Cảnh báo lổ hổng bảo mật Facebook cho phép tạo trang lừa đảo
Một lỗ hổng của Facebook nằm trong ứng dụng bên thứ 3 của mạng xã hội Facebook đang được tin tặc khai thác để đưa người dùng vào các trang web lừa đảo, các trang web chứa mã độc.
Một ứng dụng có tên static html:iframe tabs của Facebook do bên thứ 3 phát triển cho phép quản trị các Fan Page tạo ra các trang HTML tĩnh để chèn vào Fanpage của mình đang tồn tại lỗ hổng nguy hiểm trong việc kiểm soát dữ liệu đầu vào.
Lợi dụng lỗ hổng trong ứng dụng này, tin tặc có thể khai thác để tạo các trang HTML chứa mã độc. Cụ thể là khi người dùng truy cập vào đường dẫn tới ứng dụng, trình duyệt sẽ tự động chuyến hướng đến các trang web lừa đảo, các trang đăng nhập Facebook giả mạo hay các trang web chứa mã độc.
SecurityDaily đã thử nghiệm khai thác lỗ hổng này, lỗ hổng vẫn đang tồn tại. Dưới đây là thử nghiệm khai thác lỗ hổng mà SecurityDaily đã thực hiện để gửi cảnh báo tới Facebook.
Cụ thể, khi truy cập vào đường dẫn nào mà các bạn thấy có giao diện như trong hình
Các thông tin trên đường dẫn không hề chứa các thông tin về đường dẫn thực sự, do đó người dùng sẽ rất khó để phát hiện và nhiều tin tặc đang khai thác lỗ hổng này
Tuy nhiên, ngay sau đó trình duyệt của bạn sẽ tự động được chuyển hướng đến một trang đăng nhập giả mạo giống hệt trang đăng nhập mặc định của Facebook.
Nếu người dùng sơ ý hoặc không có các kiến thức cần thiết về tin học rất có thể sẽ nhập các thông tin đăng nhập gồm tên đăng nhập, mật khẩu vào trang web. Các thông tin này ngay lập tức sẽ được gửi về cho tin tặc và tài khoản của người dùng sẽ bị mất.
Nhóm phát hiện gồm Lê Đức Anh, Lê Minh Tuấn và Tống Văn Toàn thuộc bộ phận nghiên cứu của SecurityDaily. “Hiện tại SecurityDaily đã cảnh báo lỗ hổng này đến đội ngũ bảo mật của Facebook. Trong thời điểm hiện tại, chắc chắn sẽ xuất hiện nhiều hình thức tấn công tài khoản Facebook tương tự.” Lê Đức Anh trưởng nhóm nghiên cứu SecurityDaily và là người trực tiếp phát hiện lỗ hổng cho biết.
SecurityDaily khuyến cáo người dùng không nên click vào các đường dẫn “mời chào” được chia sẻ hay được gửi qua Facebook vì đây là các cách lừa đảo trên Facebook.
Hết sức chú ý khi đăng nhập vào Facebook, người dùng cần chú ý đến đường dẫn đăng nhập an toàn của facebook là: https://facebook.com/ và biểu tượng https có màu xanh (an toàn).
(Nguồn: SecurityDaily)