GS Vũ Công Hiến 2012/07
Cách Ngăn Ngừa
« Virus » Tự Động Gởi Email Cho Mọi Người Trong Mailing List
( bản sơ khởi )
Kính thưa
quý bạn , trong vài tuần nay hẳn là các bạn nhận được rất nhiều email mà
subject chỉ có chữ Hi hoặc Hello , hoặc Wow , hoặc bỏ trống .
Nội dung email chỉ là
một hàng link đưa vào một webpage .
Thí dụ như hình dưới
đây :
Loại email nầy càng ngày
càng nhiểu , mỗi ngày gần đây tôi nhận được chừng 20 cái . Do đó tôi có tìm
hiểu để giúp các bạn tránh được phần nào account bị « hack » . Xin hiểu cho
rằng tôi là người đi trước một số đông các bằng hữu nơi đây , vì muốn giúp
đở một số bạn , tôi biết gì nói nấy sai thì các bạn ráng chịu . Những vị
trong nghề xin ngó chỗ khác giùm . Tôi làm vì « tốt bụng » chớ không mưu cầu
bất cứ chuyện gì hết . Giờ nầy mằm nghe nhạc sướng hơn ngồi đây viết mấy thứ
lỉnh kỉnh nầy phải không ?
Tôi cố gắng tìm hiểu việc tại sao email của các bạn tự động gởi email kiểu bên trên cho mọi người có tên trong list của các bạn thì vẫn chưa thấy câu trả lời minh bạch . Dĩ nhiên ai cũng biết đó là do spammer setup . Nó chỉ là do spammer thôi , nếu là hacker thì nó chiếm luôn mail box của các bạn rồi .
Sau đây là những gì tôi thấy được và kính trình may ra giúp ích được phần nào . Xin đọc chậm chậm , tôi viết vào chi tiết thì bài dài lắm , các bạn không đủ kiên nhẫn để đọc đâu , hoá ra uổng công vô ích .
1 . Khi các bạn nhận được cái email như hình trên từ người rất quen , vô tình các bạn click hàng link ( màu xanh như trong hình trên ) thì nó đưa các bạn vào một webpage quảng cáo chi đó . Trong lúc các bạn đang xem thì « data » tuông ào ào vào computer của các bạn . Tôi đã theo link thử và khi thấy data từ ngoài chạy ào ào vào computer của tôi ( high speed ) tôi vội cúp , không theo nữAKhông phải tôi sợ nhưng vì đang cần computer để khai thuế , nên tôi không muốn phiêu lưu lỡ trục trặc thì mất thì giờ lắm , có khi trể . Sau nầy tôi sẽ tìm hiểu thêm khi không cần tới cái computer .
Tôi cố gắng tìm hiểu việc tại sao email của các bạn tự động gởi email kiểu bên trên cho mọi người có tên trong list của các bạn thì vẫn chưa thấy câu trả lời minh bạch . Dĩ nhiên ai cũng biết đó là do spammer setup . Nó chỉ là do spammer thôi , nếu là hacker thì nó chiếm luôn mail box của các bạn rồi .
Sau đây là những gì tôi thấy được và kính trình may ra giúp ích được phần nào . Xin đọc chậm chậm , tôi viết vào chi tiết thì bài dài lắm , các bạn không đủ kiên nhẫn để đọc đâu , hoá ra uổng công vô ích .
1 . Khi các bạn nhận được cái email như hình trên từ người rất quen , vô tình các bạn click hàng link ( màu xanh như trong hình trên ) thì nó đưa các bạn vào một webpage quảng cáo chi đó . Trong lúc các bạn đang xem thì « data » tuông ào ào vào computer của các bạn . Tôi đã theo link thử và khi thấy data từ ngoài chạy ào ào vào computer của tôi ( high speed ) tôi vội cúp , không theo nữAKhông phải tôi sợ nhưng vì đang cần computer để khai thuế , nên tôi không muốn phiêu lưu lỡ trục trặc thì mất thì giờ lắm , có khi trể . Sau nầy tôi sẽ tìm hiểu thêm khi không cần tới cái computer .
Data tuôn
vào máy của các bạn có lẽ không phải là virus , mà là một hay vài
scripts files ( đó là một « program » dưới dạng scripts ) . Cái scripts nầy
ăn cắp cookies của computer các bạn . Cookies là bánh ngọt , nhưng trong
thuật ngữ computer thì là khác , giải thích thì kéo dài lê thê . Sau đó nhờ
cookies nầy spammer có thể access được vào email accounts của các bạn .
Cái scripts file nầy không phải là virus , nên có khi các bạn scan computer
chẳng thấy con virus nào hết . Vậy thì câu hỏi sẽ là cách đề phòng ra sao ,
nếu lỡ bị rồi thì làm sao ?
