Vào buổi sáng sớm ngày 21/10/2014, một người tên Partap Davis đã mất
3600$. Anh chỉ mới đi ngủ khi đồng hồ điểm 2 giờ đêm trong căn nhà tại
tiểu bang New Mexico, Mỹ sau khi thức chơi game World of Tanks. Trong
lúc anh ngủ, một ai đó đã can thiệp vào tất cả mọi cơ chế
bảo mật
online mà Davis thiết lập. Và khi thức dậy, hầu hết những thứ liên quan
đến cuộc sống trên mạng của anh đều bị tấn công: 2 tài khoản email, số
điện thoại, tài khoản Twitter, dịch vụ cung cấp cơ chế bảo mật hai lớp,
và quan trọng hơn, chiếc ví tiền
bitcoin của anh.
Davis rất cẩn thận về mặt
an toàn thông tin.
Anh chọn password khó và không nhấn vào những đường link nghi ngờ. Anh
sử dụng bảo mật hai lớp cho Gmail, vì thế mỗi khi đăng nhập Gmail từ một
máy tính mới thì anh phải nhập vào 6 con số được nhắn vào điện thoại
của anh nhằm đảm bảo rằng đây chính là Davis. Anh còn kiếm được tiền từ
sự nổi dậy của loại tiền tệ Bitcoin và nắm giữa số tiền của mình trong 3
chiếc "ví" riêng biệt được quản lý bởi 3 dịch vụ khác nhau là Coinbase,
Bitstamp và BTC-E. Trong đó, anh kích hoạt bảo mật hai lớp với Coinbase
và BTC-E. Mỗi lần anh muốn truy cập tài khoản của mình, anh phải xác
thực việc đăng nhập thông qua Authy, một ứng dụng cài trên điện thoại.
Ngoài việc chơi Bitcoin ra thì phần còn lại của Davis khá giống với một
người sử dụng web bình thường. Anh kiếm sống bằng nghề lập trình, anh
chia thời gian giữa việc phát triển một phần mềm video dùng trong giáo
dục với các công việc khác. Vào cuối tuần, anh thích chơi trượt tuyết,
khám phá khu vực xung quanh nhà. Đây là năm thứ 10 anh ở đây, và anh
cũng mới bước qua tuổi 40.
Sau khi bị
hack,
Davis đã dành nhiều tuần liền theo dõi xem làm thế nào mà chuyện này có
thể xảy ra, ghép từng mảnh từng mảnh của một bức tranh thông qua các
file log truy cập cũng như đại diện hỗ trợ khách hàng của các dịch vụ mà
anh sử dụng. Song song đó, anh còn tiếp cận với trang The Verge để nhờ
sự trợ giúp. Đến giờ thì họ vẫn chưa biết mọi thứ - và cũng chưa biết ai
làm chuyện đó - nhưng Davis và những người hỗ trợ anh đã biết đủ để
giải thích về cách mà
hacker
đã tấn công các tài khoản của anh, và chỉ ra những điểm yếu "chết
người" trong cuộc sống ảo của không chỉ Davis mà còn của chúng ta, những
người đang xài Internet hằng ngày.
Sơ đồ vụ hack
MAIL.COM
Mọi thứ bắt đầu với email của Davis. Khi anh lần đầu tiên tạo tài khoản email, Davis nhận thấy rằng tài khoản
Partap@gmail.com đã có người sử dụng rồi, thế nên anh chuyển sang dùng dịch vụ của trang
Mail.com và thiết lập địa chỉ
Partap@mail.com để tiện trao đổi công việc. Anh còn thiết lập tự động forward email từ địa chỉ này sang một địa chỉ gmail khác khó nhớ hơn.
Vào khoảng 2 giờ đêm ngày 21/10, những đường kết nối này đã bị phá vỡ. Một ai đó chui được vào tài khoản
Partap@mail.com của Davis và dừng việc forward thư nói trên, ngoài ra người này còn liên kết một số điện thoại mới vào tài khoản
mail.com mà ở tận Florida. Email dự phòng của Davis cũng bỗng nhiên bị đổi thành
swagger@mailinator.com.
Đây là manh mối gần nhất mà Davis và cộng sự có được khi điều tra về
nghi phạm, và để đơn giản thì từ giờ sau chúng ta sẽ gọi nghi phạm này
là Eve.
