Những người muốn được chia sẻ cách chiếm quyền kiểm soát tài khoản Zalo sẽ phải trả cho hacker bằng tiền điện tử. Đến thời điểm hiện tại, bài đăng này vẫn còn tồn tại trên diễn đàn Raid*****. Ảnh: Trọng Đạt

Trong một động thái nhằm vạch trần thủ đoạn của giới tin tặc, mới đây, Công ty Dịch vụ An ninh mạng VinCSS đã cho công bố cách thức mà thủ phạm của vụ việc trên thực hiện. 

Theo đó, nhóm Săn mối nguy của VinCSS đã phát hiện một số điểm yếu bảo mật cho phép kẻ xấu có thể hình thành một chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.

Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền kiểm soát một tài khoản Zalo bất kỳ bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo về phiên đăng nhập mới.

Cụ thể, trong quá trình sử dụng Zalo, VinCSS đã phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” tồn tại lỗ hổng Open Redirection, cho phép thay đổi địa chỉ nhận token từ ứng dụng.

Nhóm chuyên gia của VinCSS đã phát hiện ra một lỗ hổng trong tính năng đăng nhập qua ứng dụng Zalo.

Khi sử dụng ứng dụng Zalo nền tảng web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung cấp tuỳ chọn “Đăng nhập qua ứng dụng Zalo”. Bằng việc khai thác lỗ hổng Open Redirection trong cơ chế đăng nhập này, kẻ xấu sẽ có được cookies cho phép truy cập vào tài khoản.

Để làm được điều đó, kẻ xấu cần chuyển hướng người dùng sau xác thực tới một trang web thuộc quyền kiểm soát của chúng, từ đó lấy được mã token để đăng nhập tài khoản.

Tuy nhiên, nếu chỉ sử dụng duy nhất lỗ hổng này, kẻ xấu sẽ khó dẫn dụ người dùng truy cập vì đường link trông sẽ rất lạ. 

Để thực hiện hiệu quả hơn, kẻ xấu đã khai thác một chuỗi các lỗ hổng, trong đó có lỗ hổng trong tính năng xem trước nội dung liên kết. Điều này giúp chúng có thể ẩn đi đường link phishing, từ đó dẫn dụ người dùng nhấp vào đường link hiển thị nội dung trang đích giống như thật. 

Một đường link dẫn đến website phishing được các chuyên gia VinCSS ngụy trang như thật thông qua lỗ hổng trong tính năng xem trước nội dung liên kết trên Zalo.

Khi người dùng nhấp vào và bị chuyển hướng đến server của kẻ xấu, trang web này sẽ tự động ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Do quá trình chuyển hướng diễn ra rất nhanh, người dùng sẽ không hề biết họ vừa lướt qua trang web giả mạo. 

VinCSS cũng phát hiện ra rằng, Zalo đang sử dụng một cơ chế cho phép người dùng đăng nhập lại phiên sử dụng Zalo web với cookie của session đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động với session chưa từng đăng nhập, ẩn đi tin nhắn thông báo đã đăng nhập trên thiết bị mới.

Hai lỗ hổng khác gồm lỗ hổng liên quan đến thời hạn của session và việc đăng nhập vào ZaloPay với token thu được cũng giúp kẻ xấu truy cập và chiếm quyền kiểm soát tài khoản lâu dài, đồng thời đăng nhập đến các ứng dụng khác của Zalo, trong đó có ZaloPay.

Theo VinCSS, khi kết hợp 5 lỗ hổng, có thể hình thành một chuỗi khai thác nhằm vào người dùng Zalo. Đó chính là phương thức, thủ đoạn mà kẻ xấu trong vụ việc hồi tháng 8/2021 đã thực hiện. Rất may mắn khi vấn đề sau đó đã được xử lý một cách nhanh chóng. 

