nguy cơ webinjects sẽ cấu hình để tự động chuyển khoản từ tài khoản ngân hàng của người dùng vào tài khoản của tin tặc mà không bị phát hiện bởi hệ thống kiểm tra an ninh của ngân hàng hoặc của chủ tài khoản.

Một ví dụ điển hình là vụ tin tặc lấy cắp 81 triệu USD từ Ngân hàng trung ương của Bangladesh hồi đầu năm nay, có thể chúng đã dùng webinjects để khởi động một số yêu cầu chuyển tiền và qua mặt được kiểm tra an ninh của ngân hàng.

Đáng lo ngại hơn, theo Trung tâm điều hành An ninh mạng (SOC) và Đội nghiên cứu bảo mật của F5, đã xuất hiện các chuyên gia, những người viết webinjects và bán chúng cho những kẻ lừa đảo, những người sử dụng chúng để tạo các trojan. Theo phân tích của họ thì các webinjects này giống nhau, tương tự như các biến thể độc hại Gozi và Tinba, mỗi loại được tùy chỉnh cho máy chủ kẻ gian lận khác nhau và mang nội dung HTML giả cho một mục tiêu ngân hàng cụ thể.

Giải pháp an ninh giúp phát hiện sự gian lận 

Để giảm thiểu rủi ro gian lận trên mạng, F5 Networks đã cung cấp các giải pháp giúp bảo vệ ngân hàng, các nhà bán lẻ điện tử, và các tổ chức khác; để tránh các nguy cơ tấn công MITB, gian lận zero-day và các hoạt động gian lận khác.

Giải pháp WebSafe của F5 nhận dạng và phân tích các mẫu phần mềm độc hại phức tạp, bao gồm chèn đoạn mã độc (malicious script), lừa đảo thanh toán và chuyển tiền tự động. Phần mềm độc hại RAT cho phép hacker có thể chiếm được quyền quản trị trên máy tính của nạn nhân. F5 WebSafe phát hiện phần mềm độc hại ăn cắp thông tin được lưu trữ trong bộ nhớ của trình duyệt; cảnh báo về  nhóm lừa đảo khi một trang web lừa đảo được nạp vào một miền giả mạo; báo cáo những kẻ tấn công cũng như các chi tiết quan trọng khác, cho các tổ chức CNTT, trước khi một khối lượng lớn email lừa đảo được lan truyền rộng rãi.

Mặc khác, F5 MobileSafe bảo vệ người dùng thiết bị di động trước các cuộc tấn công man-in-the-middle, giả mạo DNS (DNS spoofing) và giả mạo giấy chứng nhận. Giải pháp này phát hiện và cảnh báo nhóm tin tặc gian lận lấy cắp thông tin từ bàn phím (keyloggers), SMS, trojan tấn công ngân hàng và các biến thể phần mềm độc hại trên thiết bị di động khác, cho tất cả các loại thiết bị.

Những giải pháp và dịch vụ: như tường lửa bảo vệ ứng dụng web, sản phẩm BIG-IP chống lại tấn công DDoS, dịch vụ đám mây Silverline…, do Trung tâm Điều hành an ninh F5 cung cấp sẽ hoạt động giám sát 24/7, bảo vệ toàn diện các tổ chức trước các rủi ro gây ra bởi những kẻ tấn công đang lợi dụng những xu hướng như cơn sốt Pokémon Go.