Vậy làm thế nào Eve có thể đột nhập vài tài khoản
Mail.com
của Davis? Chúng ta không thể chắc chắn, nhưng nhiều khả năng Eve đã sử
dụng một đoạn mã nhằm vào điểm yếu nằm ở trang reset mật khẩu của
Mail.com.
Davis và các cộng sự biết rằng đoạn mã này là có tồn tại. Trong nhiều
tháng trời, người dùng trên diễn đàn Hackforum đã bán một đoạn mã với
tính năng này, và nó sẽ làm reset mật khẩu của một tài khoản
Mail.com
được chỉ định. Giá bán rất rẻ, chỉ 5$ cho một tài khoản. HIện chưa rõ
đoạn mã đó khai thác lỗ hổng bảo mật ra sao và liệu nó đã được vá hay
chưa, nhưng đó lại là tất cả những gì Eve cần. Eve có thể xài đoạn mã
này để reset mật khẩu của Davis và đổi thành một chuỗi kí tự mà chỉ hắn
biết.
SỐ ĐIỆN THOẠI AT&T
Bước kế tiếp của Eve đó là chiếm quyền kiểm soát số điện thoại của
Davis. Hắn không có mật khẩu AT&T (một nhà mạng của Mỹ, nơi cung cấp
dịch vụ mạng di động cho Davis), nhưng hắn giả vờ quên mật khẩu này và
yêu cầu trang web
ATT.com gửi một đường link để reset nó. Đường link này được gửi vào đâu? Vào tài khoản
partap@mail.com, và bởi vì hắn đã chiếm được tài khoản email này nên việc reset luôn mật khẩu AT&T không còn là chuyện phức tạp.
Khi đã có trong tay tài khoản AT&T, hắn yêu cầu dịch vụ chăm sóc
khách hàng của nhà mạng chuyển tiếp bất kì cuộc gọi nào đến số của Davis
sang số điện thoại của hắn ở Florida. Thực chất mà nói thì việc thiết
lập chuyển tiếp sẽ cần nhiều bước bảo mật hơn, và cần nhiều hơn là một
địa chỉ email. Nhưng khi đối mặt với một khách hàng đang (tỏ vẻ) giận
dữ, nhân viên chăm sóc khách hàng thường dễ dãi cho qua và đặt sự hài
lòng của khách hàng lên trên sự bảo mật.
Lúc thiết lập chuyển tiếp cuộc gọi xong, tất cả mọi cuộc gọi của Davis
giờ sẽ là của Eve. Davis vẫn nhận được tin nhắn SMS và email bình
thường, nhưng cuộc gọi thì đã bị chuyển hướng sang
tin tặc.
Davis không hề nhận ra điều này cho đến mãi 2 ngày sau khi vụ tấn công
xảy ra khi sếp của anh phàn nàn vì sao anh không nhấc máy khi ông gọi.
GOOGLE VÀ AUTHY
Kế tiếp, Eve muốn chiếm tài khoản Google của Davis. Các chuyên gia
thường nói với chúng ta rằng việc bảo mật là an toàn nhất hiện nay nhằm
chống lại các vụ tấn công. Một hacker có thể có password của một và một
tên trộm có thể lấy điện thoại của bạn, nhưng khó mà có cả hai cùng lúc.
Miễn chiếc điện thoại là một vật hữu hình thì hệ thống này sẽ hoạt động
tốt. Tuy nhiên, người ta thường xuyên đổi điện thoại, nhất là với những
người thích công nghệ, và họ cũng muốn thay thế các dịch vụ của mình
luôn.
Davis không sử dụng ứng dụng Google Authenticator để tạo mã đăng nhập
khi đăng nhập 2 lớp - vốn là tùy chọn an toàn hơn, nhưng anh ấy có thiếp
lập 2 lớp bằng tin nhắn. Tức là mỗi khi Davis muốn đăng nhập Gmail trên
một thiết bị mới, Google sẽ nhắn cho anh ấy một mã xác nhận vào điện
thoại. Tin nhắn này không được chuyển đến Eve, nhưng hắn đã có đường
khác.
