[Cảnh báo BOTNET]
Đợt vừa rồi hệ thống Tiện ích Xanh của mình bị hack toàn bộ tài nguyên, bao gồm toàn bộ BM, tkqc và hệ thống fanpage. Trong đó có khá nhiều fanpage lớn từ 500K – 1m fowlow, cũng như tkqc ngưỡng lớn từ 50-100m. Quá trình phát hiện và xử lý vấn đề của mình cũng mất khá nhiều ngày. Mình viết lại mấy dòng chia sẻ về sự việc để cả nhà mình cảnh giác hơn trong vấn đề bảo mật thông tin.
Ngày 2/8, mình có tìm và tải ứng dụng Photoshop 2023 qua một link trên tinhte.vn: https://tinhte.vn/…/download-adobe-photoshop-2023-full…/
Đánh giá sơ bộ thì mình ko nghi ngờ gì cả, tải về và cài đặt bình thường.
Đến rạng sáng thứ 7, ngày 5/8 thì xảy ra sự cố. Nhiều ngày sau, mình nhờ một bạn làm bảo mật kiểm tra máy thì mới phát hiện ra có một phần mềm chạy ngầm trong máy là Updater.exe. Đó chính là con Botnet giả danh phần mềm photoshop kia. Con Bot này nó lấy thông tin cookies và thông tin user, password được lưu trong trình duyệt để gửi về địa chỉ telegram của chủ Bot (Thông thường, khi đăng nhập bằng user và password thì fb sẽ có thông báo và cần xác nhận 2FA, nhưng khi đăng nhập bằng cookies thì ko có bất kỳ thông báo và xác nhận gì cả, nên việc lộ cookies là cực kỳ nguy hiểm).
Sau khi có được những thông tin trên thì nó bắt đầu đăng nhập vào các via bên mình, add một số via bên nó làm quản trị viên, rồi sau là out các via bên mình ra. Sau cùng là mình mất toàn bộ quyền quản trị trên các BM (page và tkqc nằm trong BM nên cũng mất luôn).
Mình có liên hệ support fb ngay sau đó, nhưng fb theo đúng quy trình, vẫn phải chờ thêm một số ngày. Trong quá trình xem xét, nếu thấy hoạt động bất thường thì khả năng fb sẽ back lại quyền truy cập cho một số via cũ trên BM.
Vấn đề của mình phức tạp hơn khi toàn bộ via của mình (từ via cầm BM, cầm page, lên camp, add thẻ…) đều được quản lý trong Gologin. Có được đầy đủ thông tin nên bọn nó đăng nhập vào tài khoản Gologin của mình, change email (khiến mình ko tự reset mật khẩu hay tài khoản được) và chiếm quyền toàn bộ via bên mình. Toàn bộ via cứng đã nằm sẵn trong BM nên việc còn lại của bọn nó là khá đơn giản mà ko có chút dấu hiệu bất thường nào đối với fb.
Trong thời gian này, mình cũng liên hệ support của Gologin để yêu cầu lấy lại tài khoản. Mặc dù cũng đã cung cấp đầy đủ thông tin được yêu cầu như: email, lịch sử thanh toán, transaction id…nhưng cũng phải đến tận trưa thứ 2, ngày 7/8 mới lấy lại được tài khoản. Mình truy cập lại được vào tài khoản Gologin, via còn nguyên, nhưng toàn bộ đã bị out hết ra khỏi BM.
Về phía fb thì cũng phải đến chiều thứ 3, ngày 8/8 mới có phản hồi, nhưng cũng không khá khẩm gì “Chúng tôi không nhận thấy BM này đang bị xâm phạm, do đó sẽ không thể tiến hành trả BM về Quản trị viên cũ”. Cửa chờ support fb hẹp dần, mình chủ động liên hệ nick telegram theo info trên con bot để thương lượng. Sau đó thì mình cũng đã lấy lại đc toàn bộ page, còn BM và tkqc thì coi như bỏ.
Bị mất tài nguyên đã rất hoang mang, nhưng việc không tìm ra nguyên nhân còn khiến mình hoang mang hơn rất nhiều. May mắn cho mình là được một số ae có chuyên môn giúp đỡ, sớm tìm ra vấn đề hơn. Mình rất cảm ơn sự quan tâm và giúp đỡ của các anh em !
Ps: Gần đây bọn nó thả botnet khá nhiều ở trên diễn đàn, fanpage, thậm chí mạo danh Meta hay các tên tuổi lớn và uy tín khác để chạy quảng cáo và thả botnet. Mình sẽ up ở phần comment về trường hợp của mình hoặc trường hợp mình biết để cả nhà cùng cảnh giác. Ae nào có thêm trường hợp nào thì update luôn nhé.
(Dưới cmt có hướng dẫn cách check phần mềm lạ)
Nguồn: Đinh Thư – Gr: Bán Hàng Vì Đam Mê
