Tham dự Tech Lounge

Tham dự Tech Lounge


Vụ lừa đảo giả mạo Google Docs ảnh hưởng 1 triệu tài khoản trong 1 giờ, Google đã giải quyết hậu quả

Duy Luân
4/5/2017 21:53Phản hồi: 35
Vụ lừa đảo giả mạo Google Docs ảnh hưởng 1 triệu tài khoản trong 1 giờ, Google đã giải quyết hậu quả
Ngày hôm qua có một vụ lừa đảo rất lớn nhờ giả mạo thành Google Docs và lừa người dùng bấm vào link của bạn bè gửi. Google cho biết rằng có 1 triệu tài khoản đã bị dính "quả lừa" trong chỉ 1 giờ đồng hồ, chiếm 0,1% lượng người dùng Gmail. Họ cũng đã ngăn chặn được app giả mạo trong 1 giờ đó, đồng thời xóa bỏ trang web cũng như app để nó không còn tiếp tục lừa người ta. Hãng nói thêm: "Ngoài thông tin danh bạ bị truy cập và sử dụng bởi app lừa đảo này thì không có dữ liệu nào khác bị lộ hay sử dụng trái phép". Hiện người dùng không cần làm gì thêm vì Google đã thực hiện ở phía họ rồi, nhưng nếu bạn vẫn muốn chắc ăn hơn về những app bên thứ ba đang có quyền truy cập vào tài khoản của mình thì hãy vào link này: https://myaccount.google.com/secureaccount.

Vụ việc này cho thấy một lỗ hổng nghiêm trọng khi Google dễ dàng để cho ứng dụng bên thứ ba giả mạo làm các dịch vụ của mình, từ đó lấy được sự tin tưởng của người dùng. Nó cũng là một cách thức thông minh để đánh cắp thông tin mà không cần đoán mò password và email của người dùng, bởi vì chính người dùng đã cho phép app làm như vậy rồi nên hacker khỏe hơn nhiều. Trước đây có nhóm hacker Nga Fancy Bear từng dùng cách thức tấn công tương tự nhưng các nhà nghiên cứu bảo mật không tin rằng nhóm là đơn vị đứng sau đợt giả mạo Google Docs hôm qua.

Chi tiết vụ lừa đảo:


Rất nhiều người nhận được một thư mời edit tài liệu trên Google Docs nhưng thực chất ứng dụng gửi ra email này chỉ là một app giả mạo với tên gọi cũng là "Google Docs" và dùng icon y hệt dịch vụ chính chủ Google. Khi bấm vào đường link trong email, người dùng sẽ được dẫn đến một trang đăng nhập Google thật, sau đó là màn hình yêu cầu cấp quyền quản lý hộp thư và đọc danh bạ cho app. Nếu không để ý thì ai cũng tưởng là đang cấp phép cho Google Docs / Drive, nhưng khi rê chuột lên mũi tên nhỏ nhỏ thì mọi thứ được tiết lộ: app thuộc quyền sở hữu của một cá nhân nào đó, và trang web redirect sau khi cấp quyền cũng không thuộc tên miền Google.

Khi bạn lỡ cho phép app này tất cả các quyền mà nó yêu cầu, ngay lập tức nó sẽ gửi tiếp email spam tới những người khác trong sổ liên lạc dưới tên và địa chỉ email của bạn. Vậy nên không lạ khi những người kia lại tiếp tục bị lừa và càng làm gia tăng độ "phủ sóng" của dịch vụ giả mạo này.

