Với hacker, không tài khoản nào được an toàn...

Chia sẻ
Bài viết dưới đây mô tả lại việc một lập trình viên máy tính đã bị hacker tấn công chỉ sau một đêm và gây thiệt hại lớn, dù anh là một người cẩn thận khi lên mạng.

Vào buổi sáng ngày 21/10/2014, một lập trình viên người Pháp có tên Partap Davis đã mất 10 đồng Bitcoin, tương đương với 3.600USD (hơn 80 triệu đồng), tất cả những cơ chế bảo mật trực tuyến mà anh thiết lập đã bị một ai đó can thiệp chỉ sau một giấc ngủ thông thường, và hậu quả của nó là khá lớn đối với một cá nhân: 2 tài khoản email, tài khoản Twitter, số điện thoại, dịch vụ cung cấp cơ chế bảo mật hai lớp, và quan trọng hơn là ví tiền bitcoin của anh.
Là một người chuyên về máy tính, Davis rất cẩn thận về mặt an toàn thông tin, anh chọn mật khẩu (password) khó, không nhấn vào những đường liên kết nghi ngờ, vốn xuất hiện nhan nhản trên các trang mạng xã hội hiện nay. Anh cũng sử dụng bảo mật hai lớp cho Gmail, tức mỗi khi đăng nhập Gmail từ một máy tính mới, anh phải nhập vào 6 con số được Google nhắn tin vào điện thoại của anh nhằm đảm bảo rằng đây chính là Davis. Anh còn kiếm được tiền từ sự nổi lên của loại tiền tệ Bitcoin và đã thiết lập gửi số tiền ảo của mình trong 3 chiếc "ví" riêng biệt được quản lý bởi 3 dịch vụ khác nhau là Coinbase, Bitstamp và BTC-E, trong đó, Davis thiết lập bảo mật hai lớp với Coinbase và BTC-E, và mỗi lần muốn truy cập tài khoản, anh phải xác thực thông qua Authy, một ứng dụng cài trên điện thoại.
Ngoài việc chơi Bitcoin ra thì Davis khá giống với một người sử dụng web bình thường, anh kiếm sống bằng nghề lập trình, anh chia thời gian giữa việc phát triển một phần mềm video dùng trong giáo dục với các công việc khác.  
Sau khi bị hacker tấn công và cướp đi số tiền Bitcoin dành dụm được, Davis đã dành nhiều tuần liền theo dõi xem hacker đã làm thế nào, lần theo các manh mối để thu nhặt từng mảnh và ghép lại thành một bức tranh hoàn chỉnh, để làm công việc này Davis đã truy cập các tập tin ghi lại lược sử truy cập, cũng như làm việc trực tiếp với những dịch vụ hỗ trợ khách hàng của các dịch vụ mà anh sử dụng, song song đó anh còn tiếp cận với trang The Verge để nhờ sự trợ giúp. Đến bây giờ thì dù vẫn chưa biết ai đã làm chuyện đó, nhưng Davis và những người hỗ trợ anh đã có đủ thông tin để giải thích về cách mà hacker đã tấn công các tài khoản của anh, từ đó có thể chỉ ra những điểm yếu "chết người" trong cuộc sống ảo của không chỉ Davis mà còn của chúng ta, những người đang xài Internet hằng ngày.

Với hacker, không tài khoản nào được an toàn... ảnh 1

Sơ đồ các bước tấn công của Eve. Màu xám mô tả việc Eve không thực hiện được ý đồ

Đầu tiên, dịch vụ Mail.com
Đây là dịch vụ đầu tiên bị hacker dòm ngó và chiếm đoạt, do khi tạo tài khoản email, Davis nhận thấy rằng tài khoản Partap@gmail.com đã có người sử dụngnên anh chuyển sang dùng dịch vụ của trang Mail.com và thiết lập địa chỉ Partap@mail.com để tiện trao đổi công việc. Anh còn thiết lập tự động chuyển hướng (forward) những email gửi vào địa chỉ này sang một địa chỉ gmail khác khó nhớ hơn mà anh đang sở hữu.
Vào khoảng 2 giờ đêm ngày 21/10, một ai đó chui được vào tài khoản Partap@mail.com của Davis và dừng việc forward email nói trên, ngoài ra người này còn gắn một số điện thoại mới vào tài khoản mail.com, truy ra số điện thoại này Davis phát hiện nó ở tận Florida. Email dự phòng của Davis cũng bỗng nhiên bị đổi thành swagger@mailinator.com, đây là manh mối gần nhất mà Davis và cộng sự có được khi điều tra về nghi phạm, để đơn giản thì chúng ta sẽ gọi nghi phạm này là Eve.
Với hacker, không tài khoản nào được an toàn... ảnh 2

 

