Buzz
Nếu chưa biết, Keylogger là một loại phần mềm độc hại, thực hiện theo dõi âm thầm trên máy tính của nạn nhân, thu thập thông tin tài khoản, giao dịch thương mại hoặc theo dõi hành vi người dùng.
Keylogger có khả năng giám sát và ghi lại những gì người dùng đánh trên bàn phím, quay video từ webcam và microphone, chụp ảnh màn hình của các cửa sổ đang hoạt động và thực hiện các hành động độc hại khác. Sau đó, thông tin này sẽ được thu thập và gửi trực tiếp đến máy chủ dưới sự kiểm soát của kẻ tấn công hoặc được biên dịch thành email và gửi đến kẻ tấn công.
Nếu chọn email làm phương tiện để truyền tải dữ liệu đánh cắp, kẻ tấn công thường sử dụng các tài khoản Email miễn phí để gửi thông điệp của họ. Theo nghiên cứu của nhà cung cấp bảo mật Cofense, có đến 40% keylogger mà họ đã phân tích sử dụng Zoho để gửi các email chứa thông tin bị đánh cắp từ máy tính của nạn nhân.
Trả lời BleepingComputer, Cofense cho hay những keylogger phổ biến liên quan đến Zoho bao gồm Hawkeye và Agent Tesla. Cả hai loại keylogger này sẽ biên dịch dữ liệu đánh cắp và sử dụng nhà cung cấp email như Zoho để gửi thông tin này đến kẻ tấn công.
Một ví dụ minh họa trong hình ảnh dưới đây là email chứa thông tin mà Agent Tesla đã thu thập từ các trình duyệt và gửi lại cho kẻ tấn công.
Ảnh dưới đây là minh họa về email mà Hawkeye Keylogger tạo ra, chứa thông tin đăng nhập mà nó thu thập được từ các trình duyệt. Tương tự như ví dụ trước, thông tin trong email đã được làm xáo trộn.
Cofense cũng thông báo rằng, kẻ tấn công có khả năng dễ dàng truy cập và triển khai keylogger, đưa chúng lên các dịch vụ như Zoho.
'Mức độ gia tăng của Keylogger ngày càng lớn, giống như sự nổ mô hình Malware-as-a-Service'. 'Bằng cách trừu tượng hóa tất cả các phần của phần mềm độc hại, đặc biệt là quyền Admin và cấu hình, thậm chí ngay cả những kẻ tấn công không có nhiều kinh nghiệm cũng có thể dễ dàng triển khai keylogger. Nếu Phishing-as-a-Service cũng tồn tại, kẻ tấn công sẽ tải được phần mềm độc hại đầu cuối mà không cần phải chạy một lệnh duy nhất', theo giải thích của Cofense.
Kẻ tấn công lựa chọn Zoho vì nhiều lý do. Trước hết, đó là một giải pháp SaaS. Các giải pháp dựa trên dịch vụ đám mây là mục tiêu chính của kẻ tấn công vì số lượng và đặc điểm nhân khẩu học của người dùng cuối.
Ví dụ, nếu một nền tảng có 30 triệu người dùng, chỉ cần có một phần trăm nhỏ số lượng tài khoản bị truy cập, nó sẽ tạo điều kiện cho kẻ tấn công kiểm soát và thực hiện các bước tiếp theo một cách vô hình.
Hơn nữa, dịch vụ này cũng thiếu sự thực thi và triển khai các tính năng bảo mật một cách nghiêm túc, quy trình kiểm soát tạo tài khoản cũng khá lỏng lẻo, tạo nên mức độ rủi ro cao.
Động thái mới từ Zoho
Về phía Zoho, công ty thông báo sẽ xây dựng lại các chính sách mới mà tất cả các tài khoản Zoho.com miễn phí phải tuân theo.
