Công ty Awake Security cho biết các tiện ích mở rộng cho trình duyệt độc hại này đã được gán với một công ty đăng ký tên miền internet duy nhất, GalComm. “Chiến dịch này và các tiện ích mở rộng Chrome có liên quan đã thực hiện các hoạt động như chụp ảnh màn hình thiết bị nạn nhân, tải phần mềm độc hại, đọc clipboard và tích cực thu thập mã thông báo và đầu vào của người dùng”, Awake Security cho biết.

Các tiện ích mở rộng được đề cập là tiện ích cung cấp khả năng chuyển đổi tập tin từ định dạng này sang định dạng khác, duyệt web an toàn. Các tiện ích dưa ra hàng ngàn đánh giá giả để lừa người dùng không nghi ngờ khi cài đặt chúng.

Tổng cộng, 106 tiện ích mở rộng trên đã được tải xuống gần 33 triệu lần trong suốt ba tháng trước khi Awake Security thông báo sự việc với Google vào tháng Năm. Google đã nhanh chóng vô hiệu hóa các tiện ích mở rộng này. Danh sách đầy đủ các ID tiện ích mở rộng vi phạm có thể được truy cập tại đây.

Có thể nói các tiện ích mở rộng lừa đảo trên Cửa hàng Chrome trực tuyến tiếp tục là một vấn đề, điều mà với các tác nhân xấu khai thác nó cho quảng cáo độc hại và các chiến dịch đánh cắp dữ liệu khác.

Đầu tháng 2 này, Google đã xóa 500 tiện ích mở rộng chứa phần mềm độc hại. Sau đó, vào tháng Tư, công ty đã thu được một bộ 49 tiện ích mở rộng khác được giả mạo là ví tiền điện tử để đánh cắp thông tin của Keystore.

Bạn nên vào địa chỉ chrome://extensions, kiểm tra danh sách các tiện ích mở rộng của mình xem có tiện ích nào ít sử dụng thì nên xoá đi.

DNS là gì? 

Về cơ bản, tất cả các trang web đều có địa chỉ IP được tạo thành từ các số nhưng khó nhớ nên thường sử dụng tên. Khi người dùng gõ tên trang web, yêu cầu tìm kiếm số IP phù hợp được gửi đến DNS server. Đây là nơi giữ danh sách địa chỉ IP được ánh xạ tới tên miền trang web.

Sau một vài micro giây, địa chỉ bạn cần sẽ quay lại thiết bị, cho phép bạn thiết lập kết nối với máy chủ trang web bạn đang truy cập chỉ bằng cách gõ tên domain thay vì các con số IP khó nhớ.

HTTPS là gì?

HTTP (Hypertext Transfer Protocol) là giao thức truyền tải siêu văn bản. Đây là giao thức tiêu chuẩn cho World Wide Web (www) để truyền tải dữ liệu dưới dạng văn bản, âm thanh, hình ảnh, video từ Web Server tới trình duyệt web của người dùng và ngược lại.

Các thông tin được gửi đi qua giao thức HTTP (bao gồm địa chỉ IP, các thông tin mà bạn nhập vào website…) cũng không hề được mã hóa và bảo mật. Đây chính là kẽ hở mà nhiều hacker đã lợi dụng để đánh cắp thông tin người dùng, thường được gọi là tấn công sniffing. Từ đó dẫn đến khái niệm HTTPS.

HTTPS (Hypertext Transfer Protocol Secure) là giao thức truyền tải siêu văn bản an toàn. Thực chất, đây chính là giao thức HTTP nhưng tích hợp thêm Chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảo mật. Có thể hiểu, HTTPS là phiên bản HTTP an toàn, bảo mật hơn.

DNS over HTTPS là gì?

Quá trình xử lý DNS rất phức tạp, tuy nhiên với người dùng thì nó chỉ diễn ra trong vài mili giây. Tuy nhiên, tất cả thông tin này được gửi ở dạng văn bản thuần túy (giống như HTTP ở trên), do đó bất cứ ai nhìn thấy nó (thường là nhà cung cấp dịch vụ hoặc có thể là hacker) có thể biết nơi bạn truy cập và can thiệp vào kết nối bằng cách chặn hoặc gửi sai địa chỉ để bạn truy cập vào trang web độc hại.

