Hành trình hacker đã chiếm 3.600 USD của một người Mỹ

Từ mất email, Partap Davis bị hacker tấn công lấy 3.600 USD trong ví Bitcoin. Lần mò lại lịch sử tấn công, anh và The Verge nhận ra nhiều lỗ hổng trong các dịch vụ online.

Sáng ngày 21/10/2014, Partap Davis bị mất 3.600 USD. Tối hôm trước, anh đi ngủ lúc 2h sáng tại Albuquerque, New Mexico, sau một đêm vui chơi ở World of Tanks. Trong lúc Davis ngủ, một kẻ đã tấn công vào lớp bảo mật trực tuyến do anh tạo ra. Khi tỉnh  dậy, Davis nhận ra mọi tài khoản online của mình bị xâm phạm: hai email, điện thoại, Twitter, bảo mật hai lớp,… Quan trọng nhất, ví Bitcoin của anh cũng không cánh mà bay.

Davis là một người cẩn trọng, anh sử dụng lớp bảo mật kỹ thuật số, mật khẩu mạnh, không click vào các đường link lạ, dùng xác thực hai lớp với Gmail (khi đăng nhập trên một máy tính khác, nó sẽ gửi mã xác minh tài khoản đến số điện thoại đã đăng ký trước).

Davis có một số Bitcoin để rải rác ở các dịch vụ như Coinbase, BitStamp, và BTC-E. Anh sử dụng bảo mật hai lớp với Coinbase và BTC-E. Bất cứ khi nào truy cập vào các ví Bitcoin, anh cần phải xác thực hai lớp thông qua ứng dụng Authy trên điện thoại của mình.

Davis là một lập trình viên viết phần mềm giáo dục, sống tại Albuquerque gần 10 năm. Anh có cuộc sống như những người Mỹ khác, hàng ngày làm công việc của mình, cuối tuần đi trượt tuyết ở sườn núi ở Los Alamos.

Sau khi bị hack ví Bitcoin, Davis dành nhiều thời gian tìm ra lý do số tiền đó biến mất. Trong cuộc hành trình đó, anh đã liên lạc với biên tập viên The Verge. Cùng sự giúp đỡ của tờ này, Davis đã ghép gần như hoàn thiện bức tranh về câu chuyện của mình.

Sơ đồ cuộc tấn công, từ Mail.com hack đã phong tỏa hầu hết các tài khoản khác của Davis.

Mail.com

Câu chuyện bắt đầy với email của Davis. Khi đó, anh tạo Partap@gmail.com không được do trùng tài khoản với người đi trước. Anh đã thiết lập Partap@mail.com, tài khoản này chuyển tiếp thư anh nhận được đến một Gmail khác.

Vào 2h sáng 21/10, liên kết bị phá vỡ. Ai đó đã đăng nhập vào tài khoản mail.com của Davis và ngừng chuyển tiếp thư. Cùng lúc đó, một số điện thoại mới tại Florida được gắn với tài khoản mail.com và một email sao lưu mới swagger@mailinator.com. Đây là thông tin gần nhất mà Davis có được từ kẻ đã chiếm tài khoản Bitcoin của anh.

Lỗ hổng bảo mật trên Mail.com đã kéo theo hàng loạt các vấn đề khác.

Để đơn giản hơn, chúng ta tạm gọi kể tấn công là Eve.

Vậy làm thế nào để Eve chiếm được số tiền đó? Có nhiều khả năng có thể xảy ra nhưng điểm lớn nhất là, Eve nhắm vào lỗ hổng trong trang thiết lập lại mật khẩu của Mail.com. 

Nhiều tháng trước, thành viên trên trang Hackforum bán một đoạn mã có khả năng reset tại mật khẩu tài khoản Mail.com với giá bán 5 USD. Hiện chưa rõ cách hoạt động của đoạn mã cũng như Mail.com đã vá lỗi của họ chưa. Có thể, Eve đã sử dụng công cụ này để chiếm tài khoản email của Davis.

