Kỹ thuật xâm nhập tài khoản email trong một phút được chuyên gia an ninh mạng Việt Nam trình diễn tại hội nghị bảo mật GISEC 2023 ở Dubai (UAE).
Hội nghị và Triển lãm An ninh Thông tin vùng Vịnh (GISEC) là sự kiện an ninh mạng toàn cầu, được tổ chức thường niên tại Dubai.
Diễn ra từ ngày 14-16/3, GISEC 2023 có sự góp mặt của các cá nhân, doanh nghiệp và tổ chức an ninh mạng từ hơn 40 nước. Tại đây, các chuyên gia cùng thảo luận về xu hướng, thực trạng và nghiên cứu nổi bật trong lĩnh vực an ninh mạng.
Chuyên gia an ninh mạng Ngô Minh Hiếu, nhà sáng lập dự án Chống lừa đảo, là diễn giả của Việt Nam tham dự GISEC 2023. Tại sự kiện, ông Hiếu nói về 2 kỹ thuật đánh cắp thông tin phổ biến, với sự hỗ trợ của công cụ mới như ChatGPT.
Cách xâm nhập đơn giản
Thu thập và mua bán thông tin cá nhân không phải thủ đoạn mới, nhưng quy trình ngày càng đơn giản. Tại GISEC 2023, ông Hiếu đã trình diễn kỹ thuật xâm nhập tài khoản email của người dùng trong một phút.
Kẻ xấu chỉ cần bỏ tiền để mua gói thông tin trên dark web. Sử dụng dữ liệu trong file vừa tải về, chúng sẽ lấy tên và mật khẩu để đăng nhập tài khoản email của nạn nhân.
Kẻ xấu chỉ cần mua dữ liệu trên dark web để xâm nhập tài khoản của nạn nhân.
Hiện nay, thông tin cá nhân được rao bán trên ứng dụng Telegram và một số diễn đàn phổ biến cho giới hacker. Trả lời Zing, ông Hiếu cho biết kẻ xấu có thể dễ dàng mua bán dữ liệu của tổ chức, cá nhân hoặc chính phủ của một quốc gia.
“Toàn bộ giao dịch mua bán có thể diễn ra ẩn danh, khiến việc truy vết rất khó khăn và tốn thời gian. Hacker còn tận dụng các loại tiền mã hóa, sử dụng app nhắn tin bảo mật để dễ dàng giao dịch”, ông Hiếu chia sẻ.
Để đảm bảo an toàn, người dùng có thể sử dụng các công cụ trên Internet để kiểm tra thông tin cá nhân đã bị rò rỉ hay chưa. Nếu phát hiện dấu hiệu nghi ngờ, cần tăng cường bảo mật cho tài khoản email, mạng xã hội hay ngân hàng bằng cách đặt mật khẩu khó, sử dụng bảo mật 2 lớp.
“Người dùng cũng không nên chia sẻ mật khẩu hay mã OTP đăng nhập cho người khác, không cài đặt phần mềm lậu, không nhấn vào các đường link lạ”, ông Hiếu nói thêm.
Kỹ thuật vượt qua xác minh 2 lớp
Một thủ đoạn lừa đảo cũng không mới nhưng vẫn phổ biến là đánh cắp tài khoản qua email. Với sự xuất hiện của các công cụ viết nội dung như ChatGPT, kẻ xấu hoàn toàn có thể lợi dụng để viết email lừa đảo, kết hợp kỹ thuật phức tạp để đánh cắp thông tin của người dùng.
Trình diễn tại hội nghị, ông Hiếu sử dụng mô hình ngôn ngữ GPT để viết nội dung email thông báo tài khoản đăng nhập của người dùng bị khóa. Email sau đó được gửi cho nạn nhân, kèm đường link lấy lại mật khẩu.
Sử dụng công cụ của OpenAI để viết email lừa đảo.
Kỹ thuật đánh cắp thông tin được sử dụng dụng có tên reverse proxy. Về cơ bản, đây là máy chủ nằm giữa người dùng và website đăng nhập hợp lệ. Khi nhấn vào link lừa đảo, người dùng sẽ nhìn thấy giao diện đăng nhập thật của website chính thống (không phải giao diện giả mạo).
Tuy nhiên, sau khi cung cấp mật khẩu hay OTP, toàn bộ thông tin sẽ được máy chủ trung gian chuyển tiếp và gửi về cho hacker. Nói cách khác, thủ thuật reverse proxy hoàn toàn có thể qua mặt phương pháp bảo mật 2 lớp bằng OTP.
Theo ông Hiếu, đây là kỹ thuật mới, chưa phổ biến tại Việt Nam do độ khó trong việc xây dựng trang web lừa đảo, đòi hỏi hacker có chuyên môn cao về ngôn ngữ lập trình, khả năng đọc hiểu cơ chế xác thực tài khoản của website chính thống.
“Kỹ thuật reverse proxy mới được sử dụng phổ biến tại nước ngoài từ 2 năm nay. Nếu quá khó, hacker có thể mua dịch vụ PhaaS (Phishing as a Service). Chúng gồm website và máy chủ tích hợp sẵn reverse proxy, do các tin tặc chuyên nghiệp phát triển và cho thuê”, ông Hiếu nói thêm.
Lưu ý về ChatGPT
Dù sử dụng kỹ thuật nào, lừa đảo qua mạng vẫn là tình trạng phổ biến. Theo ghi nhận từ cổng Cảnh báo an toàn thông tin Việt Nam, năm 2022 ghi nhận hơn 12.935 trường hợp lừa đảo trực tuyến. Trong đó lừa đảo tài chính chiếm phần lớn (75,6%), lừa đảo đánh cắp thông tin cá nhân chiếm 24,4%.
Ông Hiếu cho biết lý do chọn 2 thủ đoạn lừa đảo để trình bày tại hội nghị bởi đó là các lỗ hổng bị lợi dụng nhiều nhất. Từ đó, hacker có thể đánh cắp thông tin, tài sản của cá nhân và tổ chức.
Kỹ thuật reverse proxy giúp hacker thu thập dữ liệu được người dùng nhập vào giao diện website gốc.
Với kỹ thuật lừa đảo thông qua reverse proxy, người dùng có thể phòng tránh bằng những thiết bị bảo mật như khóa xác thực FIDO2, giúp thông tin đăng nhập không bị lộ ra khỏi máy tính.
Chuyên gia an ninh mạng của Chống lừa đảo cũng chia sẻ về ChatGPT, có thể trở thành công cụ hỗ trợ hacker lừa đảo nhờ khả năng tương tác và phản hồi tốt.
“ChatGPT của OpenAI có thể bị lợi dụng để viết mã độc và email lừa đảo một cách hiệu quả, ngay cả với những cá nhân hiểu biết hạn chế về kiến thức an ninh mạng cơ bản. Ngoài ra, công cụ này có thể lên kịch bản lừa đảo, tung tin giả nhằm bôi nhọ danh dự.
Do đó, cần có biện pháp hiệu quả nhằm ngăn chặn những hành động lạm dụng, vượt mặt tiêu chuẩn của ChatGPT cho mục đích xấu, đi ngược lợi ích mà công cụ mang đến”, ông Hiếu chia sẻ.
Theo nguồn sưu tầm.