Một
hacker đã đưa lên YouTube đoạn video mô tả việc dễ dàng lấy được thông
tin đăng nhập tài khoản Yahoo của nạn nhân đơn giản bằng cách dụ họ bấm
vào một đường link.
Cuối tuần qua, một loạt người dùng Yahoo
Mail đã bị khống chế tài khoản sau khi họ cả tin bấm vào một đường link
nhận được trong hòm thư (có vẻ được gửi từ bạn bè họ). Yahoo cho hay họ
đã vá lỗ hổng liên quan, tuy nhiên, các chuyên gia bảo mật khẳng định
vấn đề chưa được giải quyết dứt điểm.
Bằng chứng là hacker có tên Shahin
Ramezany đã tự tiến hành thử nghiệm khai thác lỗ hổng DOM-Based XSS để
ăn trộm mật khẩu hòm thư. Khi nạn nhân click vào URL, các cookies (hoạt
động của người dùng trên web được trình duyệt lưu lại) sẽ lập tức được
gửi tới máy của kẻ tấn công và người này sẽ biết được thông tin tài
khoản của nạn nhân. Thủ thuật này có thể được áp dụng trên mọi trình
duyệt phổ biến hiện nay như Internet Explorer, Chrome, Firefox...
Sau khi kiểm soát được tài khoản, kẻ xấu
có thể sử dụng hòm thư đó hoặc nick Yahoo Messenger để tiếp tục phát
tán link chứa mã độc tới bạn bè của nạn nhân. Do đó, giới bảo mật khuyến
cáo người sử dụng nên cân nhắc kỹ trước khi bấm vào bất cứ nội dung gì,
dù do chính người quen biết gửi đến.
Tình trạng bị mất nick Yahoo sau khi bấm
vào link đang diễn ra khá phổ biến và clip này giúp mọi người hình dung
rõ hơn cách hacker lấy mật khẩu.
Theo VNE
0 comments:
Post a Comment