Nhà mạng AT&T

Bước tiếp theo, Eve chiếm số điện thoại của Davis. Mặc dù không có mật khẩu, nhưng Eve chỉ cần giả vờ quên và yêu cầu nhà mạng gửi một liên kết an toàn đến tài khoản mail Partap@mail.com để thiết lập lại. 

Từ tài khoản AT&T, Eve yêu cầu dịch vụ chăm sóc khách hàng chuyển tiếp bất kỳ cuộc gọi nào từ số của Davis sang điện thoại của hắn ở Florida. Về mặt thủ tục, việc chuyển cuộc gọi cần nhiều bước xác nhận bảo mật hơn là chỉ có tài khoản email và tài khoản AT&T. Nhưng khi đối mặt với một khách hàng đang rất tức giận, nhân viên của AT&T đã bỏ qua các khâu xác nhận bảo mật cần thiết khác.

Nhân viên của AT&T trở thành "tội đồ" đối với Davis.

Sau khi việc chuyển cuộc gọi được thiết lập, toàn bộ cuộc gọi đến số của Davis được chuyển tiếp đến Eve. Davis vẫn nhận được tin nhắn văn bản và email, nhưng mọi cuộc gọi đến anh không hay biết. Davis chỉ hiểu được điều đó sau hai ngày khi sếp của anh phàn nàn, cậu không nhận điện thoại của ông ấy.

Google và Authy

Tiếp đó, Eve tìm cách chiếm tài khoản Google (Gmail) của Davis. Nó được bảo mật hai lớp. Nghĩa là khi Davis đăng nhập tài khoản này trên một thiết bị mới, Google sẽ gửi mã xác nhận bằng tin nhắn văn bản đến số điện thoại đã đăng ký trước. 

Một hacker có thể lấy mật khẩu của bạn, nhưng không thể trộm điện thoại của bạn cùng lúc. Eve có thể hack được mật khẩu, nhưng không thể nhận đánh cắp được điện thoại của Davis, nhưng hắn ta có kế hoạch B.

Với việc nhận mã xác nhận bằng giọng nói. Eve dễ dàng qua mặt được xác nhận bảo mật hai lớp của Google.

Ngoài việc gửi mã xác nhận bằng tin nhắn văn bản, khách hàng có thể chọn nhận cuộc gọi để nhận mã xác nhận. Bởi vì mọi cuộc gọi của Davis đều bị chuyển tiếp đến cho Eve, nên hắn dễ dàng lấy được tài khoản Gmail.

Authy thì lại khó hơn, nó là một ứng dụng trên điện thoại của Davis. Tuy nhiên Eve dễ dàng cài Authy vào điện thoại của hắn bằng tài khoản Mail.com của Davis cùng cuộc gọi từ Authy gửi mã xác nhận mới. 3h sáng hôm đó, tài khoản Authy của Davis đã nằm dưới quyền kiểm soát của Eve.

Coinbase

Vào lúc 3h19, Eve đã dùng Authy và địa chỉ Mail.com để cài đặt lại tài khoản Coinbase của Davis. 

Lúc 3h55, hắn đã chuyển toàn bộ số dư tài khoản (trị giá khoảng 3.600 USD – tại thời điểm đó) tới một tài khoản rác. 

Từ đây, hắn đã thực hiện 3 lần rút tiền: Đầu tiên là 30 phút sau khi tài khoản rác được mở, lần kế tiếp 20 phút sau, và cuối cùng là 5 phút sau nữa. 

Tiếp đó, toàn bộ số tiền đã được chuyển từ tài khoản rác sang các account giả được thiết kể để che dấu hành vi.

