NÓNG: Đánh cắp tài sản số bằng cách giả mạo Crack, Phần mềm dụ bạn tải về

Thời đại xã hội internet phát triển và bùng nổ công nghệ với AI trong cách mạng công nghiệp 4.0 hiện nay, thì bất kỳ tài sản số (tài sản ảo) trên mạng cũng đều có giá trị tính ra tiền và nhiều thứ khác. Chính vì thế hiện nay không ít kẻ xấu, hacker mũ đen đã và đang rải những phần mềm độc hại, trojan, botnet, virus… đi khắp nơi nhằm đánh cắp dữ liệu cá nhân, tổ chức, nhằm trục lợi.

Chắc chắn rằng nếu bạn một lần gặp phải bạn sẽ hiểu được những cảm giác vô cùng hoang mang và bị mất đi tài sản của mình mà không hề hay biết. Tất cả đều đến từ sự cả tin, ham rẻ, miễn phí, một trong những lý do đó là tải phần mềm crack, giả mạo, không rõ nguồn gốc.

Bạn tưởng mình tiết kiệm được 1 đồng, còn kẻ gian thu lại bạn 10-100 thậm chí 1000 đồng

Vừa qua anh Đinh Thư, founder Tiện ích Xanh cho biết, toàn bộ hệ thống mạng xã hội bị hack toàn bộ tài nguyên, bao gồm toàn bộ BM (Facebook Business Manager), tkqc (tài khoản quảng cáo) ngưỡng lớn từ 50-100 triệu và hệ thống fanpage (trong đó có fanpage lên đến 331K lượt thích • 1,1 triệu người theo dõi và khá nhiều fanpage tương tự 500K – 1m folow). Quá trình phát hiện và xử lý vấn đề của đội ngũ cũng mất khá nhiều ngày.

Thông qua sự việc này mọi người tuyệt đối nâng cao cảnh giác hơn trong vấn đề bảo mật thông tin.

Diễn biến sự việc

Ngày 2/8/2023, anh Thư có tìm và tải ứng dụng Photoshop 2023 qua một link trên tinhte.vn: https://tinhte.vn/thread/download-adobe-photoshop-2023-full-huong-dan-cai-dat.3677461 . Theo đánh giá chủ quan thì anh ấy ko nghi ngờ gì mà tải về và cài đặt bình thường.

Đến rạng sáng ngày 5/8/2023 thì xảy ra sự cố.

Nhiều ngày sau, anh ấy nhờ một bạn làm bảo mật kiểm tra máy thì mới phát hiện ra có một phần mềm chạy ngầm trong máy là Updater.exe. Đó chính là con Botnet giả danh phần mềm Photoshop kia.

Con Bot này lấy thông tin cookies và thông tin user, password được lưu trong trình duyệt để gửi về địa chỉ telegram của chủ Bot (Thông thường, khi đăng nhập bằng user và password thì fb sẽ có thông báo và cần xác nhận 2FA, nhưng khi đăng nhập bằng cookies thì ko có bất kỳ thông báo và xác nhận gì cả, nên việc lộ cookies là cực kỳ nguy hiểm).

Sau khi có được những thông tin trên thì nó bắt đầu đăng nhập vào các via của anh ấy, add một số via của kẻ tấn công làm quản trị viên, rồi sau là out các via bên mình ra. Sau cùng là anh Thư mất toàn bộ quyền quản trị trên các BM (page và tkqc nằm trong BM nên cũng mất luôn).

Ngay khi phát hiện, anh đã lập tức liên hệ support Facebook ngay sau đó, nhưng theo đúng quy trình Fb phải chờ thêm một số ngày. Trong quá trình xem xét, nếu thấy hoạt động bất thường thì khả năng Fb sẽ back lại quyền truy cập cho một số via cũ trên BM.

Vấn đề phức tạp hơn khi toàn bộ via của bên Tiện Ích Xanh (từ via cầm BM, page, lên camp, add thẻ…) đều được quản lý trong Gologin. Có được đầy đủ thông tin nên bọn nó đăng nhập vào tài khoản Gologin của họ, change email (khiến anh ấy ko tự reset mật khẩu hay tài khoản được) và chiếm quyền toàn bộ via của nạn nhân. Toàn bộ via cứng đã nằm sẵn trong BM nên việc còn lại khá đơn giản mà ko có chút dấu hiệu bất thường nào đối với fb.

Anh Thư cũng liên hệ support của Gologin để yêu cầu lấy lại tài khoản. Mặc dù cũng đã cung cấp đầy đủ thông tin được yêu cầu như: email, lịch sử thanh toán, transaction id…nhưng cũng phải đến tận trưa thứ 2, ngày 7/8 mới lấy lại được tài khoản.

Sau khi vào lại được vào tài khoản Gologin, via còn nguyên, nhưng toàn bộ đã bị out hết ra khỏi BM.

Về phía fb thì cũng phải đến chiều thứ 3, ngày 8/8 mới có phản hồi, nhưng cũng không khá khẩm gì khi trả lời rằng: “Chúng tôi không nhận thấy BM này đang bị xâm phạm, do đó sẽ không thể tiến hành trả BM về Quản trị viên cũ”.

Cửa chờ support fb hẹp dần, anh Thư chủ động liên hệ nick telegram theo info trên con bot để thương lượng, nhờ vậy cũng đã thành công nhận lại đc toàn bộ page, còn BM và TKQC thì coi như bỏ.

Bị mất tài nguyên đã rất hoang mang, nhưng việc không tìm ra nguyên nhân còn khiến anh Thư hoang mang hơn rất nhiều. May mắn cho bên Tiện Ích Xanh là được một số anh có chuyên môn giúp đỡ, sớm tìm ra vấn đề hơn.