Sẽ tốt hơn nếu có cách gì đó viết ghi chú bằng mã bí mật và gửi cho người nhận mà không ai biết. Đó là lý do DNS over HTTPS xuất hiện.

DNS over HTTPS khác DNS thông thường như thế nào?

Tương tự HTTPS, với DNS over HTTPS thì yêu cầu DNS của bạn được gửi đến máy chủ tên qua cùng một kênh bảo mật. Không ai, kể cả nhà cung cấp dịch vụ Internet có thể biết nội dung bên trong.

Điều này không có nghĩa là bạn không bị theo dõi hoàn toàn vì nhà cung cấp dịch vụ của bạn vẫn có thể xem địa chỉ mà bạn kết nối nhưng không biết chi tiết hoạt động của bạn.

Zero-days là khái niệm chỉ các lỗ hổng chưa được vá bởi nhà cung cấp phần mềm hoặc phần cứng bị ảnh hưởng và nó cho phép kẻ tấn công nhắm bất kỳ mục tiêu nào đang sử dụng sản phẩm. Mặc dù không có giá cố định cho các “món hàng” này, một số nền tảng mua lại lỗi bảo mật như Zerodium đã trả cho các hacker từ 2.000 đến 2.500.000 đô la, tùy thuộc vào “mức độ phổ biến và bảo mật của phần mềm/hệ thống bị ảnh hưởng, cũng như lỗi có thể khai thác.”

Trang Motherboard xác nhận sự tồn tại của hai lỗi cho Zoom dành cho Windows và macOS ở trên bởi hai hacker ẩn danh. Một trong số họ nói rằng lỗi Windows zero-day là một lỗ hổng có thể khai thác mã độc từ xa và cho phép hacker thực hiện mã tùy ý trên các máy tính Windows đang họp bằng Zoom và thậm chí kiểm soát hoàn toàn máy tính này nếu được kết hợp với các lỗi khác. Mức giá 500.000 USD cho lỗi này cũng đủ chứng minh nó rất nguy hiểm.

Tuy nhiên, việc khai thác đòi hỏi hacker phải ở cùng một cuộc họp với mục tiêu làm giảm đáng kể giá trị của nó theo quan điểm của một hacker khác và do đó cũng giảm bớt sự hấp dẫn với một số đối tượng. Trong khi đó lỗi khai thác trên macOS ít gây ảnh hưởng lớn hơn.

Zoom cũng đã phản hồi về những lỗ hổng này: “Zoom rất coi trọng vấn đề bảo mật người dùng. Từ khi biết về những tin đồn này, chúng tôi đã làm việc suốt ngày đêm với một công ty bảo mật hàng đầu trong ngành bảo mật để điều tra chúng. Cho đến nay, chúng tôi không tìm thấy bất kỳ bằng chứng nào chứng minh những tuyên bố này.”

Có thể nói sau một giai đoạn ngắn phát triển bùng nổ do dịch COVID-19 khiến mọi người có nhu cầu họp từ xa hơn, Zoom đang bị ảnh hưởng bởi một loạt các vấn đề bảo mật, phải vá lỗ hổng liên tục. Trước đó, hơn 500.000 tài khoản Zoom cũng đã được bán trên các diễn đàn hacker và darkweb.

Trước đó nữa, vào cuối tháng 3, Zoom đã xóa SDK Facebook khỏi ứng dụng Zoom trên iOS sau khi bị cáo buộc nó đã thu thập và gửi thông tin thiết bị đến các máy chủ của Facebook. Vào tháng 4, Zoom đã khắc phục các sự cố bảo mật macOS do Patrick Wardle phát hiện, cũng như sự cố UNC link có thể cho phép kẻ tấn công đánh cắp thông tin đăng nhập Windows NTLM của người dùng hoặc khởi chạy từ xa.

Bắt đầu từ ngày 4 tháng 4, Zoom cho phép tính năng Phòng chờ cho phép host kiểm soát khi người tham gia cuộc họp, giờ đây yêu cầu mật khẩu khi lên lịch các cuộc họp mới, cuộc họp tức thời hoặc hội thảo trên web và đã xóa ID cuộc họp khỏi thanh tiêu đề khi tiến hành cuộc họp. Các biện pháp này đã được thực hiện để cung cấp cho người dùng Zoom các công cụ chống lại mối đe dọa ngày càng tăng của các vụ đánh bom Zoom theo cảnh báo của FBI từ tháng 3.