Chưa đầy 90 phút sau khi tài khoản Mail.com của Davis bị xâm phạm, toàn bộ số tiền của anh đã không cánh mà bay. Có lẽ Authy biết điều gì đã xảy ra. Dịch vụ này theo dõi những hành vi đáng ngờ. Nhưng họ rất kín tiếng về những gì theo dõi và có lẽ một tài khoản bị xâm phạm bởi một số điện thoại ngoại bang vào giữa đêm khuya sẽ gây ra một vài báo động đỏ. 

Tuy nhiên, số điện thoại này lại không phải từ những vùng chuyên lừa đảo như Nga hay Ukraine.

Mọi thứ còn trở nên đáng ngờ hơn khi Eve đăng nhập vào tài khoản Coinbase từ địa chỉ IP tại Canada. Trong tình huống này, liệu có thể ngăn chặn được Eve không? Những hệ thống bảo mật hiện đại như ReCAPTCHA của Google thường tổng hợp những dấu bất thường lại, đến khi có đủ bằng chứng để khóa tài khoản, nhưng Coinbase và Authy thì chỉ thấy được “phân nửa bức tranh", họ không có đủ bằng chứng để ngăn chặn việc này.

BTC-E and Bitstamp

Khi tỉnh dậy, điều đầu tiên khiến Davis chú ý là tại sao tài khoản Mail.com của mình lại tự đăng xuất. Mật khẩu bị thay đổi khiến anh không thể nào đăng nhập trở lại. Tới khi vào lại tài khoản, anh mới nhận ra thiệt hại của mình nhiều như thế nào.

Các email báo về việc reset tài khoản đã vẽ ra một biểu đồ về thiệt hại trong tài khoản. Cuối cùng khi Davis tìm cách vào, anh thấy nó rỗng tuếch. Eve đã tẩu thoát với 10 đồng Bitcoin có giá trị khoảng 3.000 USD vào lúc đó.

Davis đã mất nhiều giờ đồng hồ liên lạc với nhân viên chăm sóc khách hàng của các dịch vụ và thậm chí anh còn phải gửi bản fax bằng lái xe của mình để chứng minh mình chính là Partap Davis thật.

Vậy còn tiền trong hai ví Bitcoin còn lại thì sao? Chúng chứa lượng Bitcoin có giá trị khoản 2.500 USD và sở hữu đầy đủ những tính năng bảo mật mà Coinbase có. Tuy nhiên, khi Davis kiểm tra thì hai tài khoản BTC-E và BitStamp không có vấn đề gì ngoài việc password bị đổi.

10 đồng Bitcoin tương đương 3.600 USD vào thời điểm đó

BTC-E đã ngưng giao dịch với tài khoản của anh trong vòng 48 giờ kể từ khi password bị đổi. Vì vậy, anh có thời gian để khắc phục vấn đề. BitStamp có một cơ chế bảo mật còn đơn giản hơn: khi Eve gửi mail yêu cầu reset tài khoản, BitStamp đã đòi một tấm hình bằng lái xe của Davis. Mặc cho mọi nỗ lực của Eve, đây là thứ duy nhất mà hắn ta không có. Vậy nên lượng Bitcoin trị giá 2.500 USD của Davis an toàn.

Twitter

Hai tháng kể từ ngày bị tấn công trên mạng, cuộc sống của Davis đã trở lại bình thường. Dấu hiệu cuối cùng của sự đột nhập chính Twitter của anh. Nó bị xâm phậm nhiều tuần sau những tài khoản khác. 

Cái tên @Partap khá ngắn gọn vì vậy rất dễ bị hack, Eve chiếm được nó rồi đăng những hình ảnh mới và xóa đi các dòng tweet cũ. 

Vài ngày sau vụ tấn công, Eve thậm chí còn đăng ảnh về một tài khoản Xfinity bị hack rồi tag những người khác vào. Tài khoản này không phải của Davis mà thuộc về một người nào đó. Hắn ta đã chuyển tới mục tiêu tiếp theo, sử dụng @Partap làm phương tiện cho những vụ trộm cắp sau đó, giống như việc đánh cắp một chiếc xe để chạy trốn, nhằm che dấu tung tích.