Đến thời điểm hiện tại, cả 5 lỗ hổng nêu trên đều đã được Zalo Security team khắc phục. Do đó, cách thức tin tặc lợi dụng lỗ hổng này đã được công bố như một bài nghiên cứu. Ảnh: Trọng Đạt

Chia sẻ với VietNamNet về câu chuyện này, chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) cho biết, những lỗ hổng trên được gọi là lỗ hổng phía máy khách (client-side vulnerability).

Để lợi dụng những lỗ hổng dạng này, kẻ xấu cần phải thực hiện một vụ tấn công phishing (lừa đảo), để dẫn dụ và thuyết phục nạn nhân click vào đường link của chúng thì mới có thể thành công được. 

So với lỗ hổng phía máy khách thì lỗ hổng phía máy chủ (server-side vulnerability) nguy hiểm hơn nhiều. Đây là dạng lỗ hổng không cần tương tác gì nhiều từ phía người dùng. Rất may trong ví dụ trên không tồn tại lỗ hổng phía máy chủ. 

Để hạn chế việc trở thành nạn nhân của những vụ việc kiểu như vậy, người dùng cần biết tự bảo vệ mình bằng việc không click vào những đường link lạ. Người dùng nên kiểm chứng bằng cách gọi điện thoại trong khoảng 1-2 phút với người gửi link để xác thực về liên kết này. 

Người dùng cũng có thể tập cho mình thói quen truy cập website lạ thông qua Chế độ ẩn danh (Incognito Mode) của trình duyệt. Còn một cách khác là truy cập trang web thông qua website http://browserling.com.

Khi tải về một tệp tin lạ, người dùng nên có thói quen quét virus trước khi mở tệp tin này. Việc quét virus có thể được thực hiện dễ dàng thông qua trang web http://virustotal.com. Đây là một trong những đối tác của dự án Chống lừa đảo (Chongluadao.vn).Theo chuyên gia Ngô Minh Hiếu, không chỉ với các đường link mà với các tệp tin tải về, người dùng cũng cần cảnh giác như vậy. 

Đối với những file tài liệu dạng Word, Excel có dấu hiệu khả nghi, người dùng có thể mở chúng bằng công cụ Google Docs. 

Bên cạnh đó, một trong những biện pháp tăng cường bảo mật dễ nhất là luôn để mật khẩu có độ khó cao và không chia sẻ nó cho bất kỳ ai, chuyên gia Hieupc khuyến cáo. 

Trọng Đạt

Nhiều game thủ Axie Infinity bị lừa đảo mất tiền oan bởi sự cố hy hữu

Hơn 150 game thủ Axie Infinity đã bị tin tặc lừa đảo và chiếm đoạt số tiền lên đến gần 100.000 USD.

Đây là thông tin được đưa ra tại cuộc họp báo Chính phủ thường kỳ chiều 2/10.

Bộ trưởng, Chủ nhiệm VPCP Mai Tiến Dũng cho hay, vừa qua, UBND tỉnh Hoà Bình có văn bản đề nghị Thủ tướng cho phép sử dụng gần 48 ha đất trồng lúa để xây khu du lịch sinh thái - tâm linh Lạc Thủy, dự kiến đầu tư hơn 3.000 tỷ đồng. Dự án dự kiến được triển khai tại xã Phú Lão, huyện Lạc Thuỷ do công ty TNHH một thành viên Pacific – Hoà Bình làm chủ đầu tư.

Bộ trưởng, Chủ nhiệm Văn phòng Chính phủ Mai Tiến Dũng cho biết, dự án khu du lịch tâm linh 3.000 tỷ đồng tỉnh Hoà Bình đề xuất chưa đủ điều kiện để Chính phủ xem xét (Ảnh: VGP).

“Chúng ta đều biết việc chuyển đổi diện tích trồng lúa trên 10ha đều phải xin ý kiến Thủ tướng, những dự án lớn như thế này phải có ý kiến tham mưu, đề xuất, đánh giá của các cơ quan bộ, ngành Trung ương” – ông Dũng nói.

