[Phân tích] Làm cách nào Hacker lấy được Microsoft Team của bạn bằng một tấm hình.

Tháng Tư 29, 2020
Chuyên mục: Cẩm nang an toàn, Cảnh báo, Phân tích virus

Trong bối cảnh hiện nay, làm việc hoặc học trực tuyến là điều không thể nào tránh khỏi. Cũng trong bối ảnh như vậy, Zoom nổi lên như một cứu cánh và từ đó hàng loạt câu chuyện về Zoom mà chúng ta vẫn thường nghe và đọc từ các bài viết của mình trong khoảng thời gian này. Hôm nay chúng ta sẽ không nói về Zoom nữa mà sẽ nói về ông lớn trong ngành, Microsoft và sản phẩm Microsoft Team. Cụ thể, chúng ta sẽ cùng tìm hiểu làm sao mà hacker có thể hack thông tin người dùng Microsoft team chỉ bằng một hình ảnh.

Chỉ bằng một hình ảnh như vậy là hacker có thể lấy thông tin MSTeam của bạn

Trước khi trả lời câu hỏi hack thế nào chúng ta cần phải làm và tìm hiểu một số các phương thức mà Microsoft Team sẽ dùng.

Phần 1: Microsoft Team có nhiều tên miền phụ

Các bạn cần biết là để xử lý các tác vụ cùng lúc thì một máy chủ có thể không xử kịp số lượng dữ liệu khổng lồ trên toàn thế giới đổ về do đó Microsoft sẽ chia sẽ luồng dữ liệu từ Team nói riêng và các phần mềm khác của hãng nói chung sang các máy trạm phụ, cụ thể ở đây là các subdomain của Team.

Các subdomain có mức độ bảo mật khác nhau và các chuyên gia tìm ra 02 subdomain có bảo mật thấp và có thể bị chiếm quyền tiếp quản và đó là: aadsync-test.teams.microsoft.com và data-dev.teams.microsoft.com

Phần 2: Cách mà Microsoft Team xử lý hình ảnh

Hình ảnh được chia sẽ bởi người dùng trong một cuộc trò chuyện sẽ tạo ra một JSON Web Token (JWT – Mã thông báo / Mã định dạng JSON Web). Nôm na dễ hiểu thì JSON Web Token vừa một phương thức truyền tải nhanh, vừa là phương thức mã hoá. Tạm gọi là Team Token

Team Token, có thể bị chèn cookie vào để giả tạo nó thành một dạng Token và qua đó họ hacker có thể truy cập vào máy chủ tài nguyên của nạn nhân tại cổng giao thức api.spaces.skype.com, tạm gọi là Skype Token. Thông qua máy chủ tài nguyên và Skype Token, hacker có thể truy cập vào máy chủ của Team và lấy toàn bộ lịch sử trò chuyện và thông tin của nạn nhân trên Team.

Nào giờ cùng tìm hiểu cách mà Hacker tấn công nhé

  1. Hacker chiếm quyền điều khiển subdomain của Team (ví dụ 2 tên miền ở Phần 1)
  2. Họ sẽ hướng người dùng hoặc buộc người dùng truyền tải dữ liệu về các subdomain mà họ đang có quyền điều khiển. Một file hình ảnh như GIF chẳng hạn, ảnh động dễ thương, dễ click vào.
  3. Team Token của các nhận nhân sẽ được gửi về subdomain mà hacker đã chiếm quyền, từ đây hacker sẽ tiêm cookies vào token để lấy quyền vào máy chủ tài nguyên. Đơn giản là từ Team Token thành Skype Token (Phần 2)
  4. Với Skype Token, hacker có thể truy cập vào hệ thống Steam thông qua máy chủ tài nguyên và lấy toàn bộ lịch sử tin nhắn của nạn nhân.
Một Auth Token (Skype Token) mà các chuyên gia ghi nhận lại

Làm sao để chống?

Cũng như trước giờ, hạn chết click vào các hình ảnh, tập tin, file v.v… để tránh việc bị điều hướng sang một nơi mà hacker đang dựng bẫy chờ đón bạn.

Đơn giản thì là thế nhưng mình sẽ liệt kê một số trường hợp mà bạn có thể bị yếu lòng và bấm vào:

  • Hacker giả dạng thành một cuộc phỏng vấn, một đối tác, một khách hàng, một người mua hàng hoặc bất kỳ ai mà bạn đang mong chờ gặp. Nếu la Sale thì là khách hàng, nếu là người kiếm việc thì là nhà tuyển dụng, nếu là công ty thì có thể là đối tác từ một thương hiệu nào đó v.v… Và bạn dễ dàng bị dẫn dắt để bấm vào một cái gì đó mà hacker gửi.
  • Cũ nhưng hay bị: một trang web đen nào đó, hình bậy bạ gì đó, một lời mời chào hấp dẫn gì đó, trúng thưởng chẳng hạn v.v… trong một phút yếu lòng và bạn click vào
  • Một cái tin giật gân gì đó, một câu chuyện tai nạn gì đó, hoặc ngôi sào nào đó lộ gì đó… bạn tò mò và click vào (mà chả hiểu tò mò chuyện đó chi ta ??!?)

Vì vậy mình nói một lần nữa. Để an toàn các bạn hạn chế bấm xem các thông tin gửi qua Team hoặc Zoom. Luôn cập nhật phiên bản mới nhất.

BTV DSH