Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa

 Nguyễn Nguyễn13/08/2021 09:30
Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa

Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai bạn muốn", tin tặc cho biết trong một bài đăng thu hút sự chú ý của cộng đồng mạng.

Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa - 1

Những ngày gần đây, người dùng Zalo lo lắng trước sự việc một hacker công khai rao bán cách chiếm đoạt tài khoản Zalo chỉ bằng một đường link. 

Cụ thể, trên diễn đàn trao đổi dữ liệu của hacker tên Raid***, một tài khoản mới lập vào tháng 8/2021 mang tên ilovevng đã đăng bài chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát bất kỳ tài khoản Zalo Chat hay Zalo Pay nào. 

Người này tiết lộ rằng bản thân từng quan sát nhóm bảo mật của VNG (công ty mẹ đang sở hữu Zalo) tại các sự kiện an ninh mạng toàn cầu nên quyết định "thử làm gì đó với Zalo".

Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa - 2

Bài đăng rao bán cách chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa.

Mô tả về lỗ hổng, tin tặc cho biết cần phải gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. "Chỉ cần nạn nhân nhấn vào đường link đó, tài khoản của họ sẽ thuộc về bạn mà không cần phải làm thêm bất kỳ thao tác nào khác", người bán khẳng định.  

Nhân vật này cũng cam kết cung cấp mẹo để khi gửi link thì 99% nạn nhân sẽ nhấn vào mà không nghi ngờ gì. "Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai bạn muốn", tin tặc cho biết.

Người mua cũng được hứa hẹn cung cấp video bằng chứng quá trình khai thác lỗ hổng bảo mật nói trên thành công trước khi thanh toán cho tin tặc. Phương thức thanh toán duy nhất được chấp nhận là tiền điện tử. 

Những dấu hiệu đáng ngờ

Cũng giống như nhiều bài rao bán dữ liệu khác được đăng tải trên diễn đàn này, chủ đề của thành viên nói trên được khá nhiều người quan tâm chỉ sau một ngày xuất hiện. Trong số này đã có những người liên hệ và nhận được bằng chứng từ người bán.  

Tuy nhiên, một thành viên diễn đàn từ năm 2019 lập tức phản hồi rằng quá trình khai thác lỗ hổng đó giống y hệt với lỗi từng được một hacker khác công khai trước đó.

Phản hồi lại yêu cầu công khai bằng chứng, hacker khẳng định chỉ bán cách khai thác lỗ hổng, không phải dữ liệu rò rỉ, vì vậy nếu đưa quá nhiều thông tin lên, phía Zalo có thể vá lỗi trước khi khách hàng của người này kịp đạt được mục đích.  

"Lỗ hổng 0-day (Zero day) là những lỗi an ninh của phần mềm mà nhà phát triển chưa phát hiện hoặc bị khai thác khi chưa kịp có phương án khắc phục", người bán lý giải. 

Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa - 3

Trao đổi với phóng viên Dân trí, bà Vũ Huệ - Đại diện Hãng bảo mật F-Secure tại Việt Nam cho biết cách mà hacker đăng tải bài rao bán này rất "lạ".

"Thông thường, người bán trong diễn đàn sẽ cung cấp thông tin về lỗ hổng bảo mật hoặc ảnh chụp màn hình như một cách để đảm bảo với người mua về mặt hàng rao bán của mình là chính xác. Tuy nhiên trường hợp này không có", bà Huệ cho biết. "Cũng cần cảnh giác vì trên những diễn đàn này có rất nhiều các bài viết lừa đảo hoặc nhằm mục đích lợi ích khác".

Theo chuyên gia này, ở ngay đoạn đầu quảng cáo của tin tặc, ta có thể thấy tin tặc viết là  "3-4 lỗ hổng khác nhau", trong khi nếu là lỗ hổng được xác định thì phải nêu cụ thể là 3 hoặc 4. 

Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa - 4

Đồng thời trong bài viết có tiết lộ những thông tin không cần thiết như "Tôi biết nhiều kỹ sư bảo mật của VNG chơi CTF,…" Điều này có thể cho thấy người rao bán này tuổi còn trẻ và không có kinh nghiệm. 

Ở gần cuối bài đăng, người bán này nói rằng chuỗi khai thác đó không phải là lỗ hổng, ngược lại hoàn toàn nội dung ở đầu bài viết là điều còn khó hiểu hơn. 

Thực hư lỗ hổng chiếm đoạt tài khoản Zalo khiến 99% nạn nhân bị lừa - 5

"Những thông tin trên dẫn tới phán đoán của chúng tôi về người bán là người mới và không tự tin về những phát hiện của mình", bà Huệ chia sẻ.