Vậy làm thế nào Eve có thể đột nhập vài tài khoản Mail.com của Davis? Không thể chắc chắn hoàn toàn, nhưng khả năng lớn là Eve đã sử dụng một đoạn mã nhằm vào một lỗi ở trang khôi phục (reset) mật khẩu của dịch vụ Mail.com. Trong nhiều tháng trời, một người dùng trên diễn đàn Hackforum đã bán một đoạn mã với tính năng này, chức năng của nó là sẽ làm reset mật khẩu của một tài khoản Mail.com được chỉ định với giá chỉ 5USD cho một tài khoản, hiện chưa rõ đoạn mã đó khai thác lỗ hổng bảo mật ra sao và liệu nó đã được vá hay chưa, nhưng khả năng rất lớn là Eve có thể đã dùng đoạn mã này để reset mật khẩu của Davis và đổi thành một chuỗi kí tự mà chỉ hắn biết.
Số điện thoại riêng
Với hacker, không tài khoản nào được an toàn... ảnh 3

 

Bước kế tiếp của Eve là chiếm quyền kiểm soát số điện thoại của Davis, dù không có mật khẩu để truy cập trang AT&T (một nhà mạng của Mỹ, nơi cung cấp dịch vụ mạng di động cho Davis), nhưng hắn đã giả vờ quên mật khẩu và yêu cầu website ATT.com gửi một đường liên kết để reset nó, và dĩ nhiên đường link này sẽ gửi vào tài khoản partap@mail.com mà hắn vừa chiếm được. 
Khi đã có trong tay tài khoản AT&T, Eve yêu cầu dịch vụ chăm sóc khách hàng của nhà mạng chuyển tiếp bất kì cuộc gọi nào đến số của Davis sang số điện thoại của hắn (ở Florida). Thực chất thì việc thiết lập chuyển tiếp sẽ cần nhiều bước bảo mật hơn, và dĩ nhiên cần nhiều hơn là một địa chỉ email, nhưng khi đối mặt với một khách hàng đang ra vẻ giận dữ, nhân viên chăm sóc khách hàng thường dễ dãi cho qua, đặt sự hài lòng của khách hàng lên trên sự bảo mật.
Khi hoàn thành thiết lập, tất cả mọi cuộc gọi của Davis giờ sẽ là của Eve, và khi đó dù rằng Davis vẫn nhận được tin nhắn SMS và email bình thường, nhưng cuộc gọi thì đã bị chuyển hướng sang tin tặc, bản thân Davis không hề nhận ra điều này cho đến mãi 2 ngày sau khi vụ tấn công xảy ra, anh nhận được lời phàn nàn khi sếp của anh thắc mắc vì sao anh không nhấc máy khi ông gọi.
Dịch vụ Google và Authy
Bước kế tiếp là Eve chiếm tài khoản Google của Davis, và dù rằng các chuyên gia thường nói với chúng ta rằng việc bảo mật bằng hai lớp mật khẩu ở hai nơi là an toàn nhất hiện nay nhằm chống lại các vụ tấn công, bởi một hacker có thể có password, và một tên trộm có thể lấy điện thoại của bạn, nhưng rất khó mà có cả hai cùng lúc.
Với hacker, không tài khoản nào được an toàn... ảnh 4

 

Davis không sử dụng ứng dụng Google Authenticator để tạo mã đăng nhập khi cần xác thực 2 lớp - vốn là tùy chọn an toàn hơn, nhưng anh thiếp lập 2 lớp bằng tin nhắn, tức là mỗi khi Davis muốn đăng nhập Gmail trên thiết bị mới, Google sẽ gửi một mã xác nhận có 6 con số vào điện thoại. Dù rằng Eve không nhận được tin nhắn, nhưng hắn đã lợi dụng tùy chọn thực hiện một cuộc gọi đến số điện thoại khách hàng để đọc mã này (phòng khi bạn là người khiếm thị, hoặc vì lý do gì đó mà trình nhắn tin trên điện thoại của bạn không hoạt động). Và vì mọi cuộc gọi đã được chuyển tiếp tới số điện thoại của Eve, kẻ tấn công có thể nghe được mã xác nhận của lớp bảo mật thứ hai, và tài khoản Gmail của Davis tiếp tục lọt vào tay Eve.
Với hacker, không tài khoản nào được an toàn... ảnh 5

 