Trải Nghiệm Số có một hướng dẫn đầy đủ về những bước cần thiết để bảo mật các cuộc họp trực tuyến đúng cách khỏi các cuộc tấn công ném bom Zoom.

Ngoài ra nếu lo ngại về Zoom, bạn có thể tham khảo thêm các công cụ khác.

Các nhà nghiên cứu bảo mật tại Group-IB đã phát hiện thông tin chi tiết của khoảng 1,3 triệu thẻ thanh toán được rao bán trên chợ đen internet là Joker’s Stash, dữ liệu của các chủ thẻ này chủ yếu đến từ Ấn Độ.

Với giá lên tới 100 USD/chiếc, những tin tặc này có thể kiếm được tới 130 triệu USD dựa vào thông tin của chủ thẻ mà chúng có được.

Theo các chuyên gia của Group-IB, thông tin thẻ mà kẻ gian lấy được do đặt thiết bị đọc lướt (kỹ thuật skimming) khi người dùng quẹt thẻ trên ATM hoặc máy PoS, số lượng các loại thẻ này đến từ nhiều ngân hàng khác nhau nên không phải chỉ có ATM của một ngân hàng cụ thể nào bị tấn công cả.

Việc người dùng bị lấy mất thông tin khi quẹt thẻ khá phổ biến, khi họ quẹt thẻ ở những cửa hàng không mấy an toàn hay một số cây ATM bị tin tặc đưa vào tầm ngắm. Khi có được thông tin về thẻ, chúng có thể rút tiền lập tức hoặc đem rao bán lên các chợ đen nơi mà những kẻ khác có thể dễ dàng tìm thấy thông tin thẻ, từ đó sao chép lại và rút tiền của người dùng.

Bạn có biết, nếu điện thoại thông  minh, tủ lạnh thông minh, tivi thông minh hay bất cứ thiết bị thông minh nào khiến cuộc sống chúng ta dễ dàng hơn, thì chính những tính năng thông minh, tưởng chừng như tiện lợi của chúng, lại chính là những “khe hở” để những hacker đánh cắp thông tin, và tấn công sự bảo mật của chúng ta, nếu không có những biện pháp an ninh hữu hiệu?

Gần đây, một nhóm các nhà nghiên cứu đã tiến hành một thí nghiệm chứng minh rằng: bằng một kỹ thuật tấn công mới, họ có thể biến thiết bị thông minh của bạn thành thiết bị tình báo, theo dấu bạn ở bất cứ đâu, kể cả khi bạn đang… nồng nhiệt bên người tình!

Kỹ thuật này được gọi là CovertBand, do 4 nhà nghiên cứu tại khoa Khoa học và Kỹ thuật Máy tính Paul G. Allen của Đại học Washington phát triển. Kỹ thuật này thậm chí có thể giúp các hacker theo dõi hành vi của bất kỳ ai thông qua một bức tường!

CovertBand lợi dụng hệ thống micro và loa tích hợp trong các thiết bị thông minh như một nguồn hứng sóng âm, phản chiếu những chuyển động xung quanh của bất kỳ ai đứng gần những thiết bị thông minh này.

Để làm được điều này, đầu tiên hacker sẽ lừa nạn nhân bằng cách cài đặt ứng dụng Android, mà không yêu cầu phải kích hoạt bất kỳ điều gì.

Sau khi cài đặt xong, các mã độc sẽ tấn công thiết bị thông minh của chúng ta bằng hệ thống API AudioTrack, và phát ra những âm thanh ở tần số 18-20kHz. Để che giấu những âm thanh ở tần số cao này, những ứng dụng “ma” kia sẽ chơi các bản nhạc hoặc các clip âm thanh, đánh lừa thính giác chúng ta. Điều này giống với nguyên lý hoạt động của Sonar (viết tắt của SOund Navigation Ranging – hệ thống định vị vật thể dưới nước bằng sóng siêu âm). Những sóng âm này ngay lập tức sẽ bao phủ lấy người, và vật xung quanh đó, thông qua hệ thống micro và loa.

