-
Bán cơm giá "cắt cổ" cho thợ điện, nhà hàng Nghệ An "chữa" thành suất miễn phí?
-
Vinfast bàn giao lô xe Lạc Hồng - Đưa đón nguyên thủ quốc tế tại đại lễ kỷ niệm 80 năm Quốc khánh
-
Xe cứu thương đi 200km thu 21 triệu đồng: BV Đa khoa số 1 Bắc Ninh lên tiếng
-
Từ vận động viên thể thao chuyên nghiệp thành thủ khoa tốt nghiệp trường y
-
Đã tìm ra lý do không ai qua nổi Thượng úy Lê Hoàng Hiệp?
-
Dàn xe tăng, bọc thép sơ duyệt diễu binh trong tiếng reo hò của người dân
-
Clip: Hoàng Thuỳ Linh - Đen Vâu nối đuôi nhau sơ duyệt diễu hành, biểu cảm hân hoan cực đáng yêu gây sốt MXH!
-
Làm gì để chặn môi giới bất động sản "lùa gà" khách hàng?
-
Hai nàng dâu và nỗi buồn sau một tháng ròng rã tận tâm chăm mẹ chồng nằm viện
-
VIDEO: Khoảnh khắc đáng yêu mà bộ đội và người dân dành cho nhau tại điểm tập kết tối Sơ duyệt A80
-
Vụ thi thể trẻ sơ sinh tại con hẻm ở TPHCM: Chế tài nào xử lý người mẹ?
-
Dự báo thời tiết 28/8/2025: Miền Bắc còn mưa rào rải rác, Hà Nội nắng đến 31 độ
-
Tử vi thứ 5 ngày 28/8/2025 của 12 con giáp: Sửu khó chịu, Tị gặp điềm lành
-
Cọc gỗ đóng thẳng xuống hàng loạt ngôi mộ, người dân bức xúc
-
Cuộc sống mẹ đơn thân sang chảnh của Miss Audition Ngọc Anh trước khi bị bắt
-
Bắt Miss Auditon Ngọc Anh
-
Xôn xao suất cơm bình dân giá đắt đỏ bán cho thợ điện sau bão Kajiki
-
Xác minh clip người đàn ông bị chém tại quán karaoke ở TPHCM
-
Nữ chủ trại nói sự thật về thông tin cả chục người nhảy xuống bể "hôi của" cá tầm
-
Hành trình hơn 14 giờ truy bắt nghi phạm người Mỹ cướp cửa hàng vàng ở Đà Nẵng
Công nghệ
14/11/2021 10:00Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?
Hồi tháng 8/2021, trên diễn đàn trao đổi dữ liệu Raid***** của giới hacker, một tài khoản mang tên ilovevng đã đăng nội dung chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát tài khoản Zalo Chat hay Zalo Pay.
Người đăng tải thông tin cho biết, để làm điều này, họ chỉ cần gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. Nếu nạn nhân click vào đường link đó, tài khoản của họ sẽ dễ dàng bị kiểm soát.
"Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai bạn muốn", tin tặc cho biết.

Trong một động thái nhằm vạch trần thủ đoạn của giới tin tặc, mới đây, Công ty Dịch vụ An ninh mạng VinCSS đã cho công bố cách thức mà thủ phạm của vụ việc trên thực hiện.
Theo đó, nhóm Săn mối nguy của VinCSS đã phát hiện một số điểm yếu bảo mật cho phép kẻ xấu có thể hình thành một chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.
Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền kiểm soát một tài khoản Zalo bất kỳ bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo về phiên đăng nhập mới.
Cụ thể, trong quá trình sử dụng Zalo, VinCSS đã phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” tồn tại lỗ hổng Open Redirection, cho phép thay đổi địa chỉ nhận token từ ứng dụng.

Khi sử dụng ứng dụng Zalo nền tảng web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung cấp tuỳ chọn “Đăng nhập qua ứng dụng Zalo”. Bằng việc khai thác lỗ hổng Open Redirection trong cơ chế đăng nhập này, kẻ xấu sẽ có được cookies cho phép truy cập vào tài khoản.
Để làm được điều đó, kẻ xấu cần chuyển hướng người dùng sau xác thực tới một trang web thuộc quyền kiểm soát của chúng, từ đó lấy được mã token để đăng nhập tài khoản.
Tuy nhiên, nếu chỉ sử dụng duy nhất lỗ hổng này, kẻ xấu sẽ khó dẫn dụ người dùng truy cập vì đường link trông sẽ rất lạ.
Để thực hiện hiệu quả hơn, kẻ xấu đã khai thác một chuỗi các lỗ hổng, trong đó có lỗ hổng trong tính năng xem trước nội dung liên kết. Điều này giúp chúng có thể ẩn đi đường link phishing, từ đó dẫn dụ người dùng nhấp vào đường link hiển thị nội dung trang đích giống như thật.

