Tài khoản YouTube có bảo mật hai lớp, không có thông báo đăng nhập đáng ngờ, sao vẫn bị hack?

P.W
27/4/2023 8:32Phản hồi: 134
Tài khoản YouTube có bảo mật hai lớp, không có thông báo đăng nhập đáng ngờ, sao vẫn bị hack?
Phải có một bài viết riêng về Redline Stealer, mã độc đang khiến nhiều tài khoản mạng xã hội lớn trên Facebook hay YouTube bị mất quyền kiểm soát, là vì một lý do đơn giản như thế này. Số liệu tháng 10/2022, 48% số cuộc tấn công ăn cắp dữ liệu đều được tội phạm công nghệ cao dùng một mã độc duy nhất là Redline để thực hiện.

Đương nhiên, để đối phó với việc ăn cắp dữ liệu trong các thiết bị, thì các tổ chức, doanh nghiệp hay cá nhân, đặc biệt là các influencer hay chủ các kênh MXH có nhiều lượt follower đều ứng dụng bảo mật nhiều lớp, chứ không chỉ đơn giản là bảo mật hai lớp với mật khẩu và xác nhận trên hòm thư điện tử hoặc điện thoại. Nhưng Redline Stealer đã chứng minh là có đủ khả năng chiếm quyền điều khiển của những tài khoản mạng xã hội nhiều người theo dõi, bất chấp việc chủ những tài khoản này có cài bảo mật nhiều lớp (MFA).

Cập nhật 2/4/2024: Vẫn là phương pháp dùng mã độc đánh cắp session token, chỉ trong ngày 2/4, đã thấy ít nhất hai kênh YouTube nổi tiếng tại Việt Nam, một là của anh Độ Mixi, hai là của anh Quang Linh Vlog bị chiếm đoạt để đăng tải những nội dung crypto với dấu hiệu lừa đảo.

Một ví dụ đáng kể nhất, và cũng có thể là nổi nhất trên MXH thời gian gần đây là kênh YouTube Linus Tech Tip với hơn 15 triệu lượt follower. Giữa đêm tài khoản này bất ngờ chạy livestream quảng bá tiền ảo, rồi bị chính YouTube khóa tài khoản vì vi phạm quy định sử dụng dịch vụ, khi chiếu những nội dung lừa đảo bị cấm:

[​IMG]


Rồi ngay sau đó Linus Sebastian đã lấy lại được quyền kiểm soát tài khoản YouTube, và giải thích nguyên nhân vì sao tài khoản bị hack giữa đêm khuya. Clip này một lần nữa nhấn mạnh, dù mã độc có sức mạnh đến đâu đi chăng nữa, thì chúng, hay bản thân những tội phạm công nghệ cao, vẫn luôn cần lợi dụng lỗ hổng từ chính con người, tức là sự sơ hở thiếu cảnh giác của con người thì mã độc mới xâm nhập được vào hệ thống để ăn cắp dữ liệu được.



Một ví dụ khác của Redline Stealer tấn công và lây lan để thâm nhập vào hệ thống của nhiều người khác, là trường hợp của nhà cung cấp dịch vụ internet Viu bên Brazil. Trang Facebook của nhà mạng này có lần đăng clip chia sẻ link tải Adobe Reader, nhưng lại là link Mediafire chứ không phải link chính thức của Adobe. Bên cạnh đó là những post chia sẻ link tải game như Grand Theft Auto hay Stray. Nhưng chỉ cần tải chúng về, cài vào máy tính là Redline sẽ nằm gọn trong thiết bị và lấy đi hết những dữ liệu có giá trị.

Tinhte_Hack2.png

Redline Stealer được phát hiện lần đầu vào tháng 3/2020, và được các nhà nghiên cứu bảo mật xác định là mã độc tập trung tấn công người dùng đầu cuối, khác với những mã độc tấn công máy chủ doanh nghiệp để ăn cắp hoặc tống tiền từ dữ liệu nó thu thập được cho tội phạm công nghệ cao.

