Chuyên gia an ninh mạng Samip Aryal - người đang đứng đầu danh sách "săn tiền thưởng" của Facebook vừa công bố thông tin về lỗ hổng bảo mật trên mạng xã hội này, cho phép tin tặc khai thác tài khoản của nạn nhân. Sự cố được phát hiện và vá lỗi từ ngày 2/2 nhưng sau một tháng mới thông báo rộng rãi (do quy định an ninh).

Theo Aryal, lỗ hổng liên quan đến quá trình đặt lại mật khẩu Facebook thông qua tính năng tùy chọn gửi mã xác thực gồm 6 chữ số đến một thiết bị khác do người dùng đăng nhập hoặc đăng ký trước. Mã này có tác dụng xác thực người dùng chính chủ và sử dụng để hoàn tất quá trình đặt lại mật khẩu trên một thiết bị mới (chưa từng đăng nhập trước đó).

Trong quá trình phân tích truy vấn, ông phát hiện ra Facebook gửi mã xác thực cố định (không thay đổi dãy số), có hiệu lực trong vòng 2 giờ và không có biện pháp bảo mật nào để ngăn chặn hình thức tấn công brute-force, kiểu xâm nhập trái phép sử dụng phương pháp thử tất cả chuỗi mật khẩu có thể để tìm ra dãy ký tự đúng.

Điều này đồng nghĩa trong vòng 2 giờ kể từ khi gửi mã, kẻ gian có thể nhập sai mã kích hoạt vô số lần mà không gặp bất kỳ biện pháp ngăn chặn nào từ hệ thống của Facebook. Thông thường, nếu nhập sai mã số hoặc mật khẩu quá số lần quy định, một hệ thống an ninh sẽ tạm dừng quyền đăng nhập đối với tài khoản khả nghi.

Khoảng thời gian 2 tiếng đồng hồ có thể không nhiều với người thường, nhưng với tin tặc sử dụng công cụ trợ giúp hoàn toàn có thể thực hiện được.

Kẻ tấn công chỉ cần biết tên đăng nhập tài khoản mục tiêu là có thể gửi yêu cầu cấp mã xác minh, từ đó áp dụng phương thức brute-force không ngừng trong 2 giờ, cho tới khi đạt kết quả là dễ dàng đặt lại mật khẩu mới, chiếm quyền kiểm soát và "đá văng" các phiên truy cập của người chủ thực sự trước khi kịp làm gì.

Ông Vũ Ngọc Sơn, Giám đốc công nghệ của NCS cho biết hình thức tấn công như trên nằm ngoài khả năng phòng chống của người dùng và được gọi là kiểu tấn công 0-click. Với hình thức này, tin tặc có thể đánh cắp tài khoản của nạn nhân mà không cần bất kỳ thao tác nào từ họ.

"Khi lỗ hổng này bị khai thác, nạn nhân sẽ nhận được thông báo từ Facebook. Do đó, nếu bạn bỗng nhận được thông báo từ Facebook về việc khôi phục mật khẩu, rất có thể tài khoản của bạn đang bị tấn công, chiếm quyền điều khiển", ông Sơn chia sẻ. Vị chuyên gia cho biết với những lỗ hổng dạng như đã nêu, người dùng chỉ có thể đợi nhà cung cấp vá lỗi.

Facebook là mạng xã hội phổ biến tại nhiều nước trên thế giới, trong đó có Việt Nam và được người dùng đăng tải cũng như lưu trữ nhiều dữ liệu cá nhân trong quá trình sử dụng. Do đó, tin tặc thường nhắm đến việc tấn công, chiếm quyền kiểm soát tài khoản trên nền tảng để thực hiện các kịch bản lừa đảo.

Nổi lên trong số này là hình thức đóng giả nạn nhân và liên hệ với người thân trong danh sách bạn bè của họ để nhờ chuyển khoản nhằm lừa tiền. Phương thức này, với sự hỗ trợ của công nghệ Deepfake để làm giả video gọi điện đã khiến không ít người sập bẫy. Nhằm tạo thêm lòng tin, kẻ gian còn mua bán tài khoản ngân hàng có tên trùng với chủ tài khoản Facebook để dễ tiến hành trò lừa đảo của mình.

Một hình thức khác là chiếm đoạt rồi sử dụng tài khoản để gửi các đường dẫn (link) hoặc tập tin chứa mã độc, phát tán trên mạng xã hội. Những mã độc này có nhiệm vụ tấn công, đánh cắp thông tin cá nhân (như số tài khoản ngân hàng, ảnh, danh bạ, tin nhắn và nhiều dạng dữ liệu khác được lưu trong bộ nhớ của máy) sau khi được kích hoạt trên máy đích (là thiết bị của nạn nhân sử dụng).