Như thông tin đã đưa, vào sáng ngày 2/4, YouTuber Độ Mixi (tên thật là Phùng Thanh Độ) cho biết kênh YouTube của anh đã bị hack.
Kênh YouTube của Độ Mixi hiện có 7.33 triệu người theo dõi. Kênh YouTube của Độ Mixi đã bị ẩn toàn bộ video, đổi ảnh đại diện và banner thành đồng tiền số Ripple, và hiện chỉ còn 2 video đang phát trực tiếp, đều về tiền số.
Kênh YouTube của Độ Mixi bị hack để livestream tiền điện tử
Với những YouTuber tầm cỡ như Độ Mixi, không khó để thấy bảo mật tài khoản là vấn đề then chốt. Đương nhiên, chúng ta sẽ không thể biết được mật khẩu mà YouTuber này đặt cho tài khoản Google của mình là gì, nhưng chắc chắn là rất phức tạp chứ không phải là "12345678", "123456789" hay "12345678" (đây là 3 mật khẩu phổ biến nhất tại Việt Nam trong năm 2023, theo số liệu của NordPass).
Ngoài ra, tính năng bảo mật 2 lớp (2FA) cũng chắc chắn được kích hoạt. Không chỉ với những tài khoản quan trọng như của Độ Mixi, mà 2FA đã dần trở thành tính năng bảo mật bắt buộc mà Google yêu cầu mọi người dùng phải trang bị.
Thực tế, Độ Mixi không phải YouTuber đầu tiên tại Việt Nam bị hack kênh YouTube để livestream tiền ảo. Trước đây, nhiều kênh YouTube như FapTV, Trấn Thành, Phúc Du, Hồ Quang Hiếu, Lynk Lee, Lý Hải... đã gặp hình thức tương tự. Trong danh sách này còn bao gồm cả những kênh YouTube chuyên về công nghệ, có những người đứng đầu am tường về kỹ thuật và bảo mật?
Do đâu mà những YouTuber này lại bị hack?
Mặc dù chưa có xác nhận chính thức từ phía streamer Độ Mixi, tuy nhiên dựa trên lịch sử các vụ tấn công trước đây, có thể khẳng định rằng hacker đã có thể "đột nhập" vào tài khoản YouTube mà không cần mật khẩu. Vì vậy, cho dù mật khẩu có mạnh đến đâu, hay kể cả có bật tính năng 2FA đi chăng nữa, những tường rào bảo mật này cũng dễ dàng bị sụp đổ.
Thay vì đánh cắp mật khẩu, các hacker đều đang chuyển sự tập trung của mình sang đánh cắp "session" (phiên làm việc). Nói một cách dễ hiểu, nếu bạn đã đăng nhập vào tài khoản YouTube, thì kể cả khi bạn đóng trình duyệt hay thậm chí là tắt cả PC, vài ngày sau đó bạn vẫn có thể truy cập YouTube mà không cần đăng nhập lại do "session" vẫn còn hiệu lực. Những session này thường được lưu trong cookies, một tệp tin vật lý do trình duyệt quản lý. Đây là mục tiêu mà hacker nhắm đến.
Folder chứa cookies của trình duyệt Chrome tại địa chỉ C:\Users\<tên người dùng>\AppData\Local\Google\Chrome\User Data\Default\Network
Khi có được các session này, hacker sẽ lập tức truy cập được vào kênh YouTube mà không cần phải nhập mật khẩu hay trải qua các bước xác thực. Điều này dẫn đến câu hỏi tiếp theo, đó là làm sao để các hacker đánh cắp session?
Cách thức phổ biến nhất hiện nay là tạo ra các mã độc giả dạng nội dung khác để đánh lừa quản lý kênh YouTube kích hoạt. Có nhiều cách để phân phối mã độc, ví dụ như ẩn náu trong các phần mềm crack, hack game. Tuy nhiên, phổ biến nhất với các YouTuber là hợp đồng quảng cáo.