Cũng theo ông Dũng, ngày 10/9/2019, VPCP đã có văn bản số 1267 chuyển đến Bộ TN&MT, Bộ NN&PTNT xem xét.

“Như vậy, dự án của tỉnh Hoà Bình hiện nay chưa đủ điều kiện để Chính phủ xem xét” - Bộ trưởng, Chủ nhiệm Văn phòng Chính phủ khẳng định.

“Báo chí đưa thông tin như vậy rất tốt vì việc chuyển đổi mục đích sử dụng đất lúa sang mục đích khác là việc được quy định rất nghiêm ngặt” – ông Dũng nhấn mạnh.

Trước đó, như VietNamNet thông tin, tỉnh Hoà Bình có đề nghị Thủ tướng cho phép chuyển mục đích sử dụng gần 48ha đất trồng lúa để xây khu du lịch sinh thái - tâm linh Lạc Thủy, dự kiến hơn 3.000 tỷ đồng do Công ty TNHH MTV Pacific - Hòa Bình làm chủ đầu tư. Dự án có quy mô sử dụng đất sau điều chỉnh khoảng 121ha, trong đó diện tích đất trồng lúa khoảng gần 48ha.

Tỉnh Hoà Bình xin chuyển mục đích sử dụng gần 48ha đất trồng lúa để xây khu du lịch sinh thái - tâm linh Lạc Thủy hơn 3.000 tỷ đồng tại xã Phú Lão, huyện Lạc Thuỷ (Ảnh: Google map).

Quy mô vốn đầu tư dự án khoảng 3.038 tỷ đồng, trong đó khoảng 455 tỷ đồng vốn tự có của Công ty Pacific - Hòa Bình, phần còn lại khoảng 2.500 tỉ đồng sẽ được huy động và vay từ các nguồn hợp pháp.

Theo Sở Kế hoạch - đầu tư tỉnh Hòa Bình, khu du lịch sinh thái tâm linh Lạc Thủy sẽ hoàn thành thủ tục pháp lý trong quý I/2020, được chia thành 4 giai đoạn xây dựng và đến tháng 3/2025 dự án sẽ chính thức đưa vào hoạt động kinh doanh, khai thác dịch vụ.

Dự án khu du lịch sinh thái - tâm linh Lạc Thuỷ đã được Bộ Quốc phòng thống nhất về địa điểm quy hoạch nhưng lưu ý không làm ảnh hưởng đến môi trường xung quanh. Bộ yêu cầu tỉnh Hoà Bình chỉ đạo chủ đầu tư không liên doanh, liên kết với nước ngoài, kể cả Việt kiều, không dùng người nước ngoài thực hiện dự án. Nếu thay đổi chủ đầu tư, địa phương phải có ý kiến thoả thuận của Bộ Quốc phòng.

Theo đề xuất của nhà đầu tư, khu du lịch sinh thái tâm linh Lạc Thủy được chia thành 2 phân khu. Phân khu 1 diện tích sử dụng đất khoảng 81ha xây dựng tuyến cáp treo Hương Bình; đường giao thông, khuôn viên cây xanh; xây dựng công viên làng du lịch Việt Nam; xây bảo tàng nguồn cội; xây biệt thự trên núi, biệt thự ven hồ và xây dựng các công trình thương mại dịch vụ.

Phân khu 2 rộng 38,9ha xây dựng các công trình thương mại dịch vụ, xây biệt thự trên núi, biệt thự ven hồ, xây dựng khách sạn, khu nghỉ dưỡng và chăm sóc sức khỏe.

Sau khi đi vào hoạt động, khu du lịch sinh thái tâm linh Lạc Thủy dự kiến đón khoảng 10.000 lượt khách/ngày, tương đương khoảng 3.000.000 lượt khách/năm. 

Hồng Khanh

Hoà Bình xin làm khu du lịch tâm linh hơn 3.000 tỷ đồng

 Tỉnh Hoà Bình đề nghị Thủ tướng cho phép chuyển mục đích sử dụng gần 48ha đất trồng lúa để xây khu du lịch sinh thái - tâm linh Lạc Thủy, dự kiến hơn 3.000 tỷ đồng do Công ty TNHH MTV Pacific - Hòa Bình làm chủ đầu tư.