Sau khi thâm nhập được vào máy tính, những mã độc ăn cắp dữ liệu như Redline Stealer sẽ tập trung lấy hết những dữ liệu như tài khoản ngân hàng, tài khoản và mật khẩu mạng xã hội, tài khoản thư điện tử, các dịch vụ trực tuyến như thương mại điện tử hay cả ví tiền crypto. Cơ chế file grabber của Redline cũng vận hành cực kỳ hiệu quả trên nhiều nền tảng trình duyệt, từ những trình duyệt nền Chromium như Google Chrome, Microsoft Edge, cho tới cả trình duyệt nền Gecko như Firefox, và cả những dịch vụ nhắn tin như Messenger, Discord hay Telegram…

Tinhte_Hack3.jpg

Như đã nói, để tấn công vào máy tính của người dùng, Redline Stealer cần lợi dụng một trong những lỗ hổng lớn nhất của bảo mật máy tính: Sự sơ hở của con người. Cách đây ít lâu một kênh YouTube ít người theo dõi có tên Nomicro4u cũng đã bị tấn công. Mã độc được đặt trong một file PDF đính kèm một bức thư điện tử giả mạo một đơn vị lớn (Nord VPN) muốn liên hệ với chủ kênh để chạy quảng cáo trên clip.

Quảng cáo



Bỏ qua những tệp tin khác bao gồm sample clip để chèn vào video nhằm mục đích quảng cáo, hay những ví dụ các YouTuber khác chạy quảng cáo, có một file cực kỳ dễ click vào và tải về máy tính nếu bất cẩn. File PDF ấy ghi tên là “Thỏa thuận chi phí quảng cáo.” Để đánh lừa người dùng, tệp tin này thực ra đã bị cố tình đổi đuôi thành .pdf, trong khi thực tế nó là một file .scr với mã độc bên trong. File này có khả năng vận hành như một file đuôi .exe, từ đó cho phép hacker chạy và cài mã độc vào thiết bị của nạn nhân.

Vấn đề nằm ở chỗ, ngay cả khi có cài phần mềm quét virus, hay Google cũng có công cụ quét virus trên Gmail hay Google Drive, thì cũng không phát hiện ra mã độc trong file .scr đội lốt .pdf này. Lý do là kết hợp cả Redline với cách bọn hacker “đóng gói” file chứa mã độc đã cho phép nó qua mặt những hàng rào bảo vệ trong máy tính.

Tinhte_Hack4.png

Tội phạm công nghệ cao phát hiện ra một điều, đó là những dịch vụ quét virus đều bỏ qua những tệp tin có dung lượng trên 650 MB. Tất cả chúng đều coi những file dung lượng vượt qua con số này là quá lớn để cài mã độc vào. Và vì để quét những tệp tin dung lượng lớn như thế này, tài nguyên phần cứng mà những antivirus này cần để quét sâu nhằm phát hiện mã độc cũng là rất lớn.

Một yếu tố nữa, lại đến từ sự bất cẩn của con người. Không phải ai cũng có cài phần mềm đọc mã hex trong máy tính để tìm kiếm dữ liệu mã độc mà hacker đã ghép chung với tệp tin chúng gửi qua email.

Theo các nhà nghiên cứu bảo mật, Redline Stealer là một mã độc được viết và bán trên mạng internet với giá 100 USD một tháng, hoặc 150 đến 200 USD cho một bản standalone không hỗ trợ cập nhật để qua mặt hàng rào bảo vệ máy tính. Rất khó để xác định nguồn gốc của Redline, nhưng thời gian gần đây rất nhiều vụ tấn công hệ thống bằng Redline Stealer được các hacker Nga thực hiện, với những gói dữ liệu cá nhân khổng lồ được rao bán trên các trang web nói tiếng Nga.

