Tấn công mạng:

Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máy
tính, website, cơ sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức
thông qua mạng internet với những mục đích bất hợp pháp.

Mục đích:

Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh
cắp, thay đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống
(gây gián đoạn, cản trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thị
quảng cáo, mã độc đào tiền ảo).

Tấn công mạng khác với pentest (kiểm thử xâm nhập). Mặc dù cả 2 đều chỉ việc
xâm nhập vào một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gây
hại cho nạn nhân, còn pentest là xâm nhập với mục đích tìm ra điểm yếu bảo mật
trong hệ thống để khắc phục.

Các cuộc tấn công mạng trong các năm gần đây

Tại Việt Nam

4. VCCorp

Thời gian: Tháng 10/2014

Ảnh hưởng đến: Nhiều website lớn của VCCorp gồm Kênh14, Gamek, Genk,
CafeF và một số website do VCCorp vận hành kỹ thuật như Dân Trí, Soha, Người
Lao Động… ngưng hoạt động

Trong khoảng 17-18/10, các website thuộc sở hữu của VCCorp và các đối tác của
công ty này liên tục không thể truy cập hoặc bị chuyển hướng về trang blog
“VCCorp tự truyện” với nhiều thông tin tiêu cực về VCCorp. Báo Dantri và
VnEconomy liên tiếp bị gián đoạn. Website giadinh.net.vn bị nghi ngờ bị hacker
xóa toàn bộ dữ liệu trên máy chủ. Sự cố đã gây thiệt hại cho VCCorp hàng chục tỷ
đồng và được coi là nghiêm trọng nhất từng xảy ra với VCCorp từ trước tới nay.

3. Bkav
Thời gian: Tháng 2/2012

Ảnh hưởng đến: Website bị deface, lộ hơn 100.000 địa chỉ email, mật khẩu diễn
đàn, xuất hiện nhiều bài viết công kích

Vào 13/02/2012, nhóm hacker tự nhận là “Anonymous/LulzSec Việt Nam” đã tấn

công diễn đàn Bkav và công khai toàn bộ cơ sở dữ liệu của diễn đàn bao gồm hơn
100.000 địa chỉ email và toàn bộ dữ liệu cho đến tháng 02/2012. Ngày 24/02/2012,
các hacker công bố 8 lỗi bảo mật nghiêm trọng trong hệ thống website của công ty
trên một trang blog. Tuy nhiên, đại diện từ Bkav đã khẳng định thông tin về số lỗ
hổng này là không chính xác và công ty này đã xác định được đối tượng gây ra vụ
hack.

2. VNG

Thời gian: 2015

Ảnh hưởng đến: thông tin cá nhân của 160 triệu người dùng

Vào ngày 26/4/2018, hơn 163 triệu tài khoản Zing ID bị phát hiện được rao bán
trên một diễn đàn nước ngoài. VNG xác nhận sự kiện này xảy ra từ năm 2015
nhưng đã không có hành động công bố vụ việc. Các dữ liệu bị lộ bao gồm: mật
khẩu, tên đăng nhập, mã game, email, số điện thoại, họ tên đầy đủ, ngày sinh, địa
chỉ, IP… Dữ liệu mật khẩu bị lộ được cộng đồng bảo mật đánh giá đã được mã hóa
khá sơ sài và dễ dàng bị giải mã bởi hacker.

1. Vietnam Airlines

Thời gian: tháng 7/2016

Ảnh hưởng đến: thông tin cá nhân của 411.000 người dùng; chiếm đoạt hệ thống
thông báo sân bay

Chiều 29 tháng 7 năm 2016, một số màn hình hiển thị thông tin chuyến bay của
các Sân bay quốc tế Tân Sơn Nhất, Nội Bài, Đà Nẵng, Sân bay Phú Quốc bị chèn
những nội dung xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về
biển Đông. Website của Vietnam Airlines bị điều hướng đến trang khác và tiết lộ
dữ liệu của 411.000 thành viên Golden Lotus – phần lớn là các lãnh đạo, quản lý
cơ quan Nhà nước, ngân hàng, doanh nghiệp lớn… Những thông tin trong file dữ
liệu bao gồm họ tên, ngày sinh, địa chỉ thường trú, đơn vị làm việc, số điện thoại,
quốc tịch, ngày tham gia chương trình, điểm tích lũy, mật khẩu tài khoản GLP, và
có nguy cơ hacker giữ lại không công bố số thẻ tín dụng. Hơn 100 chuyến bay bị
ảnh hưởng.

