• Thứ Hai, 24/08/2009 10:29 (GMT+7)

    Twitter: “mỏ vàng” của tội phạm tin học

    Twitter, như các đàn anh đi trước: tin nhắn tức thời, MySpace và Facebook, đang phải đối mặt với tội phạm trên thế giới ảo.

    Tháng Sáu vừa rồi, cảm xúc tràn ngập trên Twitter đã cho cả thế giới thấy điều gì diễn ra trên đường phố Tehran của Iran. Dù là người dùng Twitter thường xuyên hay thậm chí ít quan tâm đến nó thì sự kiện đã qua cho thấy sức mạnh tiềm tàng của thể loại blog ngắn.

    Nhưng cùng lúc ấy, các hãng phần mềm chống virus đã cảnh báo một kiểu lừa đảo bằng email mới xuất hiện trên Twitter. Tội phạm tin học sử dụng tài khoản Twitter, lôi kéo người dùng tham gia, và tiêm nhiễm họ qua các trang thông tin giả chứa đầy phần mềm độc hại.

    Twitter, như các đàn anh đi trước: tin nhắn tức thời, MySpace và Facebook, phải đối mặt với bọn lừa đảo muốn lợi dụng nó.

    Năm 2009 là một năm khó khăn cho Twitter. Bên cạnh phải nâng cấp hệ thống nhằm đáp ứng số lượng người dùng tăng nhanh chóng, mạng xã hội này còn gặp phải chuyện tấn công tài khoản người dùng hồi tháng Giêng. Trong đó, 33 tài khoản của người xếp hạng “siêu sao” đã bị hack, có tổng thống Barack Obama, Rick Sanchez của CNN, và ngôi sao nhạc pop Britney Spears.

    Rồi tháng Tư, xuất hiện một loại sâu lây nhiễm "Mikeyy" hoặc "Stalkdaily". Twitter đã ngăn chặn kịp thời. Sau đó, Biz Stone đồng sáng lập Twitter, viết trên blog của công ty: "Twitter xem trọng an ninh và sẽ hành động trên mọi mặt trận".

    Địa chỉ web rút gọn: con dao 2 lưỡi
    Cùng với sự tăng trưởng, Twitter mở thêm chức năng rút ngắn địa chỉ URL. Do chỉ cho phép nội dung 140 ký tự nên khó có thể đưa địa chỉ web đầy đủ. Dịch vụ thứ ba như Bit.ly hay TinyURL giúp che địa chỉ URL thật, nhưng chính nó lại phát sinh thêm vấn đề về bảo mật.

    Tiếp tháng Sáu, “sóng lớn” URL nguy hiểm đã đánh vào Twitter, sử dụng Bit.ly, một website cung cấp địa chỉ rút gọn, nguỵ trang 2 tên miền low.cc và myworlds.mp, tự động tải xuống file độc có tên free-stream-player-v_125.exe (xem video). Cả 2 dịch vụ Bit.ly và TinyURL đã ngăn chặn kịp lúc, lúc này Bit.ly đã khóa 2 domain low.cc và myworlds.mp.

    Thiết lập mặc định của ZoneAlarm, phần mềm tường lửa cá nhân, không cho truy cập tới TinyURL, lý do nằm trong danh sách site có mầm mống độc hại (tuy nhiên, người vẫn có thể sử dụng TinyURL bằng cách loại nó ra khỏi danh sách đen). TinyURL có tính năng xem trước, Firefox thì có add-on “thấy” bên trong địa chỉ Bit.ly chứa gì. Một số ứng dụng bổ sung cho Twitter, như tweetdeck, tweetie có thể giúp xác định liên kết dẫn đến đâu trước khi click.

    Gần đây nhất, tháng Bảy, Aviv Raff của RSA phát động "tháng lỗi Twitter", trong thời gian đó nhà nghiên cứu sẽ chỉ ra lỗ hổng Twitter mới hàng ngày. Raff cho biết anh không có ý định “bới móc” Twitter mà ngược lại, chỉ muốn cải thiện thiếu sót của mạng xã hội này. Anh nói: "tôi hy vọng Twitter và các thư viện lập trình website 2.0 khác sẽ làm việc chặt chẽ với nhà phát triển thứ 3 để bảo mật tốt hơn. Lỗi đầu tiên Twitter thuộc dạng XSS có trong Bit.ly. Vài giờ sau tiết lộ, Bit.ly đã vá xong lỗi.

    Hãy theo tôi bạn nhé!
    Mục tiêu dễ thấy nhất của những người dùng Twitter là nhằm tạo ra một cộng đồng  “fan hâm mộ” riêng, đánh giá thành công dựa trên hàng trăm hoặc thậm chí hàng ngàn người đi theo một cái tên nào đó. Một website tên twittercut khoe rằng nó sẽ gia tăng đáng kể số lượng người đi theo, nhưng với điều kiện bạn phải cung cấp tài khoản truy cập và mật khẩu. Thực tế, các chuyên gia bảo mật cho đây là trò bịp.

    Tội phạm tin học lợi dụng những tài khoản Twitter “nhẹ dạ” sử dụng chương trình để chào mời video hấp dẫn với người khác. Khi người đi theo nhấn vào đường dẫn đăng trong tweet, mã độc sẽ khai thác lỗ hỗng PDF có trên PC chưa cập nhật bản vá.

    Kỹ thuật lừa đảo
    Thời gian đầu hầu hết “chiêu” lừa đảo trên Twitter khá đơn giản. Twitter thường xuyên gửi thông báo người dùng mới thêm vào gần nhất bằng email và đường dẫn đến hồ sơ của người vừa gia nhập. Nhưng email lừa đảo gần đây lại chứa 1 đường dẫn đến trang log-in Twitter giả mạo.

    Một cách lừa đảo khác là gửi tin nhắn kiểu: "này, kiểm tra blog đi, có điều vui về bạn lắm đó". Khi nhấn vào, nó sẽ đưa người dùng tới 1 “cái bẫy” log-in, chẳng hạn: twitter.access - logins.com/login. Bất chấp giao diện website thế nào, cách tốt nhất hãy kiểm tra địa chỉ truy cập, và suy nghĩ thật kỹ khi nhập thông tin của bạn, đặc biệt nếu đang ở trạng thái đăng nhập twitter.

    Nhiều chiến thuật khác tinh vi hơn, như trò chơi khiêu dâm. Trò chơi yêu cầu bạn tạo ra một cái tên để dùng. Có thể bạn sẽ lấy tên thú cưng đầu tiên của bạn và gép nó với con phố bạn ở. Hoặc tên thời con gái của mẹ bạn. Hay mẫu xe hơi bạn thích. Bạn có nhận ra điều này không? Chúng là câu hỏi để khôi phục mật khẩu đấy! Tin tặc sẽ sử dụng chúng để truy cập vào tài khoản Twitter hoặc tài khoản ngân hàng của bạn.

    Một vài quy tắc cơ bản để dùng Twitter an toàn hơn dựa trên ý thức người dùng. Đừng để điện thoại trả lời tự động rằng bạn đang đi xa, đừng tiết lộ kế hoạch kỳ nghỉ cũng như nơi nghỉ mát của bạn.

    Hải Phạm
    Theo PC World Mỹ

    ID: O0908_4