Chúng ta
Công nghệ

CyRadar phát hiện hacker dùng website 'nhái' Facebook

Thứ sáu, 14/4/2017 | 14:53 GMT+7

Ngày 17/3, một tên miền sử dụng kí tự Unicode, “nhái” tên miền Facebook đã được đội CyRadar - Ban Công nghệ FPT phát hiện.

Khi kiểm tra nội dung website, thực tế cho thấy hacker có vẻ vẫn còn đang chuẩn bị “súng đạn” trước khi tiến hành một chiến dịch tấn công. Đi sâu vào tìm hiểu server này, người viết phát hiện ra đối tượng đang sử dụng 3 file “lạ” để thực hiện chiến dịch của mình, gồm: login.php, hook.js và fbmessenger.exe.

Có 3 file “lạ” trên server có tên miền “nhái” Facebook.

Có 3 file “lạ” trên server có tên miền “nhái” Facebook.

Đầu tiên là file “login.php”, đây là một file có giao diện mạo danh Facebook, chứa mã ăn cắp thông tin. Khi người dùng gõ thông tin vào ô đăng nhập này, toàn bộ thông tin sẽ bị hacker lưu lại.

Với tên miền và giao diện này, chắc hẳn nếu không để ý, nhiều người dùng sẽ rất dễ bị lừa

Với tên miền và giao diện này, chắc hẳn nếu không để ý, nhiều người dùng sẽ rất dễ bị lừa

Tiếp đó là file “hook.js”, file này chuyên nhắm vào việc khai thác lỗ hổng các trình duyệt, dựa trên BeEF - Browser Exploitation Framework. Mã khai thác này sẽ tự động nhận diện trình duyệt của người dùng, để từ đó, lựa chọn khai thác lỗ hổng tương ứng, nhằm lây nhiễm mã độc và kiểm soát máy tính và trình duyệt của nạn nhân.

Mã khai thác lỗ hổng trình duyệt

Mã khai thác lỗ hổng trình duyệt

Cuối cùng, là file “fbmessenger.exe”. Đây đích thị là 1 mã độc, được khá nhiều phần mềm diệt virus nhận diện là Trojan, chuyên đánh cắp thông tin.

fbfake6-1487x420-3902-1492144075.jpg

Cho đến nay, trong 2 tuần xuất hiện website nhái này, các chuyên gia của Ban Công nghệ không thấy có sự cập nhật thêm “súng đạn” nào nữa. Có hai khả năng cho tình huống này. Thứ nhất là hacker vẫn còn đang ở khâu chuẩn bị cho một chiến dịch sắp tới. Thứ hai là do hacker đang cấu hình máy chủ web chưa chuẩn, dẫn đến khi truy cập tới địa chỉ web, mọi người có thể nhìn thấy toàn bộ danh sách các file trong thư mục - đáng ra, cần cấu hình để máy chủ hiển thị nội dung của trang lừa đảo login.php mà thôi.

CyRadar với công nghệ Predictive Analytics nhận diện tên miền Facebook lừa đảo

CyRadar với công nghệ Predictive Analytics nhận diện tên miền Facebook lừa đảo.

Hiện nay, ngoài CyRadar với công nghệ Predictive Analytics, tên miền lừa đảo này chưa được nhận diện bởi bất kỳ hệ thống bảo mật nào trên thế giới. Chuyên gia FPT khuyến cáo người dùng nên cẩn trọng trong quá trình đăng nhập Facebook (hoặc các ứng dụng khác). Đồng thời, nên thiết lập chế độ xác thức hai yếu tố (2 factors authentication) để đảm bảo an toàn cho tài khoản của mình.

Theo TechInsight

Ý kiến

()
Quan tâm nhất Mới nhất
 

×
Tags:
#nàng tiên cá #trẻ khuyết tật

Tin cùng chuyên mục