Một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân

08:53 | 05/10/2020

Thời gian gần đây có khá nhiều vụ tấn công vào các tài khoản mạng xã hội gây rò rỉ dữ liệu riêng tư. Đối tượng bị tấn công đa phần là những người nổi tiếng hoặc có tầm ảnh hưởng lớn với xã hội, tuy nhiên cũng có nhiều tài khoản của người bình thường bị tấn công. Mục đích tấn công thường là để tống tiền, sử dụng các thông tin nhạy cảm để làm xấu hình ảnh của nạn nhân... Bài viết này sẽ giới thiệu về một số kỹ thuật tấn công facebook phổ biến và cách bảo vệ tài khoản cá nhân.

Phishing

Phishing xuất hiện từ những năm 1990, là phương thức lừa đảo của tin tặc nhằm mục đích thu thập các thông tin của người dùng như mật khẩu, thông tin thẻ tín dụng... Mục tiêu hướng đến phổ biến của hình thức tấn công này là các trang thông tin điện tử như PayPal, Gmail và cả các trang mạng xã hội như Facebook.

Cơ chế hoạt động của Phishing là tạo ra một trang web giả mạo có giao diện giống trang web chính thống để lừa người dùng cung cấp các thông tin cá nhân. Ví dụ như tạo ra một trang web giống trang đăng nhập của facebook nhưng có đường dẫn (URL) khác như faecbook.com, facebooh.com... Khi người dùng click vào các URL này, nếu không cẩn thận người dùng sẽ nhập tên và mật khẩu. Khi đó, thông tin này sẽ được gửi đến tin tặc, đồng thời nạn nhân sẽ được chuyển hướng đến trang Facebook. Chính lúc này, tài khoản người dùng Facebook đã bị tin tặc trộm cắp danh tính.

Người dùng cần cẩn trọng khi nhận được các link Facebook giả mạo từ email, messenger, trang web quảng cáo... Khi nhấp vào cần kiểm tra kĩ lưỡng tên đường dẫn hiện lên trên trình duyệt có là https://www.facebook.com/ và có biểu tượng khoá đang đóng (HTTPS) trong thanh địa chỉ.

Social Engineering

Đây là phương pháp phổ biến thứ 2 để tấn công một tài khoản mạng xã hội. Trên thực tế, phương pháp này không đòi hỏi nhiều về kiến thức bảo mật mà chỉ lợi dụng tâm lý của người dùng để đánh cắp tài khoản của họ. Gần đây một cuộc tấn công bằng phương pháp này nhắm vào Twitter CEO của Tesla – Elon Musk đã được thực hiện để lừa đảo Bitcoint.

Social Engineering là quá trình thu thập thông tin về nạn nhân, chẳng hạn như số điện thoại, ngày sinh, họ tên cha/mẹ, người thân, thú cưng... Thông thường, các trang web cần có tài khoản để đăng nhập sẽ có phần chức năng hỗ trợ khôi phục mật khẩu, Facebook cũng không phải là ngoại lệ. Mạng xã hội này sẽ có tuỳ chọn để khôi phục mật khẩu bằng câu hỏi bảo mật (Security Question). Các câu hỏi thường được lựa chọn ở đây chính là liên quan đến các thông tin cá nhân mà trước đó kẻ xấu đã thu thập được ở nạn nhân. 

Một hình thức khác của phương pháp tấn công này chính là lợi dụng tâm lý thường sử dụng các mật khẩu cá nhân có liên quan đến số điện thoại, ngày sinh hoặc các con số gần gũi để dễ nhớ. Thường được gọi là mật khẩu yếu và khi sử dụng các mật khẩu yếu này tài khoản của người dùng dễ bị tấn công hơn bao giờ hết.

Do đặc tính của phương pháp này xuất phát từ chính người dùng nên cách phòng tránh cơ bản là tăng cường tính bảo mật cho tài khoản của mình như: Không đặt mật khẩu quá dễ đoán, không chọn các Security Question quá đơn giản; Thêm xác mình tài khoản bằng CMND của bản thân để có thể xác minh nhanh chóng khi bị tấn công; Bật chức năng “cảnh báo đăng nhập” để được thông báo mỗi khi tài khoản bị đăng nhập ở một thiết bị khác.

Key Logger

KeyLoggers là các phần mềm được sử dụng để ghi lại các thao tác ấn phím trên máy tính hoặc thiết bị di động, bất cứ khi nào người dùng gõ lên bàn phím sẽ đều được lưu trữ lại để sử dụng. Tất cả các phần mềm thuộc loại KeyLogger chạy ngầm dưới background của hệ thống và người dùng sẽ khó có thể nhận biết được sự tồn tại của nó nếu không biết mật khẩu hoặc phím tắt để mở nó lên. Các bản ghi thao tác này sẽ được gửi về cho chủ nhân của phần mềm một cách đều đặn, các tin tặc sẽ biết cách khai thác tất cả các thông tin có giá trị từ các bản ghi này, trong đó có mật khẩu Facebook.

