dimanche 8 juillet 2012

Hướng Dẫn Điều Trị Email Account Bị « Hack »

8/7/12
GS Vũ Công Hiến 2012/07
Cách Ngăn Ngừa 
« Virus » Tự Động Gởi Email Cho Mọi Người Trong Mailing List  ( bản sơ khởi )  
Kính thưa quý bạn , trong vài tuần nay hẳn là các bạn nhận được rất nhiều email mà subject chỉ có chữ Hi hoặc Hello , hoặc Wow , hoặc bỏ trống . Nội dung email chỉ là một hàng link đưa vào một webpage .  
Thí dụ như hình dưới đây :  
Loại email nầy càng ngày càng nhiểu , mỗi ngày gần đây tôi nhận được chừng 20 cái . Do đó tôi có tìm hiểu để giúp các bạn tránh được phần nào account bị « hack » . Xin hiểu cho rằng tôi là người đi trước một số đông các bằng hữu nơi đây , vì muốn giúp đở một số bạn , tôi biết gì nói nấy sai thì các bạn ráng chịu . Những vị trong nghề xin ngó chỗ khác giùm . Tôi làm vì « tốt bụng » chớ không mưu cầu bất cứ chuyện gì hết . Giờ nầy mằm nghe nhạc sướng hơn ngồi đây viết mấy thứ lỉnh kỉnh nầy phải không ?

Tôi cố gắng tìm hiểu việc tại sao email của các bạn tự động gởi email kiểu bên trên cho mọi người có tên trong list của các bạn thì vẫn chưa thấy câu trả lời minh bạch .
Dĩ nhiên ai cũng biết đó là do spammer setup . Nó chỉ là do spammer thôi , nếu là hacker thì nó chiếm luôn mail box của các bạn rồi .

Sau đây là những gì tôi thấy được và kính trình may ra giúp ích được phần nào . Xin đọc chậm chậm , tôi viết vào chi tiết thì bài dài lắm , các bạn không đủ kiên nhẫn để đọc đâu , hoá ra uổng công vô ích .

1 . Khi các bạn nhận được cái email như hình trên từ người rất quen , vô tình các bạn click hàng link ( màu xanh như trong hình trên ) thì nó đưa các bạn vào một webpage quảng cáo chi đó . Trong lúc các bạn đang xem thì « data » tuông ào ào vào computer của các bạn . Tôi đã theo link thử và khi thấy data từ ngoài chạy ào ào vào computer của tôi ( high speed ) tôi vội cúp , không theo nữAKhông phải tôi sợ nhưng vì đang cần computer để khai thuế , nên tôi không muốn phiêu lưu lỡ trục trặc thì mất thì giờ lắm , có khi trể . Sau nầy tôi sẽ tìm hiểu thêm khi không cần tới cái computer .
Data tuôn vào máy của các bạn có lẽ không phải là virus , mà là một hay vài scripts files ( đó là một « program » dưới dạng scripts ) . Cái scripts nầy ăn cắp cookies của computer các bạn . Cookies là bánh ngọt , nhưng trong thuật ngữ computer thì là khác , giải thích thì kéo dài lê thê . Sau đó nhờ cookies nầy spammer có thể access được vào email accounts của các bạn .
Cái scripts file nầy không phải là virus , nên có khi các bạn scan computer chẳng thấy con virus nào hết . Vậy thì câu hỏi sẽ là cách đề phòng ra sao , nếu lỡ bị rồi thì làm sao ?  
2 . Nếu email đã bị spammer « hack » thì chuyện trước tiên là các bạn hãy thaypassword liền đi , nếu còn có thể làm được . Thông thường khi các bạn mở email account ở Yahoo/Hotmail/Gmail ... thì nó có hỏi các bạn một email address phụ để khi cần thì liên lạc . Cái nầy quan trọng lắm . Nếu account các bạn chưa có thì hãy vào đó mà ghi thêm cái email address thứ hai .

Để làm chi , thưa để khi password của các bạn bị spammer thay đổi , các bạn không access ( không log in ) được vào mail box thì các bạn click hàng chữ « forget password » hay tương tợ . Mail server của các bạn sẽ tự động send email tới cái address phụ nầy . Từ đó nó hướng dẫn các bạn log vào account bị « hack » .