>> Cách đơn giản cứu người đột quỵ tại nhà

Suýt mất mạng vì thần dược an cung

Sau khi thoát khỏi cơn đột quỵ cách đây 2 năm, ông Đ.M.V. (78 tuổi, Hà Đông, Hà Nội) lúc nào cũng lo lắng bệnh tái phát lần 2. Nghe hàng xóm mách dùng an cung ngưu hoàng hoàn để dự phòng và chữa đột quỵ, ông tức tốc đặt mua 10 viên từ Trung Quốc với giá gần 3 triệu đồng/viên.

Theo “hướng dẫn” của người bán, khi có dấu hiệu đột quỵ, chỉ cần uống 3 viên an cung trong 3 ngày liên tiếp sẽ hết bệnh, những trường hợp có nguy cơ bị tai biến cao như mắc tiểu đường, mỡ máu, tăng huyết áp... chỉ cần uống định kỳ 1 viên/6 tháng để dự phòng đột quỵ. 

Không ít bệnh nhân đột quỵ coi an cung ngưu hoàng hoàn là "thần dược"

Cách đây 1 tháng, ông V. tăng huyết áp đột ngột, thấy vậy, con gái ông V. liền cho bố uống 1 viên an cung. Tuy nhiên sau uống hơn 7 giờ, tình trạng không đỡ mà nặng lên, ông V. thấy đau đầu dữ dội, nói khó, tê bì tay chân được gia đình chuyển vào BV cấp cứu.

Bác sĩ kết luận, ông V. bị đột quỵ tái phát, dù đã được can thiệp giữ tính mạng song do đến viện trễ nên toàn bộ nửa người trái đã bị liệt.

Tại Khoa Hồi sức tích cực, BV Bạch Mai cũng từng tiếp nhận nhiều bệnh nhân bị đột quỵ không qua khỏi hoặc để lại di chứng nặng nề do uống an cung ngưu hoàng hoàn.

GS Nguyễn Gia Bình, nguyên Trưởng khoa Khoa Hồi sức tích cực cho biết, hầu hết các trường hợp gặp tai biến nặng là những bệnh nhân bị đột quỵ xuất huyết não.

Như trường hợp bệnh nhân nam 74 tuổi ở Hà Nội có tiền sử tăng huyết áp, đái tháo đường, bị đột quỵ. Người nhà cho biết đã mua vài hộp an cung ngưu hoàng hoàn cho bệnh nhân sử dụng để ngừa tai biến, nâng cao sức khỏe. Tuy nhiên, sau nửa tháng uống thuốc, bệnh nhân rơi vào tình trạng hôn mê.

Người bệnh nhập viện trong tình trạng chảy máu mũi, miệng, chân răng ồ ạt, giãn đồng tử, phải mở khí quản để thở.

BV Bệnh nhiệt đới TƯ cũng từng tiếp nhận nam bệnh nhân 65 tuổi ở Vĩnh Phúc bị chảy máu toàn thân do uống an cung ngưu hoàng hoàn dự phòng đột quỵ.

Kết quả xét nghiệm cho thấy, khả năng đông máu của bệnh nhân giảm, chức năng gan suy giảm, chảy máu trong cơ, chảy máu dạ dày.

An cung không có tác dụng phòng đột quỵ

Sản phẩm an cung ngưu hoàng hoàng xuất hiện trên thị trường Việt Nam khoảng 10 năm nay, nhưng chỉ thực sự được nhiều người biết đến, tin dùng vì cho rằng có khả năng ngừa đột quỵ trong khoảng 6-7 năm trở lại đây.

Nắm bắt được tâm lý người dùng, hiện có rất nhiều sản phẩm an cung từ 300 nghìn đồng/viên đến vài triệu đồng mỗi viên với nguồn gốc xuất xứ từ Trung Quốc, Hàn Quốc, Triều Tiên...

