Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại

14 Tháng Tám 201812:00 SA(Xem: 835)
Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại
Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại

Với chỉ một đoạn kịch bản đơn giản và một số điện thoại ảo với giá 40 USD, một hacker có thể tự động xâm nhập vào số lượng lớn các tài khoản hộp thư thoại, từ dó truy cập vào nhiều tài khoản online như WhatsApp hay Paypal, và thậm chí cả theo dõi từng cử động của người dùng.

 

Khoảng giữa tháng 08/2018, Martin Vigo, hacker người Tây Ban Nha, đã trình bày tại hội thảo thường niên dành cho hacker Def Con diễn ra tại Las Vegas, Mỹ, giới thiệu cách thức thực hiện thủ thuật, và cả những thiệt hại mà mất an toàn an ninh mạng có thể xảy ra nếu hacker truy cập vào các đoạn tin nhắn thoại.

 

Vigo tuyên bố, các hộp thư thoại hiện đang có bảo mật kém với nhiều lỗ hổng đã được phát hiện từ hơn 30 năm mà không được cải thiện. Chẳng hạn như cả 4 nhà mạng của Mỹ đều sử dụng mã pin mặc định rất dễ đoán như 4 số cuối của số điện thoại mà tài khoản kết nối, hoặc 4 số giống nhau cho số lượng lớn tài khoản.

 

Kể cả khi người sử dụng thay đổi mật mã, cũng không có nhiều hơn các lớp bảo vệ. Hầu hết các nhà mạng giới hạn các mã có ít nhất chỉ 4 ký tự. Họ không hề triển khai biện pháp phòng chống tấn công bằng đoán thử đúng sai liên tục (brute force), cho phép hacker thử mọi mã liên tục. Thậm chí, cách thức tấn công còn được hỗ trợ bằng cách cho phép người gọi nhập 3 mã pin một lúc, cách nhau bởi một dấu #.

 

Hiện nay, với sự kết nối với nhiều tài khoản trực tuyến khác nhau, các lỗ hổng đang trở nên nguy hiểm hơn bao giờ hết. Chẳng hạn như, người dùng hội nhập vào WhatsApp bằng cách yêu cầu gửi một tin nhắn và nhập mã vào ứng dụng. Nhưng sau một vài phút, họ có thể yêu cầu công ty gọi lại và đọc mã đó qua điện thoại. Bằng việc yêu cầu gửi mã trong khi điện thoại của đối tượng đang không thể tiếp cận – như khi đang trên máy bay – đoạn thông điệp sẽ được chuyển vào hộp thư thoại. Và từ đó hacker có thể nghe, nhập mã, và truy cập vào tài khoản WhatsApp một cách dễ dàng.

 

Một số nhà cung cấp dịch vụ đã thử nghiệm cách thức đối phó với thủ đoạn tấn công. PayPal cho phép người dùng đặt lại mật mã qua cuộc gọi, nhưng yêu cầu một mã 4 ký tự được nhập vào bàn phím trong thời gian cuộc gọi diễn ra, nhằm ngăn chặn kẻ tấn công chỉ cần tiếp cận hộp thư thoại và xử lý việc tấn công. Tuy nhiên, Vigo đã thực hiện một thủ thuật: đặt đoạn thoại chào hỏi trong hộp thư thoại thành các âm thanh từ bàn phím nhằm đánh lừa hệ thống của PayPal như một người thật đang nhận cuộc gọi.

 

Vigo đã liệt kê các dịch vụ có thể bị ảnh hưởng như đặt lại mật mã cho PayPal, Instagram, Netflix, eBay và Linkedin, hay xác thực tài khoản cho WhatsApp, Signal, Twilio và Google Voice. Khuyến nghị của chuyên gia là người dùng thay đổi mã pin mặc định cho hộp thư thoại sang một đoạn mã dài hơn, hay tắt hẳn tính năng nếu không có ý định sử dụng. Các nhà cung cấp dịch vụ cũng nên ngừng các cuộc gọi tự động cho mục tiêu bảo mật.

520Vote
40Vote
30Vote
20Vote
10Vote
520
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
18 Tháng Giêng 2019
Người dân Trung Quốc hiện đã có thể biết được ai đang vô công rồi nghề hoặc có vấn đề với tài chính ở quanh họ. "Deadbeat Map", một ứng dụng mini của WeChat, sẽ cho biết vị trí của những "lão lại", từ ngữ được nhà chức trách sử dụng để chỉ những cá nhân không thể trả nợ và bị đưa vào danh sách nợ xấu. Khi mở WeChat, người dùng có thể thấy những cá nhân mang nợ xấu nếu họ ở trong phạm vi 500 mét. Chương trình đang được thử nghiệm tại Thạch Gia Trang, thủ phủ Hà Bắc.
18 Tháng Giêng 2019
Tính đến tháng 01/2019, ở Mỹ, các bệnh viện cùng phối hợp và liên kết với nhau để chung tay thành lập một công ty sản xuất thuốc không lợi nhuận có tên Civica Rx. Được biết, Civica Rx được công bố vào đầu năm 2018, và từ đó đã có rất nhiều các bệnh viện trên toàn nước Mỹ hứng thú với dự án. Hiện đã có hơn 250 bệnh viện đồng ý tham gia, mục tiêu của tổ chức là làm giảm giá và làm giảm cả sự khan hiếm của các thuốc generic đang có trên thị trường.
18 Tháng Giêng 2019
Tính đến tháng 01/2019, cuộc chiến bằng sáng chiến giữa Apple và VirnetX đã dần đi đến hồi kết sau khi Apple kháng kiện bất thành, phải chịu khoảng phạt lên đến 440 triệu USD. Trong năm 2018, Apple được lệnh phải bồi thường vì đã vi phạm các giấy phép về kết nối LTE an toàn được sử dụng trong nhiều ứng dụng iOS, bao gồm cả FaceTime.
18 Tháng Giêng 2019
Vì Trái Đất quay quanh trục của nó, nên các ngôi sao trông có vẻ như đang quay xung quanh một đài quan sát trên Đảo Tenerife của quần đảo Canary. Tất nhiên, các vòng cung đồng tâm đầy màu sắc được vẽ ra bởi các ngôi sao, thực ra tập trung ở Cực Bắc của Trái Đất.
18 Tháng Giêng 2019
Microsoft ra mắt phiên bản Windows Phone cuối cùng vào năm 2017, đó là phiên bản Windows 10 Mobile 1709. Dù hệ điều hành Windows Phone đã không còn thu hút được sự quan tâm của các nhà phát triển, nhưng Microsoft vẫn đảm bảo rằng người dùng nhận được những bản cập nhật bảo mật và vá lỗi kịp thời.
18 Tháng Giêng 2019
ES File Explorer là một trong những ứng dụng quản lý tập tin được nhiều người sử dụng nhất trên Android với hơn 100,000,000 lượt tải về . Tuy nhiên, khoảng giữa tháng 01/2019, một số nguồn tin cho biết, ES File Explorer đang có một lỗ hổng bảo mật nghiêm trọng, khiến cho các dữ liệu trong máy của người dùng có thể bị người khác lấy đi nếu cả hai đang dùng chung một kết nối mạng Internet.