Dẫu có nhiều điểm bất thường, song theo cảnh báo từ nhiều chuyên gia bảo mật, hiện chưa thể phủ nhận thông tin mà hacker đưa ra là đúng hay sai, cũng như sự tồn tại của lỗ hổng bảo mật được kẻ này nhắc tới.

Có cần lo lắng trước lỗ hổng khiến 99% người dùng bị đánh lừa?

Trong khi chủ đề rao bán này vẫn đang tồn tại và được các thành viên của diễn đàn hacker quan tâm, phóng viên Dân trí đã cố gắng liên lạc với Zalo để tìm hiểu thực hư vấn đề. Tuy nhiên, đại diện truyền thông của đơn vị cho rằng đây chỉ là tin đồn, và từ chối đưa ra bình luận.

Tham khảo ý kiến từ một hacker mũ trắng giấu tên, chúng tôi được biết phương pháp được tin tặc sử dụng để chiếm quyền điều khiển thiết bị có thể được mô tả như sau:

Đầu tiên, tin tặc thường nhắm tới mục tiêu là hệ điều hành trên thiết bị di động, như lấy quyền truy cập root trên Android, rồi sau đó mới khai thác payload có thể ăn cắp thông tin đăng nhập (cookie) của ứng dụng trò chuyện Zalo. 

Điều này có thể được thực hiện trên cả Facebook và gần như bất kỳ ứng dụng nào nếu bạn có quyền truy cập vào thiết bị dưới dạng root, như một ứng dụng gián điệp (trojan) để gửi thông tin đăng nhập cho kẻ tấn công. 

Chuyên gia này cảnh báo nếu nội dung rao bán của tin tặc này là có thật, thì nó sẽ chỉ ảnh hưởng tới người dùng Zalo trên điện thoại chạy hệ điều hành Android.

Còn đối với hệ điều hành iOS phiên bản mới nhất thì hiện chưa có lỗ hổng nào được biết đến có khả năng "bẻ khóa và giành quyền truy cập root", trừ khi người dùng chủ động jailbreak thiết bị của mình (PV: jailbreak - thuật ngữ chỉ cách mang đến khả năng truy cập từ gốc cho người dùng và thực hiện những thay đổi mà vốn dĩ chỉ nhà sản xuất mới làm được).

Để phòng tránh các nguy cơ dính lỗ hổng bảo mật gây mất dữ liệu cá nhân, chuyên gia bảo mật khuyến cáo người dùng cần đặc biệt lưu ý nâng cấp phiên bản hệ điều hành mới nhất cho thiết bị.

Ngoài ra, cũng nên sử dụng Firewall (tường lửa) để giám sát nguồn gốc và điểm đến của các kết nối ứng dụng. Song song với đó là cài đặt phần mềm bảo mật thiết bị trên máy tính hoặc máy điện thoại của mình, cũng như sử dụng dịch vụ Internet an toàn để bảo vệ các truy cập ra Internet.


Gửi bình luận
(0) Bình luận
1

4 kiểu trả lời tin nhắn của EQ thấp, ai cũng muốn né xa

Người EQ thấp trả lời tin nhắn tùy hứng, không chọn lọc từ ngữ, và ít quan tâm tới cảm xúc của người đối diện.
2

3 thông báo Zalo không bao giờ được bỏ qua, coi chừng tài khoản Zalo bị hack

Kẻ gian vẫn có thể chiếm đoạt tài khoản nếu bạn lơ là trước 3 dạng thông báo quan trọng dưới đây.
3

Điện thoại không bí mật nghe lén như chúng ta tưởng, nhưng sự thật còn nguy hiểm và đáng lo hơn nhiều

Dù không chia sẻ, nhưng những thông tin riêng tư của chúng ta trong điện thoại có thể đã rơi vào tay của một bên thứ ba.
4

Tuyệt đối không được đăng lên Facebook những thông tin này

Hình ảnh này có thể bị lợi dụng để đánh cắp thông tin, thực hiện các chiêu trò lừa đảo.
5

6 loại trứng đã không bổ béo còn “phá hủy” nội tạng, mê mấy cũng phải nhịn

Không chỉ dạ dày, nhiều cơ quan nội tạng khác cũng có thể “gặp nguy” nếu bạn ăn phải 6 loại trứng dưới đây.

5 kiểu mở đầu email mà nhân viên hay sếp cũng nên tránh, nếu không muốn bị chê cười

Nếu là một doanh nhân bạn sẽ phải thường xuyên gửi email, hãy đảm bảo rằng bạn có mở đầu ấn tượng nếu muốn nhận được nhiều phản hồi.

