Trong không gian mạng rộng lớn, các Youtuber nổi tiếng đang là mục tiêu hàng đầu của những cuộc tấn công ngày càng nguy hiểm. Với hàng triệu người theo dõi, họ không chỉ đơn thuần là những người sáng tạo nội dung, mà còn là những cá nhân có sức ảnh hưởng mạnh mẽ trên các nền tảng truyền thông xã hội.

Gần đây, kênh YouTube MixiGaming với hơn 7,3 triệu người theo dõi của streamer nổi tiếng Độ Mixi (Phùng Thanh Độ) đã bị hacker tấn công và chiếm quyền điều khiển. Cùng thời điểm đó, kênh YouTube Quang Linh Vlogs cũng bất ngờ đổi tên thành một loại tiền số, gây hoài nghi trong cộng đồng mạng. Trên trang Facebook Phạm Quang Linh (người điều hành kênh), xuất hiện bài đăng thông báo việc “3 tài khoản YouTube thuộc hệ thống kênh của Quang Linh Vlogs đã bị hack.”

Dù có sự đa dạng về nội dung và phong cách, nhưng cả hai kênh Youtube này đều phải đối mặt với phương thức tấn công “Social Engineering” – một kỹ thuật tấn công mạng tinh vi và gây hậu quả nghiêm trọng.

Vậy Social Engineering là gì?

Social Engineering hay còn gọi là “Tấn công phi kỹ thuật”, “Kỹ thuật xã hội”, là một nghệ thuật thao túng người dùng tiết lộ thông tin bí mật. Các kỹ thuật Social Engineering phụ thuộc vào việc khai thác những yếu tố tâm lý và sự hiểu lầm về bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công, hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Thông qua việc khai thác những thói quen tự nhiên của con người, tin tặc tập trung vào việc lừa đảo hơn là tận dụng các lỗ hổng bảo mật trên hệ thống. Người dùng không có kiến thức bảo mật đầy đủ sẽ dễ trở thành mục tiêu bị tấn công.

Các phương thức tấn công

Kẻ tấn công sẽ sử dụng nhiều phương thức khác nhau để tiếp cận và lừa đảo người dùng, bao gồm:

Gửi email giả mạo: Kẻ tấn công gửi email giả mạo thông báo về các vấn đề liên quan đến tài khoản, yêu cầu cập nhật thông tin, hoặc cảnh báo về các nguy cơ tiềm ẩn. Email được gửi đến có thể chứa liên kết độc hại hoặc yêu cầu người dùng cung cấp thông tin trực tiếp.

Tạo trang web giả mạo: Kẻ tấn công lập ra các trang web giả mạo, giống với các trang web chính của các tổ chức uy tín, để lừa đảo người dung đăng nhập và cung cấp thông tin cá nhân.

Lợi dụng các sự kiện nóng: Kẻ tấn công lợi dụng các sự kiện quan trọng như bầu cử, dịch bệnh, thiên tai,… để tạo ra các email hoặc trang web giả mạo liên quan đến sự kiện đó, thu hút sự chú ý và  đánh lừa người dùng cung cấp thông tin cá nhân.

Lừa đảo qua mạng xã hội:Kẻ tấn công tạo các tài khoản giả mạo để kết bạn với người dùng. Sau khi xây dựng sự tin tưởng, hacker sẽ dùng các chiêu thức lừa đảo để thúc đẩy người dung tham gia vào các hoạt động gian lận như đầu tư tiền ảo hoặc click vào link độc hại .

Tấn công “Trojan”: Kẻ tấn công sử dụng các phần mềm độc hại để xâm nhập vào máy tính hoặc điện thoại của người dùng. Sau khi xâm nhập, chúng có thể đánh cắp thông tin cá nhân, mật khẩu tài khoản, theo dõi hoạt động trực tuyến của người dùng, v.v.

Hình thức tấn công được sử dụng trong sự cố Độ Mixi bị hack kênh Youtube

MixiGaming là kênh YouTube thuộc sở hữu của Phùng Thanh Độ, thường được biết đến với tên Độ Mixi. Đây là một trong những kênh YouTube đông người xem nhất Việt Nam với hơn 7,33 triệu người theo dõi. Theo số liệu thống kê của SocialBlade, các video được đăng tải trên MixiGaming có tổng cộng hơn 3,2 tỷ lượt xem, xếp thứ 611 thế giới về số lượng người theo dõi. 