Google có tùy chọn thực hiện một cuộc gọi đến số điện thoại khách hàng
để đọc mã này (phòng khi bạn là người khiếm thị, hoặc vì lý do gì đó mà
trình nhắn tin trên điện thoại của bạn không hoạt động). Và bởi vì mọi
cuộc gọi đã được chuyển tiếp tới của Eve, hắn ta có thể nghe được mã xác
nhận của lớp bảo mật thứ hai. Và thế là "đi đời" tài khoản Gmail cua
Davis.
Authy thì lại khó phá hơn. Nó là một ứng dụng, giống như Google
Authenticator, và không bao giờ rời khỏi điện thoại của Davis. Nhưng Eve
lại có thể đơn giản cài Authy vào điện thoại của riêng hắn bằng tài
khoản
mail.com
nói trên và một mã xác nhận mới (cũng được gửi thông qua cuộc gọi). Vài
phút sau khi đồng hồ điểm 3 giờ đêm, tài khoản Authy được chuyển quyền
kiểm soát sang Eve.
Cả Authy và Gmail đều bị lừa bởi Eve: miễn là hắn có được email và số
điện thoại của Davis, hệ thống bảo mật hai lớp không còn hoạt động nữa.
Vào lúc này, Eve đang nắm trong tay nhiều quyền kiểm soát về cuộc sống
online của Davis hơn là những gì anh đang có trong tay. Ngoài SMS, giờ
đây tất cả mọi con đường khác đều đi về tay Eve.
COINBASE
Vào 3:19 phút sáng, Eve reset tài khoản Coinbase của Davis bằng cách dùng Authy và địa chỉ
mail.com
của anh. Đến 3:55, hắn đã chuyển tất cả số bitcoin có trong tài khoản
sang một tài khoản rác do hắn ta sở hữu, và số bitcoin đó có giá trị
tương đương 3600$ vào thời điểm đó.
Từ đây, Eve thực hiện 3 lần rút tiền: cái đầu tiên vào khoảng 30 phút
sau khi tài khoản rác được mở, cái thứ hai diễn ra vào 20 phút sau, và
lần cuối cùng vào 5 phút sau. Kể từ lúc này, tiền đã không còn trong tài
khoản rác của hắn và tất nhiên tài khoản rác đó cũng chẳng tiết lộ được
gì về danh tính của Eve. Chỉ ít hơn 90 phút sau khi tài khoản
Mail.com của Davis bị hack, một khoản tiền lớn do anh sở hữu đã không cánh mà bay.
Authy có thể biết điều gì đang xảy ra. Dịch vụ này theo dõi mọi hành vi
đáng ngờ, và mặc dù Authy rất kín tiếng về những gì mà họ theo dõi, có
vẻ nhưng một tài khoản bị reset giữa đêm từ một số điện thoại nằm ở xa
lắc có thể sẽ gây ra vài báo động nào đó. Tuy nhiên, số điện thoại này
lại không nằm ở những "trung tâm lừa đảo" như Nga hay Ukraine (mặc dù có
thể Eve ở đó thật). Có lẽ càng đáng ngờ hơn khi mà Eve đăng nhập vào
Coinbase từ một địa chỉ IP bên Canada.
Trong tình huống đó, liệu Authy có thể ngăn chặn việc tấn công hay
không? Các hệ thống bảo mật hiện đại, ví dụ như ReCAPTCHA của Google, có
thể làm được điều đó nhờ phân tích những dữ liệu phức tạp liên quan đến
người dùng và hành vi của họ, nhưng còn Coinbase và Authy thì chỉ "thấy
được phân nửa bức tranh", họ không có đủ lý do để ngăn chặn việc này.
BTC-E VÀ BITSTAMP
Khi Davis thức dậy, thứ đầu tiên anh để ý đó là tài khoản Gmail của anh
đã bị đăng xuất một cách bí ẩn. Mật khẩu đã bị thay đổi, và anh không
thể đăng nhập lại. Khi anh đã vào lại tài khoản, anh chợt nhận ra thiệt
hại lớn đến mức nào. Có hàng tá email liên quan đến việc reset tài
khoản, và anh biết ngay mình đang bị gì. Khi anh tìm được cách vào tài
khoản Coinbase của mình, anh thấy nó rỗng tuếch. Eve đã chạy thoát với
10 đồng bitcoin với giá trị khoảng 3000$ vào thời điểm đó. Sau đó anh
phải mất nhiều giờ gọi điện với nhân viên chăm sóc khách hàng của các
dịch vụ, kèm theo đó là bản fax bằng lái xe để thuyết phục các hãng rằng
ahh chính là Partap Davis thật.
