Thực hư câu chuyện hacker rao bán cách chiếm đoạt tài khoản Zalo

Tin tặc rao bán cách chiếm đoạt tài khoản Zalo

Trên diễn đàn trao đổi dữ liệu của hacker, một tài khoản mới lập tháng 8/2021 đăng bài chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát bất kỳ tài khoản Zalo Chat hay Zalo Pay nào. Người này giới thiệu từng quan sát nhóm bảo mật của VNG (công ty mẹ đang sở hữu Zalo) tại các sự kiện an ninh mạng toàn cầu nên quyết định "thử làm gì đó với Zalo".

Cụ thể, tin tặc cho biết cần phải gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. "Chỉ cần nạn nhân nhấn vào đường link đó, tài khoản của họ sẽ thuộc về bạn mà không cần phải làm thêm bất kỳ thao tác nào khác", người bán khẳng định. Nhân vật này cũng cam kết cung cấp mẹo để khi gửi link thì 99% nạn nhân sẽ nhấn vào mà không nghi ngờ gì.

"Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai bạn muốn", tin tặc cho biết.

Người mua cũng được hứa hẹn cung cấp video bằng chứng việc khai thác thành công lỗ hổng bảo mật nói trên trước khi thanh toán cho tin tặc. Phương thức thanh toán duy nhất được chấp nhận là tiền điện tử.

Cũng giống như nhiều bài rao bán dữ liệu khác được đăng tải trên diễn đàn này, chủ đề trên được khá nhiều người quan tâm chỉ sau một ngày xuất hiện. Trong số này đã có những người liên hệ và nhận được bằng chứng từ người bán. Tuy nhiên, một thành viên diễn đàn từ năm 2019 lập tức phản hồi rằng quá trình khai thác lỗ hổng đó giống y hệt với lỗi từng được một hacker khác công khai trước đó.

Phản hồi lại yêu cầu công khai bằng chứng, hacker khẳng định chỉ bán cách khai thác lỗ hổng, không phải dữ liệu rò rỉ, vì vậy, nếu đưa quá nhiều thông tin lên, phía Zalo có thể vá lỗi trước khi khách hàng của người này kịp đạt được mục đích. Trong khi chủ đề rao bán vẫn tồn tại và được các thành viên của diễn đàn hacker quan tâm, phía đại diện của Zalo hiện vẫn chưa đưa ra bất kỳ phản hồi nào về vấn đề này.

Trước khi lỗ hổng của Zalo bị rao bán, rất nhiều dữ liệu có liên quan tới người dùng Việt và các công ty Việt Nam đã bị rao bán trên Raidforums. Gần đây nhất, dữ liệu, mã nguồn của Bkav cũng bị rao bán trên diễn đàn này. Phần dữ liệu của Bkav được hacker chia ra làm nhiều gói khác nhau, trong đó các sản phẩm như Bkav Pro, Mobile AV, Endpoint được chào giá từ 10.000 USD tới 30.000 USD, tùy chọn mã nguồn sản phẩm hoặc mã trên máy chủ. Đắt nhất có mã nguồn AI được rao bán 100.000 USD. Tổng giá trị gói dữ liệu là 250.000 USD (hơn 5,7 tỉ đồng). Nếu muốn có thêm quyền truy cập vào dữ liệu, người mua phải trả thêm từ 10.000 USD tới 30.000 USD.

Sự thật về lỗ hổng bảo mật Zalo

Theo chuyên gia an toàn thông tin mạng của hãng bảo mật F-Secure, cách hacker viết bài rao bán này rất lạ. Thông thường, người bán trong diễn đàn cung cấp thông tin về lỗ hổng bảo mật hoặc ảnh chụp màn hình như một cách để đảm bảo với người mua về mặt hàng rao bán của mình là chính xác. Tuy nhiên, trên những diễn đàn này cũng rất nhiều các bài viết lừa đảo hoặc nhằm mục đích lợi ích khác.

Theo chuyên gia, ở ngay đoạn đầu quảng cáo của tin tặc, ta có thể thấy tin tặc viết là "3-4 lỗ hổng khác nhau". Nó phải cụ thể là 3 hoặc 4.

Ngoài ra, tin tặc này có vẻ là người mới vì tài khoản đăng thông tin này là mới được tạo. Đồng thời trong bài viết có tiết lộ những thông tin không cần thiết như "Tôi biết nhiều kỹ sư bảo mật của VNG chơi CTF,...". Điều này có thể cho thấy người rao bán này tuổi còn trẻ và không có kinh nghiệm. Ở gần cuối bài đăng, người bán này nói rằng chuỗi khai thác đó không phải là lỗ hổng, ngược lại hoàn toàn nội dung ở đầu bài viết là điều còn khó hiểu hơn.

"Những thông tin trên dẫn tới phán đoán của chúng tôi về người bán là người mới và không tự tin về những phát hiện của mình", chuyên gia F-Secure cho biết.

Nội dung bài đăng gợi ý về việc khai thác có thể nhắm mục tiêu hệ điều hành trước (như lấy quyền truy cập root trong Android) trên thiết bị di động và sau đó khai thác payload có thể ăn cắp cookie/thông tin đăng nhập của ứng dụng trò chuyện Zalo, điều này có thể được thực hiện trên cả Facebook và gần như bất kỳ ứng dụng nào nếu bạn có quyền truy cập vào thiết bị dưới dạng root.

Theo chuyên gia F-Secure, nếu nội dung rao bán của tin tặc này là có thật thì nó sẽ chỉ ảnh hưởng tới người dùng Zalo trên máy điện thoại chạy hệ điều hành Android, vì với hệ điều hành iOS phiên bản mới nhất thì hiện chưa có lỗ hổng nào được biết đến để "bẻ khóa và giành quyền truy cập root".

Chính vì vậy, F-Secure khuyến cáo người dùng hãy nâng cấp phiên bản hệ điều hành mới nhất cho thiết bị, sử dụng tường lửa để giám sát nguồn gốc và điểm đến của các kết nối ứng dụng, đồng thời cài đặt phần mềm bảo mật thiết bị trên máy tính hoặc máy điện thoại của mình, cũng như sử dụng dịch vụ Internet an toàn để bảo vệ các truy cập Internet.

Ngoài ra, người dùng cũng nên cẩn trọng trước khi click vào bất kỳ đường link nào được chia sẻ, ngay cả khi người đó là bạn bè của mình./.