Hình ảnh Twitter của Partap sau khi anh lấy lại được.

Ai là người đứng sau những cuôc tấn công này? Davis đã dành nhiều tuần để tìm kiếm Eve. Anh dành cả một buổi trưa liên lạc với nhân viên chăm sóc khách hàng của các dịch vụ nhưng vẫn chẳng có mấy tiến triển. 

Theo ghi nhận đăng xuất tài khoản, máy tính của Eve có các địa chỉ IP xuất phát từ Canada, tuy nhiên hắn ta có thể che giấu những hành vi của mình thông qua những dịch vụ như Tor hay xài VPN. 

Số điện thoại trên thuộc về một thiết bị Android ở Long Beach, California, nhưng nhiều khả năng đây chỉ là thiết bị ăn trộm. Có một vài dấu vết để lần theo, nhưng chúng đều biến mất nhanh chóng. Dù Eve ở bất kỳ nơi đâu, hắn ta đã chạy thoát được.

Tại sao Eve lại chọn Partap Davis? Chúng ta có thể giả định rằng hắn biết trước về các ví tiền Bitcoin của anh. Và tại sao Eve lại mất nhiều thời gian đào sâu về cái tài khoản như vậy? Hắn ta cũng bắt đầu từ tài khoản Mail.com nên có thể đoán rằng, bằng một cách nào đó, Eve tìm được danh sách những người dùng Bitcoin, trong đó có tài khoản của Davis. 

Môt số danh sách khách hàng Bitcoin bị rõ rỉ hiện tại đang trôi nổi trên mạng, mặc dù không thể tìm thấy cái trên Davis trên bất kỳ đâu. Hoặc có thể tên anh ta xuất phát từ một nhà sản xuất thiết bị hay một nhà bán lẻ Bitcoin. Hiện nay, việc rò rỉ thông tin rất phổ biến và thường là chúng không được báo cáo.

Davis giờ trở nên cẩn thận hơn với các ví Bitcoin của mình và anh cũng không sử dụng tài khoản Mail.com nữa. Nhưng hầu hết những thứ còn lại thì không có gì thay đổi. Coinbase từng hoàn tiền lại cho khách bị hack nhưng lần này họ từ chối vì cho rằng đây không phải là lỗi từ phía công ty. Davis cũng trình báo cáo FBI, nhưng có vẻ họ không có hứng thú với một vụ trộm Bitcoin đơn lẻ.

Trong thế giới bảo mật, trường hợp của Davis được gọi là là "Attack Surface" (tấn công bề mặt). Càng có nhiều tài khoản (tức bề mặt càng lớn), thì càng khó để bảo vệ. Quan trọng hơn, việc reset password vẫn còn quá dễ dàng, đó là lý do vì sao Eve có thể lần lượt reset hết tài khoản này đến account khác mà không gặp khó khăn gì đáng kể. 

Khi một dịch vụ ngăn chặn được hắn ta thì về mặt lý thuyết, khách hàng phải đợi 48 tiếng trước khi có thể được cấp password mới.  

Dưới góc nhìn kỹ thuật, đây là điều không khó, nhưng nó khiến những khách hàng bình thường cảm thấy khó chịu và điều đó làm ảnh hưởng đến sự hài lòng của họ với dịch vụ của công ty. 

Các công ty Internet phải liên tục cân bằng giữa sự thuận lợi của người dùng với sự bảo mật. Nếu họ làm thao tác bảo mật quá khó thì không ai sử dụng sản phẩm, còn nếu làm quá đơn giản thì người dùng lại dễ bị tấn công. Trong hai vấn đề an ninh và sự thuận tiện, đơn giản thì an ninh vấn đề xếp hàng thứ yếu.

Theo Zing.vn