2 . Nếu
email đã bị spammer « hack » thì chuyện trước tiên là các bạn hãy thaypassword liền
đi , nếu còn có thể làm được . Thông thường khi các bạn mở email account
ở Yahoo/Hotmail/Gmail ... thì nó có hỏi các bạn một email address phụ để khi
cần thì liên lạc . Cái nầy quan trọng lắm . Nếu account các bạn chưa có thì
hãy vào đó mà ghi thêm cái email address thứ hai .
Để làm chi , thưa để khi password của các bạn bị spammer thay đổi , các bạn không access ( không log in ) được vào mail box thì các bạn click hàng chữ « forget password » hay tương tợ . Mail server của các bạn sẽ tự động send email tới cái address phụ nầy . Từ đó nó hướng dẫn các bạn log vào account bị « hack » .
Ngoài ra các mail server hiện giờ còn cách thứ hai giúp các bạn hữu hiệu hơn là nó gởi password tạm về cell phone của các bạn dưới dạng text file . Chuyện nầy tự động và tức thì , mất 1 phút là cùng . Khi nhận được password tạm qua cell phone thì các bạn log vào email account bị « hack » và thay đổi mọi thứ như password , như câu hỏi bí mật ( security questions ) thí dụ như : bạn thích tuồng hát nào , mẹ bạn tên gì , bạn sinh nơi đâu , ông thầy học đầu tiên của bạn tên gì ... Cái câu trả lời bì mật nầy có khi không quan trọng bằng số cell phone hay email address thứ hai dùng liên lạc phụ .
Để làm chi , thưa để khi password của các bạn bị spammer thay đổi , các bạn không access ( không log in ) được vào mail box thì các bạn click hàng chữ « forget password » hay tương tợ . Mail server của các bạn sẽ tự động send email tới cái address phụ nầy . Từ đó nó hướng dẫn các bạn log vào account bị « hack » .
Ngoài ra các mail server hiện giờ còn cách thứ hai giúp các bạn hữu hiệu hơn là nó gởi password tạm về cell phone của các bạn dưới dạng text file . Chuyện nầy tự động và tức thì , mất 1 phút là cùng . Khi nhận được password tạm qua cell phone thì các bạn log vào email account bị « hack » và thay đổi mọi thứ như password , như câu hỏi bí mật ( security questions ) thí dụ như : bạn thích tuồng hát nào , mẹ bạn tên gì , bạn sinh nơi đâu , ông thầy học đầu tiên của bạn tên gì ... Cái câu trả lời bì mật nầy có khi không quan trọng bằng số cell phone hay email address thứ hai dùng liên lạc phụ .
3 . Trường
hợp tệ nhất là không phải spammer mà là hacker access vào email account của
các bạn và từ đó nó đổi hết mọi thứ như các bạn đã làm ở phần 2 . Lúc đó tôi
e khó lấy lại được mail box . Các bạn có khiếu nại với nhân viên của mail
server thì thường họ cũng chẳng giải quyết chi hết . Trừ trường hợp các bạn
có trả tiền cho mail box ( cho account ) của các bạn đang xài . Lúc đó bạn
gọi lại mail server và khiếu nại , bạn là người trả tiền , mail server sẽ
trả lại mail box cho các bạn . Loại email mấy tuần nay các bạn nhận được hay
do computer của các bạn gởi ra là do spammer setup mục đích giới thiệu một
webpage của chúng nó để buôn bán món gì đó hay dụ dỗ người xem một chuyện
gì . Dĩ nhiên đâu có lợi cho các bạn , lợi cho chúng nó nên chúng nó mới tốn
công setup .
4 . Sau khi
làm hai chuyện trên thì kế tiếp các bạn scan computer tìm virus . Thường
chuyện nầy không có kết quả chi nhiều đâu . Vì thật sự tôi không tin là có
virus và chính virus gởi email ra . Mà là do một scripts file .
Với scriptsfiles thì mấy software anti virus đâu có liệt nó vào hạng virus
đâu . Dầu sao cũng nên scan để diệt một số malware khác . Nhớ update virus
data trước khi scan . Cái software và hướng dẫn download lẫn setup nằm dưới
cùng email nầy . Có khi phải scan computer ở safe mode . Khi boot Windows
thì nhấn F8 để chọn boot vào safe mode .
5 . Chuyện
kế tiếp là xoá web browser cookies , và web browser history . Ít ra là xoá
một lần sau khi đổi password hay lấy lại được email account .
