Tin tặc dùng email thông báo cuộc họp Zoom để đánh cắp thông tin đăng nhập

Các chuyên gia của công ty bảo mật Abn normal Security vừa thông báo một loạt các cuộc tấn công lừa đảo giả mạo cảnh báo cuộc họp Zoom tự động đã chuyển vào hộp thư của hơn 50.000 tài khoản người dùng.

Do đang là thời điểm giãn cách xã hội chống COVID-19 nên các nhân viên luôn tin tưởng các email gửi đến là của thông báo họ tham gia cuộc họp trực tuyến video Zoom. Các email lừa đảo đưa nội dung mời họp để bàn về công tác nhân sự với trưởng phòng tổ chức hành chính của công ty về việc sa thải, chấm dứt hợp đồng lao động với nhân viên sẽ được diễn ra trong vài phút tới. Các nạn nhân cũng được thông báo rằng sự hiện diện của họ tại cuộc họp là bắt buộc để đánh giá hiệu quả công việc của nhân viên.

Email của tin tặc gửi đến các mục tiêu có tài khoản Zoom

"Khi nạn nhân đọc email họ sẽ hoảng loạn, nhấp vào liên kết lừa đảo và nhanh chóng cố gắng đăng nhập vào cuộc họp giả mạo này, như vậy thông tin đăng nhập gồm mật khẩu, ID đã bị tin tặc đánh cắp", chuyên gia của công ty bảo mật Abnormal Security nói.

Những kẻ tấn công sử dụng một liên kết được nhúng trong email để người nhận chuyển hướng đến trang đích có thiết kế giống hết trang Zoom-Emergency (trang sử dụng trong trường hợp khẩn cấp) và yêu cầu người dùng "Tham gia cuộc họp trực tiếp này".

Trang đăng nhập giả này có giao diện y hệt trang đăng nhập của Zoom. Duy nhất có một điểm khác biệt thông tin đăng nhập được yêu cầu phải dùng email của doanh nghiệp nơi nạn nhân đang làm việc. Sau khi điền các thông tin, nạn nhân nhận được thông báo: "Zoom ngay bây giờ cho phép bạn tham gia và tổ chức các cuộc họp mà không cần đăng nhập".

Một trang web giả y hệt trang đăng nhập của Zoom để đánh lừa người sử dụng dung cung cấp thông tin

"Người dùng Zoom nhìn vào trang đăng nhập, nghĩ rằng phiên của họ đã hết hạn và cố gắng đăng nhập lại. Họ dùng thông tin đăng nhập của mình mà không kiểm tra bất cứ sự khác thường nào trong trang lừa đảo, chẳng hạn như URL hoặc các liên kết không hoạt động", công ty bảo mật Abnormal Security giải thích.

Thời gian gần đây, nền tảng hội nghị video trực tuyến Zoom luôn gặp những sự cố liên quan đến bảo mật. Tin tặc đã khai thác vào những lỗ hổng của phần mềm này để đánh cắp thông tin người dùng.

Cách đây một tuần, chuyên gia bảo mật của Cyble đã phát hiện có đến hơn nửa triệu thông tin tài khoản Zoom bị đăng trên web đen chỉ có giá dưới 1 USD, thậm chí tin tặc còn hứa sẽ tặng miễn phí.

Trước đó công ty bảo mật Sixgill cũng phát hiện ra một danh sách gồm 352 tài khoản Zoom bị đăng trên web đen. Hầu hết 352 tài khoản bị lộ là của cá nhân đang làm việc tại các tổ chức giáo dục và doanh nghiệp nhỏ ở Mỹ. Một trong những tài khoản đó là của nhà cung cấp dịch vụ chăm sóc sức khỏe lớn của Mỹ.

Thông tin tài khoản Zoom được rao bán trên mạng, trong đó có các công ty nổi tiếng như Citibank, Chase, các tổ chức giáo dục lớn của Mỹ

Zoom Cloud Meetings được phát triển bởi Eric Yuan - một tỷ phú người Mỹ gốc Trung Quốc thông qua Công ty Zoom Video Communications Inc (trụ sở chính tại San Jose, California, Mỹ). Nền tảng Zoom Cloud Meetings cho phép người dùng tổ chức các hội nghị video trực tuyến với chất lượng âm thanh hình ảnh độ nét cao. Hội nghị thông qua nền tảng Zoom có thể kết nối đến hơn 50 người từ các địa điểm khác nhau.

Từ tháng 12.2019 đến nay, nhu cầu sử dụng Zoom trên toàn cầu đã tăng đến 1.900% khi các trường học, và nhiều công ty chuyển sang làm việc trực tuyến để tránh sự lây lan của coronavirus trên toàn thế giới. Tuy nhiên khi Zoom được dùng rộng rãi thì các cuộc tấn công Zoom-bombing và các vụ lộ thông tin người dùng được ghi nhận nhiều hơn.

Vấn đề bảo mật của Zoom cũng khiến cho nhiều chính phủ trên thế giới lo ngại. Vào đầu tuần trước, chính quyền Đài Loan, Bộ Ngoại giao Đức, Thượng nghị viện Mỹ ra lệnh cấm các nhân viên sử dụng Zoom. Trong khi đó các tổ chức và một số công ty của như Sở Giáo dục thành phố New York và Công ty Space X của tỷ phú Elon Musk, công ty công nghệ Google... cũng yêu cầu các nhân viên phải gỡ bỏ Zoom ra khỏi máy tính vì nó không đáp ứng các tiêu chuẩn bảo mật.

Việc đánh sập cuộc họp trực tuyến của Zoom đã trở nên phổ biến đến mức các cuộc tấn công này có tên gọi đầy đủ là “Zoom-bombing”. Mặc dù Zoom đưa ra lời xin lỗi và tuyên bố đã vá các lỗi bảo mật qua bản cập nhật mới nhất, nhưng theo các chuyên gia an ninh mạng, điều này cũng trở thành vô nghĩa nếu hacker có thông tin tài khoản Zoom của người dùng.

Tiểu Vũ

Tin liên quan:

500.000 tài khoản Zoom bị rao bán trên web đen

Mật khẩu và ID cuộc họp đánh cắp từ Zoom bị chia sẻ lên web đen​

Thượng viện Mỹ cấm các thành viên sử dụng Zoom​

Cựu Giám đốc an ninh Facebook vào hội đồng bảo mật của Zoom