25/09/2018, 22:27

Chuyện vui: Chuyên gia bảo mật gửi ngược ransomware lại cho kẻ lừa đảo qua mạng

Ivan Kwiatkowski là một nhà nghiên cứu bảo mật. Cách đây ít lâu, anh nhận được cuộc gọi của cha mẹ mình nói rằng máy tính của họ đã bị nhiễm virus “Zeus” vì họ thấy thông báo đó xuất hiện trên một trang web. Hóa ra đây chỉ là một cách lừa đảo, và Kwiatkowski đã lợi dụng ...

Ivan Kwiatkowski là một nhà nghiên cứu bảo mật. Cách đây ít lâu, anh nhận được cuộc gọi của cha mẹ mình nói rằng máy tính của họ đã bị nhiễm virus “Zeus” vì họ thấy thông báo đó xuất hiện trên một trang web. Hóa ra đây chỉ là một cách lừa đảo, và Kwiatkowski đã lợi dụng sự cả tin của những hacker để dụ chúng chạy ransomware và mã hóa file trên chính máy tính của chúng. Mời các bạn đọc câu chuyện thú vị và hóm hỉnh bên dưới, thông qua đó cũng rút ra cho mình một bài học về việc cẩn thận khi thấy các thông báo virus nhảy ra trong lúc duyệt web.

I. Rawesome là gì?

Ransomware là một loại malware (phần mềm mã độc) ngăn chặn hoặc giới hạn người dùng sử dụng thiết bị hoặc dữ liệu của mình. Một số thì đi mã hóa file khiến bạn không thể mở được tài liệu quan trọng, một số khác thì dùng cơ chế khóa máy để không cho nạn nhân tiếp tục sử dụng. Hãng bảo mật Trend Micro giải thích thêm rằng loại malware này buộc nạn nhân phải trả tiền để lại có quyền sử dụng tiếp hệ thống của họ, thế nên mới có chữ “ransom” – nghĩa là tiền chuộc. Khoảng tiền này có khi chỉ vài đô la, có khi lên đến vài chục, thậm chí là cả trăm USD (từng có trường hợp phải trả 600$). Một số tin tặc khác thì dùng bitcoin cho an toàn và tránh bị bắt. Nhưng cũng cần nhấn mạnh rằng ngay cả khi bạn đã trả tiền rồi thì không có gì đảm bảo tin tặc sẽ cấp quyền truy cập trở lại cho bạn hay còn làm thêm điều gì tệ hại hơn.

II. Câu chuyện bắt đầu

Vài ngày trước tôi nhận được cuộc gọi của cha mẹ mình nói rằng bằng cách nào đó họ đã truy cập vào trang web xxx và trang này nói rằng máy tính của họ đang bị nhiễm virus Zeus. Trên website này là những âm thanh được autoplay, các hộp thoại cảnh báo viết bằng JavaScript nhảy ra liên tục, một hình nền xanh dương với các chữ nhìn khá là máy móc trông như màn hình xanh chết chóc, ngoài ra còn có một địa chỉ IP ngẫu nhiên nào đó thay vì hiển thị địa chỉ của máy tính đang truy cập.

Thế là tôi quyết định gọi điện về số điện thoại “hỗ trợ kĩ thuật” in trên website này. Trước đó, tôi chạy môt máy ảo Windowx XP lên để nếu cần thì “kĩ thuật” sẽ vào xem cho tôi. Khi gọi đến, tôi được chào đón bằng đoạn ghi âm khá là chuyên nghiệp, tương tự như những gì bạn nghe thấy khi gọi phone vào các công ty lớn. Rồi cũng có một người tên Patricia nhấc máy.

Screen Shot 2016-09-13 at 3.21.25 PM

III. Cuộc gọi đầu tiên

Ngay lập tức, tôi gieo hi vọng cho cô gái ở đầu dây bên kia bằng cách nói tôi là một doanh nhân đang làm việc với một hợp đồng quan trọng có giá trị tiền bạc lớn, và thời gian rất eo heo. Tôi nói tiếng Pháp, Patricia cũng nói tiếng Pháp nhưng rất tệ nên tôi đề nghị kiếm cách khác chứ không thể hỗ trợ qua điện thoại được. Thế là cô ta hướng dẫn tôi cài một loại phần mềm hỗ trợ điều khiển từ xa từ website remote.join360.net và truy cập được vào máy tính của tôi.

