Hack tài khoản Facebook? Chỉ cần lừa người đó mở một đường dẫn URL

www.tuoitre.vn -   20/02/2019 10:00:00 10794

Năm 2019 là năm mà chỉ cần nhấn vào một đường dẫn URL cũng có thể giúp kẻ tấn công đánh cắp tài khoản của bạn mà không cần thêm bất kỳ tương tác nào.

Hack tài khoản Facebook? Chỉ cần lừa người đó mở một đường dẫn URL

Một chuyên gia bảo mật vừa mới phát hiện ra lỗ hổng bảo mật yêu cầu chéo trang web (CSRF) quan trọng tren nền tảng mạng xã hội phổ biến nhất hiện nay, cho phép kẻ tấn công chiếm đoạt tài khoản Facebook bằng cách lừa người dùng nhấn vào một đường dẫn URL.

Nhà nghiên cứu bảo mật có biệt danh “Samm0uda”, đã phát hiện ra lỗ hổng này sau khi anh phát hiện một điểm cuối thiếu sót (facebook.com/comet/dialog_DONOTUSE/) có thể bị khai thác để vượt qua sự bảo vệ của CSRF và chiếm đoạt tài khoản của nạn nhân.

Tất cả những gì kẻ tấng công cần làm là lừa nạn nhân nhấp vào một URL Facebook đặc biệt đã được chế tạo riêng, được thiết kế để thực hiện nhiều hành động thông thường trên mạng xã hội như đăng bất cứ điều gì trên dòng thời gian của nạn nhân, thay đổi hay xóa ảnh của nạn nhân, thậm chí lừa người dùng dùng xóa toàn bộ tài khoản Facebook.

Việc chiếm quyền kiểm soát hoàn toàn tài khoản của nạn nhân hoặc lừa họ xóa toàn bộ tài khoản Facebook của họ đòi hỏi một số nỗ lực thêm từ phía kẻ tấn công, vì nạn nhân cần nhập mật khẩu trước khi tài khoản bị xóa.

Để làm điều này, nhà nghiên cứu cho biết họ sẽ yêu cầu các nạn nhân truy cập hai URL riêng biệt, một để thêm email hoặc số điện thoại và một để xác nhận nó.

Đó là "bởi vì các điểm cuối 'bình thường' được sử dụng để thêm email hoặc số điện thoại không có tham số 'tiếp theo' để chuyển hướng người dùng sau khi yêu cầu thành công," nhà nghiên cứu nói.

Tuy nhiên, nhà nghiên cứu vẫn thực hiện việc tiếp quản tài khoản đầy đủ với một URL bằng cách tìm các điểm cuối có tham số 'tiếp theo' và ủy quyền cho một ứng dụng độc hại thay cho nạn nhân và lấy mã thông báo truy cập Facebook của họ.

Với quyền truy cập vào mã thông báo xác thực của nạn nhân, khai thác sẽ tự động thêm địa chỉ email do kẻ tấn công kiểm soát vào tài khoản của họ, cho phép kẻ tấn công chiếm đoạt hoàn toàn tài khoản bằng cách đặt lại mật khẩu và khóa người dùng hợp pháp khỏi tài khoản Facebook của họ.

Mặc dù vụ hack chiếm đoạt tài khoản Facebook đầy đủ bao gồm nhiều bước, nhà nghiên cứu cho biết việc khai thác hoàn toàn bằng một cú nhấp chuột sẽ cho phép bất kỳ người dùng độc hại nào chiếm đoạt tài khoản Facebook của bạn "trong chớp mắt".

Các cuộc tấn công chiếm đoạt tài khoản như vậy có thể được giảm nhẹ nếu bạn đã bật xác thực hai yếu tố cho tài khoản Facebook của mình, ngăn chặn tin tặc đăng nhập vào tài khoản của bạn cho đến khi hoặc trừ khi chúng xác minh mật mã 6 chữ số được gửi đến thiết bị di động của bạn.

Tuy nhiên, bất kỳ sự giảm thiểu nào cũng không thể ngăn chặn tin tặc thực hiện một số hành động thay mặt bạn tận dụng lỗ hổng này, như thay đổi hoặc xóa ảnh hoặc album hồ sơ của bạn hoặc đăng bất cứ điều gì trên dòng thời gian của bạn.

Samm0uda đã báo cáo lỗ hổng với chi tiết khai thác của mình lên Facebook vào ngày 26 tháng 1. Facebook ngay sau đó đã thừa nhận vấn đề này và giải quyết nó vào ngày 31/1, thưởng cho nhà nghiên cứu bảo mật 25.000 USD như một phần khuyến khích cho việc tìm lỗi bảo mật trên Facebook.

Minh Hương


TAGS

TIN CÙNG CHUYÊN MỤC

Hàng triệu mật khẩu của người dùng Facebook bị rò rỉ

22/03/2019 10:00:00 33
Trong một tin tức mới gây sốc về Facebook thì mạng xã hội vừa vô tình để rò rỉ mật khẩu của hàng triệu người dùng qua tập tin văn bản.

Tài khoản Instagram bị hack bởi các thông báo vi phạm bản quyền giả

20/03/2019 10:00:00 692
Bạn có đang sử dụng mạng xã hội Instagram? Bạn đang có nguy cơ bị tấn công bởi các hacker nhằm chiếm đoạt tài khoản Instagram của bạn đấy. Một chiến dịch tấn công lừa đảo mới đã xuất hiện nhằm tấn côn...

Lỗ hổng zero-day vẫn còn bị khai thác và tấn công máy tính người dùng

15/03/2019 10:00:00 207
Tin tức về việc khai thác lỗ hổng bảo mật zero-day vẫn chưa hạ nhiệt khi lỗ hổng này vẫn tiếp tục bị khai thác và tấn công hàng loạt máy tính người dùng.

Lỗ hổng bảo mật Zero-Day trên trò chơi Counter-Strike 1.6 cho phép máy chủ độc hại tấn công máy tính game thủ

14/03/2019 10:00:00 161
Nếu bạn là game thủ của trò chơi Counter-Strike, thì hãy cẩn thận, bởi có 39% máy chủ độc hại trên trò chơi Counter-Strike 1.6 có sẵn trên mạng đã được thiết lập cho phép tấn công máy tính của game th...

Vĩnh biệt Shockware – Adobe đã quyết định xóa sổ phần mềm này

13/03/2019 09:00:00 1.447
Adobe Shockware sẽ sớm chỉ còn là quá khứ. Shockware vốn là một công nghệ đã quá cũ và đối với nhiều người dùng hiện nay đã chuyển qua một phần mềm mới và tốt hơn, Adobe đã quyết định xóa sổ phần mềm ...

Cảnh báo hình thức tấn công lừa đảo mới mà bạn cần phải đề phòng

12/03/2019 10:00:00 4.398
Chuyên gia bảo mật vừa cảnh báo về một chiến dịch sử dụng hình thức tấn công lừa đảo mới được thiết kế nhắm vào người dùng thiết bị di động.

LIÊN HỆ

Thông tin liên hệ

Mua Kaspersky nhận chuột mê ly
Mua Kaspersky nhận chuột mê ly