Những dữ liệu thu thập thông qua bộ xử lý Bluetooth ngoại tuyến sẽ cho hacker những hình ảnh 2D về hành vi của chúng ta.  Như vậy là, chỉ cần yêu cầu truy cập vào loa và micro, những kẻ tấn công đã có thể thâm nhập vào những thiết bị thông minh có trong nhà nạn nhân, và theo vết chúng ta một cách dễ dàng đến không ngờ.

Các nhà nghiên cứu cho rằng: “Những hacker có thể tấn công các thiết bị thông minh của nạn nhân thông qua một app trên AppStore có cách thức hoạt động như trojan, hoặc có thể đánh cắp thông tin của nạn nhân từ xa, bằng việc sử dụng kỹ thuật của chúng tôi, để có được những hoạt động cá nhân tại nhà của các nạn nhân. Hoặc cũng có thể, có nhiều cách gian lận hơn, để các hacker thực hiện hành vi của mình”.

“Ví dụ, chỉ cần một app âm nhạc với hệ thống điều chỉnh âm thanh (với micro và loa) đã có thể giúp các hacker tiến hành thủ thuật của mình. Đơn giản hơn, các hacker có thể tận dụng những quảng cáo trong các ứng dụng để xác định người dùng có ở gần điện thoại hay không, trong lúc các quảng cáo này được hiển thị”.

Làm thế nào để các cơ quan tình báo có thể tận dụng CovertBand?

Đang khi giải thích những tình huống dự trù khác nhau, các nhà nghiên cứu cũng lý giải cách mà những cơ quan tình báo có thể sử dụng kỹ thuật CovertBand để tiết lộ thông tin về những đối tượng mục tiêu, kể cả trong trường hợp những mục tiêu này bị che khuất hoặc bị bao phủ bởi tiếng ồn.

Một ví dụ minh họa là: Alice muốn theo dõi Bob. Hai người này ở hai quốc gia khác nhau. Alice nhập cảnh vào quốc gia của Bob, rồi thuê một căn phòng sát bên phòng khách sạn của Bob. Vì là nhập cảnh nên Alice không thể mang theo thiết bị theo dõi tình báo của mình, nên một giải pháp cho cô là sử dụng CovertBand để có được những chuyển động 2D của Bob thông qua một bức tường. Alice có thể tiến hành việc theo dõi này qua điện thoại mà không mảy may vướng phải bất kỳ sự nghi ngờ nào của Bob.

Để chứng minh điều này, các nhà nghiên cứu đã tạo ra một kịch bản, rằng Bob sẽ giả vờ vào nhà tắm, trong lúc Alice dùng CovertBand để theo dõi anh ta. Thật bất ngờ, CovertBand có thể cho biết: Bob đi vào nhà tắm, và dành khoảng 20 phút để ngồi trong nhà vệ sinh, và đánh răng.

“Chúng tôi đã thiết đặt một chiếc loa 15cm bên ngoài phòng tắm, và theo dõi được Bob, trong vòng khoảng 20 phút, đã thực hiện các hành vi sau: tắm vòi sen, sấy khô, ngồi vào toilet và đánh răng. Khi Bob ngồi vào bồn tắm, xả nước, thì chúng tôi không nghe được thêm bất kỳ điều gì”.

Các nhà nghiên cứu tin chắc rằng, nếu được cải tiến, CovertBand chắc chắn sẽ có thể cho những thông tin cụ thể về sự di chuyển của cánh tay, hay thậm chí là ngón tay, với mức độ chính xác ngày càng cao!

Để ngăn chặn điều này, hoặc chúng ta phải bật những âm thanh có tần số lớn hơn ngưỡng 18-20kHz (dĩ nhiên sẽ rất ồn và có hại cho người già và trẻ nhỏ), hoặc xây nhà không cửa sổ để cách âm! Xem ra thì chẳng có cách nào khả thi.

Do vậy, bài viết này ra đời nhằm mục đích giúp chúng ta hiểu hơn về nguyên lý hoạt động của các kỹ thuật đánh cắp thông tin này, để có thể có riêng cho mình những biện pháp phòng chống phù hợp.

Cá Chép K.O.I