Vậy còn tiền trong hai ví Bitcoin còn lại thì sao? Chúng chứa số tiền có
giá trị khoản 2500$, và sở hữu đầy đủ những tính năng bảo mật mà
Coinbase có. Tuy nhiên, khi Davis kiểm tra thì hai tài khoản BTC-E và
BitStamp lại không bị mất tiền (nhưng vẫn bị mất password). BTC-E đã
ngưng giao dịch với tài khoản của anh trong vòng 48 giờ kể từ khi
password bị đổi nên anh may mắn có thời gian để khắc phục vấn đề.
BitStamp thì có cơ chế bảo mật còn đơn giản hơn: khi Eve email để yêu
cầu reset tài khoản của Davis, nhân viên BitStamp đòi hình ảnh về bằng
lái xe của Davis. Đây là thứ duy nhất mà hắn ta không có trong tay dù có
cố hack online như thế nào đi nữa. Chính vì thế, 2500$ của Davis vẫn
còn an toàn.
TWITTER
Đã nhiều tháng trôi qua kể từ vụ tấn công và giờ Davis đã ổn định trở
lại. Dấu hiệu cuối cùng mà Davis nhận thấy đó là sự đột nhập vào tài
khoản Twitter của anh, vốn vẫn bị hack nhiều tuần sau đó. Cái tên
@Partap khá ngắn gọn, thế nên Eve muốn chiếm lấy nó, thay hình ảnh mới
và xóa đi các dòng tweet của Davis. Vài ngày sau, Eve thậm chí còn đăng
một tấm ảnh về một tài khoản Xfinity nào đó bị hack rồi tag những người
khác vào. Tài khoản này không thuộc về Davis mà của một người khác. Eve
chỉ muốn dùng @Partap như một tài khoản tạm để thực hiện những vụ án kế
tiếp, giống như việc đánh cắp một chiếc xe để chạy trốn vậy.
________________________________________
Ai đúng sau cuộc tấn công này? Davis đã dành nhiều tuần để hòng tìm ra
được tin tặc nhưng anh vẫn chưa đạt được nhiều tiến triển đáng kể. Theo
các ghi nhận về việc đăng nhập tài khoản, máy tính của Eve có các địa
chỉ IP xuất phát từ Canada, tuy nhiên hắn có thể dễ dàng giả địa chỉ này
từ bất kì đâu trên thế giới thông qua những dịch vụ như Tor hay xài
VPN. Số điện thoại của hắn thì được đăng kí cho một chiếc điện thoại ở
bang California nhưng nhiều khả năng đây chỉ là một cái điện thoại bị
trộm. Dù Eve là ai, hắn ta cũng đã thoát được.
Vì sao hắn chọn Partap Davis? Chúng ta có thể giả định rằng hắn biết
trước về các ví tiền Bitcoin của anh. Hoặc cũng có thể trong lúc "quậy
phá" tài khoản
Mail.com
của Davis, hắn đã thấy những email từ các dịch vụ Bitcoin của anh. Hiện
nay một danh sách tên người dùng của Coinbase cũng đang bị rò rỉ trên
Internet (nhưng tên Davis thì lại không có trên đó), hoặc có thể tên anh
xuất phát từ một nhà sản xuất hay một ai đó mà chúng ta không biết
được.
Davis giờ trở nên cẩn thận hơn với các ví Bitcoin của mình, và anh cũng không còn sử dụng tài khoản
Mail.com
nữa. Nhưng còn hầu hết những thứ còn lại thì không có gì thay đổi.
Coinbase từng hoàn tiền lại cho khách bị hack nhưng lần này họ từ chối
bởi họ cho rằng đây không phải là lỗi của công ty. Davis cũng đã gửi một
báo cáo lên FBI nhưng có vẻ như cục cũng không có nhiều hứng thú với
một vụ trộm Bitcoin đơn lẻ. Điện thoại thì anh không thể bỏ được,
Twitter hay Gmail cũng thế. Trong thế giới bảo mật, người ta gọi đây là
"attack surface" (tạm dịch: tấn công bề mặt). Càng có nhiều tài khoản
(tức "bề mặt" càng rộng), thì càng khó để bảo vệ.