Authy thì lại khó phá hơn, nó là một ứng dụng giống như Google Authenticator, và dĩ nhiên không bao giờ rời khỏi điện thoại của Davis. Nhưng Eve lại có thể đơn giản cài Authy vào điện thoại của riêng hắn bằng tài khoản mail.com nói trên và nhập lại một mã xác nhận mới (cũng được gửi thông qua cuộc gọi - bị chuyển tiếp về máy của Eve), vài phút sau khi đồng hồ điểm 3 giờ đêm, tài khoản Authy được chuyển quyền kiểm soát sang Eve.
Vậy là cả dịch vụ Authy và Gmail đều bị lừa bởi Eve vì hắn đã có được email và số điện thoại của Davis, hệ thống bảo mật hai lớp khi đó sẽ bị vô hiệu rất mau chóng, và lúc này ngoài SMS, tất cả mọi con đường trên mạng Internet đều đã đi về tay Eve.
Dịch vụ “ví” Coinbase
Bước tiếp theo, Eve đã reset mật khẩu tài khoản Coinbase của Davis vào lúc 3 giờ 19 phút sáng, thủ đoạn ở đây khá đơn giản vì hắn đã nắm Authy và địa chỉ mail.com của anh, và đến 3 giờ 55 phút, Eve đã chuyển tất cả số Bitcoin của Davis có trong Coinbase sang một tài khoản do hắn ta sở hữu, số Bitcoin đó có giá trị tương đương 3600USD vào thời điểm đó.
Eve đã thực hiện 3 lần rút tiền: đầu tiên vào khoảng 30 phút sau khi tài khoản mới của hắn được mở, lần thứ hai diễn ra vào 20 phút sau đó, và lần cuối cùng là sau 5 phút kế tiếp. Tiền đã không còn trong tài khoản mới tạo của Eve và tất nhiên tài khoản đó cũng chẳng tiết lộ được gì về danh tính của hacker này. Tất cả diễn ra chỉ không đầy 90 phút sau khi tài khoản Mail.com của Davis bị Eve chiếm đoạt, một khoản tiền lớn do anh sở hữu đã không cánh mà bay.
Với hacker, không tài khoản nào được an toàn... ảnh 6

 