Có smartkey, Honda SH vẫn bị trộm bẻ gãy khóa cổ và lấy đi trong chớp mắt

Chiếc SH thuộc thế hệ mới nhất của Honda với trang bị khóa thông minh smartkey và được chủ nhân khóa cổ nhưng vẫn bị kẻ gian lấy mất do thiếu cảnh giác và không bật tính năng chống trộm.

Giấc ngủ trắng - Mối nguy hiểm rình rập phía sau tay lái

Những giấc ngủ chớp nhoáng mà chính cơ thể không nhận ra có thể ập đến với các tài xế, tiềm ẩn nguy cơ gây mất an toàn khi tiếp tục tham gia giao thông.

Bài tập 1 phút của người Nhật để ngăn ngừa và loại bỏ nếp nhăn quanh mắt cực hiệu quả

Chỉ mất đúng 1 phút với các động tác ngón tay là bạn đã có thể ngăn ngừa và loại bỏ nếp nhăn quanh mắt như người Nhật.

Cách khắc phục tình trạng mua sách nhiều nhưng đọc chẳng bao nhiêu của những người mắc hội chứng màu mè

Mua sách rồi để đấy, đọc rất nhiều nhưng lại chẳng thu nạp được thêm kinh nghiệm sống... Bạn có nằm trong số đó không? Nên nhớ, đọc sách bao nhiêu không quan trọng bằng đọc sách gì và đọc như thế nào.

Bạn muốn luyện trí nhớ tốt hơn? Hãy thử phương pháp này của người La Mã cổ đại

Ngày nay, phương pháp cung điện ký ức này vẫn được sử dụng bởi các sinh viên y khoa Phương Tây, những người phải nhồi vào bên trong đầu mình cả một cuốn bách khoa toàn thư về bệnh tật và các triệu chứng.

Bỏ hàng trăm triệu đồng làm 'tích xanh' Facebook, nên hay không?

Biểu tượng "tích xanh" xác nhận tài khoản mạng xã hội đã được xác minh chính chủ đang rất được ưa chuộng. Dịch vụ "hỗ trợ tích xanh" cũng nở rộ với mức giá hàng chục, thậm chí hàng trăm triệu đồng.

'Làm sạch môi trường sống trên không gian mạng – Đừng để quá muộn!'

Bộ trưởng Bộ TT-TT Nguyễn Mạnh Hùng cho rằng đừng để quá muộn để làm trong sạch môi trường sống trên không gian mạng!

Phạm Xuân Ẩn - “Điệp viên hoàn hảo” trong mắt bạn bè

Trong lịch sử tình báo Việt Nam, Phạm Xuân Ẩn là một cái tên luôn gợi sự tò mò. Ông được gọi là “điệp viên hoàn hảo” không chỉ bởi tài năng trong chiến tranh, mà còn bởi nhân cách khiến bạn bè, kể cả ở bên kia chiến tuyến, đều dành cho ông sự kính trọng.

Quan hệ với Bố Mẹ

Blog GS John VU - GS John Vu - 26/08/2025 13:00
“Tôi có vấn đề với bố mẹ tôi. Tôi không biết làm sao giải quyết được nó vì họ muốn tôi học kĩ sư phần mềm bởi vì nó có tương lai tốt. Tôi thấy nó khó với quá nhiều công việc..."

Xem Sex Education, tôi xấu hổ bởi cách dạy dỗ của người làm bố như tôi thực sự "hỏng"!

Điện ảnh - Thanh Hương - 26/08/2025 12:00
Tôi nhận ra cách giáo dục của mình đã quá phiến diện và tiêu cực.

Cách vô hiệu hóa việc Facebook âm thầm truy cập toàn bộ ảnh trên điện thoại

Kỹ năng - Trung Nam - 26/08/2025 11:00
Người dùng Facebook lo ngại khi Meta tự động bật tính năng cho phép ứng dụng truy cập và phân tích thư viện ảnh, từ siêu dữ liệu đến nội dung hình ảnh, để đưa ra gợi ý cá nhân hóa.

Người bị trầm cảm nhẹ thường nói 4 câu sau, nếu bạn dùng thường xuyên đến gặp bác sĩ gấp!

Suy ngẫm - Ứng Hà Chi - 26/08/2025 10:00
"Trầm cảm" là căn bệnh gây tử vong lớn thứ hai ở người sau ung thư.