Trò vui bắt đầu từ đây. Thứ đầu tiên Patricia làm đó là chạy Command Prompt lên và gõ lệnh dir /s để liệt kê danh sách file đang có trong máy. Cô ta làm vậy để lấy được sự tin tưởng của tôi về chuyên nghề của cô ấy. Cô ta nói ngày tháng năm của các file này trùng với ngày truy cập của tôi. Trong khi đó, tôi vẫn âm thầm nhấn Control C để copy lại tất cả mọi thứ.

Bất ngờ hơn, cô ta bắt đầu GÕ THỦ CÔNG dòng chữ “1452 virus found” và “ip hacked” lên của sổ Command Prompt! Vâng, gõ thủ công. Cô ta hỏi tôi có xài phần mềm chống virus nào không, tôi nói là không vì chúng đắt quá vì anh chàng @taviso cứ làm chúng hỏng hoài. Rồi một thứ kì lạ diễn ra. Cô ta nói tôi đã hết phiên hỗ trợ miễn phí 15 phút và cô ta sẽ gọi lại cho tôi để tôi không phải trả cước phí điện thoại.

Tôi tin rằng 115.115.67.53 là địa chỉ IP thật của đám lừa đảo này

Vài phút sau, tôi nhận được một cuốc điện thoại từ số điện thoại ở bang Pennsylvania, Mỹ (+1-267-460-7257). Patricia nói rằng máy tính của tôi đã bị nhiễm virus và bây giờ nó cần phải được dọn dẹp. Cô ta nói tôi hãy mua một trong hai phần mềm ANTI SPY hoặc ANTI TROJAN với tổng số tiền cần thanh toán vào khoảng 189,90$. Trước khi tôi đưa cô ta số thẻ tín dụng của tôi, cô ấy quay trở lại màn hình Command Prompt khi nãy và gõ lệnh “netstat” (dùng để kiểm tra trạng thái mạng) và nói rằng có ai đó đang kết nối vào máy tính của tôi ngay vào lúc này.

Tôi hỏi: Chẳng phải đó là cô sao. Cái này nói rằng có ai đó từ Delhi đang vào máy tôi. Một khoảng lặng diễn ra, rồi cô ta nói tôi rằng cô ta thực chất chính là dòng “localhost” vì chữ localhost này có nghĩa là kết nối an toàn (tất nhiên đây không phải là sự thật). Tôi cãi lại: “Cô có chắc không? Tôi nghĩ rằng localhost có nghĩa là máy tính local của tôi”. Cô ta ngập ngừng một chút rồi nói lại rằng đoạn mã mà cô ta vừa chạy chỉ ra rằng có ai đó từ Delhi, cùng vị trí với cô ta nhưng là một người khác hoàn toàn – một hacker đang muốn lấy trộm thông tin.

Thế rồi chúng tôi lại nói về vụ phần mềm khi nãy. Tôi nói: “Okay, tôi sẽ mua nó. Tôi có thể mua được nó ở đâu tại Paris?”. “Tôi không chắc anh có thể tìm thấy nó ở Paris. Đây là một phần mềm chỉ được phân phối độc quyền thông qua đối tác vàng của Microsoft và các kênh bảo mật của Microsoft mà thôi”. Rồi tôi hỏi cô ta: “Vậy là tôi chỉ cần vào Microsoft.com thôi hả”, cô ta nói “Đúng rồi”, rồi “Anh còn câu hỏi nào không? Không hả? Chào tạm biệt”.

IV. Cuộc gọi thứ hai

Tôi cho rằng đây không phải là cách anh đi lừa người khác. Có thể cô ta đang được tập huấn hay gì đó. Lúc này tôi nhận thấy rằng những tấm hình screenshot mà tôi đã chụp không đẹp lắm, vậy nên tôi đợi khoảng nửa tiếng trước khi gọi lại lần nữa. Tôi hi vọng rằng sẽ gặp lại đúng Patricia khi nãy và nói với cô ta rằng tôi không thể tìm thấy gì trên website Microsoft cả. Tuy nhiên, lần này bắt máy lại là một người khác tên Dileep và anh ta lại dẫn tôi đi qua quy trình trên thêm một lần nữa.