Khi người dùng nhấp vào và bị chuyển hướng đến server của kẻ xấu, trang web này sẽ tự động ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Do quá trình chuyển hướng diễn ra rất nhanh, người dùng sẽ không hề biết họ vừa lướt qua trang web giả mạo.
VinCSS cũng phát hiện ra rằng, Zalo đang sử dụng một cơ chế cho phép người dùng đăng nhập lại phiên sử dụng Zalo web với cookie của session đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động với session chưa từng đăng nhập, ẩn đi tin nhắn thông báo đã đăng nhập trên thiết bị mới.
Hai lỗ hổng khác gồm lỗ hổng liên quan đến thời hạn của session và việc đăng nhập vào ZaloPay với token thu được cũng giúp kẻ xấu truy cập và chiếm quyền kiểm soát tài khoản lâu dài, đồng thời đăng nhập đến các ứng dụng khác của Zalo, trong đó có ZaloPay.
Theo VinCSS, khi kết hợp 5 lỗ hổng, có thể hình thành một chuỗi khai thác nhằm vào người dùng Zalo. Đó chính là phương thức, thủ đoạn mà kẻ xấu trong vụ việc hồi tháng 8/2021 đã thực hiện. Rất may mắn khi vấn đề sau đó đã được xử lý một cách nhanh chóng.

Chia sẻ với VietNamNet về câu chuyện này, chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) cho biết, những lỗ hổng trên được gọi là lỗ hổng phía máy khách (client-side vulnerability).
Để lợi dụng những lỗ hổng dạng này, kẻ xấu cần phải thực hiện một vụ tấn công phishing (lừa đảo), để dẫn dụ và thuyết phục nạn nhân click vào đường link của chúng thì mới có thể thành công được.
So với lỗ hổng phía máy khách thì lỗ hổng phía máy chủ (server-side vulnerability) nguy hiểm hơn nhiều. Đây là dạng lỗ hổng không cần tương tác gì nhiều từ phía người dùng. Rất may trong ví dụ trên không tồn tại lỗ hổng phía máy chủ.
Để hạn chế việc trở thành nạn nhân của những vụ việc kiểu như vậy, người dùng cần biết tự bảo vệ mình bằng việc không click vào những đường link lạ. Người dùng nên kiểm chứng bằng cách gọi điện thoại trong khoảng 1-2 phút với người gửi link để xác thực về liên kết này.
Người dùng cũng có thể tập cho mình thói quen truy cập website lạ thông qua Chế độ ẩn danh (Incognito Mode) của trình duyệt. Còn một cách khác là truy cập trang web thông qua website http://browserling.com.
Khi tải về một tệp tin lạ, người dùng nên có thói quen quét virus trước khi mở tệp tin này. Việc quét virus có thể được thực hiện dễ dàng thông qua trang web http://virustotal.com. Đây là một trong những đối tác của dự án Chống lừa đảo (Chongluadao.vn).Theo chuyên gia Ngô Minh Hiếu, không chỉ với các đường link mà với các tệp tin tải về, người dùng cũng cần cảnh giác như vậy.
Đối với những file tài liệu dạng Word, Excel có dấu hiệu khả nghi, người dùng có thể mở chúng bằng công cụ Google Docs.
Bên cạnh đó, một trong những biện pháp tăng cường bảo mật dễ nhất là luôn để mật khẩu có độ khó cao và không chia sẻ nó cho bất kỳ ai, chuyên gia Hieupc khuyến cáo.
Theo Trọng Đạt (VietNamNet)








- Bán cơm giá "cắt cổ" cho thợ điện, nhà hàng Nghệ An "chữa" thành suất miễn phí? (10:10)
- Xây hạnh phúc mới sau vết thương cũ (10:07)
- Thu hồi lô kem dưỡng quảng cáo "cho làn da mịn trắng sáng như vầng Thái Dương" (10:05)
- Vinfast bàn giao lô xe Lạc Hồng - Đưa đón nguyên thủ quốc tế tại đại lễ kỷ niệm 80 năm Quốc khánh (10:04)
- Từng bị chế giễu vì không có công nghệ lõi, chỉ lắp ráp như chơi Lego, hãng smartphone lớn thứ 3 thế giới ‘lột xác’ toàn diện, sắp cho Tesla, Apple 'hít khói' (10:01)
- Xe cứu thương đi 200km thu 21 triệu đồng: BV Đa khoa số 1 Bắc Ninh lên tiếng (18 phút trước)
- Hình ảnh Lý Liên Kiệt sau khi ra viện (21 phút trước)
- Người may mắn sở hữu THẬN KHỎE khi đi vệ sinh thường lộ ra 3 điểm, mong bạn có đủ! (27 phút trước)
- Nhiều mẫu ô tô phải khai tử do Tiêu chuẩn tiêu thụ nhiên liệu khắt khe (31 phút trước)
- Clip vợ bị chồng và đôi nam nữ chặn đánh giữa đường: Bất ngờ danh tính người phụ nữ ra tay (36 phút trước)