Một số kênh Youtube nổi tiếng đã bị một nhóm các tin tặc nhắm đến vào cuối tuần qua. Các chuyên gia bảo mật nhận định đây là một cuộc tấn công có tổ chức với quy mô “khổng lồ”.
Những tài khoản Youtube nào có khả năng bị tấn công?
Theo điều tra của ZDNet, đã có nhiều tài khoản của Youtuber nổi tiếng trong cộng đồng chuyên về xe bị tấn công. Tuy nhiên, cuộc tấn này rõ ràng nhắm vào hầu hết những kênh “có tiếng” thuộc nhiều thể loại khác nhau. Trên Twitter đã xuất hiện các thông báo của Youtuber cho biết họ đã bị mất tài khoản và không thể truy cập kênh của mình. Các kênh bị tấn công thuộc những chủ đề như âm nhạc, công nghệ, trò chơi điện tử và Disney. Hiện trên Youtube có hơn 23 triệu kênh và bất cứ ai cũng có thể là mục tiêu mà tin tặc nhắm đến.
Cách thức tiến hành cuộc tấn công
Catalin Cimpanu, phóng viên của ZDNet, đã tiến hành điều tra và kết luận rằng đây là một cuộc tấn công phối hợp bằng phương pháp phishing. Qua trao đổi với thành viên của diễn đàn trao đổi tài khoản bị hack, Cimpanu cho biết cuộc tấn công này nhắm vào những mục tiêu cụ thể thay vì sử dụng kiểu tấn công “rải cát bụi tre”. Nguồn tin từ diễn đàn trên cho biết một số tin tặc đã có được “một số kênh khá tốt” và “được trả rất hậu hĩnh”.
Cuộc tấn công này diễn ra như sau: Những Youtuber có danh tiếng trong danh sách sẽ được gửi một email dẫn đến trang đăng nhập Google giả mạo. Trang này dùng để thu thập thông tin đăng nhập tài khoản Google và cho phép tin tặc có thể đăng nhập vào kênh Youtube của chủ tài khoản. Sau đó, kênh này sẽ được chuyển cho một người khác, địa chỉ URL của kênh cũng sẽ bị thay đổi, do đó người dùng cũng như chủ cũ của kênh sẽ nghĩ rằng kênh của họ đã bị xóa.
Theo báo cáo của ZDNet, một số tài khoản có sử dụng tính xác thực hai yếu tố (2FA) nhưng vẫn bị tin tặc lấy mất tài khoản. Có thể tin tặc đã sử dụng công cụ reverse-proxy, như bộ công cụ Modlishka nổi tiếng, để có thể chặn mã bảo mật 2FA gửi bằng tin nhắn SMS.
Cách bảo vệ tài khoản của bạn
Forbes đã liên hệ James Houghton, CEO tại trung tâm đào tạo nâng cao nhận thức bảo mật Phishing Tackle, anh cho biết đây là “một cuộc tấn công phối hợp ấn tượng, có khả năng tin tặc đã sử dụng proxy trung gian hoặc reverse-proxy để chặn” mã xác thực hai yếu tố. Nghe thì có vẻ rất tinh vi và liên quan đến công nghệ cao, nhưng thực tế “vẫn là do con người”. Houghton cho biết “cuộc tấn công này dựa trên cú nhấp chuột của nạn nhân và những gì diễn ra sau cú nhấp chột đó”. Vấn đề nằm ở chỗ “nạn nhân thiếu hiểu biết về cách nhận diện một email giả mạo và một email chính thống”.
Jack Moore, một chuyên viên an ninh mạng tại ESET cho biết những email giả mạo “thoạt đầu nhìn thoáng sẽ trông có vẻ khá chính chủ, ngay cả với những người đã được đào tạo để nhận diện chúng”. Moore nói thêm rằng “những dấu hiệu có thể nhận diện như đường link xuất hiện giữa email, hay ngay cả việc tự hỏi tại sao bạn lại nhận được email này cũng đủ để khiến bạn khựng lại”.
Kế đến là trang đăng nhập Google giả. Houghton cho biết địa chỉ URL của trang đăng nhập giả sẽ “không thể phát hiện ra nếu không nhìn kỹ”, chúng sẽ có một vài khác biệt so với trang gốc của Google. Thông thường những trang giả mạo sẽ thiếu chứng chỉ HTTPS cho trang web, nó được thể hiện bằng biểu tượng ổ khóa màu xanh lá cây hoặc tương tự trên thanh trình duyệt, chỉ cần phát hiện được điều này cũng đủ để bạn rời khỏi trang web này ngay lập tức. Tuy nhiên một số trình duyệt cho phép “ẩn thông tin Extended Validation (EV) khỏi thanh địa chỉ khiến việc quan sát khó khăn hơn”. Nhưng một trang web với chứng chỉ SSL không có nghĩa là chúng được bảo đảm hoàn toàn, chứng chỉ này chỉ có ý nghĩa duy nhất rằng chủ trang web đã bảo mật kênh liên lạc giữa trình duyệt và trang web.
Dù tính năng xác thực hai yêu tố bị vô hiệu hóa trong cuộc tấn công này, nhưng mọi tài khoản đều nên sử dụng dụng nó. Thay vì sử dụng mã xác thực gửi qua SMS, thì người dùng có thể lựa chọn xác thực thông qua ứng dụng.
Theo Forbes