Cảnh báo nguy cơ bảo mật sau khi Website VietnamAirlines bị tấn công

Hơn 411.000 thông tin khách hàng thành viên Lotusmiles của Vietnam Airlines đã bị rò rỉ trên internet ngay sau khi trang web của Hãng này bị tấn công vào chiều nay.

Như tin đã đưa, khoảng 16h chiều nay, hệ thống máy tính của VietnamAirlines bị hacker chiếm đoạt và website của hãng hàng không Việt Nam cũng bị thay đổi nội dung, đồng thời đăng tải thông tin của hơn 411.000 thành viên Lotusmiles .

Ngay sau đó, tối 29/7, trang web của Liên đoàn bóng đá Việt Nam (VFF) cũng đã bị một nhóm hacker có tên Wolf Hacker tấn công làm thay đổi giao diện trang chủ.

Vẫn chưa có nhiều thông tin liên quan đến nhóm hacker Wolf Hacker tấn công vào website của VFF, nhưng nhiều khả năng nhóm này hoạt động riêng biệt so với nhóm hacker khét tiếng số 1 của Trung Quốc có tên 1937cN.

Bị tấn công, lỗ hổng từ đâu?

Mặc dù cuộc điều tra vẫn đang được các nhà chức trách tiến hành nhưng theo một hacker mũ trắng giấu tên nhận định có khả năng hacker đã tấn công vào máy chủ chứa email quản lý của VNA. Cụ thể hơn, hacker có thể lợi dụng sơ hở của người dùng để lấy được trực tiếp mật khẩu email quản lý.

Bên cạnh đó, có thể hacker đã giả dạng làm chủ sở hữu tên miền, sử dụng thủ thuật đánh lừa đội ngũ kỹ thuật nhà cung cấp tên miền để thu thập thông tin hoặc đổi email cũng như mật khẩu tài khoản quản lý tên miền.

Còn một chuyên gia an ninh mạng thì cho rằng, thông thường khi hacker tấn công một mục tiêu nào đó thì chúng đã “thâm nhập” được một thời gian, sau đó chờ đến những sự kiện hoặc thời điểm nào đó sẽ kích hoạt tấn công. Trong trường hợp website VNA bị tấn công, nhóm hacker Trung Quốc 1937cN đã chọn thời điểm Trung Quốc bị xử thua sau phán quyết đến từ Tòa Trọng tài Quốc tế (PCA) trong vụ kiện tranh chấp chủ quyền BIển Đông với Philippines hồi đầu tháng này.

1937cN là nhóm tin tặc được cho là đứng sau vụ tấn công này. Đây là nhóm tin tặc khá nổi tiếng và thuộc hàng mạnh nhất tại Trung Quốc với tổng số 36.820 cuộc tấn công đã thực hiện (theo dữ liệu từ trang web hack-cn.com).

Trước website của VNA, 1937cN cũng đã xuất hiện trong các cuộc tấn công mạng vào nhiều website của Việt Nam trong năm 2014. Tương tự như vụ tấn công lần này, 1937cN chọn những thời điểm nhạy cảm để tấn công như thời điểm tháng 5 khi Trung Quốc hạ đặt trái phép giàn khoan HD-981 vào vùng biển Việt Nam, hay Ngày kỷ niệm Quốc khánh 2/9.

Như vậy, nhiều khả năng sẽ còn nhiều cuộc tấn công khác nữa xảy ra trong tương lai, bởi nhóm 1937cN có thể đã kiểm soát nhiều hệ thống website của ta trong thời gian qua, sẵn sàng kích hoạt vào những thời điểm nhạy cảm khác.

Nhanh chóng bảo vệ tài khoản Lotus

Sau vụ tấn công xảy ra, tin tặc đã chia sẻ trên những website chia sẻ phổ biến như pastebin.com, uploadfiles.io hay mediafire.com tập tin nặng hơn 90 MB, chứa khoảng 4. Tập tin này chứa một số thông tin của hành khách như ngày tham gia chương trình, mật khẩu tài khoản, điểm tích lũy… với địa chỉ email khách hàng đã được thay thế bằng các kí tự xxxxx.

Nhưng quan trọng hơn, tin tặc đã nhúng mã độc bên trong tập tin này nhằm kiểm soát máy tính người tò mò nếu sử dụng Excel không bản quyền, từ đó tiếp tục phát tán công cụ hack của mình. Cụ thể, tin tặc đã nhúng mã khai thác lỗi zero-day (0-day) vào tập tin Excel tài khoản Lotusmiles nhằm chiếm luôn quyền điều khiển máy tính của người tải về và chờ đợi thực hiện cuộc tấn công khác như đã nói phần trên.

Với những gì mà hacker đã đăng tải, có khả năng nhóm tin tặc này đã truy cập thành công vào hệ thống khách hàng của VNA. Để hạn chế tác động, một chuyên gia bảo mật khuyến cáo những người có tài khoản Lotusmiles cần đổi mật khẩu ngay lập tức.

Bên cạnh đó, không loại trừ việc một số tin tặc lợi dụng thông tin này để cố tình phát tán thêm các loại mã độc mới, bằng hình thức dụ người dùng với những chiêu trò “câu mồi” như cung cấp thông tin khách hàng VNA để gian lận trong điểm thưởng chuyến bay….

Được biết, đến thời điểm hiện tại, đã có thông tin xác nhận những thiệt hại ban đầu từ một số người dùng tò mò tải file dữ liệu về Khách hàng Bông sen vàng của Vietnam Airlines đang phát tán trên mạng về máy tính và nhiễm virus cực kỳ nguy hiểm.

Viết bình luận