Hành trình tìm lại fanpage bị đánh cắp sau cú nhấp chuột bất cẩn

Hành vi phát tán mã độc để chiếm quyền kiểm soát các tài khoản mạng xã hội sở hữu lượng lớn người theo dõi không phải là quá mới, tuy nhiên hoạt động này đang dần trở nên dễ dàng hơn trong những năm gần đây và kéo theo sự tham gia của nhiều đối tượng “tin tặc”.

Tuần vừa qua, Độ Mixi và Quang Linh Vlogs là hai cái tên tạo ra sự chú ý lớn trên mạng xã hội khi kênh YouTube sở hữu hàng triệu đăng ký của hai người này đã bị hacker chiếm quyền và thực hiện livestream phát sóng tiền số. Ngoài YouTube, Độ Mixi còn bị hacker chiếm đoạt kênh Steam - nơi sở hữu tài sản trị giá hàng tỷ đồng.

Với Quang Linh Vlogs, anh thừa nhận sự cố lần này đến từ việc các thành viên trong team "Cuộc sống châu Phi" đã sử dụng các phần mềm bẻ khoá, không có bản quyền chính thức, từ đó khiến hệ thống máy tính bị nhiễm mã độc.

Trong khi đó, trường hợp của Độ Mixi lại đến từ một dòng lời mời chào hợp tác quảng cáo giả mảo. Khi nhấp chuột vào dòng link giả mạo một tựa game chưa được phát hành, nam streamer đã phải trả giá bằng lời đe doạ nộp 5.000 USD thông qua tiền mã hoá để chuộc tài khoản Steam.

Kẻ tấn công đã phát tán mã độc để chiếm quyền máy tính của Độ Mixi, sau đó thực hiện chiếm đoạt các tài khoản của nam streamer này. Dù Độ Mixi đã làm việc với các nền tảng để lấy lại kênh của mình, song trong đêm 8/4, kênh YouTube của nam streamer lại tiếp tục bị đổi tên. Sự việc diễn ra chỉ ba ngày sau khi anh lấy lại kênh.

Đây không phải là lần đầu tiên tài khoản mạng xã hội nổi tiếng, có nhiều người theo dõi ở Việt Nam bị tấn công. Trước đó tháng 8/2022, sự việc hệ thống fanpage gồm "Hóng Express”, “Hóng" và “Những kẻ hiếu kỳ”, sở hữu từ vài chục nghìn tới hàng trăm nghìn lượt theo dõi đã bị hacker chiếm quyền quản trị thông qua chiêu mời hợp tác. 

Khi đó, Dương Xuân Quỳnh, quản trị viên của ba fanpage đã nhận được email mời hợp tác quảng cáo vào tháng 7/2022. Sau đó, một quản trị viên trong đội ngũ đã làm việc với đối tượng giả mạo thông qua nền tảng nhắn tin Zalo. Do thiếu cảm giác về bảo mật, người này đã vô tình tải tệp tin có chứa mã độc về máy. Ngay lập tức, kẻ giả mạo đã phát tán mã độc và thu thập dữ liệu trên thiết bị.

Chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) cho biết nửa triệu là con số mã độc mà Trung tâm An ninh mạng Quốc gia tìm thấy mỗi ngày. Ông cũng từng lên tiếng cảnh báo các đơn vị hoạt động trong lĩnh vực quảng cáo truyền thông cần lưu ý những tệp file, hình ảnh được gửi tới khi tham gia trao đổi thông tin trên mạng.

"Hacker bây giờ đang nhắm vào các đối tượng nạn nhân để thả mã độc nhằm đánh cắp thông tin dữ liệu trên máy tính của bạn", Hiếu cho biết.

Theo vị chuyên gia, dấu hiệu nhận biết của một cuộc tấn công như sau: Đầu tiên, hacker gửi file hình ảnh, nội dung gửi dưới dạng đường link hoặc tệp đính kèm. Dưới dạng file được nén theo định dạng .ZIP hoặc .RAR. Sau khi mở ra thì thường có các tệp với đuôi như .EXE, .BAT, .SCR, .INK, .RTF; .PDF, .DOC, .XLS.

Khi nạn nhân nhập vào file thì mã độc sẽ được kích hoạt và thực hiện cuộc tấn công ngay lập tức. Thông thường, hoạt động này nhắm đến việc đánh thông tin hay dữ liệu được lưu trên thiết bị.