Quảng cáo



Sau khi hacker mua Redline về, giao diện tổng hợp những hệ thống và những thông tin nó ăn cắp được trông như thế này:

Tinhte_Hack5.png

Cách Redline Stealer lây lan và vận hành đưa chúng ta đến với câu hỏi như thế này. Vì sao chủ tài khoản mạng xã hội như YouTube hay Facebook đã có những giải pháp 2FA hay thậm chí là MFA, phải đăng nhập bằng tài khoản kèm mật khẩu, rồi xác nhận bằng cả điện thoại lẫn địa chỉ thư điện tử, hay cả ứng dụng tạo token đăng nhập, ấy vậy mà Redline vẫn cho phép hacker ăn cắp thông tin đăng nhập rồi chiếm luôn quyền kiểm soát tài khoản, như trường hợp của Linus Tech Tip?

Đấy chính là lúc những sự tiện lợi của các trình duyệt trở thành con dao hai lưỡi. Mọi trình duyệt hiện tại đều có tính năng lưu trữ thông tin session token khi đăng nhập và sử dụng các dịch vụ trực tuyến. Nói cách khác, trừ phi anh em ấn nút log out, thì trình duyệt sẽ lưu trữ session token để anh em dùng Facebook, YouTube hay Gmail.

Redline Stealer nguy hiểm ở chỗ, nó ăn cắp được cả thông tin session token. Giải thích cách vận hành thì dài dòng, nhưng anh em có thể hiểu đơn giản như thế này. Với Session token, hacker có thể copy y nguyên tình trạng của trình duyệt anh em đang sử dụng, với mọi tài khoản dịch vụ trực tuyến đang được đăng nhập, chẳng khác gì tình trạng bọn tội phạm đang ngồi ngay trước màn hình máy tính của chính anh em vậy.

Nhờ đó, trình duyệt của anh em đang đăng nhập và sử dụng dịch vụ trực tuyến nào, miễn là được lưu trữ trong session token, thì bọn tội phạm công nghệ cao sẽ điều khiển được tất cả những tài khoản ấy, từ đăng bài, xóa bài, thậm chí là thay đổi cả mật khẩu tài khoản.

Tinhte_Hack6.jpg

Tổng kết lại, Redline Stealer sẽ không bao giờ có đất sống nếu người dùng internet nào cũng cẩn trọng. Những lời khuyên giống hệt như những lần trước, khi những mã độc và virus tấn công hệ thống máy tính vẫn được các chuyên gia bảo mật đưa ra:

  • Những “món hàng” quá hời thì thường là không miễn phí, và cái giá có thể chính là dữ liệu cá nhân của anh em. Tội phạm công nghệ cao thường có xu hướng dụ dỗ người dùng tải và chạy những file có chứa mã độc dưới dạng những bộ phim hay bản cài game bom tấn mới ra mắt.
  • Kiểm tra kỹ nguồn tải file trước khi ấn nút tải về hoặc khởi chạy trên máy tính.
  • Hãy chọn những nguồn tải dữ liệu đáng tin cậy.
  • Luôn luôn đọc thật kỹ thông tin để xác định thật giả trước khi click vào những tệp tin đính kèm.
  • Sử dụng MFA, từ xác thực đăng nhập đến token OTP để đăng nhập tài khoản trực tuyến.
  • Luôn luôn sử dụng phần mềm tìm và diệt virus máy tính.
  • Cảnh báo những thư điện tử hoặc tin nhắn đáng ngờ cho đơn vị vận hành dịch vụ trực tuyến, như Gmail chẳng hạn.
  • Đối với các doanh nghiệp, có thể triển khai diễn tập phòng chống tội phạm công nghệ cao, mô phỏng ngẫu nhiên thư điện tử chứa mã độc tấn công máy chủ hoặc máy tính cá nhân.
  • Không dùng chung một mật khẩu cho nhiều tài khoản trực tuyến.
134 bình luận
Chia sẻ