CÁC HÌNH THỨC TẤN CÔNG MẠNG PHỔ BIẾN

 Tấn công bằng phần mềm độc hại (Malware attack)

 Tấn công malware là hình thức phổ biến nhất. Malware bao gồm spyware
(phần mềm gián điệp), ransomware (mã độc tống tiền), virus và worm (phần
mềm độc hại có khả năng lây lan nhanh). Thông thường, tin tặc sẽ tấn công
người dùng thông qua các lỗ hổng bảo mật, cũng có thể là dụ dỗ người dùng
click vào một đường link hoặc email (phishing) để phần mềm độc hại tự
động cài đặt vào máy tính. Một khi được cài đặt thành công, malware sẽ gây
ra:

 Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng
(ransomware)
 Cài đặt thêm những phần mềm độc hại khác
 Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)
 Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống.
 Tấn công giả mạo (Phishing attack)

 Tấn công trung gian (Man-in-the-middle attack)

 Tấn công từ chối dịch vụ (DoS và DDoS)

 Tấn công cơ sở dữ liệu (SQL injection)

 Tin tặc “tiêm” một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn
có cấu trúc (SQL), mục đích là khiến máy chủ trả về những thông tin quan
trọng mà lẽ ra không được tiết lộ. Các cuộc tấn công SQL injection xuất phát
 từ các lỗ hổng của website, đôi khi tin tặc có thể tấn công chỉ bằng cách
chèn một đoạn mã độc vào thanh công cụ “Tìm kiếm” là đã có thể tấn công
website.

 Khai thác lỗ hổng Zero-day (Zero day attack)

Các loại khác

Ngoài ra, còn rất nhiều hình thức tấn công mạng khác như: Tấn công chuỗi cung
ứng, Tấn công Email, Tấn công vào con người, Tấn công nội bộ tổ chức, v.v. Mỗi
hình thức tấn công đều có những đặc tính riêng, và chúng ngày càng tiến hóa phức
tạp, tinh vi đòi hỏi các cá nhân, tổ chức phải liên tục cảnh giác & cập nhật các công
nghệ phòng chống mới.

Tấn công theo phương pháp do thám (Reconnaissance attack):

Tấn công mạng theo phương pháp truy cập (Access attack):

Tấn công từ chối dịch vụ (DoS):

Ngoài ra, phương pháp xâm nhập hệ thống Social Engineering như email lừa đảo,
đường link lạ, thông báo giải thưởng cũng là một kỹ thuật được tin tặc áp dụng
thường xuyên.
GIẢI PHÁP CHỐNG TẤN CÔNG MẠNG

Đối với cá nhân

Bảo vệ mật khẩu cá nhân bằng cách: đặt mật khẩu phức tạp, bật tính năng bảo mật
2 lớp – xác nhận qua điện thoại,… Chi tiết tại: 3 kiểu Tấn công Password cơ bản &
cách phòng chống

Hạn chế truy cập vào các điểm wifi công cộng

Không sử dụng phần mềm bẻ khóa (crack)

Luôn cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất.

Cẩn trọng khi duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo.

Tuyệt đối không tải các file hoặc nhấp vào đường link không rõ nguồn gốc.

Hạn chế sử dụng các thiết bị ngoại vi (USB, ổ cứng) dùng chung.

Sử dụng một phần mềm diệt Virus uy tín.

Đối với tổ chức, doanh nghiệp

Xây dựng một chính sách bảo mật với các điều khoản rõ ràng, minh bạch

Lựa chọn các phần mềm, đối tác một cách kỹ càng. Ưu tiên những bên có cam kết
bảo mật và cam kết cập nhật bảo mật thường xuyên.

Tuyệt đối không sử dụng các phần mềm crack

Luôn cập nhật phần mềm, firmware lên phiên bản mới nhất.

Sử dụng các dịch vụ đám mây uy tín cho mục đích lưu trữ.

Đánh giá bảo mật & Xây dựng một chiến lược an ninh mạng tổng thể cho doanh
nghiệp, bao gồm các thành phần: bảo mật website, bảo mật hệ thống máy chủ,
mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống
CNTT – vận hành…

Tổ chức các buổi đào tạo, training kiến thức sử dụng internet an toàn cho nhân
viên.
Mã độc là gì? Tổng quan về mã độc

Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào
hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp
thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của
máy tính nạn nhân. Mã độc được phân thành nhiều loại tùy theo chức năng, cách
thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit …

Mọi người hay bị nhầm lẫn với 1 khái niệm khác là Virus máy tính. Thực tế, virus
máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu đơn thuần
cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máy tính có KHẢ NĂNG
TỰ LÂY LAN.

Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn
mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc
ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để
hiệu quả tấn công là cao nhất.

Các loại mã độc (Malware) có trên Website

Đặc thù của việc kiếm tiền dựa vào mã độc trên Website, thì Malware trên Website
được phân loại như sau:

Malicious iframes (Malframes)

Các HTML iframe chứa nội dung các Website, videos..độc hại, lừa đảo, spam…

IFrame có thể chèn trực tiếp vào code của template hoặc mã hóa trong các đoạn mã
javascript.

Conditional redirections

Chèn code chuyển hướng các trang sang những Website độc hại.
Nếu thiết bị có cài phần mềm diệt Virus thường bạn sẽ bị cảnh báo nếu vào các
Website bị chèn malware để chuyển hướng sang nhiều Website độc hại.

Google, FireFox, các trình duyệt phổ biến cũng cảnh báo khi site bị redirect sang web
độc.

SEO Spam

Chèn bài viết hoặc link xấu vào website, gây hại cho SEO.

Cách tấn công này rất độc hại và tinh vi vì malware thường ẩn các nội dung spam trên
Website, mà chỉ hiển thị nó cho Search Engine.

Tiểu biểu là Japanese SEO spam – thay các thông tin trên kết quả tìm kiếm bằng nội
dung Spam tiếng Nhật (thường là quảng cáo đồ điện tử, hoặc thuốc men…)

Các mục đích Blackhat SEO cũng có thể chèn code để sinh ra hàng loạt backlinks trỏ
về các website khác nhằm đẩy nhanh tốc độ rank của các site seo-blackhat.

Malicious Scripts

Cài các đoạn mã js thực thi trên trình duyệt khi người dùng vào Websites để ăn cắp
thông tin người dùng (như cookie, mật khẩu, thông tin thẻ visa…)

Defacements

Chèn code với mục đích phá hoại các tính năng trên Website.

Deface Attack thường có mục đích phát tán các thông điệp xấu, gây tiếng vang trong
cộng đồng hacker hoặc làm mất uy tín của Website bị tấn công.

Thường Deface Attack sẽ thay toàn bộ nội dung Website bằng thông điệp của Hacker.

Phishing

Chèn thông tin lừa đảo, kiểu như nhập thông tin thẻ VISA để nhận quà tặng…

Hình thức phổ biến là hacker chèn một chương trình giống hệt trang login FB, khi bạn
nhập thông tin login, tài khoản sẽ gởi về cho Hacker.
Dạng này bạn sẽ gặp rất nhiều, nó gây thiệt hại cho người dùng và làm cho Website
mang tiếng lừa đảo.

Backdoors

Tạo lối tắt – cửa hậu để thâm nhập và điều khiển Website từ xa.

Khi hacker xâm nhập vào Website thì việc chèn một đoạn code backdoor trở nên rất
dễ dàng.

Ví dụ, một đoạn code sẽ tạo ra một user account với quyền quản trị , ví dụ user: anh-
la-hack, pass: hack2019 được thực hiện khi truy cập vao đường link như sau:

https://web-bi-hack.com/hay-tao-admin-user-cho-anh

Với ‘backdoor’ này, bạn có xóa user anh-la-hack bao nhiêu lần đi nữa, chỉ cần hacker
vào link trên thì user sẽ tự động được tạo lại.

Viết một đoạn code PHP tạo backdoor này thực sự rất dể dàng, và ẩn nó đi cũng cực
kỳ dễ. Nên khi bạn dùng themes, plugins hay mã nguồn website từ các nguồn độc hại
thì nguy cơ rước trộm vào nhà là rất cao.

Các hiện tượng phổ biến khi Website nhiễm Malware

Một trong những nguyên nhân khiến Website bị hack gây nên những hậu quả nghiêm
trọng là chúng ta không phát hiện được ngay, mà chỉ khi nó giở chứng thì mới nhận
biết được.

Thường khi đó mọi thứ đã trở nên phức tạp!

