“Các URL nhạy cảm đối với tài liệu được chia sẻ, trang đặt lại mật khẩu, lời mời nhóm, hóa đơn thanh toán,... được liệt kê công khai và có thể tìm kiếm trên urlscan.io, một công cụ bảo mật được sử dụng để phân tích các đường dẫn URL”, Fabian Bräunlein - đồng sáng lập công ty an ninh mạng Positive Security (Đức) cho biết trong một báo cáo được công bố vào ngày 2/11/2022.
Positive Security cho biết họ đã bắt đầu một cuộc điều tra sau khi GitHub gửi một thông báo rò rỉ dữ liệu vào tháng 2/2022 tới một số người dùng về việc chia sẻ tên đăng nhập và tên kho lưu trữ riêng của họ (tức là URL của các trang GitHub) với urlscan.io để lấy thông tin metadata như một phần của quy trình tự động.
Urlscan.io được mô tả như một sandbox cho web và tích hợp vào một số giải pháp bảo mật thông qua API của nó. “Với kiểu tích hợp của API này (ví dụ: thông qua một công cụ bảo mật quét mọi email đến và thực hiện quét URL trên tất cả các liên kết) có rất nhiều thông tin dữ liệu nhạy cảm có thể được tìm kiếm và truy xuất bởi một người dùng ẩn danh”, Bräunlein lưu ý.
Dữ liệu có thể bao gồm các trang đặt lại mật khẩu, trang hủy đăng ký email, yêu cầu ký DocuSign, URL tạo tài khoản, khóa API, thông tin về bot Telegram, liên kết Google Drive được chia sẻ, liên kết mời đến các dịch vụ như SharePoint, Discord và Zoom, hóa đơn PayPal, bản ghi cuộc họp của Cisco Webex và thậm chí cả URL để theo dõi đơn hàng.
Positive Security cho biết rằng họ đã liên hệ với chủ nhân một số địa chỉ email bị xâm phạm và nhận được một phản hồi từ một tổ chức giấu tên đã theo dõi sự rò rỉ của liên kết hợp đồng làm việc DocuSign với cấu hình sai của giải pháp Điều phối, Tự động hóa và Phản hồi bảo mật (SOAR) của tổ chức này, đã được tích hợp với urlscan.io.
Trên hết, phân tích cũng phát hiện ra rằng các công cụ bảo mật được cấu hình sai đang gửi bất kỳ liên kết nào nhận được qua email dưới dạng quét công khai tới urlscan.io.
Điều này có thể gây ra những hậu quả nghiêm trọng, trong đó một tin tặc có thể kích hoạt các liên kết đặt lại mật khẩu cho các địa chỉ email bị ảnh hưởng và khai thác kết quả quét để thu thập các URL, chiếm quyền sử dụng tài khoản bằng cách đặt lại mật khẩu theo lựa chọn của tin tặc đó. Để tối đa hóa hiệu quả của một cuộc tấn công như vậy, tin tặc có thể tìm kiếm các trang web thông báo vi phạm dữ liệu như Have I Been Pwned để xác định chính xác các dịch vụ đã được đăng ký bằng cách sử dụng các địa chỉ email được đề cập.
Bräunlein chia sẻ: “Nhìn chung, urlscan.io chứa một lượng thông tin nhạy cảm khác nhau. Những thông tin này có thể được sử dụng bởi các tin tặc gửi thư rác để thu thập địa chỉ email và các thông tin cá nhân khác. Bên cạnh đó, các tin tặc cũng có thể lợi dụng điều này để chiếm đoạt tài khoản và khởi động các chiến dịch lừa đảo khác nhau".
Quá trình thực hiện đánh cắp tài khoản web có thể được mô tả cụ thể như sau: trước hết, tin tặc sẽ tiến hành thu thập các địa chỉ email từ urlscan.io để gửi thư rác chứa những liên kết độc hại tới những địa chỉ đó. Khi những liên kết này được gửi tới urlscan.io để kiểm tra, chúng sẽ thu thập để truy vết ngược lại, từ đó biết địa chỉ email chính xác của nạn nhân mà hệ thống của họ có chức năng tự động kiểm tra các liên kết tự động. Sau khi kiểm tra các dịch vụ web mà địa chỉ email được nhắm tới được sử dụng để đăng ký (thông qua các dịch vụ tra cứu những vụ lộ lọt thông tin khách hàng như Have I Been Pwned), tin tặc sẽ truy cập các dịch vụ này để kích hoạt tính năng đặt lại mật khẩu. Cuối cùng, tin tặc lại “nghe lén” thông tin từ urlscan.io để lấy liên kết đặt lại mật khẩu và hoàn tất quá trình chiếm đoạt tài khoản.
Trước đó, trong một bản báo cáo ngăn chặn rò rỉ thông tin vào tháng 7/2022, urlscan.io cũng đã thêm các quy tắc xóa bổ sung để tự động xóa bỏ định kỳ các kết quả quét trước đó tương ứng với các mẫu tìm kiếm, đồng thời có danh sách blacklist các tên miền và mẫu URL nhằm ngăn chặn việc quét các trang web cụ thể. Ngoài ra, trình quét bảo mật này cũng đã giải thích về các chế độ quét khác nhau có sẵn, với những khả năng nào người dùng nên sử dụng và cách xem xét kết quả gửi của người dùng trên urlscan.io để phát hiện và ngăn chặn rò rỉ thông tin ngoài ý muốn.
Nguyễn Anh Tuấn
(theo The Hacker News)
07:00 | 27/10/2022
12:00 | 12/08/2022
13:00 | 02/08/2022
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