Ngoài các hộp thư trên fanpage hay nền tảng nhắn tin, email cũng có thể được chọn làm điểm tấn công. Theo ông Hiếu, một giờ là toàn bộ thời gian cần thiết để phần mềm độc hại có thể truy cập vào máy ảnh, tin nhắn, cuộc gọi, bộ nhớ, micrô, vị trí, danh bạ… gần như mọi thứ trên thiết bị của nạn nhân.

Chủ kênh "Hóng" cho biết hệ thống fanpage và nhóm cộng đồng là công sức gầy dựng trong hơn 4 năm của anh và các cộng sự. Do đó, kể từ khi bị chiếm đoạt, cả nhóm đã lùng sục khắp nơi để tìm xem ai là kẻ đứng sau chuyện này.

Theo Hoàng Tuân, một quản trị viên khác, kẻ tấn công không đòi tiền chuộc. Do đó, nhóm đã thử tìm kiếm ở các chợ mạng, nơi mua bán trao đổi fanpage và trong một lần tình cờ, họ phát hiện một người tên Bình đã đem rao bán với giá khoảng 50 - 60 triệu đồng/fanpage.

Sau khi trình bày với bên bán về vụ việc bị hacker đánh cắp tài sản, nhóm nhận được thông tin của người đứng sau vụ việc. Theo đó, Bình mua lại các fanpage từ một người có tên là Trí (trú tại Quảng Ngãi) với giá khoảng 20 - 30 triệu đồng/fanpage để đi bán lại. 

Nhờ sự can thiệp của cơ quan điều tra, xác định Nguyễn Ngọc Trí (trú tại Thị trấn La Hà, huyện Tư Nghĩa, tỉnh Quảng Ngãi) là thủ phạm đứng sau vụ đánh cắp. Theo lời khai, từ tháng 5/2022, Trí liên hệ với Lê Bạch Hiệp (trú tại quận Bình Tân, TP HCM) để mua các chương trình tấn công, file mã độc với giá 50 triệu đồng. 

Theo các chuyên gia an ninh mạng, việc xây dựng phần mềm độc hại phổ biến đến mức có những công cụ được cung cấp công khai hay còn gọi là phần mềm nguồn mở - thứ giúp những kẻ tấn công có thể tự xây dựng hệ thống của mình.

Chuyên gia Ngô Minh Hiếu mô tả nó giống như một bát salad tự làm - nơi tin tặc có thể chọn những tính năng chúng muốn cho ứng dụng lừa đảo của mình, chẳng hạn như quyền truy cập vào tin nhắn của nạn nhân và nhận được sản phẩm cuối cùng trong vòng một giờ. Các tài nguyên hack và lừa đảo cũng có thể dễ dàng tìm thấy trên ứng dụng nhắn tin Telegram, nơi các nhà phát triển chia sẻ các mẹo và thủ thuật.

Đáng nói, những kẻ lừa đảo có thể sử dụng Telegram để đăng ký “phần mềm độc hại dưới dạng dịch vụ” với chi phí khoảng 300 - 500 USD, giúp tin tắc có thể truy cập phần mềm độc hại mà chúng chọn trong một tháng.

Trở lại với hành trình truy tìm tài sản bị đánh mất, cơ quan điều tra sau đó đã xác định Trí sử dụng nhiều tài khoản Facebook, Zalo giả mạo để tiếp cận chủ các fanpage Facebook, truyền gửi các file có chứa mã độc, khi chủ Fanpage mở file thì mã độc sẽ tấn công, thu thập dữ liệu người dùng, chiếm đoạt các tài khoản, chiếm quyền quản trị. 

Số tài sản đánh cắp được, Trí sẽ bán cho Bình. Bằng thủ đoạn nêu trên, Trí đã chiếm quyền quản trị hơn 10 fanpage tại các tỉnh, thành phố trên cả nước để bán thu lợi bất chính hơn 300 triệu đồng. 

Công an Quảng Ngãi đã khởi tố Nguyễn Ngọc Trí, Lê Bạch Hiệp về các tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật và tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.

Về phần đội ngũ admin của Fanpage “Hóng”, họ không thể làm gì khác. Tài sản đã bị các đối tượng tẩu tán và không thể lấy lại. “Chúng tôi không đòi bồi thường. Đó là những thanh niên trẻ và họ đã mắc sai lầm”, anh Hoàng Tuân nói. Đồng thời, admin này cho biết nhóm đã bắt tay vào xây dựng hệ thống trang mạng xã hội mới, dù hàng ngày họ vẫn nhìn thấy fanpage cũ của mình cập nhật bài viết liên tục.