Một số hiện tượng để bạn nhận biết Website đã bị hack và chèn mã độc là:

Nhiều phiên login Admin từ IP không phải của bạn

Nguyên nhân: bạn đã bị dò trúng mật khẩu hoặc cài backdoor

Nếu Website chỉ có mình bạn có tài khoản, thì khi bạn login, file log sẽ lưu lại thông
tin ip mạng máy tính bạn dùng.

Nếu có những phiên truy cập khác thành công từ IP khác, tức là user của bạn đã bị lộ
rồi.

Bị tự động chuyển hướng sang các Website khác

Nguyên nhân: website bị chèn malware Conditional redirections

Đây là hiện tượng thường gặp nhất khi site đã bị hack một thời gian, link xấu đã được
chèn vào code hoặc database (hoặc cả hai).

Người dùng vào trang hoặc một bài viết nào đó liền bị redirect về các trang web xấu
như quảng cáo kiếm tiền, lừa đảo, web độc hại….

Trang web bị chèn nội dung lạ

Nguyên nhân: bị cài mã độc để hiển thị nội dung xấu, spam trên website

Khi hacker tạo được user trong database, họ có thể đăng hàng loạt nội dung lên
website, có thể là bài viết mới hoặc chèn vào một phần bài viết có sẵn.

Cách thức này cực kỳ nguy hại, nội dung xấu – lừa đảo.. sẽ khiến người dùng quay
lưng với website. Đặc biệt Google sẽ phạt rất nặng nếu Website chứa các loại nội
dung độc hại.

Bị chèn quảng cáo trong nội dung – sidebar

Nguyên nhân: bị cài code quảng cáo

Cái này khó phát hiện hơn redirect, nếu malware chèn quảng cáo kiếm tiền vào nội
dung thì có khi người dùng lẫn bạn đều không biết nếu trình duyệt có addons
Adblock, nó không cho quảng cáo hiển thị bạn phải tắt các addons này rồi check mới
chính xác.
Nhiều người dùng vào Website thấy quảng cáo sẽ nghĩ do chính chủ website đặt nên
họ không nghĩ đến việc report, nếu quảng cáo xấu (khiêu dâm, lừa đảo, đánh bạc..) sẽ
gây mất uy tín nặng nề.

Bị các trình duyệt chặn truy cập hoặc cảnh báo nguy hiểm

Nguyên nhân: bị cài malware với tính năng lừa đảo hoặc ăn cắp thông tin người dùng,
hoặc redirect về các trang web độc hại nằm trong Blacklist của Google, Bing..

Khi nội dung bị chèn links dẫn tới các trang web xấu, hoặc code bị cài các đoạn mã
độc đánh cắp thông tin của người dùng… Thì hầu hết các trình duyệt sẽ cảnh bảo
nguy hiểm.

Cái này dễ phát hiện nhất, nhưng khi bạn phát hiện có thể đã đến ‘giai đoạn cuối’ nếu
mã độc chèn và thay đổi code gốc của theme, plugin hoặc băm nát database.

Lúc này việc xử lý sẽ cần rất nhiều thời gian và kinh nghiệm mà người dùng bình
thường khó mà tự làm được.

Hiển thị nội dung lạ trên kết quả tìm kiếm

Nguyên nhân: Bị nhiễm Malware SEO spam

Một loại Malware thâm độc – chèn mã độc để thay thế nội dung của bạn bằng cách
nội dung Spam một cách tinh vi.

Nội dung gốc của bạn vẫn hiển thị khi người dùng vào Website, nhưng Tiêu đề và
phần miêu tả, ảnh đại diện trên kết quả tìm kiếm có thể bị thay thế bằng thông tin
Spam.

Thường gặp nhất là Pharma Spam – thông tin quản cáo các loại ‘thần dược’ trị bách
bệnh – chống lão hóa…
Loại thứ 2 là các thông tin quảng cáo các mặc hàng điện tử tiếng Nhật – gọi là
Japanese Spam.

Cả 2 loại này đều khiến Website của bạn tạo ấn tượng xấu với người dùng và nguy cơ
cao bị Google đưa vào Blacklist.

Bị Google phạt (gắn cờ – penalized, punish)

Nguyên nhân: Bị hack và chèn malware nguy hiểm – thường diễn ra một thời gian khá
lâu trước khi bị Google phạt

Đây là hiện tượng chỉ xảy ra khi bạn đã bị hack khá lâu rồi.

