Không cần mật khẩu, tin tặc vẫn có thể đăng nhập tài khoản Google của người dùng

www.tuoitre.vn -   08/01/2024 12:00:00 48

Công ty bảo mật CloudSEK đã phát hiện một dạng phần mềm độc hại sử dụng cookie để truy cập tài khoản Google của người dùng mà không cần biết mật khẩu.

Các nhóm hacker đang liên tục sử dụng phương pháp này để ăn cắp dữ liệu của người dùng trong khi Google chưa đưa ra biện pháp khắc phục triệt để.

Không cần mật khẩu, tin tặc vẫn có thể đăng nhập tài khoản Google của người dùng

Hồi tháng 10/2023, một hacker đã chia sẻ cách xâm nhập tài khoản Google thông qua lỗ hổng cookie trên Telegram.

Có nhiều loại cookie khác nhau. Cookie thường được các trang web và trình duyệt dùng để ghi nhớ hành vi của người dùng, từ đó cải thiện trải nghiệm Internet.

Trong đó, Google có phát triển một loại cookie xác thực hỗ trợ người dùng truy cập tài khoản mà không phải đăng nhập liên tục. Hacker đã tìm ra lỗ hổng trong cơ chế này để loại bỏ quy trình xác thực hai yếu tố, từ đó không cần dùng tới mật khẩu vẫn có thể vào các tài khoản Google của người dùng.

Chuyên gia của CloudSEK đánh giá đây là hình thức khai thác tinh vi, yêu cầu hacker phải hiểu rõ về cơ chế xác thực của Google và hiểu sâu về bảo mật. Đặc biệt, việc khai thác lỗ hổng hoạt động hiệu quả ngay khi người dùng vừa đặt lại mật khẩu và rất khó phát hiện.

Google đang tăng cường biện pháp kỹ thuật để phát hiện tài khoản bị đăng nhập trái phép bằng lỗ hổng bảo mật trên. Đồng thời công ty khuyến cáo người dùng nên liên tục bật chế độ trình duyệt web an toàn nâng cao khi dùng Chrome và thực hiện các hướng dẫn để xóa phần mềm độc hại được cảnh báo trên máy tính.

Theo CloudSEK, trong lúc chờ giải pháp đầy đủ từ Google, người dùng nếu nghi ngờ bị tấn công nên đăng xuất tất cả tài khoản, hồ sơ hiện có trên trình duyệt. Sau đó đổi mật khẩu và đăng nhập lại. Dù không đảm bảo an toàn tuyệt đối trước hình thức tấn công mới của hacker nhưng việc này cũng tạo ra rào cản đáng kể nếu chúng muốn đăng nhập trái phép tài khoản người dùng.

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 478
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 473
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 56
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