6 . Nhớ
export contact list ( list email address ) trong email account và giữ hờ ở
computer ở nhà . Phòng hờ lỡ khi spammer xoá hết thì các bạn cũng còn liên
lạc được với nhiều bằng hữu ảo . Chuyện export contact ( email address
list ) có khi khó với các bạn thì cách dễ hơn là gởi môt email chứa hết các
contact về email phụ ( email address thứ hai ) của các bạn : Thí dụ như
Nguyễn_văn_Ổi@yahoo.com gởi
về Nguyễn_văn_Ổi@gmail.com .
7 . Làm sao các bạn biết account của mình bị « hack » . Thưa thông thường thì do bạn bè báo cho các bạn biết là email của các bạn đã tự động gởi ra cho người khác những email tương tợ với subject là Hi , là Hello hay bỏ trống .
7 . Làm sao các bạn biết account của mình bị « hack » . Thưa thông thường thì do bạn bè báo cho các bạn biết là email của các bạn đã tự động gởi ra cho người khác những email tương tợ với subject là Hi , là Hello hay bỏ trống .
Cách khác
là các bạn làm một address giả trong mailing adddress và sắp cho nó đứng
đầu . Thí dụ như 00_abckhongbietaigoi@yahoo.com ,
vì address nầy không có thật , nên khi spammer set cho email các bạn tự động
gởi ra , thì cái email nầy bị trả về . Lúc đó các bạn biết là email nầy
không do chính mình gởi , mà là spammer gởi . Thật ra không phải do một
spammer nào ngồi đó gởi hết , mà nó set cho mail server gởi tự động với hàng
chữ có sẵn như ( là hình chụp , các bạn chớ sợ ) :
Hay như là :
Do vậy loại
« hack » nầy tương đối hiền . Thường nó cũng không gởi hết mailing list của
các bạn mà nó lấy đại một số email address nào đó thôi , nên cái email giả
trên cũng có khi lọt sổ .
Trên đây là
những gì tôi có thể suy ra được vế chuyện « email tự động gởi mail » nầy .
Thật ra cho tới bây giờ tôi không thấy được tài liệu nào của các chuyên viên
rõ ràng về chuyện nầy . Mọi người hình như vẫn cón mù mờ lắm . Khi nào tôi
rảnh tôi sẽ theo mấy cái link nguy hiểm coi nó đưa tới đâu và cơ chế « làm
việc » của nó ra sao một cách chính xác để bày cho các bạn .
Bài nầy chỉ
là bản nháp sơ khởi , tôi sẽ cập nhật dần dần khi thu tập được email góp ý
từ các bạn , hoặc khi tôi có được một cao nhân nào đó hướng dẫn cách trừ khử
chuyện « email tự động gởi đi nầy » .
GS Vũ Công
Hiến 2012/07
* * *
Google cảnh
cáo , khoảng 20 000 websites có thể đã bị bẻ khoá và nhiễm mã độc thông qua
ngôn ngữ JavaScript .
Trong một
bức thư được gửi vào tuần này , Google cho biết , có nhiều trang web đã bị
nhiễm độc thông qua phần mềm của hãng thứ ba và có thể sẽ được sử dụng để
chuyển hướng người dùng sang các trang web độc hại khác .
Các tập tin nguồn đã bị ảnh hưởng bởi đoạn mã JavaScript lạ và Google khuyến cáo các chủ trang web nên nhanh chóng tìm kiếm các tập tin PHP hoặc HTML , JavaScript có chứa đoạn mã "eval ( function ( p , a , c , k , e , r ) » .
Các tập tin nguồn đã bị ảnh hưởng bởi đoạn mã JavaScript lạ và Google khuyến cáo các chủ trang web nên nhanh chóng tìm kiếm các tập tin PHP hoặc HTML , JavaScript có chứa đoạn mã "eval ( function ( p , a , c , k , e , r ) » .
Bên cạnh
đó , Google còn cho rằng các tập tin cấu hình của máy chủ cũng có thể đã bị
ảnh hưởng và hãng nhấn mạnh về sự tối quan trọng trong việc nhanh chóng loại
trừ các đoạn mã độc và vá các lỗ hổng để bảo vệ những người ghé thăm trang
web . Những người chủ trang web cũng nên luôn cập nhật phần mềm hệ thống và
gặp gỡ nhà cung cấp website để được hỗ trợ kỹ thuật .
Theo FBI , người dùng Internet cần kiểm tra máy tính có bị lây nhiễm một loại vi rút thay đổi DNS hay không , trước nguy cơ họ có thể bị mất Internet vào tháng 07/2012 .
Theo FBI , người dùng Internet cần kiểm tra máy tính có bị lây nhiễm một loại vi rút thay đổi DNS hay không , trước nguy cơ họ có thể bị mất Internet vào tháng 07/2012 .