Code và database bị chèn mã độc, baclinks xấu (Outbound links trỏ về các trang Web
xấu). Google sẽ cập nhật các dữ liệuết quả tìm kiếm nữa.

Lúc này trong Google Search Console sẽ hiển thị một Manual Actions hoặc cảnh báo
Security để bạn xử lý vấn đề triệt để.

Sau khi xử lý vấn đề xong, bạn phải tạo một Request để Google xem xét và gỡ bỏ án
phạt.

Việc này mất từ vài tuần đến 1 tháng, không phân biệt web bạn lớn hay nhỏ, nhà bạn
có ông chú làm ở đâu – Với Google thì thằng chú cũng như thằng cháu thôi, … cứ từ
từ.

Nhiều trường hợp phải build lại Web và copy lại nội dung từ đầu vì database và code
đã bị mã độc ăn quá sâu, thời gian sửa gấp nhiều lần thời gian làm lại từ đầu.

Khỏi phải nói, khi keyword được rank trở lại thì những thằng khác đã chiếm TOP đầu
rồi.
Bỗng dưng không thể rank & bị tụt thứ hạng từ khóa nhanh chóng

Nguyên nhân: web bị hack, cài mã độc hoặc sử dụng các domain con (sub-domain) và
các website nằm trên sub-domain bị Google đưa vào blacklist.

Hiện tượng này là Google phạt nhưng không thèm gởi tin nhắn vào Google Messages,
cũng không tạo cảnh báo Security/ Manual Actions trong Google Search Console
(hoặc nó phạt trước rồi thông báo …. cứ từ từ).

Keyword đã được rank của bạn sẽ bị tụt thứ hạng nhanh hơn cả tụt (*) khi Tào Tháo
rượt.

Còn các bài viết mới, nội dung cực kỳ hoành tráng nhưng mãi không thấy Google
rank lên TOP, tìm hoài trang số 1, 2 … 5 cũng không thấy Website bạn đâu, chỉ thấy
khi gõ từ khóa + tên miền. Tức là Google vẫn Index bài viết nhưng không rank
keyword nữa!

Cái này chỉ có anh em nghiện ‘keyword research’ mới phát hiện ra được, nếu bạn
thuộc tuýp ‘lãnh đạm’ với SEO Competition thì có khi Website biến mất khỏi Google
bạn mới nhận ra mình bị Hacker cắm sừng!

Nhiều Outbound links lạ đến các domain khác

Nguyên nhân: bị nhiễm Malware, có thể gồm tất cả các loại malware ở trên

Hiện tượng này cũng dành cho anh em nghiện SEO, thường xuyên check Inbound &
Outbound links.

Outbound links tức là links trên site bạn trỏ về các site khác. Thường chúng ta chỉ có
các outbound link khi chèn link tham khảo vào nội dung, cho phép người bình luận
được thêm link website khi bình luận…

Giao diện bị thay đổi

Nguyên nhân: đã bị hack và chiếm quyền Admin hoặc cài backdoor

Nếu Website bị nhiễm malware loại Defacements thì nó sẽ ăn vào trong code của
theme, plugin và cả WordPress core, làm cho các file code bị lỗi không còn hoạt động
được nữa.

Hiện tượng này khó nhận biết nếu nó trùng lặp với các lỗi do tương thích plugins, lỗi
PHP hay các lỗi liên quan đến việc chỉnh sửa code, tùy biến giao diện.

Trường hơp dễ nhận biết nhất là hacker thay giao diện mặc định thành thông điệp của
họ hoặc các nội dung lừa đảo, phát tán tin xấu…

Không thể Login được vào Site

Nguyên nhân: đã bị hack và chiếm quyền Admin

Tưởng là tin xấu nhưng đây là một trong những tin ‘ít xấu’ nhất so với các trường hợp
trên, vì bạn hoàn toàn có thể lấy lại thông tin Admin, đá thằng cướp kia bằng cách
login vào Hosting và sửa lại Database.

Hoặc nhờ bên support Hosting làm giúp!

Nhưng, đó là nếu thằng kia cướp cho vui, nếu nó phá phách tan hoang nhà bạn thì hậu
quả cũng như các vấn đề đã đề cập ở trên.

Dù sao, nếu nó chiếm quyền Admin thì bạn cũng được báo tin sớm so với nhiều
trường hợp khác. Qua đó có thể xoắn tay áo lên xử lý vấn đề thay vì vẫn vô tư như
chưa có gì xảy ra!