Nhận định

Đây là một tình huống bảo mật nghiêm trọng mà anh Đinh Thư, người sáng lập của Tiện Ích Xanh, đã phải trải qua. Toàn bộ hệ thống mạng xã hội và tài nguyên quảng cáo của công ty bị hack, dẫn đến mất kiểm soát về quản lý.

Nguyên nhân:

• Anh Thư tải ứng dụng Photoshop 2023 từ một link không an toàn, đó là nguyên nhân gốc.
• Một con botnet có tên Updater.exe được cài đặt ngầm vào máy tính của anh, giả mạo là phần mềm Photoshop.
• Bot này đánh cắp thông tin cookies và thông tin đăng nhập, sau đó sử dụng chúng để chiếm quyền truy cập vào các tài khoản và trang quản lý của anh.

Hậu quả:

• Mất quyền quản trị trên Facebook Business Manager và các tài khoản quảng cáo.
• Gologin, nền tảng quản lý via, cũng bị xâm phạm.

Hành động sau cùng:

• Anh Thư đã liên hệ với bộ phận hỗ trợ của Facebook và Gologin nhưng không nhận được hồi đáp kịp thời hoặc hữu ích.
• Anh đã chủ động liên hệ với hacker qua Telegram và cuối cùng đã thương lượng thành công để lấy lại quyền truy cập vào các fanpage, nhưng mất hết các tài nguyên quảng cáo và BM.

Tóm lại, đây là một bài học đắt giá về việc cần phải nâng cao cảnh giác và kiểm tra kỹ lưỡng các nguồn tải ứng dụng để tránh rủi ro về bảo mật.

Bài học:

Từ câu chuyện trên chúng ta có thể rút ra được những bài học sau:

1. Tin Tưởng Quá Mức: Không nên tải phần mềm từ nguồn không rõ ràng hoặc không chính thống. Nhất là những nick mạo danh, nick lâu năm và đăng trên các kênh lớn nhưng lại cho phép việc đăng bài vô tội vạ, không có kiểm duyệt. Ở đây là diễn đàn Tinh Tế
2. Thiếu Kiểm Tra Bảo Mật: Không kiểm tra máy tính định kỳ để phát hiện malware.
3. Quản Lý Mật Khẩu và Quyền Truy Cập: Việc không sử dụng các hệ thống quản lý mật khẩu và quyền truy cập an toàn đã tạo điều kiện thuận lợi cho hacker.
4. Chậm Trễ trong Việc Phản Hồi: Thời gian đáp ứng từ các dịch vụ hỗ trợ kỹ thuật từ các nền tảng mạng xã hội quá cồng kềnh, không đủ nhanh nhạy và hiệu quả để ngăn chặn các tấn công, khôi phục lại tài khoản và quyền truy cập. Dẫn đến phương án cuối cùng phải chuộc lại để nhận lại được tài sản số của mình.

Nguyên tắc chính không dùng hàng crack, keygen trên mạng từ bất kỳ nguồn nào (trừ xuanhieu.org luôn uy tín). Chỉ download phần mềm từ trang chủ của hãng, nếu có licence code thì dùng ko thì thôi. Giờ Stealer (Những kẻ ăn cắp) ở VN rất nhiều, hàng ngày có cả triệu tài khoản bị leak với những cách phát tán mã độc như này. Nếu down file nén từ bất kỳ đâu mà có mật khẩu mới giải nén được thì 50% có mã độc bên trong. Bất cứ file nào tải về nên up lên virustotal check trước để giảm thiểu nguy cơ bị nhiễm trước khi chạy. Cài đặt sandboxie hoặc máy ảo để chạy tool nhằm cô lập mã độc môi trường ảo hóa. (giải pháp tạm thời và không đảm bảo 100%)

Không dừng lại ở chuyện mạo danh phần mềm crack active free, bọn chúng còn thả botnet khá nhiều ở trên diễn đàn, fanpage, mạo danh Meta hay các tên tuổi lớn và uy tín khác để chạy quảng cáo và thả botnet bằng những Fanpage, Trang có triệu like, theo dõi, nhằm tạo niềm tin và dụ bạn tải file về máy.

Mình đã từng cảnh báo và nay đã có nạn nhân thông báo, và chắc chắn rằng con số bị lừa không phải là ít

Giải pháp:

1. Hệ thống Antivirus và Antimalware: Cài đặt và cập nhật thường xuyên.
2. 2FA (Xác thực hai yếu tố): Luôn kích hoạt cho tất cả các tài khoản quan trọng.
3. Kiểm tra Bảo Mật Định Kỳ: Thực hiện các bài kiểm tra định kỳ để phát hiện các dấu hiệu của malware.
4. Backup Dữ Liệu: Đảm bảo có hệ thống backup dữ liệu đầy đủ và cập nhật.
5. Quản Lý Quyền Truy Cập: Sử dụng các hệ thống quản lý quyền truy cập và mật khẩu chuyên nghiệp.
6. Đào Tạo Nhân Viên: Đào tạo về các nguy cơ và cách thức bảo vệ thông tin.

Cuối cùng, nên có kế hoạch ứng phó khi xảy ra sự cố, để có thể phản ứng nhanh chóng và hiệu quả.

Nếu bị nghi ngờ máy tính của bạn đang bị dính thì kiểm tra thư mục Startup theo đường dẫn này xem có phần mềm nào lạ không nhé: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Lưu ý: thay [Admin] bằng tên User của máy bạn

Thông tin thêm về các thủ đoạn giả mạo