Ngoài ra các mail server hiện giờ còn cách thứ hai giúp các bạn hữu hiệu hơn là nó gởi password tạm về cell phone của các bạn dưới dạng text file . Chuyện nầy tự động và tức thì , mất 1 phút là cùng . Khi nhận được password tạm qua cell phone thì các bạn log vào email account bị « hack » và thay đổi mọi thứ như password , như câu hỏi bí mật ( security questions ) thí dụ như : bạn thích tuồng hát nào , mẹ bạn tên gì , bạn sinh nơi đâu , ông thầy học đầu tiên của bạn tên gì ... Cái câu trả lời bì mật nầy có khi không quan trọng bằng số cell phone hay email address thứ hai dùng liên lạc phụ .
3 . Trường hợp tệ nhất là không phải spammer mà là hacker access vào email account của các bạn và từ đó nó đổi hết mọi thứ như các bạn đã làm ở phần 2 . Lúc đó tôi e khó lấy lại được mail box . Các bạn có khiếu nại với nhân viên của mail server thì thường họ cũng chẳng giải quyết chi hết . Trừ trường hợp các bạn có trả tiền cho mail box ( cho account ) của các bạn đang xài . Lúc đó bạn gọi lại mail server và khiếu nại , bạn là người trả tiền , mail server sẽ trả lại mail box cho các bạn . Loại email mấy tuần nay các bạn nhận được hay do computer của các bạn gởi ra là do spammer setup mục đích giới thiệu một webpage của chúng nó để buôn bán món gì đó hay dụ dỗ người xem một chuyện gì . Dĩ nhiên đâu có lợi cho các bạn , lợi cho chúng nó nên chúng nó mới tốn công setup .  
4 . Sau khi làm hai chuyện trên thì kế tiếp các bạn scan computer tìm virus . Thường chuyện nầy không có kết quả chi nhiều đâu . Vì thật sự tôi không tin là có virus và chính virus gởi email ra . Mà là do một scripts file . Với scriptsfiles thì mấy software anti virus đâu có liệt nó vào hạng virus đâu . Dầu sao cũng nên scan để diệt một số malware khác . Nhớ update virus data trước khi scan . Cái software và hướng dẫn download lẫn setup nằm dưới cùng email nầy . Có khi phải scan computer ở safe mode . Khi boot Windows thì nhấn F8 để chọn boot vào safe mode .  
5 . Chuyện kế tiếp là xoá web browser cookies , và web browser history . Ít ra là xoá một lần sau khi đổi password hay lấy lại được email account .  
6 . Nhớ export contact list ( list email address ) trong email account và giữ hờ ở computer ở nhà . Phòng hờ lỡ khi spammer xoá hết thì các bạn cũng còn liên lạc được với nhiều bằng hữu ảo . Chuyện export contact ( email address list ) có khi khó với các bạn thì cách dễ hơn là gởi môt email chứa hết các contact về email phụ ( email address thứ hai ) của các bạn : Thí dụ như Nguyễn_văn_Ổi@yahoo.com gởi về Nguyễn_văn_Ổi@gmail.com .

7 . Làm sao các bạn biết account của mình bị « hack » . Thưa thông thường thì do bạn bè báo cho các bạn biết là email của các bạn đã tự động gởi ra cho người khác những email tương tợ với subject là Hi , là Hello hay bỏ trống .
Cách khác là các bạn làm một address giả trong mailing adddress và sắp cho nó đứng đầu . Thí dụ như 00_abckhongbietaigoi@yahoo.com , vì address nầy không có thật , nên khi spammer set cho email các bạn tự động gởi ra , thì cái email nầy bị trả về . Lúc đó các bạn biết là email nầy không do chính mình gởi , mà là spammer gởi . Thật ra không phải do một spammer nào ngồi đó gởi hết , mà nó set cho mail server gởi tự động với hàng chữ có sẵn như ( là hình chụp , các bạn chớ sợ ) :  

Hay như là :  
Do vậy loại « hack » nầy tương đối hiền . Thường nó cũng không gởi hết mailing list của các bạn mà nó lấy đại một số email address nào đó thôi , nên cái email giả trên cũng có khi lọt sổ .
Trên đây là những gì tôi có thể suy ra được vế chuyện « email tự động gởi mail » nầy . Thật ra cho tới bây giờ tôi không thấy được tài liệu nào của các chuyên viên rõ ràng về chuyện nầy . Mọi người hình như vẫn cón mù mờ lắm . Khi nào tôi rảnh tôi sẽ theo mấy cái link nguy hiểm coi nó đưa tới đâu và cơ chế « làm việc » của nó ra sao một cách chính xác để bày cho các bạn .  
Bài nầy chỉ là bản nháp sơ khởi , tôi sẽ cập nhật dần dần khi thu tập được email góp ý từ các bạn , hoặc khi tôi có được một cao nhân nào đó hướng dẫn cách trừ khử chuyện « email tự động gởi đi nầy » .  
GS Vũ Công Hiến 2012/07
* * *
Google cảnh cáo , khoảng 20 000 websites có thể đã bị bẻ khoá và nhiễm mã độc thông qua ngôn ngữ JavaScript .  
Trong một bức thư được gửi vào tuần này , Google cho biết , có nhiều trang web đã bị nhiễm độc thông qua phần mềm của hãng thứ ba và có thể sẽ được sử dụng để chuyển hướng người dùng sang các trang web độc hại khác .