Phân tích khả năng dịch vụ Authy và Coinbase có nhận ra điểm nghi ngờ hay không, Davis và nhóm cộng sự của anh đoán chắc Authy có thể biết điều gì đang xảy ra, bởi một tài khoản bị reset vào nửa đêm từ một số điện thoại ở xa lắc có thể sẽ gây ra vài báo động nào đó, và thông qua tập tin ghi lại quá trình truy cập thì Eve đã đăng nhập vào Coinbase từ một địa chỉ IP bên Canada, dù vậy do số điện thoại này lại không nằm trong dãy số bị nghi ngờ là lừa đảo từ các vùng có nhiều “chiến tích” này như Nga hay Ukraine (mặc dù có thể Eve ở đó thật) nên đã cho qua. 
Hơn thế nữa, Coinbase và Authy chắc chắn không có những hệ thống phân tích những dữ liệu phức tạp liên quan đến người dùng và hành vi của họ, điều mà Google có thể làm được rất tốt, còn 2 dịch vụ mà Davis xài thì không đủ lý do để ngăn chặn việc này.
Hậu quả của nó đã sớm được Davis nhận ra ngay khi thức dậy, đầu tiên anh để ý là tài khoản Gmail của anh đã bị đăng xuất, mật khẩu đã bị thay đổi và anh không thể đăng nhập lại. Khi đã vào lại tài khoản, Davis chợt nhận ra thiệt hại lớn đến mức nào, có hơn một tá email với nội dung liên quan đến việc reset tài khoản, và anh biết ngay tình trạng của mình hiện tại. Khi Davis tìm được cách vào tài khoản Coinbase của mình thì nó đã trống rỗng, Eve đã kịp thời cuỗm hết 10 đồng bitcoin với giá trị khoảng 3600 USD vào thời điểm đó. Davis đã phải mất nhiều giờ gọi điện với nhân viên chăm sóc khách hàng của các dịch vụ, kèm theo đó là bản fax bằng lái xe để thuyết phục các hãng rằng anh chính là Partap Davis thật.
BTC-E và Bitstamp 
May mắn cho Davis là hai ví chứa tiền Bitcoin còn lại vẫn còn nguyên số tiền (giá trị khoảng 2500USD) dù rằng vẫn bị Eve đổi mật khẩu, lý do mà Davis vẫn giữ được số tiền là vì BTC-E đã ngưng giao dịch với tài khoản của anh trong vòng 48 giờ kể từ khi mật khẩu bị đổi, nên anh đã may mắn có thời gian để khắc phục vấn đề ngay. Dịch vụ BitStamp thì có cơ chế bảo mật còn đơn giản hơn nhưng lại khá hiệu quả trong trường hợp của Davis, đó là khi Eve gửi email yêu cầu reset mật khẩu tài khoản, nhân viên của BitStamp đã yêu cầu gửi hình ảnh về bằng lái xe của Davis, đây là thứ duy nhất mà hắn ta không có trong tay.
Twitter
Dấu hiệu cuối cùng mà Davis nhận thấy đó là sự đột nhập vào tài khoản Twitter của anh, vốn vẫn bị hack nhiều tuần sau đó, cái tên @Partap khá ngắn gọn, thế nên Eve muốn chiếm lấy nó, thay hình ảnh mới và xóa đi các dòng tweet của Davis. Vài ngày sau, Eve thậm chí còn đăng một tấm ảnh về một tài khoản Xfinity nào đó bị hack rồi tag những người khác vào, tài khoản này không thuộc về Davis mà của một người khác, Eve chỉ muốn dùng @Partap như một tài khoản tạm để thực hiện những vụ án kế tiếp, giống như việc đánh cắp một chiếc xe để chạy trốn vậy.
Những bài học rút ra
Ai đứng sau cuộc tấn công này? Davis đã dành nhiều tuần để hòng tìm ra được tin tặc, nhưng anh vẫn chưa đạt được nhiều tiến triển đáng kể, theo các ghi nhận về việc đăng nhập tài khoản, máy tính của Eve có các địa chỉ IP xuất phát từ Canada, tuy nhiên hắn có thể dễ dàng giả địa chỉ này từ bất kì đâu trên thế giới thông qua những dịch vụ như Tor hay xài VPN. Số điện thoại của Eve được đăng kí cho một người dùng ở bang California, nhưng nhiều khả năng đây chỉ là một cái điện thoại bị trộm, và coi như Eve đã đào thoát thành công.
Vì sao Eve chọn Partap Davis? Có thế giả định rằng hắn biết trước về các ví tiền Bitcoin của anh. Hoặc cũng có thể trong lúc lục tung những email từ tài khoản Mail.com của Davis, Eve đã thấy những email từ các dịch vụ Bitcoin của anh, hoặc có thể tên anh xuất phát từ một nhà sản xuất hay một ai đó.
Đối với Davis, anh không còn sử dụng tài khoản mail.com, dịch vụ Coinbase đã từ chối bởi họ cho rằng đây không phải là lỗi của công ty. Davis cũng đã gửi một báo cáo lên FBI nhưng có vẻ như cơ quan này cũng không có nhiều hứng thú với một vụ trộm Bitcoin đơn lẻ. Điện thoại thì anh không thể bỏ được, Twitter hay Gmail cũng thế. Trong thế giới bảo mật, người ta gọi đây là "attack surface" (tạm dịch: tấn công bề mặt). Càng có nhiều tài khoản (tức "bề mặt" càng rộng), thì càng khó bảo vệ.
Quan trọng nhất là việc reset password vẫn còn quá dễ dàng, đó là lý do vì sao Eve có thể lần lượt reset hết tài khoản này đến tài khoản khác mà không gặp khó khăn gì đáng kể. Tình huống ví BTC-E của Davis ngưng giao dịch sau 48 giờ vô tình là một sáng kiến hay để Davis có thể ngăn chặn thiệt hại. 
Thực ra dưới góc nhìn kĩ thuật thì đây là điều không khó, nhưng nó làm khách hàng thông thường cảm thấy khó chịu, và điều đó làm ảnh hưởng đến sự hài lòng của họ với công ty. Bản thân các công ty, dịch vụ Internet phải liên tục cân bằng giữa sự tiện lợi của người dùng với sự bảo mật, nếu họ thực thi chính sách bảo mật quá khó thì hiếm ai chịu sử dụng sản phẩm, còn nếu làm quá đơn giản thì người dùng lại rất dễ bị tấn công. Một vài người có thể mất quyền kiểm soát tài khoản, nhưng hàng triệu người khác thì cảm thấy tiện và yêu thích hơn, đó là sự đánh đổi, và thường thì đa phần các công ty ưu tiên hơn cho tính tiện dụng...
Với hacker, không tài khoản nào được an toàn... ảnh 7

 

Lời kết
Qua câu chuyện này, chúng ta thấy được rằng cuộc sống online đầy rẫy nguy hiểm. Dù sử dụng bảo mật 2 lớp vẫn có thể bị tấn công như thường, quan trọng là trình độ hacker đến đâu. Với những tài khoản quý giá liên quan đến việc làm ăn và tiền bạc thì bạn càng phải cẩn thận hơn nữa và nên ưu tiên kích hoạt các chế độ bảo mật cao nhất có thể. Đừng hi sinh bảo mật vì sự tiện dụng với những tài khoản quan trọng, bởi một ngày nào đó khi bị mất đi thì bạn sẽ phải vất vả lắm mới lấy lại được quyền kiểm soát, hoặc thậm chí là không bao giờ. 
Theo tinhte.vn

Chia sẻ

Bạn đọc bình luận

Vui lòng nhập tiếng Việt có dấu
Nhập mã bảo mật (*)    Refresh

Cùng chuyên mục