Xu hướng

Tào lao. Tụ cài, tụ dua dữ kịeu cho nó keu no vuọt qua 2 lop
@Eldimio Lỡ bị hư điện thoại coi như đi tong account. Soft OTP cũng khá nguy hiểm chứ ko đùa.
@Kelvin1992 App gen OTP có backup cloud mà bạn. Còn với smart otp ngân hàng thì có nhiều cách xác thực để cấp lại.
@Eldimio Giả sử bạn mất đt, bạn setup điện thoại mới, không có OTP, vd như google account, thì bạn lên cloud kiểu gì.
@Kelvin1992 Google account thì hình như có nhiều cách khôi phục. Còn hiện giờ tôi đang làm là "nuôi" OTP trên nhiều máy và lưu QR vào file zip đặt pass.
Anh nào đang dùng cr@k, hoặc mấy ứng dụng chặn quảng cáo thì cũng nên coi chừng.
Nightcall
ĐẠI BÀNG
14 ngày
@vanthoan Sao dùng adblock lại phải coi chừng?
vanthoan
TÍCH CỰC
14 ngày
@Nightcall Tại vì nó là add on, nó có quyền truy xuất nội dung những trang web anh đang mở, ví dụ như tài khoản ngân hàng, hoặc các dịch vụ mua bán.
Nightcall
ĐẠI BÀNG
14 ngày
@vanthoan Open-source tự check code được mà
@Nightcall Ai rảnh đâu check code, với lại có phải ai cũng chuyên môn lập trình đâu mà check
Nhắm mắt cmt cũng biết là do Nga làm 😁
@dấu-tên-nhưng-sinh-năm-1981 ko chắc là Ngờ a đâu, nói đông âu dc rồi
Mày vui tính vãi
Đối với người dùng cơ bản thì tốt nhất là dùng Kaspersky Free. Thường thì những loại malware này khi mới xuất hiện sẽ chẳng có mẫu để diệt nên phần lớn là dựa vào khả năng phân tích theo hành vi của phần mềm, và nếu bạn không dùng các phần mềm phổ biến như mặc định hoặc các phần mềm cài sẵn trên máy Dell, HP thì khả năng sống sót sẽ cao hơn vì hacker sẽ không quan tâm đến việc malware có bị các phần mềm đó chặn hay không do thị phần quá thấp.
@haobcyqhdvb Thực ra mình đã dùng qua các phiên bản từ miễn phí tới trả phí, bản trả phí chỉ có tác dụng nếu bạn không ngại tốn thời gian để tạo quy tắc cho nó, phần lớn người dùng chỉ muốn phần mềm làm việc tự động chứ không muốn trả lời những câu hỏi kiểu như: "Bạn có muốn phần mềm A kết nối Internet hay không?", "Bạn có muốn phần mềm B khởi động cùng hệ thống hay không?", "Bạn có muốn phần mềm C tạo key registry hay không?", chỉ khoảng 10 phút họ sẽ gỡ cài đặt phần mềm ngay khỏi máy tính. Còn nếu mua bản trả phí mà để phần mềm tự đưa ra quyết định thì dùng free cho đỡ tốn tiền.
@vu
ĐẠI BÀNG
13 ngày
@IIIIIIIIIIII kaspersky phát hiện dc mấy con này ko bạn. Mình cũng đan xài
@@vu Trong đám antivirus hiện giờ thì Kaspersky Free là ngon nhất rồi, tuy nhiên mọi thứ chỉ mang tính tương đối thôi, nếu có pm nào mà diệt được 100% virus thì nó cũng sẽ diệt luôn rất nhiều file an toàn.
@vu
ĐẠI BÀNG
12 ngày
@IIIIIIIIIIII trước mình xài avast đánh chặn cũng tốt lắm, mà từ hồi kaspesky có bản free nên xài đến giờ. Giao diện bản mới cũng đẹp
Nói chung xài phần mềm chính chủ, tải trên store chính chủ thì muốn bị hack cũng có. Hackers chỉ nhắm vào những kẻ k làm mà muốn hưởng free thành quả của ng khác thôi😃
Hack được thật thì vi diệu quá. Linus Tech Tip thì hẳn là không phải con gà về công nghệ rồi !
hack hộ tài khoản tinhte hộ tao cái, tao sợ quá cơ
@tyller end Hắc cơ: Chê nha ku!
Chiplovevn
ĐẠI BÀNG
15 ngày
@tyller end tài khoản rác trên này hacker nó ỉa vào, thậm chí cả trang tinhte nó còn chả thèm hack
@tyller end Tinhte hổng tùm lum ra, còn chả mã hoá password. Google password manager nó báo pass Tinhte của mình nằm trong danh sách pass bị lộ.
@tyller end Hacker nó cũng tỉnh táo lắm chứ ko đùa đâu, chả có thằng nào khùng muốn hack vào 1 cái trang độc hại như này cả đâu 😃
Haiz, Edge giờ nhớ hết mọi thứ giùm mình, mình chẳng nhớ gì hết 😔
Hỏi anh em nhà Google làm quái gì để mã đọc chạy lung tung? 95% người dùng trình duyệt Chrome. Nếu người dùng mất tài khoản Gmail bảo mật 2 lớp vì mã độc thì lỗi thuộc về Google.
Nightcall
ĐẠI BÀNG
14 ngày
@minhprodesign https://venngage.com/blog/most-popular-browsers/