Sau khi máy tính bị nhiễm mã độc, không chỉ kênh Youtube của Độ Mixi bị hacker chiếm quyền kiểm soát, mà tài khoản Steam, một mạng xã hội dành cho game thủ và quản lý các vật phẩm ảo, cũng bị hacker chiếm đoạt. Trước khi bị mất, tài khoản Steam của Độ Mixi chứa lượng vật phẩm ảo được định giá lên đến hàng tỷ đồng.

Theo chia sẻ của Độ Mixi trên sóng livestream sau khi lấy lại được kênh, nguyên nhân của vụ việc này là do anh đã bị lừa khi cài đặt mã độc trên máy tính cá nhân, sau khi nhận email giả mạo từ hacker. Hacker đã giả danh là nhà phát hành game Black Myth: Wukong, một tựa game đang gây sốt trong cộng đồng game thủ. Độ Mixi đã tiết lộ rằng thủ đoạn của hacker rất tinh vi, khiến anh dễ dàng bị đánh lừa.

Vậy “con đường” hacker tấn công vào kênh của Youtuber nổi tiếng này như thế nào?

Mô hình tấn công

Mô tả chi tiết:

Bước 1: Lựa chọn mục tiêu và phương thức tấn công

Black Myth: Wukong là tựa game hành động nhập vai được đông đảo game thủ mong chờ, lấy cảm hứng từ Tây Du Ký. Nắm bắt được điều này, kẻ tấn công đã chọn Độ Mixi, một streamer nổi tiếng về mảng game, làm mục tiêu tấn công.

Hacker đã tạo email giả mạo nhà phát hành game Black Myth: Wukong, với nội dung mời streamer Độ Mixi tham gia trải nghiệm game sớm trước khi ra mắt. File mã độc được viết bằng Python và compile thành exe thành PyInstaller, sau đó hacker đã thêm các null byte để tăng dung lượng lên 660 MB để nhằm qua mặt các trang quét AV online như VirusTotal (giới hạn 650MB).

Kẻ tấn công trả lời từng email một cách cẩn thận, giả mạo nhân viên của Game Science và giải đáp các thắc mắc của người nhận một cách chuyên nghiệp, cụ thể. Hacker đã không vội vàng khi gửi mã độc cho Độ Mixi mà chờ một khoảng thời gian để tạo nên sự tin tưởng.

Bước 2: Vì file game thường có đuôi .exe, nên khi cài đặt và chạy nó, Độ Mixi đã không hề nghi ngờ. Tuy nhiên, sau khi các chuyên gia phân tích file mã độc, họ phát hiện đó là một dạng mã độc Stealer. Sau khi được chạy, mã độc này sẽ bắt đầu thu thập và đánh cắp cookie, password đã lưu trên trình duyệt của người dùng. Hơn nữa, nó còn tiến hành quét các thông tin trong mạng nội bộ của máy tính. Khi đã có đủ thông tin, stealer sẽ tự động gửi dữ liệu về máy chủ của hacker.

Bước 3: Sau khi thu thập cookie, kẻ tấn công có thể đăng nhập vào tài khoản của nạn nhân  để thực hiện các hành vi xâm nhập mà không gặp bất cứ cơ chế xác thực 2 lớp (2FA) nào.

Đáng chú ý, sau khi Độ Mixi đã khôi phục quyền quản trị trên kênh YouTube của mình, chỉ sau 30 phút, hacker lại chiếm lại quyền điều khiển. Lý do cho sự việc này có thể được giải thích qua một tính năng đặc biệt của YouTube, đó là tính năng gửi lời mời quản trị kênh. Ví dụ, nếu tài khoản A gửi lời mời cho tài khoản B để làm quản trị viên cho kênh C, và sau đó tài khoản B khóa tài khoản Google của mình, thì lời mời này sẽ không còn xuất hiện trong lịch sử. Sau khi nạn nhân khôi phục lại tài khoản, hacker có thể mở tài khoản B và chấp nhận lời mời quản trị để tiếp tục chiếm quyền điều khiển kênh.