Nguồn: BBC
Ảnh: Daily Dot
35 bình luận
Chia sẻ

Xu hướng

Tiêu đề: "ảnh hưởng 1 triệu trong 1 giờ". Một triệu gì vậy Luân? Một triệu nhân mạng, một triệu nhân dân tệ hay một triệu tài khoản? Haiza
namdh7
TÍCH CỰC
7 năm
@android_addicted Dù sao nghe vẫn hay hơn là ảnh hưởng 1 giờ trong 1 triệu mà ha ha
@zozozo123 Đang học dở lớp 1 thì cô giáo đi lấy chồng không dạy nữa 😁
@zozozo123 Không phải chê nhưng ông mod này trình viết quá kém!
rongden241
ĐẠI BÀNG
7 năm
@android_addicted mod đang phê lá đu đủ
ky_kisken
TÍCH CỰC
7 năm
Vụ này giống vụ hack Iclouds của Apple nè. Nó ăn cắp dữ liệu đăng nhập mail rồi qua Apple Iclouds đăng nhập luôn bằng mật khẩu của mail do người dùng thường sử dụng mật khẩu giống nhau cho nhiều tại khoản. Khối người dính cái này.
@ky_kisken Không hề giống nhau, vụ này nó chỉ lấy được danh bạ chứ không phải mật khẩu.
@ky_kisken Giống sao được mà giống
Quá nguy hiểm, nhất là khoản bị rò rỉ dữ liệu người dùng [​IMG]
(Sent from CRAZYSEXYCOOL1981 using Blackberry PASSPORT.se)
Ngon
AnhPN
ĐẠI BÀNG
7 năm
Cái tiêu đề có gì sai sai?
"Vụ lừa đảo giả mạo Google Docs ảnh hưởng 1 triệu trong 1 giờ, Google đã giải quyết hậu quả xong"
s.club2
TÍCH CỰC
7 năm
Dạo này GG dính nhiều phot bảo mật nhỉ 😃

Title bác mod đặt làm em đọc title xong tưởng thiệt hại 1 triệu trump 😁
Chỉ hóng icloud của cuhiep bị hack rồi clip ảnh bị phát tán trên mạng cho chừa cái tính ngông cuồng commet nhiều khi thiếu tính thẩm mỹ của 1 admin diễn đàn lớn
Tinh tế giờ xuống cấp trầm trọng vậy.
Đến mỗi cái tiêu đề cũng k xong???
aviator93
ĐẠI BÀNG
7 năm
Em chỉ hóng ảnh của em Emma Watson thôi ạ. :rolleyes: lần đầu tiên em yêu iClould
Ban đầu đọc cứ ngỡ 1 triệu USD, dưới bài mới biết đơn vị là tài khoản [​IMG]
(Sent from CRAZYSEXYCOOL1981 using Blackberry PASSPORT.se)
texudo
ĐẠI BÀNG
7 năm
Cái này nếu ai làm Web App sẽ biết, thủ phạm tạo một WebApp, xin kết nối tới Google Auth với quyền Đọc và Gửi Email chẳng hạn, thông qua App, nó đọc hết Email Contacts và gửi mail đi tiếp.

Cái này hiện tại hoàn toàn có thể xảy ra một lần nữa, không chỉ với Google, mà còn có thể là với Microsoft, Facebook ...

Hacker có thể làm thêm một bước xa hơn khi sử dụng chính Token mà user sau khi Đăng nhập qua Google để COPY toàn bộ Email của user đó, cái này chắc tốn nhiều thời gian lắm và Hacker chắc chưa làm được
ảnh hưởng 1 triệu VNĐ
WUBU
ĐẠI BÀNG
7 năm
Hên là nó chưa đột nhập acc của e, ko là nó tưởng nhầm đang đột nhập tài khoản của bé nào đó ở Nhật
Bữa mình cũng nhận được thông báo của Google rằng mình đã thay đổi số điện thoại, trong khi đó số của mình đã thêm cách đây mấy năm rồi và chưa hề thay đổi. Không biết thằng nào nó đổi số mình hay gì nhỉ? Vào kiểm tra thì vẫn còn nguyên ko bị gì cả nên mình đổi pass luôn.

google_sdt.png
Cẩn thận coi chừng link đưa ra dẫn đến 1 app giả mạo. giờ lên mạng chẳng tin bố con thằng nào 😆))))
Công Võ
ĐẠI BÀNG
7 năm
Nghe hết hồn phải đọc và rà lại cái tên miền tinhte.vn chứ có khi chúng ta đang comment trên một trang tinhte giả mạo !
tiêu đề vậy mấy bác mới click vào chứ =]]]]
1 triệu gì?

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019