Bị dịch vụ Hosting/ VPS Suspended

Nguyên nhân: bị nhiễm Malware nguy hiểm, gây hại đến các website khác hoặc gây
quá tải máy chủ, một nguyên nhân nữa là bị hack và sử dụng Website làm nguồn tấn
công DDos các Website khác.

Thường gặp nhất là khi bạn dùng shared hosting, nếu Website bị nhiễm mã độc nặng
hoặc bị lợi dụng để gởi các truy vấn tấn công DDos thì sẽ bị nhà cung cấp suspended
để chặn nguy cơ lây nhiễm hoặc làm quá tải máy chủ.

Với VPS thì thường là Website bị nhiễm mã độc nếu phát tán các thông tin xấu, lừa
đảo, vi phạm bản quyền… thì cũng bị nhà cung cấp VPS suspended.

Đối với các dịch vụ hosting/ vps uy tín, họ luôn gởi kèm thông báo nguyên nhân khi
suspended gói dịch vụ của khách hàng.

Mã độc JavaScript và xu hướng tấn công

Sự khác nhau giữa Java và JavaScript

Hầu hết người dùng thường bị lẫn lộn giữa Java và JavaScript, vì chúng có tên
tương tự nhau. Cách đặt tên thiếu sáng tạo này đã gây ra không ít rắc rối. Vậy
trước hết chúng ta nên tìm hiểu định nghĩa về chúng.

JavaScript là ngôn ngữ lập trình được phát triển bởi Netscape Inc. và nó không
phải là một phần của nền tảng Java.

JavaScript là một trong 3 công nghệ cốt lõi được sử dụng để tạo nội dung cho
website, cùng với HTML và CSS.

Hầu hết các website đều sử dụng JavaScript và nó cũng được hỗ trợ bởi tất cả các
trình duyệt web hiện đại mà không cần plugin.

Phương thức hoạt động của mã độc JavaScript

Bây giờ bạn đã biết JavaScript là gì. Đã đến lúc bạn nên tìm hiểu tội phạm mạng
sử dụng ngôn ngữ lập trình này như thế nào.

Những tên tội phạm mạng thường xuyên sử dụng mã này trên vô số trang web để
thực hiện các hành động phá hoại. Tuy nhiên, JavaScript không phải là một ngôn
ngữ lập trình không an toàn. Kẻ tấn công chỉ có thể khai thác các mã được triển
khai sai cách thức hoặc mã lỗi để tạo ra backdoor.

Khi bạn duyệt qua một trang web, một loạt các tệp JavaScript (.js) được tự động tải
xuống máy tính. Các tệp này hoạt động thông qua trình duyệt, vì vậy bạn có thể:

Xem nội dung của trang web bạn đang truy cập.

Thực hiện các hành động khác nhau (ví dụ: điền vào biểu mẫu hoặc tải xuống tệp
từ trang web).

Xem quảng cáo trực tuyến (biểu ngữ) trên trang web đó, v.v.

Những tên tội phạm mạng thường xuyên nhắm tới thói quen duyệt trực tuyến của
người dùng và chuyển hướng truy cập của họ tới các trang web bị nhiễm mã độc.
Trang này do chúng tạo ra hoặc có thể là các trang web hợp pháp đã bị chúng tấn
công.

Một trang web bị nhiễm được định nghĩa như sau:

Khi trang web bị tội phạm mạng cài mã độc JavaScript.

Trang web bị tấn công hiển thị các quảng cáo / biểu ngữ , thông qua mã độc
JavaScript.

Trang web bị cài mã độc JavaScript vào cơ sở dữ liệu.

Kẻ tấn công đăng tải nội dung độc hại hoặc phần mềm độc hại lên trang web bởi
máy chủ từ xa.

Bởi vậy, tệp JavaScript độc hại sẽ được tải xuống máy tính khi bạn tình cờ duyệt
qua một trang web bị nhiễm độc

Đây được gọi là cuộc tấn công drive-by và thường bao gồm 9 giai đoạn:

(1) Bạn, với tư cách là người dùng, vô tình duyệt qua trang web bị xâm nhập.

(2) Các tệp JavaScript độc hại được tải xuống hệ thống của bạn.
(3) Thông qua trình duyệt của bạn, chúng được kích hoạt và thực hiện việc lây
nhiễm phần mềm độc hại.