GS Nguyễn Văn Thông khẳng định, an cung ngưu hoàng hoàn không có tác dụng dự phòng đột quỵ

Tuy nhiên GS Nguyễn Văn Thông, Chủ tịch Hội Đột quỵ Việt Nam cho biết, ông đã từng trực tiếp sang Trung Quốc từ 10 năm trước, đến các bệnh viện cũng như cơ sở Đồng Nhân Đường nhưng tuyệt nhiên không thấy nơi nào sử dụng an cung ngưu hoàng hoàn để phòng đột quỵ.

GS chia sẻ, trực tiếp đến “quê hương” của an cung ngưu hoàng hoàn mới thấy đây là sản phẩm siêu lợi nhuận, các viên thuốc chỉ có giá 100-150 tệ (350 - 500 nghìn đồng) nhưng về Việt Nam bán đội giá lên tới 1-2,5 triệu đồng.

“Thành phần sừng tê giác trong an cung không có tác dụng ngừa đột quỵ. Trong viên thuốc cũng chứa thạch tín, thủy ngân, vì vậy bệnh nhân không nên dùng, đặc biệt chống chỉ định với những bệnh nhân đột quỵ chảy máu não”, GS Thông nhấn mạnh.

GS Thông cũng khuyên người tiêu dùng nên tỉnh táo trước lời quảng cáo thổi phồng về tác dụng ngừa đột quỵ.

“Thuốc bất kỳ nào khi vào cơ thể, tác dụng dược lý cũng chỉ có trong vài giờ, sau đó được bài tiết, làm sao có tác dụng dự phòng thời gian dài được. Nếu muốn thuốc tồn tại trong vòng 7 ngày thì cần phải được chế tạo bằng công nghệ cao hoặc viên thuốc phải được bao bọc bằng chất liệu đặc biệt để có thể giữ lại trong dạ dày”, GS Thông chia sẻ.

Trong quá trình điều trị, GS Thông cho biết ông đã gặp rất nhiều bệnh nhân đột quỵ nôn dịch màu xanh, là đặc trưng của người bệnh dùng an cung, tuy nhiên khi hỏi, gia đình nào cũng chối.

BS Nguyễn Trung Cấp, Trưởng khoa Cấp cứu, BV Bệnh Nhiệt đới TƯ cho biết, đột quỵ (tai biến mạch máu não) gồm thể chảy máu não (xuất huyết não), nhồi máu não (thiếu máu não, chiếm 85%).

Theo đó, an cung ngưu hoàng hoàn chỉ có tác dụng nhỏ với các trường hợp bị tai biến thiếu máu não, khi đó có thể giúp giảm đông máu, tuy nhiên bệnh nhân vẫn có nguy cơ chảy máu trong vùng nhồi máu.

Ngược lại, nếu bị xuất huyết não, uống an ngưu hoàng hoàn càng nguy hiểm vì gia tăng chảy máu do máu không thể đông lại.

Trong khi đó, để xác định tai biến thiếu máu não hay xuất huyết não, các bác sĩ phải chụp chiếu, xét nghiệm. Do đó người dân không nên tuỳ tiện dùng thuốc.

Trong các tài liệu đông y của Trung Quốc, an cung ngưu hoàng hoàn cũng chỉ có tác dụng thanh nhiệt, giải độc trị sốt cao, co giật, khu đờm, các triệu chứng của nhiệt nhập tâm bào, nói sảng, lưỡi đỏ, trẻ em sốt cao, co giật. 

Thúy Hạnh

Căn bệnh khiến đạo diễn Đông Hồng tử vong ngày càng gặp nhiều ở người trẻ

Bệnh đột quỵ để lại hậu quả vô cùng nặng nề khiến 50% trường hợp mắc sẽ tử vong. Điều đáng nói là tỷ lệ người trẻ mắc ngày càng cao.