Quan trọng hơn, việc reset password vẫn còn quá dễ dàng, đó là lý do vì
sao Eve có thể lần lượt reset hết tài khoản này đến tài khoản khác mà
không gặp khó khăn gì đáng kể. Khi một dịch vụ ngăn chặn được hắn ta thì
về mặt lý thuyết, khách hàng phải đợi 48 tiếng trước khi có thể được
cấp password mới.
Dưới góc nhìn kĩ thuật thì đây là điều không khó, nhưng nó khiến những
khách hàng bình thường cảm thấy khó chịu, và điều đó làm ảnh hưởng đến
sự hài lòng của họ với công ty. Các công ty Internet phải liên tục cân
bằng giữa sự tiện lợi của người dùng với sự bảo mật. Nếu họ làm thao tác
bảo mật quá khó thì không ai sử dụng sản phẩm, còn nếu làm quá đơn giản
thì người dùng lại dễ bị tấn công. Một vài người có thể mất quyền kiểm
soát tài khoản, nhưng hàng triệu người khác thì cảm thấy tiện và yêu
thích hơn. Đó là một sự đánh đổi, và thường thì các công ty ưu tiên hơn
cho tính tiện dụng...
Qua chuyện này chúng ta thấy được rằng cuộc sống online của chúng ta đầy
rẩy nguy hiểm. Việc bạn sử dụng bảo mật 2 lớp vẫn có thể bị tấn công
như thường, quan trọng là trình độ hacker đến đâu.
Với những tài khoản
quý giá liên quan đến việc làm ăn và tiền bạc thì bạn càng phải cẩn thận
hơn nữa và nên ưu tiên kích hoạt các chế độ bảo mật cao nhất có thể.
Đừng hi sinh bảo mật và sự tiện dụng với những tài khoản quan trọng bởi
một ngày nào đó khi bị mất đi thì bạn sẽ phải vất vả lắm mới lấy lại
được quyền kiểm soát, hoặc thậm chí là không bao giờ. HÃY CẨN THẬN!
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_ujiu3evlpZNZBNGTxnPI7KaRmWV_lfglsNilcIukmAY7He4sOhtVyoXVa0ACR6GN_ZWDUCNmAr99b0DwLefjAlo2NvxpchcCTrJgYzNyV9CmPjFVsPYRwMlSTuuRaMxw=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_uLzCtt-i5adI1_7Yrzjaw4z0pISJMQhZOaadBTBf7hga8eIFcNuYgzfLcffYChhoJs0_W4YAdjCm_TD-kGxFRpg-nYvbddmuxV6dCKqAv9jQoOKcwD6_KnNlQNNMHw=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_vIt7hWW9QFC-FwKwtBnGuk2lySOlUgkdOQoNEj-Hw-cDbgtXfy1C0b1IkIjz3s4LXohiKlLwOWSI6hBWc1ZTlkOp_Lt2q9JS5OUJzoZsJtJ6w9DJJa1421fxipaYujAUlh=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_upK3LZdihBw_NB-twMJQlMNPax4wXoxQibWDJuqfgKwTXDg0-MUO22b1BvWMxbYg-72W6RDDXaKf2BJH3YkIXiaBlEUN69gISHgZb4gAckuCzp87Pcf-XC3SD__jKe=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_vcYJmz1dIqKDSjKSde3-V2Asv01BXVwADUe4m3W1_8_1pSnOy2-9eT3incqEMAj4IcotxEDc8Y_q0G3IH9XeLUnl_F5cHJAVJI_f-osDyFlPvBDv327n7rxWk5La-F3q9W257XbHrS_IKnBQpMh1g=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_tg6vwFOFpm52lGpMeFig3dnyju3bxTH7DFdaTq-QKZHZMpb5xvlqD2tbejPEGmrFNpNtX-a6g1o2rVPXmZz0IE_UtEGga0vLPUNkhaUImRG8BPXQr9SX3yKbps1w=s0-d)
![[IMG]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_uZaANeWZ-EsCEidfMwGYjS3S-7D-hLHjYbDUsL68jzQ3LOts4bo2alFgLpSW_dCx-gK8Ke6ySCpNsgZ5O77i4WCxwkCpDJ4a-NQ-MJrfRAN3GP9qmSXFvVEW2Ecqk5UMCAOAifCxTl=s0-d)