Mọi việc
bắt đầu từ khi một nhóm hacker quốc tế tìm cách kiểm soát máy tính bị lây
nhiễm trên toàn thế giới để thực hiện hành vi quảng cáo trực tuyến lừa đảo .
Tháng
11/2011 , Cục Điều Tra Liên Bang Mỹ ( FBI ) và các nhà chức trách phát hiện
một nhóm hacker đang thực hiện quảng cáo trực tuyến trái phép trên rất nhiều
máy tính bị lây nhiễm .
Chúng lợi
dụng các lỗ hổng trong hệ điều hành Microsoft Windows để cài đặt phần mềm
gây hại trên 570 000 máy tính toàn thế giới . Máy tính lây nhiễm sẽ bị vô
hiệu hoá khả năng cập nhật phần mềm chống vi rút và thay đổi cách tương
thích với các địa chỉ website theo hệ thống tên miền Internet ( DNS ) .
Hệ thống
DNS là một mạng lưới các máy chủ có nhiệm vụ dịch địa chỉ web thành các kỹ
thuật số chỉ số mà máy tính sử dụng . Máy tính bị lây nhiễm bị lập trình lại
để sử dụng các máy chủ DNS giả mạo của hacker .
Điều này
cho phép hacker chuyển hướng máy tính tới các phiên bản giả mạo của một
trang web bất kì , và thu lợi nhuận từ những website giả mạo đó . Theo FBI ,
số tiền chúng thu về được là ít nhất 14 triệu USD .
Ông Tom
Grasso , một nhân viên cao cấp của FBI , cho biết : « Chúng tôi nhận ra rằng
nếu ngay lập tức làm ngừng hoạt động hệ thống của tội phạm , các nạn nhân sẽ
không thể sử dụng Internet , người dùng bình thường sẽ mở trình duyệt
Internet Explorer và thấy hiển thị thông báo « page not found » và nghĩ rằng
Internet bị đứt kết nối » .
Chính vì
thế trước khi tiến hàng bắt giữ , FBI đã mời ông Paul Vixie , Chủ tịch kiêm
nhà sáng lập liên đoàn Internet Systems Consortium , tới cài đặt hai máy chủ
Internet để thay thế những máy chủ giả mạo bị tịch thu mà máy tính bị lây
nhiễm đang sử dụng . Các quan chức liên bang dự định cho máy chủ hoạt động
tới tháng 03/2012 để người dùng có cơ hội làm sạch máy tính , nhưng mọi việc
vẫn chưa hoàn thành . Toà án Liên bang đã đồng ý lùi hạn chót đến ngày
09/07/2012 . Sau ngày này , những máy tình còn chứa mã độc sẽ bị ngắt kết
nối Internet do máy chủ DNS mà chúng trỏ đến không còn hoạt động .
FBI khuyến cáo người dùng nên ghé thăm trang web dcwg.org do một đối tác bảo mật cung cấp . Trang web này sẽ thông báo cho người dùng là họ đã bị lây nhiễm hay chưa , và hướng dẫn cách khắc phục . Hầu hết các nạn nhân sẽ không biết máy tính của mình đã bị lây nhiễm , mặc dù phần mềm gây hại làm chậm tốc độ lướt web và vô hiệu quá phần mềm chống vi rút , khiến máy tính có nguy cơ bị xâm phạm bởi những loại mã độc khác .
FBI khuyến cáo người dùng nên ghé thăm trang web dcwg.org do một đối tác bảo mật cung cấp . Trang web này sẽ thông báo cho người dùng là họ đã bị lây nhiễm hay chưa , và hướng dẫn cách khắc phục . Hầu hết các nạn nhân sẽ không biết máy tính của mình đã bị lây nhiễm , mặc dù phần mềm gây hại làm chậm tốc độ lướt web và vô hiệu quá phần mềm chống vi rút , khiến máy tính có nguy cơ bị xâm phạm bởi những loại mã độc khác .
How can you
detect if your computer has been violated and infected with DNS Changer ?
An industry
wide team has developed easy « are you infected » web sites . They are a
quick way to determine if you are infected with DNS Changer . Each site is
designed for any normal computer user to browse to a link , follow the
instructions , and see if they might be infected . Each site has
instructions in their local languages on the next steps to clean up possible
infections .
For
example , the
http://www.dns-ok.us/
will state if you are or are not infected ( see below ) . If you think your
computer is infected with DNS Changer or any other malware , please refer to
the security guides from your operating system or the self - help references
from our fix page ( http://www.dcwg.org/fix )
.
Aucun commentaire:
Enregistrer un commentaire