(4) Các tệp JavaScript bị nhiễm âm thầm chuyển hướng lưu lượng truy cập Internet
tới một máy chủ khai thác.

(5) Exploit kit được sử dụng trong cuộc tấn công (lưu trữ trên máy chủ khai thác)
khảo sát hệ thống của bạn để tìm kiếm các lỗ hổng bảo mật.

(6) Một khi exploit kit tìm thấy lỗ hổng, nó sẽ sử dụng các lỗ hổng này để truy cập
vào các chức năng của máy tính.

(7) Điều này cho phép exploit kit thực thi mã và dùng quyền quản trị viên để tải
các tệp bổ sung từ Internet.

(8) Trong bước tiếp theo, phần mềm độc hại sẽ được tải xuống PC và bắt đầu hoạt
động.

(9) Phần mềm độc hại có thể thực hiện các chức năng gây hại trên PC. Nó cũng có
thể thu thập thông tin từ hệ thống bị nhiễm và gửi nó đến các máy chủ được kiểm
soát bởi tội phạm mạng.

Mã độc JavaScript lây lan như thế nào?

JavaScript được sử dụng để lây lan phần mềm độc hại qua 8 cách thức phổ biến
dưới đây:

Mã độc JavaScript lây lan vào các trang web hợp pháp – được sử dụng để chuyển
hướng người dùng đến các trang web chứa phần mềm độc hại hoặc để khai thác
các máy chủ gây nhiễm phần mềm độc hại.

Các iFrames ẩn – tải mã độc JavaScript từ các trang web bị xâm nhập, sau đó cố
gắng thực thi mã trong trình duyệt để xâm nhập vào máy tính.

Cài mã độc JavaScript vào mạng quảng cáo trực tuyến – xuất hiện trong quảng cáo
biểu ngữ trực tuyến, cũng có thể chuyển hướng người dùng đến các trang độc hại
trên web.
Tự động tải xuống (Drive-by Download) – sử dụng các tệp JavaScript bị nhiễm để
khởi chạy các phần mềm độc hại.

Các tập tin đính kèm mã độc JavaScript – được chạy qua một chương trình
Windows. Nó có thể kích hoạt các phần mềm độc hại bên ngoài trình duyệt.

Các lượt tải xuống bị nhiễm được kích hoạt thông qua các đoạn mã JavaScript bị
xâm nhập. Chẳng hạn như các sản phẩm diệt vi rút giả mạo. Những thứ này có thể
phá hủy hoàn toàn hệ thống của bạn.

Tiện ích và plugin của trình duyệt – có thể bị nhiễm hoặc có thể tải các nội dung
kèm phần mềm độc hại từ các nguồn bên ngoài.

Các tin pop-up giả mạo của phần mềm – những kẻ lừa đảo trên mạng có thể dễ
dàng biến chúng trở nên nhìn rất thật và thuyết phục.

Tìm hiểu cách bảo vệ thiết bị của mình khỏi phần mềm độc hại sử dụng
JavaScript

Hàng ngày, người dùng có thể áp dụng một số quy tắc đơn giản để bảo vệ thiết bị
an toàn hơn với phần mềm độc hại JavaScript cũng như các mối đe dọa khác

Các quy tắc này bao gồm:

Giữ cho phần mềm luôn được cập nhật (trình duyệt, ứng dụng, hệ điều hành, v.v
…)

Sử dụng một sản phẩm chống virus mạnh với khả năng mở rộng

Cài đặt một giải pháp lọc lưu lượng truy cập để chủ động trong bảo mật

Không bao giờ nhấp vào liên kết trong các email không mong muốn (spam)

Không bao giờ tải và mở tệp đính kèm trong email spam

Tránh xa các trang web đáng ngờ.

Và nếu bạn muốn chắc chắn hơn nữa, hãy điều chỉnh một vài cài đặt trong trình
duyệt Chrome.
Nếu bạn muốn tắt hoặc bật JavaScript cho tất cả các trang web:

Nhấp vào menu Chrome ở góc bên phải trên cùng của trình duyệt

Chọn cài đặt

Nhấp vào Hiển thị cài đặt nâng cao

Trong phần “Bảo mật”, hãy nhấp vào nút Cài đặt nội dung.

Trong phần “Javascript”, hãy chọn “Không cho phép bất kỳ trang web nào chạy
JavaScript” hoặc “Cho phép tất cả các trang web chạy JavaScript (được khuyến
nghị)”