Khuyến nghị từ chuyên gia an ninh mạng VNCS Global

Cẩn thận với các email và tin nhắn lạ: Hãy luôn cẩn thận khi nhận email hoặc tin nhắn từ nguồn không rõ, không bấm vào các liên kết hoặc tệp đính kèm nếu không chắc chắn về tính xác thực của chúng: Email giả mạo và tin nhắn lừa đảo là phương tiện phổ biến để tấn công người dùng. Việc mở các liên kết hoặc tệp đính kèm trong những email hoặc tin nhắn không xác định nguồn gốc có thể dẫn đến việc cài đặt phần mềm độc hại hoặc lừa đảo thông tin cá nhân.

Xác minh thông tin:Trước khi cung cấp bất kỳ thông tin cá nhân hoặc quan trọng nào, hãy luôn kiểm tra và xác minh tính xác thực của người yêu cầu. Ngay cả khi họ tự xưng là người quen hoặc có chức vụ cao, hãy kiểm tra kỹ lưỡng trước khi tiến hành bất kỳ hành động nào. Hacker thường sử dụng các chiêu lừa đảo với danh tính giả mạo để thu thập thông tin cá nhân từ người dùng. Việc kiểm tra và xác minh thông tin trước khi chia sẻ có thể giúp ngăn chặn các cuộc tấn công này.

Có phương thức quản lý kiểm soát các tài khoản hoặc các phương thức truy cập đặc quyền ( Security Token,…). Quản lý quyền truy cập đặc quyền rất quan trọng trong tổ chức vì nó giúp ngăn chặn nguy cơ từ các tài khoản có quyền hạn cao. Hacker thường tìm cách tấn công các tài khoản đặc quyền để xâm nhập vào toàn bộ tổ chức. Phương pháp này giúp giải quyết những lỗ hổng bảo mật và giảm thiểu nguy cơ từ việc sử dụng mật khẩu quản trị viên chung. Nó cũng đơn giản hóa việc quản lý tài khoản và quyền truy cập nâng cao trong các ứng dụng đám mây. Bằng cách giảm bề mặt tấn công và rủi ro từ các mối đe dọa bảo mật, giúp bảo vệ dữ liệu và hệ thống của tổ chức.

Cập nhật phần mềm: Luôn giữ phần mềm và hệ điều hành ở bản cập nhật mới nhất để bảo vệ chống lại các lỗ hổng bảo mật tiềm ẩn. Việc cập nhật đều đặn giúp đảm bảo rằng máy tính của luôn được bảo vệ khỏi các mối đe dọa mới nhất.

Nâng cao nhận thức về Social Engineering: Hiểu biết về các kỹ thuật Social Engineering phổ biến giúp người dùng nhận biết và tránh xa các chiêu lừa đảo trực tuyến. Điều này có thể bao gồm việc phân biệt và xác định các tin nhắn lừa đảo, email giả mạo và các cuộc gọi trực tuyến độc hại.

Sử dụng các công cụ bảo mật: Các công cụ bảo mật như phần mềm diệt virus và tường lửa giúp bảo vệ máy tính của bạn khỏi các phần mềm độc hại và các mối đe dọa trực tuyến khác.

Liên hệ với chuyên gia an ninh mạng: Nếu nghi ngờ mình đã bị tấn công hoặc gặp phải bất kỳ vấn đề bảo mật nào, hãy liên hệ ngay với chuyên gia hoặc các tổ chức an ninh mạng để được tư vấn và hỗ trợ kịp thời. Điều này giúp người dùng xác định và giải quyết các vấn đề bảo mật một cách hiệu quả và nhanh chóng.

 

Chú thích:

2FA: Xác thực hai yếu tố (2FA) là một lớp bảo mật bổ sung giúp bảo vệ tài khoản của bạn khỏi bị truy cập trái phép. Khi bạn bật 2FA, bạn sẽ cần cung cấp hai thông tin để đăng nhập:

• Mật khẩu của bạn
• Một mã được tạo bởi một ứng dụng xác thực hoặc được gửi đến thiết bị di động của bạn

Cookie : Cookie là một tệp nhỏ được lưu trữ trên trình duyệt của bạn khi bạn truy cập một trang web. Cookie lưu trữ thông tin về hoạt động của bạn trên trang web, chẳng hạn như thông tin đăng nhập của bạn, các mục trong giỏ hàng của bạn và các cài đặt của bạn. Vì vậy khi có cookie, hacker sẽ cung cấp cho server cookie đó để đăng nhập và do bạn đã xác thực 2FA trước đó, nên hacker sẽ không phải xác thực lại nữa.

---