Nhiều người mất quyền kiểm soát Gmail, Facebook, ngân hàng dù không bấm link lạ. Nguyên nhân chủ yếu đến từ mã độc infostealer ẩn trong thiết bị.
- Giá vàng lao dốc mạnh sau khi lập đỉnh lịch sử tại Việt Nam
- Nổ tại thành phố cảng Iran, nguyên nhân chưa được công bố
- Khởi tố đối tượng sản xuất, buôn bán trái phép 12,5kg pháo hoa nổ
Gần đây, nhiều người bất ngờ mất quyền truy cập các tài khoản quan trọng như Gmail, Facebook, Netflix, thậm chí cả ngân hàng, dù không hề nhấp vào đường link lạ hay đăng nhập website đáng ngờ. Thực tế cho thấy, nguyên nhân không nằm ở hệ thống của các nền tảng lớn, mà xuất phát từ chính thiết bị người dùng – nơi một loại mã độc nguy hiểm mang tên infostealer đang âm thầm hoạt động.
Infostealer là loại mã độc chuyên thu thập mật khẩu, phiên đăng nhập, cookie và dữ liệu cá nhân, sau đó gửi về máy chủ do tin tặc kiểm soát. Điều đáng lo ngại là quá trình này diễn ra kín đáo, khiến người dùng hầu như không phát hiện ra cho đến khi tài khoản đã bị chiếm đoạt.
Mã độc infostealer lây nhiễm bằng cách nào?
Con đường lây nhiễm phổ biến nhất của mã độc infostealer là thông qua phần mềm crack, phần mềm lậu, game bẻ khóa hoặc các công cụ “miễn phí” được chia sẻ tràn lan trên mạng. Trong nhiều trường hợp, file cài đặt đã bị gắn sẵn mã độc, và việc cài phần mềm đồng nghĩa với việc mở cửa cho infostealer xâm nhập hệ thống.
Ngoài ra, infostealer còn được phát tán qua email giả mạo hóa đơn, thông báo ngân hàng, hồ sơ xin việc hoặc các liên kết mạo danh Google, Facebook. Một số biến thể khác ẩn trong các extension trình duyệt trông có vẻ vô hại như công cụ tải video, chặn quảng cáo hay tiện ích vượt giới hạn truy cập website.
Người dùng thường chủ quan khi thấy phần mềm hoạt động bình thường, không có dấu hiệu bất thường. Tuy nhiên, chính sự “bình thường” này khiến infostealer tồn tại lâu dài và thu thập dữ liệu âm thầm.
Mã độc infostealer đánh cắp dữ liệu như thế nào?
Sau khi xâm nhập thành công, mã độc infostealer sẽ quét hệ thống, đặc biệt tập trung vào các trình duyệt phổ biến như Chrome, Edge và Firefox. Tại đây, nó trích xuất mật khẩu đã lưu, lịch sử đăng nhập và đặc biệt là cookie.
Cookie có thể hiểu là “vé thông hành” giúp người dùng không phải đăng nhập lại mỗi lần truy cập website. Khi chiếm được cookie, kẻ tấn công có thể truy cập thẳng vào tài khoản của nạn nhân mà không cần biết mật khẩu, thậm chí trong nhiều trường hợp không cần vượt qua xác thực hai lớp.
Không dừng lại ở đó, nhiều biến thể infostealer còn tiếp tục quét các ứng dụng như Telegram, Discord, phần mềm làm việc từ xa và các ví tiền điện tử. Toàn bộ dữ liệu sau đó được nén lại và tự động gửi về máy chủ điều khiển.
Từ những gói dữ liệu này, tài khoản có thể bị chiếm đoạt, danh tính số có thể bị mạo danh và thông tin cá nhân có thể bị sử dụng cho các hoạt động lừa đảo hoặc rao bán trên chợ đen.
Vì sao nạn nhân khó phát hiện?
Khác với các loại phần mềm độc hại gây phá hoại trực tiếp, infostealer được thiết kế để càng kín đáo càng tốt. Nó không làm máy chậm rõ rệt, không hiển thị cảnh báo bất thường và không can thiệp vào hoạt động thường ngày của người dùng.
Sau khi hoàn thành việc thu thập dữ liệu, một số biến thể thậm chí còn tự xóa dấu vết để tránh bị phát hiện. Phần lớn nạn nhân chỉ nhận ra sự cố khi tài khoản bị đổi thông tin khôi phục, bị đăng xuất khỏi mọi thiết bị hoặc khi bạn bè nhận được tin nhắn lừa đảo từ chính tài khoản của họ.
Đặc biệt, khi email chính bị chiếm quyền kiểm soát, kẻ tấn công có thể lần lượt khôi phục mật khẩu và tiếp quản hàng loạt tài khoản khác, khiến nạn nhân mất gần như toàn bộ danh tính số của mình.
Trước thực trạng này, các chuyên gia khuyến cáo người dùng tuyệt đối không cài đặt phần mềm không rõ nguồn gốc, thường xuyên quét virus, bật xác thực hai lớp và theo dõi hoạt động đăng nhập bất thường để giảm thiểu rủi ro từ mã độc infostealer.
Theo: Báo Tuổi Trẻ