Nguy cơ tấn công từ phương pháp này sẽ xảy ra khi người dùng click vào đường link không an toàn qua email, tin nhắn; khi đó phần mềm Keylogger có thể được tự động cài vào máy của người dùng. Hoặc khi đăng nhập tài khoản cá nhân tại các máy tính công cộng hoặc máy tính của người khác - nơi mà Keylogger đã được cài sẵn.

Về mặt cơ bản, người dùng nên hạn chế click vào những đường dẫn lạ được gửi đến từ người không quá thân quen, hạn chế tối đa đăng nhập tài khoản cá nhân của mình trên các máy tính không phải của riêng mình. Trường hợp bất khả kháng, khi đăng nhập tài khoản trên các máy tính công cộng, người dùng nên sử dụng bàn phím ảo do hệ điều hành hỗ trợ hay còn được gọi là On-Screen Keyboards: lúc này các thao tác nhập tên, mật khẩu sẽ được thực hiện bằng cách click chuột vào các button trên bàn phím ảo này. Hiện nay có nhiều trang web cung cấp dạng bàn phím ảo này trong chính trình đăng nhập của họ.

MallClous Application Hack

Các ứng dụng trò chơi, bói, trả lời trắc nghiệm... trên facebook và khi click vào thì một giao diện như bên dưới sẽ hiện ra:

Một khi người dùng ấn vào Login with Facebook (Đăng nhập bằng tài khoản Facebook) người dùng sẽ thấy một hộp thoại thông báo các quyền hạn được yêu cầu. Nếu không đọc kỹ mà đồng ý với các quyền này, thì các ứng dụng liên kết kia sẽ có các quyền truy cập vào các thông tin cá nhân, truy cập kho quản lý hình ảnh hoặc thực hiện một vài thao tác trên danh nghĩa tài khoản Facebook của người dùng như share bài, like, đăng status... Ngoại trừ Instagram và WhatsApp, thì hầu như tất cả các ứng dụng liên kết trên Facebook đều không thuộc sở hữu của Facebook mà của các nhà sản xuất thứ ba. Người dùng không nên chơi các ứng dụng trò chơi, bói trên facebook.

Browser Vulnerabilities

Tin tặc tận dụng các lỗ hổng bảo mật, lỗ hổng tồn tại trong các phiên bản cũ hơn trình duyệt đang dùng trên các thiết bị di động cũng như máy tính. Khi phát triển trình duyệt thì các lỗ hổng này là điều khó tránh khỏi từ những lần phát hành sản phẩm đầu tiên. Trong quá trình sử dụng, các lỗ hổng này sẽ được phát hiện dần bởi các nhà nghiên cứu bảo mật hoặc các tin tặc không có ý đồ xấu (Hackers mũ trắng) trên khắp thế giới. Sau khi được phát hiện, chúng sẽ được sửa và được cập nhật sớm nhất có thể bởi nhà cung cấp trình duyệt.

Nếu như trình duyệt đang sử dụng chưa phải là bản mới nhất, hoàn toàn có thể nó đang tồn tại một lỗi bảo mật nào đó chưa được sửa, tin tặc có thể tận dụng điều đó để tấn công vào trình duyệt của người dùng. Khi trình duyệt đã bị tin tặc kiểm soát dẫn đến thể khai thác các phản hồi của một bất kỳ trang web nào như Facebook mà người dùng truy cập vào.

Với nguyên lý như trên thì cách phòng tránh bị tấn công hữu hiệu nhất là người dùng thường xuyên cập nhật trình duyệt của mình ngay khi có bản cập nhật mới. 

Facebook Zero Day

Zero Day là tên gọi chung cho các lỗ hổng bảo mật mà ngay chính bản thân nhà cung cấp phần mềm cũng không hề ý thức được sự tồn tại của nó. Đối với Facebook thì các lỗ hổng dạng như này sẽ được gọi là Facebook Zero Day. Facebook chủ động đưa ra các mức thưởng lớn để kêu gọi các nhà nghiên cứu bảo mật khắp thế giới tham gia tìm kiếm và phản hồi lại các lỗ hổng mà họ tìm được. Nếu các lỗ hổng này bị phát hiện ra bởi một tin tặc (Hackers mũ đen), thì có thể nó sẽ không được báo cáo cho Facebook, mà được sử dụng với mục đích cá nhân riêng.

Một số Facebook Zero Day từng được phát hiện trong quá khứ: Thực thi mã từ xa trong máy chủ Facebook (Remote Code Execution in Facebook Server); tấn công bất kỳ tài khoản Facebook nào liên kết với số điện thoại (Hacking any FB account using Phone Number); Tấn công tài khoản Facebook bằng API cũ (Facebook account hack using legacy API); Xoá mọi ảnh trên Facebook (Deleting any Facebook photos)....