Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại

14 Tháng Tám 201812:00 SA(Xem: 14338)
Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại
Hacker Có Thể Tiếp Cận Tài Khoản Paypal Qua Hòm Thư Thoại

Với chỉ một đoạn kịch bản đơn giản và một số điện thoại ảo với giá 40 USD, một hacker có thể tự động xâm nhập vào số lượng lớn các tài khoản hộp thư thoại, từ dó truy cập vào nhiều tài khoản online như WhatsApp hay Paypal, và thậm chí cả theo dõi từng cử động của người dùng.

 

Khoảng giữa tháng 08/2018, Martin Vigo, hacker người Tây Ban Nha, đã trình bày tại hội thảo thường niên dành cho hacker Def Con diễn ra tại Las Vegas, Mỹ, giới thiệu cách thức thực hiện thủ thuật, và cả những thiệt hại mà mất an toàn an ninh mạng có thể xảy ra nếu hacker truy cập vào các đoạn tin nhắn thoại.

 

Vigo tuyên bố, các hộp thư thoại hiện đang có bảo mật kém với nhiều lỗ hổng đã được phát hiện từ hơn 30 năm mà không được cải thiện. Chẳng hạn như cả 4 nhà mạng của Mỹ đều sử dụng mã pin mặc định rất dễ đoán như 4 số cuối của số điện thoại mà tài khoản kết nối, hoặc 4 số giống nhau cho số lượng lớn tài khoản.

 

Kể cả khi người sử dụng thay đổi mật mã, cũng không có nhiều hơn các lớp bảo vệ. Hầu hết các nhà mạng giới hạn các mã có ít nhất chỉ 4 ký tự. Họ không hề triển khai biện pháp phòng chống tấn công bằng đoán thử đúng sai liên tục (brute force), cho phép hacker thử mọi mã liên tục. Thậm chí, cách thức tấn công còn được hỗ trợ bằng cách cho phép người gọi nhập 3 mã pin một lúc, cách nhau bởi một dấu #.

 

Hiện nay, với sự kết nối với nhiều tài khoản trực tuyến khác nhau, các lỗ hổng đang trở nên nguy hiểm hơn bao giờ hết. Chẳng hạn như, người dùng hội nhập vào WhatsApp bằng cách yêu cầu gửi một tin nhắn và nhập mã vào ứng dụng. Nhưng sau một vài phút, họ có thể yêu cầu công ty gọi lại và đọc mã đó qua điện thoại. Bằng việc yêu cầu gửi mã trong khi điện thoại của đối tượng đang không thể tiếp cận – như khi đang trên máy bay – đoạn thông điệp sẽ được chuyển vào hộp thư thoại. Và từ đó hacker có thể nghe, nhập mã, và truy cập vào tài khoản WhatsApp một cách dễ dàng.

 

Một số nhà cung cấp dịch vụ đã thử nghiệm cách thức đối phó với thủ đoạn tấn công. PayPal cho phép người dùng đặt lại mật mã qua cuộc gọi, nhưng yêu cầu một mã 4 ký tự được nhập vào bàn phím trong thời gian cuộc gọi diễn ra, nhằm ngăn chặn kẻ tấn công chỉ cần tiếp cận hộp thư thoại và xử lý việc tấn công. Tuy nhiên, Vigo đã thực hiện một thủ thuật: đặt đoạn thoại chào hỏi trong hộp thư thoại thành các âm thanh từ bàn phím nhằm đánh lừa hệ thống của PayPal như một người thật đang nhận cuộc gọi.

 

Vigo đã liệt kê các dịch vụ có thể bị ảnh hưởng như đặt lại mật mã cho PayPal, Instagram, Netflix, eBay và Linkedin, hay xác thực tài khoản cho WhatsApp, Signal, Twilio và Google Voice. Khuyến nghị của chuyên gia là người dùng thay đổi mã pin mặc định cho hộp thư thoại sang một đoạn mã dài hơn, hay tắt hẳn tính năng nếu không có ý định sử dụng. Các nhà cung cấp dịch vụ cũng nên ngừng các cuộc gọi tự động cho mục tiêu bảo mật.

524Vote
41Vote
38Vote
27Vote
16Vote
3.746
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
06 Tháng Ba 2019
Khoảng đầu tháng 03/2019, theo trang New York Times, Huawei sẽ khởi kiện chính phủ Mỹ vì việc cấm sử dụng các sản phẩm viễn thông của họ trong các cơ quan liên bang. Công ty đang cố gắng bảo vệ mình trước các cáo buộc của Mỹ khi cho rằng họ là một mối đe dọa về an ninh.
06 Tháng Ba 2019
Khoảng đầu tháng 03/2019, McAfee, tổ chức an ninh mạng lớn nhất thế giới công bố kết quả cuộc tấn công mạng nhằm vào Mỹ và các nước Châu Âu, ngay sau khi thượng đỉnh Mỹ - Triều kết thúc.
05 Tháng Ba 2019
Đây là một khung cảnh bình minh đáng nhớ. Khoảng một tháng trước, ngay trước khoảnh khắc bình minh ló dạng, một cảnh xếp hàng ấn tượng của các thiên thể đã diễn ra ở phía đông. Trong ảnh, sáng nhất và gần nhất với đường chân trời, là Mặt trăng. Ánh sáng màu cam của Mặt trăng được tạo ra bởi sự tán xạ của ánh sáng xanh trong bầu khí quyển.
05 Tháng Ba 2019
Khoảng đầu tháng 03/2019, một số nguồn tin cho biết, Google đã từ chối yêu cầu gỡ bỏ ứng dụng cho phép đàn ông Ả Rập theo dõi và điều khiển phụ nữ khỏi Google Play Store của cơ quan lập pháp Mỹ. Trong tuyên bố gửi cho Hạ nghị sĩ Hoa Kỳ Jackie Speier, Google khẳng định ứng dụng có tên Absher không hề vi phạm các điều khoản và điều kiện cần thiết để được tồn tại trên Google Play Store.
05 Tháng Ba 2019
Trong lịch sử, chỉ có một người duy nhất trên thế giới được chữa khỏi bệnh AIDS là Timothy Brown, một người Đức thường được gọi với tên khác là “bệnh nhân Berlin”. Khoảng đầu tháng 03/2019, đã có một người thứ 2 đã được chữa lành khỏi căn bệnh thế kỷ, và được gọi là “bệnh nhân London”.
05 Tháng Ba 2019
Khoảng đầu tháng 03/2019, Hiệp hội Web (World Wide Web Consortium - W3C) đã đưa ra bộ API WebAuthn cho phép hội nhập các trang web một cách an toàn, nhanh chóng hơn, và nổi bật là nó hỗ trợ cả việc hội nhập bằng sinh trắc học. Hiện WebAuthn đã xuất hiện trong nhiều trình duyệt như Safari (thử nghiệm), Chrome, Firefox, Edge. Android và Windows 10 cũng đã hỗ trợ từ gốc cho chuẩn mới. Cái quan trọng nhất của WebAuthn đó là người dùng không cần sử dụng password nữa, thứ rất khó nhất và dễ bị đánh cắp.