Dưới danh nghĩa một nhãn hàng đang muốn hợp tác quảng cáo với YouTuber, kẻ tấn công sẽ gửi email đính kèm một tệp tin báo giá/hợp đồng/điều khoản và mời YouTuber này mở ra xem để biết thêm thông tin.
Một email được hacker gửi đến với nội dung hợp tác quảng cáo. Email có đi kèm đường link tải về "báo giá" (thực chất là mã độc) kèm theo mật khẩu giải nén. Ảnh: PC Security Channel
Tệp tin đính kèm được thiết kế để đánh lừa người dùng, với biểu tượng giả mạo tệp tin văn bản (thường là Word/PDF). Trong một số trường hợp, những tệp tin này có thể có đuôi "ảo" (.docx/.pdf) nhưng đuôi thật là các tệp tin thực thi (.exe/.scr/.msi...), ví dụ "hopdong.docx.exe". Theo thiết lập mặc định, do Windows sẽ ẩn đuôi tệp tin, vì vậy tất cả những gì người dùng nhìn thấy trên Desktop hay Windows Explorer là "hopdong" hoặc "hopdong.docx"
Tệp tin "báo giá" có biểu tượng giống Microsoft Word, nhưng thực chất là một tệp tin thực thi .exe. Theo cài đặt mặc định của Windows, đuôi .exe sẽ không hiển thị. Ảnh: PC Security Channel
Để vượt mặt các trình diệt virus, các hacker đã có rất nhiều cách khác nhau. Đầu tiên, toàn bộ nội dung sẽ được đặt trong một tệp tin nén (zip/rar) đi kèm mật khẩu để dịch vụ email không thể quét được.
Tệp tin "báo giá" được nén với mật khẩu, khi giải nén có kích thước lên tới 750MB. Ảnh: PC Security Channel
Tiếp đến, tệp tin thực thi (chứa mã độc) sẽ được "đệm" bằng rất nhiều nội dung rỗng nhằm mục đích tăng kích thước lên đến hàng trăm MB. Sở dĩ làm điều này là bởi theo thiết lập mặc định, một số phần mềm diệt virus sẽ không quét các tệp tin dung lượng quá lớn để tránh làm ảnh hưởng tới hiệu năng của PC. Một số dịch vụ quét virus trực tuyến như VirusTotal cũng chỉ cho phép tải lên tệp tin với kích thước tối đa là 650MB, vậy nên mức 700-750MB có thể được coi là "con số lý tưởng" đối với những dạng tấn công này.
Bên cạnh những đoạn mã độc hại nhằm lấy dữ liệu người dùng...
... hacker đã "đệm" thêm những đoạn mã trống để tăng dung lượng tệp tin, vượt mặt các phần mềm diệt virus. Ảnh: PC Security Channel
Theo thử nghiệm của PC Security Channel, sau khi "trút bỏ" những đoạn mã dư thừa, tệp tin exe đã giảm dung lượng từ 750MB xuống chỉ còn hơn 142KB.
Sau khi trút bỏ những đoạn mã dư thừa, tệp tin mã độc lộ bản chất nguyên hình và chỉ còn dung lượng 142KB.
Ngoài ra, một phương pháp mới được ghi nhận là mã độc ẩn náu trong tệp tin cài đặt (.msi), thường được quảng cáo là các file crack hay hack game. Các file .msi này được xử lý bởi trình cài đặt Windows Installer, một công cụ "chính chủ" của Microsoft đi kèm Windows, vì vậy sẽ không bị các trình diệt virus phát hiện.
Khi mã độc đã được thực thi thì việc ăn cắp thông tin cookies (có kích thước chỉ khoảng vài chục KB) sau đó gửi cho hacker chỉ diễn ra trong tích tắc, đặc biệt với những hệ thống máy tính mạnh mẽ với SSD và đường truyền Internet nhanh. Những mã độc này thường được thiết kế để "tự hủy" sau khi quá trình đánh cắp thông tin kết thúc nhằm tránh bị người dùng nghi ngờ.
