“Các URL nhạy cảm đối với tài liệu được chia sẻ, trang đặt lại mật khẩu, lời mời nhóm, hóa đơn thanh toán,... được liệt kê công khai và có thể tìm kiếm trên urlscan.io, một công cụ bảo mật được sử dụng để phân tích các đường dẫn URL”, Fabian Bräunlein - đồng sáng lập công ty an ninh mạng Positive Security (Đức) cho biết trong một báo cáo được công bố vào ngày 2/11/2022.
Positive Security cho biết họ đã bắt đầu một cuộc điều tra sau khi GitHub gửi một thông báo rò rỉ dữ liệu vào tháng 2/2022 tới một số người dùng về việc chia sẻ tên đăng nhập và tên kho lưu trữ riêng của họ (tức là URL của các trang GitHub) với urlscan.io để lấy thông tin metadata như một phần của quy trình tự động.
Urlscan.io được mô tả như một sandbox cho web và tích hợp vào một số giải pháp bảo mật thông qua API của nó. “Với kiểu tích hợp của API này (ví dụ: thông qua một công cụ bảo mật quét mọi email đến và thực hiện quét URL trên tất cả các liên kết) có rất nhiều thông tin dữ liệu nhạy cảm có thể được tìm kiếm và truy xuất bởi một người dùng ẩn danh”, Bräunlein lưu ý.
Dữ liệu có thể bao gồm các trang đặt lại mật khẩu, trang hủy đăng ký email, yêu cầu ký DocuSign, URL tạo tài khoản, khóa API, thông tin về bot Telegram, liên kết Google Drive được chia sẻ, liên kết mời đến các dịch vụ như SharePoint, Discord và Zoom, hóa đơn PayPal, bản ghi cuộc họp của Cisco Webex và thậm chí cả URL để theo dõi đơn hàng.
Positive Security cho biết rằng họ đã liên hệ với chủ nhân một số địa chỉ email bị xâm phạm và nhận được một phản hồi từ một tổ chức giấu tên đã theo dõi sự rò rỉ của liên kết hợp đồng làm việc DocuSign với cấu hình sai của giải pháp Điều phối, Tự động hóa và Phản hồi bảo mật (SOAR) của tổ chức này, đã được tích hợp với urlscan.io.
Trên hết, phân tích cũng phát hiện ra rằng các công cụ bảo mật được cấu hình sai đang gửi bất kỳ liên kết nào nhận được qua email dưới dạng quét công khai tới urlscan.io.
Điều này có thể gây ra những hậu quả nghiêm trọng, trong đó một tin tặc có thể kích hoạt các liên kết đặt lại mật khẩu cho các địa chỉ email bị ảnh hưởng và khai thác kết quả quét để thu thập các URL, chiếm quyền sử dụng tài khoản bằng cách đặt lại mật khẩu theo lựa chọn của tin tặc đó. Để tối đa hóa hiệu quả của một cuộc tấn công như vậy, tin tặc có thể tìm kiếm các trang web thông báo vi phạm dữ liệu như Have I Been Pwned để xác định chính xác các dịch vụ đã được đăng ký bằng cách sử dụng các địa chỉ email được đề cập.
Bräunlein chia sẻ: “Nhìn chung, urlscan.io chứa một lượng thông tin nhạy cảm khác nhau. Những thông tin này có thể được sử dụng bởi các tin tặc gửi thư rác để thu thập địa chỉ email và các thông tin cá nhân khác. Bên cạnh đó, các tin tặc cũng có thể lợi dụng điều này để chiếm đoạt tài khoản và khởi động các chiến dịch lừa đảo khác nhau".
Quá trình thực hiện đánh cắp tài khoản web có thể được mô tả cụ thể như sau: trước hết, tin tặc sẽ tiến hành thu thập các địa chỉ email từ urlscan.io để gửi thư rác chứa những liên kết độc hại tới những địa chỉ đó. Khi những liên kết này được gửi tới urlscan.io để kiểm tra, chúng sẽ thu thập để truy vết ngược lại, từ đó biết địa chỉ email chính xác của nạn nhân mà hệ thống của họ có chức năng tự động kiểm tra các liên kết tự động. Sau khi kiểm tra các dịch vụ web mà địa chỉ email được nhắm tới được sử dụng để đăng ký (thông qua các dịch vụ tra cứu những vụ lộ lọt thông tin khách hàng như Have I Been Pwned), tin tặc sẽ truy cập các dịch vụ này để kích hoạt tính năng đặt lại mật khẩu. Cuối cùng, tin tặc lại “nghe lén” thông tin từ urlscan.io để lấy liên kết đặt lại mật khẩu và hoàn tất quá trình chiếm đoạt tài khoản.
Trước đó, trong một bản báo cáo ngăn chặn rò rỉ thông tin vào tháng 7/2022, urlscan.io cũng đã thêm các quy tắc xóa bổ sung để tự động xóa bỏ định kỳ các kết quả quét trước đó tương ứng với các mẫu tìm kiếm, đồng thời có danh sách blacklist các tên miền và mẫu URL nhằm ngăn chặn việc quét các trang web cụ thể. Ngoài ra, trình quét bảo mật này cũng đã giải thích về các chế độ quét khác nhau có sẵn, với những khả năng nào người dùng nên sử dụng và cách xem xét kết quả gửi của người dùng trên urlscan.io để phát hiện và ngăn chặn rò rỉ thông tin ngoài ý muốn.
Nguyễn Anh Tuấn
(theo The Hacker News)
07:00 | 27/10/2022
12:00 | 12/08/2022
13:00 | 02/08/2022
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