Các tập tin nguồn đã bị ảnh hưởng bởi đoạn mã JavaScript lạ và Google khuyến cáo các chủ trang web nên nhanh chóng tìm kiếm các tập tin PHP hoặc HTML , JavaScript có chứa đoạn mã "eval ( function ( p , a , c , k , e , r ) » .
Bên cạnh đó , Google còn cho rằng các tập tin cấu hình của máy chủ cũng có thể đã bị ảnh hưởng và hãng nhấn mạnh về sự tối quan trọng trong việc nhanh chóng loại trừ các đoạn mã độc và vá các lỗ hổng để bảo vệ những người ghé thăm trang web . Những người chủ trang web cũng nên luôn cập nhật phần mềm hệ thống và gặp gỡ nhà cung cấp website để được hỗ trợ kỹ thuật .

Theo FBI , người dùng Internet cần kiểm tra máy tính có bị lây nhiễm một loại vi rút thay đổi DNS hay không , trước nguy cơ họ có thể bị mất Internet vào tháng 07/2012 .  
Mọi việc bắt đầu từ khi một nhóm hacker quốc tế tìm cách kiểm soát máy tính bị lây nhiễm trên toàn thế giới để thực hiện hành vi quảng cáo trực tuyến lừa đảo .  
Tháng 11/2011 , Cục Điều Tra Liên Bang Mỹ ( FBI ) và các nhà chức trách phát hiện một nhóm hacker đang thực hiện quảng cáo trực tuyến trái phép trên rất nhiều máy tính bị lây nhiễm .  
Chúng lợi dụng các lỗ hổng trong hệ điều hành Microsoft Windows để cài đặt phần mềm gây hại trên 570 000 máy tính toàn thế giới . Máy tính lây nhiễm sẽ bị vô hiệu hoá khả năng cập nhật phần mềm chống vi rút và thay đổi cách tương thích với các địa chỉ website theo hệ thống tên miền Internet ( DNS ) .  
Hệ thống DNS là một mạng lưới các máy chủ có nhiệm vụ dịch địa chỉ web thành các kỹ thuật số chỉ số mà máy tính sử dụng . Máy tính bị lây nhiễm bị lập trình lại để sử dụng các máy chủ DNS giả mạo của hacker .  
Điều này cho phép hacker chuyển hướng máy tính tới các phiên bản giả mạo của một trang web bất kì , và thu lợi nhuận từ những website giả mạo đó . Theo FBI , số tiền chúng thu về được là ít nhất 14 triệu USD .  
Ông Tom Grasso , một nhân viên cao cấp của FBI , cho biết : « Chúng tôi nhận ra rằng nếu ngay lập tức làm ngừng hoạt động hệ thống của tội phạm , các nạn nhân sẽ không thể sử dụng Internet , người dùng bình thường sẽ mở trình duyệt Internet Explorer và thấy hiển thị thông báo « page not found » và nghĩ rằng Internet bị đứt kết nối » .  
Chính vì thế trước khi tiến hàng bắt giữ , FBI đã mời ông Paul Vixie , Chủ tịch kiêm nhà sáng lập liên đoàn Internet Systems Consortium , tới cài đặt hai máy chủ Internet để thay thế những máy chủ giả mạo bị tịch thu mà máy tính bị lây nhiễm đang sử dụng . Các quan chức liên bang dự định cho máy chủ hoạt động tới tháng 03/2012 để người dùng có cơ hội làm sạch máy tính , nhưng mọi việc vẫn chưa hoàn thành . Toà án Liên bang đã đồng ý lùi hạn chót đến ngày 09/07/2012 . Sau ngày này , những máy tình còn chứa mã độc sẽ bị ngắt kết nối Internet do máy chủ DNS mà chúng trỏ đến không còn hoạt động .

FBI khuyến cáo người dùng nên ghé thăm trang web
dcwg.org do một đối tác bảo mật cung cấp . Trang web này sẽ thông báo cho người dùng là họ đã bị lây nhiễm hay chưa , và hướng dẫn cách khắc phục . Hầu hết các nạn nhân sẽ không biết máy tính của mình đã bị lây nhiễm , mặc dù phần mềm gây hại làm chậm tốc độ lướt web và vô hiệu quá phần mềm chống vi rút , khiến máy tính có nguy cơ bị xâm phạm bởi những loại mã độc khác .  
How can you detect if your computer has been violated and infected with DNS Changer ?
An industry wide team has developed easy « are you infected » web sites . They are a quick way to determine if you are infected with DNS Changer . Each site is designed for any normal computer user to browse to a link , follow the instructions , and see if they might be infected . Each site has instructions in their local languages on the next steps to clean up possible infections .  
For example , the http://www.dns-ok.us/ will state if you are or are not infected ( see below ) . If you think your computer is infected with DNS Changer or any other malware , please refer to the security guides from your operating system or the self - help references from our fix page ( http://www.dcwg.org/fix ) .

Aucun commentaire:

Enregistrer un commentaire