Most Popular Web Browsers In 2023 [Infographic] - Venngage

Discover the evolving landscape of web browsers in 2023 as Chrome's dominance continues amid changing user preferences.
venngage.com
Hình như ko thể thay đổi mật khẩu được đâu.

Kênh mình trước cũng bị, sáng dậy tự nhiên thấy có 3 clip chia sẻ phần mềm bản quyền có chèn link trong phần mô tả. Thế là kiểm tra bảo mật thấy có 1 đăng nhập lạ từ Nga ngố. Mình đã xoá lượt đăng nhập đó ngay, và xoá 3 clip trên kênh.

Bây giờ hàng ngày mình đều vào phần kiểm tra bảo mật xem có lượt đăng nhập lạ từ những nơi khác không.
haikbvn
ĐẠI BÀNG
một năm
@hoangminh2018 Đổi mật khẩu thường phải có mã xác nhận. Nên chắc bị khóa kênh vì đăng video vi phạm quy định sử dụng dịch vụ như trường hợp của Linus Tech Tips. Còn nếu dịch vụ khác khi đổi mk mà k cần xác thực thì đổi dc.
nathai
TÍCH CỰC
14 ngày
@haikbvn Lúc nào đổi mk chẳng phải gõ mk cũ. Đổi sao được. Còn bọn nào cho đổi mk không când xác nhận mk là bọn vớ vẩn
Chưa rõ lắm cái session token.
Nghĩa là khi bị dính virus tương đương với bị teamview à.
Mình tưởng call api ở chỗ khác sẽ sinh ra IP mới chứ sao mỗi token là call đc.
Nightcall
ĐẠI BÀNG
14 ngày
@codeblock Thật không anh 😁
@w32 Mình hiểu là Session Token ko cần đăng nhập
Nhưng khi gửi Session Token từ máy thứ 2 phía Youtube,FB nó sẽ phát hiện ra location mới và yêu cầu xác thực OTP mà.
w32
TÍCH CỰC
14 ngày
@MeoMao121 Nếu mình thì mình không làm vậy, vì khi load 1 trang web nó sẽ gửi rất nhiều request lên server, mỗi request lên server đều phải check thì rất nặng hệ thống đặc biệt là các ứng dụng có lượng truy cập khủng như youtube hoặc fb
@w32 Đó là tác dụng của 2FA mà bác, ko có thì 2FA khác gì 1FA
Giống bài quảng cáo vậy :-D Chứ stealer này có thấy tính năng gì khác với các loại đã phổ biến lâu nay đâu? Mấy hôm nay nổi nhất là Atomic stealer thôi
Vô lý, khi đăng nhập trên thiết bị mới bảo mật 2 lớp nó hỏi:
"Bạn vừa đăng nhập trên thiết bị ABC sử dụng trình duyệt DEF tại địa điểm XYZ, đấy có phải là bạn không?"
Mình không bấm gì hoặc bấm "không phải" thì mút mùa nó mới vào được.
Hay nó điều khiển từ xa, hoạt động ngay trên máy tính mình?
@Bạch Vân Đạo Nhân nó ko đăng nhập mới nhé, mà nó lấy token của nạn nhân cho sẵn vào trình duyệt của nó, thế là vào thẳng luôn. Dùng kiểu này là kiểu dùng ké, sẽ không cướp hoàn toàn tài khoản đc vì ko có MFA