Dưới đây là một số chính sách mới mà công ty đang triển khai trong quá trình quản lý tài khoản @zoho.com miễn phí:
- Áp đặt xác minh số điện thoại di động đối với mọi người dùng đăng ký tài khoản mới.
- Đổi SPF cho zoho.com thành 'hard fail' để đánh dấu thư không rõ nguồn gốc từ máy chủ Zoho là thư rác trên máy chủ người dùng. Thông tin chi tiết có thể xem Tại đây
Bên cạnh đó, công ty cũng đang chuẩn bị triển khai DKIM cho miền zoho.com và thực hiện chính sách DMARC.
- Ngăn chặn người dùng miễn phí đăng nhập vào các tài khoản nghi ngờ, đặc biệt khi sử dụng SMTP để đảm bảo rằng người dùng không lạm dụng địa chỉ email Zoho cho những mục đích xấu.
Công ty thông báo rằng họ đã cải tiến các thuật toán mới để ngăn chặn các mẫu đăng nhập đáng ngờ trong vài ngày gần đây. Mặc dù Zoho Mail hỗ trợ cả 2 chính sách được nêu trên và kích hoạt điều khoản TFA, tuy nhiên, triển khai chúng cho người dùng @zoho.com có thể gây khó khăn trong trường hợp người dùng hợp pháp, vì vậy công ty vẫn chưa bắt buộc người dùng tuân thủ chúng.
Nếu chỉ kích hoạt TFA mà không có biện pháp bảo vệ khác, người dùng vẫn có thể tạo mật khẩu riêng cho ứng dụng và sử dụng nó để tự động gửi. TFA chỉ giúp ngăn chặn xâm nhập trái phép vào tài khoản người dùng.
Phản hồi BleepingComputer, Giám đốc điều hành Zoho, Sridhar Vembu, nói rằng công ty đang tập trung vào việc ngăn chặn hình thức lạm dụng này: 'Rất tiếc là phishing trở thành một tác động phụ không mong muốn sau sự phát triển của Zoho trong vài năm qua, đặc biệt là với sự phát triển của dịch vụ email của chúng tôi. Chúng tôi đang nỗ lực để hạn chế những trường hợp lạm dụng này'.
'Đầu tiên, công ty sẽ kiểm tra tất cả các tài khoản, đặc biệt là tài khoản miễn phí vì chúng thường bị lạm dụng nhiều nhất. Hiện tại, chúng tôi đang thực hiện xác minh tài khoản thông qua số điện thoại di động cho mọi tài khoản, bao gồm cả tài khoản miễn phí. Ngoài ra, công ty cũng đang xem xét và ngăn chặn các mẫu đăng nhập đáng ngờ, đặc biệt là với những đăng nhập sử dụng SMTP.
Các bước tiếp theo sẽ là việc công ty nâng cao và làm chặt chẽ hơn các chính sách dành cho tất cả người dùng. Trong thời gian gần đây, công ty đã thực hiện điều chỉnh và cập nhật chính sách SPF (sender policy framework), đồng thời triển khai DKIM (domain key identified mail) cho tên miền của họ.
Ngoài ra, công ty đang thử nghiệm các phương pháp heuristic và thuật toán khác trước khi áp dụng chúng trên quy mô lớn. Về nội dung này, chúng tôi xin phép không thảo luận chi tiết.
Zoho Doc là một công cụ nổi tiếng của Zoho, bạn có thể tải, cài đặt và trải nghiệm công cụ này trên thiết bị của mình, tải Zoho Doc tại đây
Theo thông tin mới nhất, Facebook đã nâng thời gian xóa tài khoản Facebook vĩnh viễn từ 14 ngày lên thành 30 ngày, mang lại nhiều thời gian hơn cho người dùng quyết định liệu họ có nên xóa tài khoản của mình vĩnh viễn hay không. Chi tiết hơn, bạn có thể đọc thêm bài viết tài khoản Facebook sẽ bị xóa vĩnh viễn sau 30 ngày tại đây