Phạm Xuân Ẩn - “Điệp viên hoàn hảo” trong mắt bạn bè

Từ sách - Phim - 26/08/2025 09:00
Trong lịch sử tình báo Việt Nam, Phạm Xuân Ẩn là một cái tên luôn gợi sự tò mò. Ông được gọi là “điệp viên hoàn hảo” không chỉ bởi tài năng trong chiến tranh, mà còn bởi nhân cách khiến bạn bè, kể cả ở bên kia chiến tuyến, đều dành cho ông sự kính trọng.

Trải nghiệm thế giới bên kia của cô gái Anh: Ánh sáng màu hổ phách ấm áp

Phong cách sống - Nhật Thùy - 26/08/2025 08:00
"Dù không nhìn thấy ai, tôi biết có một dạng tồn tại nào đó bên kia", Nicola kể về trải nghiệm cận tử; cho biết cô cảm nhận được ánh sáng hổ phách ấm áp.

Kỹ năng công nghệ nào được cần tới?

Blog GS John VU - GS John Vu - 25/08/2025 13:00
Một số trong các bạn đã hỏi tôi về các kĩ năng công nghệ là quan trọng trong kinh doanh ngày nay. Là sinh viên kĩ nghệ phần mềm, bạn muốn biết kĩ năng nào bạn sẽ cần có để kiếm được việc tốt trong thế giới toàn cầu này.

Bị chê là kém tài nhất, Nobita hoá ra lại có một đặc điểm không ai địch nổi

Điện ảnh - Trang Vũ - 25/08/2025 12:00
Là fan của bộ truyện lâu năm liệu bạn đã biết?

Điện thoại không bí mật nghe lén như chúng ta tưởng, nhưng sự thật còn nguy hiểm và đáng lo hơn nhiều

Kỹ năng - Thùy Anh - 25/08/2025 11:00
Dù không chia sẻ, nhưng những thông tin riêng tư của chúng ta trong điện thoại có thể đã rơi vào tay của một bên thứ ba.

10 năm sau vụ án con hại mẹ, phân tích nguyên nhân mới thấy lỗ hổng dạy con đáng báo động

Suy ngẫm - Hiểu Đan - 25/08/2025 10:00
Là tội phạm có chỉ số IQ cao, nam sinh này sở hữu khả năng phản điều tra cực mạnh, khiến cảnh sát mất gần 4 năm mới bắt giữ được hắn.

Đại địa chấn kinh tế - Liệu sự kiện sụp đổ của bong bóng dot-com có tái diễn trong thời đại AI?

Từ sách - Phim - Ngọc Tú - 25/08/2025 09:00
Cuộc khủng hoảng dot-com đầu những năm 2000 không chỉ là một biến cố tài chính, mà còn là lời cảnh báo cho bất kỳ thời đại công nghệ nào.

Danh tính vị mạnh thường quân đi dép xanh đỏ hớt hải bỏ chạy sau khi trao quà gây bất ngờ

Truyền cảm hứng - Nam An - 25/08/2025 08:00
Một nữ mạnh thường quân trong chương trình Mái ấm gia đình Việt gây chú ý khi lặng lẽ mang quà tặng rồi nhiều lần “bỏ chạy” khỏi sân khấu, để lại ấn tượng về tấm lòng thiện nguyện thầm lặng.

Xem Sex and the City, tôi ngừng hỏi con “Ăn gì chưa?”: Hóa ra con gái không vô tâm, chỉ là tôi không hiểu

Điện ảnh - Nguyễn Phượng - 24/08/2025 13:00
Một tập phim Sex and the City khiến tôi nhận ra lý do con gái tuổi teen luôn cáu gắt với bố mẹ. Hóa ra, không phải vì nó vô tâm mà vì tôi đã yêu sai cách.

6 loại trứng đã không bổ béo còn “phá hủy” nội tạng, mê mấy cũng phải nhịn

Kỹ năng - Ngọc Ái - 24/08/2025 12:00
Không chỉ dạ dày, nhiều cơ quan nội tạng khác cũng có thể “gặp nguy” nếu bạn ăn phải 6 loại trứng dưới đây.

Hé lộ lai lịch Cô Cô khi Khưu Xứ Cơ không truy sát Tiểu Long Nữ

Thư giãn - Nguyệt Phạm - 24/08/2025 11:00
Là nữ chính của Thần điêu đại hiệp, Tiểu Long Nữ có vai trò đặc biệt.
HẠT GIỐNG TÂM HỒN
2019 Bản quyền thuộc về hatgiongtamhon.com.vn. Phát triển bởi ONECMS
Thứ 3, 26/08/2025