Dileep dường như quen thuộc với những gì anh ta làm hơn, và nói thêm rằng máy tôi có quá nhiều service bị dừng và chuyện này không bình thường tí nào. Anh ta nói rằng máy tôi đã bị nhiễm virus rồi, anh ta sẽ gỡ virus cho tôi miễn phí nhưng khuyên tôi nên mua phần mềm “Tech Protection” để đề phòng trong tương lai. Phần mềm này có giá 299,99 Euro, tức là đắt hơn so với gói phần mềm mà Patricia đã nói với tôi khi nãy.

Tôi đồng ý sẽ mua phần mềm mà Dileep nói và đưa cho anh ta một số thẻ tín dụng giả nhanh nhất có thể. Rõ ràng, công cụ thanh toán không chấp nhận giao dịch này và chúng tôi đã thử lại khoảng 4 hay 5 lần. Cuối cùng, tôi đề nghị rằng tôi sẽ dùng một thẻ tín dụng thứ hai và đưa cho anh ta thêm một dãy số ngẫu nhiên nữa (nhưng lần này là số hợp lệ dựa trên thuật toán Luhn). Dileep đã nói tôi đọc lại số thẻ hơn 10 lần và thậm chí còn hỏi “cấp trên” để xem tại sao giao dịch không được chấp thuận. Tôi cũng nghe một ai đó đọc lại số thẻ của tôi rất to trong điện thoại.

Screen Shot 2016-09-13 at 3.22.33 PM

Ngay lúc này, tôi chợt nảy ra một ý tưởng hay. Tôi mở hộp thư rác của mình ra, trong đó có nhiều mẫu phần mềm mã độc tên là Locky. Đây là những file ZIP chứa đoạn mã JavaScript để tải về ransomware. Tôi lấy một cái và kéo thả nó vào máy ảo của mình. Trình hỗ trợ từ xa mà tôi đã cài khi nãy có tính năng cho phép tôi gửi file cho người hỗ trợ. Tôi upload file ZIP này và nói: “Tôi đã chụp lại tấm ảnh thẻ tín dụng của tôi, anh hãy thử tự mình nhập vào xem sao. Có thể nó sẽ được đó”.

Lúc đầu, Dileep phớt lờ tôi và bắt tôi nhập thông tin thẻ thêm vài lần nữa. Anh chàng này khá là kiên nhẫn đấy chứ. Rồi tôi nói: “Dileep, nghe này, tôi đã già và mắt tôi không tốt. Tôi bắt đầu mệt khi phải đọc đi đọc lại những con số bé tí này. Ngoài ra, tôi nghĩ rằng anh cũng đã biết tôi không rành về máy tính. Vậy sao anh không giúp tôi đi?”.

Screen Shot 2016-09-13 at 3.24.14 PM

Dileep dừng một ít lâu rồi trả lời: “Tôi đã cố gắng thử mở tấm hình của anh rồi nhưng không có gì xảy ra cả”. Lúc này, tôi cố hết sức để nhịn cười. “Anh chắc chứ, đôi khi tấm hình của tôi không mở được trên Mac OS, anh có đang dùng Windows không thế?”. Dileep trà lời “Có chứ. Tấm hình của anh không mở được bởi vì máy tính anh đã bị nhiễm virus đó. Đây là lý do vì sao chúng ta cần phải giải quyết vấn đề này”.

Và trong lúc anh ta đang chat với tôi, con ransomware đó đã bắt đầu mã hóa file của anh ta rồi. Chúng tôi thử thêm vài lẫn nữa và cuối cùng anh ta cũng đã bỏ cuộc. Anh ta nói tôi hãy liên hệ với ngân hàng và sẽ gọi lại cho tôi vào thứ Hai tuần sau đó.

Qua việc này, chúng ta có thể thấy rằng chúng ta rất dễ lừa ngược lại những người đang muốn đi lừa bạn. Mô hình của họ hoạt động dựa trên một giả định rằng chỉ những người dễ bị lừa mới liên hệ với họ, vậy nên khi họ bị lừa thì dính ngay. Nếu bạn rảnh và có thể nói tiếng Pháp, hãy gọi họ qua số +339 75 18 77 63 và dụ họ làm vài trò vui vẻ nhé.

Người Viết Trojan nguyễn

Techtalk via Kipalog

0