hoangemini
ĐẠI BÀNG
15 ngày
@Bạch Vân Đạo Nhân Được nha bác ơi! giờ bác không tin thì cho em teamview vào máy bác, bác đăng nhập sẵn Facebook trên trình duyệt Chrome là em đăng nhập Facebook của bác trên máy em liền, dù em chẳng biết về mật khẩu hay tài khoản của bác, miễn là em chỉ cần vào trình duyệt Chrome của bác và bác đang đăng nhập sẵn là được :v
@Bạch Vân Đạo Nhân Vậy là chưa từng kiếm acc share xài kiểu cookie rồi, ko biết MK nhưng share cookie vào là coi như clone trình duyệt của bạn cho người khác 😁
VN top 10 luôn kìa ;D
Cái "session token" không chính xác nhé @P.W Cái lưu trong cookie của trình duyệt là "accessToken" (có thể có cả "refreshToken"). "Session" là khái niệm chỉ tồn tại ở trên server.
Nôm na: Khi user đăng nhập vào 1 web thành công (đúng username và password) thì một cặp token sẽ được trả về cho trình duyệt lưu vào cookie. Đồng thời 1 session được tạo ra để ghi nhận user đang "online" hoặc "đang loggin". Thường thì cookie và session chỉ có 1 được dùng thôi nhưng hiện nay các web dùng cả 2. Session để cho user biết có ai đăng login vào tài khoản và cho phép "kill" session không hợp lệ.

- https://viblo.asia/p/su-khac-biet-giua-xac-thuc-dua-tren-session-va-token-1VgZvQ19KAw

Sự khác biệt giữa xác thực dựa trên session và token

Xem thêm : Công nghệ web và dịch vụ trực tuyến Giới thiệu nhanh về HTTP HTTP là giao thức cơ bản được World Wide Web sử dụng và giao thức này xác định cách thức thông báo được định dạng và truyền đi...
viblo.asia

- https://en.wikipedia.org/wiki/Access_token
Access token - Wikipedia
en.wikipedia.org
namdh7
TÍCH CỰC
15 ngày
@TheShinichi Session được lưu trên server nhưng "token" của nó (session ID) vẫn được lưu trên máy người dùng (trong cookie).

"Thường thì cookie và session chỉ có 1 được dùng thôi nhưng hiện nay các web dùng cả 2": web server muốn hỗ trợ session thì luôn phải sử dụng cookie để lưu session Id, làm gì có chuyện chỉ dùng 1 cái hả bạn?
Session token cùng lắm chỉ đăng bài, hoặc gởi lung tung thôi chứ làm gì đổi được password/MFA.
Mỗi khi đổi password/MFA đều phải xác thực lại hết, mà xác thực lại thì cái session token vô nghĩa
Kinh vãi

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019