Chuyện vui: chuyên gia bảo mật gửi ngược ransomware lại cho kẻ lừa đảo qua mạng

Ivan Kwiatkowski là một nhà nghiên cứu bảo mật. Cách đây ít lâu, anh nhận được cuộc gọi của cha mẹ mình nói rằng máy tính của họ đã bị nhiễm virus “Zeus” vì họ thấy thông báo đó xuất hiện trên một trang web. Hóa ra đây chỉ là một cách lừa đảo, và Kwiatkowski đã lợi dụng sự cả tin của những hacker để dụ chúng chạy ransomware và mã hóa file trên chính máy tính của chúng. Mời các bạn đọc câu chuyện thú vị và hóm hỉnh bên dưới, thông qua đó cũng rút ra cho mình một bài học về việc cẩn thận khi thấy các thông báo virus nhảy ra trong lúc duyệt web.

Câu chuyện bắt đầu…

Vài ngày trước tôi nhận được cuộc gọi của cha mẹ mình nói rằng bằng cách nào đó họ đã truy cập vào trang web xxx và trang này nói rằng máy tính của họ đang bị nhiễm virus Zeus. Trên website này là những âm thanh được autoplay, các hộp thoại cảnh báo viết bằng JavaScript nhảy ra liên tục, một hình nền xanh dương với các chữ nhìn khá là máy móc trông như màn hình xanh chết chóc, ngoài ra còn có một địa chỉ IP ngẫu nhiên nào đó thay vì hiển thị địa chỉ của máy tính đang truy cập.

Thế là tôi quyết định gọi điện về số điện thoại “hỗ trợ kĩ thuật” in trên website này. Trước đó, tôi chạy môt máy ảo Windowx XP lên để nếu cần thì “kĩ thuật” sẽ vào xem cho tôi. Khi gọi đến, tôi được chào đón bằng đoạn ghi âm khá là chuyên nghiệp, tương tự như những gì bạn nghe thấy khi gọi phone vào các công ty lớn. Rồi cũng có một người tên Patricia nhấc máy.

Scammer_bi_lua_nguoc_lai_2.png

Cuộc gọi đầu tiên

Ngay lập tức, tôi gieo hi vọng cho cô gái ở đầu dây bên kia bằng cách nói tôi là một doanh nhân đang làm việc với một hợp đồng quan trọng có giá trị tiền bạc lớn, và thời gian rất eo heo. Tôi nói tiếng Pháp, Patricia cũng nói tiếng Pháp nhưng rất tệ nên tôi đề nghị kiếm cách khác chứ không thể hỗ trợ qua điện thoại được. Thế là cô ta hướng dẫn tôi cài một loại phần mềm hỗ trợ điều khiển từ xa từ website remote.join360.net và truy cập được vào máy tính của tôi.

Trò vui bắt đầu từ đây. Thứ đầu tiên Patricia làm đó là chạy Command Prompt lên và gõ lệnh dir /s để liệt kê danh sách file đang có trong máy. Cô ta làm vậy để lấy được sự tin tưởng của tôi về chuyên nghề của cô ấy. Cô ta nói ngày tháng năm của các file này trùng với ngày truy cập của tôi. Trong khi đó, tôi vẫn âm thầm nhấn Control C để copy lại tất cả mọi thứ.

Bất ngờ hơn, cô ta bắt đầu GÕ THỦ CÔNG dòng chữ “1452 virus found” và “ip hacked” lên của sổ Command Prompt! Vâng, gõ thủ công. Cô ta hỏi tôi có xài phần mềm chống virus nào không, tôi nói là không vì chúng đắt quá vì anh chàng @taviso cứ làm chúng hỏng hoài. Rồi một thứ kì lạ diễn ra. Cô ta nói tôi đã hết phiên hỗ trợ miễn phí 15 phút và cô ta sẽ gọi lại cho tôi để tôi không phải trả cước phí điện thoại.

Scammer_bi_lua_nguoc_lai_3.png
Tôi tin rằng 115.115.67.53 là địa chỉ IP thật của đám lừa đảo này

Vài phút sau, tôi nhận được một cuốc điện thoại từ số điện thoại ở bang Pennsylvania, Mỹ (+1-267-460-7257). Patricia nói rằng máy tính của tôi đã bị nhiễm virus và bây giờ nó cần phải được dọn dẹp. Cô ta nói tôi hãy mua một trong hai phần mềm ANTI SPY hoặc ANTI TROJAN với tổng số tiền cần thanh toán vào khoảng 189,90$. Trước khi tôi đưa cô ta số thẻ tín dụng của tôi, cô ấy quay trở lại màn hình Command Prompt khi nãy và gõ lệnh “netstat” (dùng để kiểm tra trạng thái mạng) và nói rằng có ai đó đang kết nối vào máy tính của tôi ngay vào lúc này.

Tôi hỏi: Chẳng phải đó là cô sao. Cái này nói rằng có ai đó từ Delhi đang vào máy tôi. Một khoảng lặng diễn ra, rồi cô ta nói tôi rằng cô ta thực chất chính là dòng “localhost” vì chữ localhost này có nghĩa là kết nối an toàn (tất nhiên đây không phải là sự thật). Tôi cãi lại: “Cô có chắc không? Tôi nghĩ rằng localhost có nghĩa là máy tính local của tôi”. Cô ta ngập ngừng một chút rồi nói lại rằng đoạn mã mà cô ta vừa chạy chỉ ra rằng có ai đó từ Delhi, cùng vị trí với cô ta nhưng là một người khác hoàn toàn – một hacker đang muốn lấy trộm thông tin.

Thế rồi chúng tôi lại nói về vụ phần mềm khi nãy. Tôi nói: “Okay, tôi sẽ mua nó. Tôi có thể mua được nó ở đâu tại Paris?”. “Tôi không chắc anh có thể tìm thấy nó ở Paris. Đây là một phần mềm chỉ được phân phối độc quyền thông qua đối tác vàng của Microsoft và các kênh bảo mật của Microsoft mà thôi”. Rồi tôi hỏi cô ta: “Vậy là tôi chỉ cần vào Microsoft.com thôi hả”, cô ta nói “Đúng rồi”, rồi “Anh còn câu hỏi nào không? Không hả? Chào tạm biệt”.

Cuộc gọi thứ hai

Tôi cho rằng đây không phải là cách anh đi lừa người khác. Có thể cô ta đang được tập huấn hay gì đó. Lúc này tôi nhận thấy rằng những tấm hình screenshot mà tôi đã chụp không đẹp lắm, vậy nên tôi đợi khoảng nửa tiếng trước khi gọi lại lần nữa. Tôi hi vọng rằng sẽ gặp lại đúng Patricia khi nãy và nói với cô ta rằng tôi không thể tìm thấy gì trên website Microsoft cả. Tuy nhiên, lần này bắt máy lại là một người khác tên Dileep và anh ta lại dẫn tôi đi qua quy trình trên thêm một lần nữa.

Dileep dường như quen thuộc với những gì anh ta làm hơn, và nói thêm rằng máy tôi có quá nhiều service bị dừng và chuyện này không bình thường tí nào. Anh ta nói rằng máy tôi đã bị nhiễm virus rồi, anh ta sẽ gỡ virus cho tôi miễn phí nhưng khuyên tôi nên mua phần mềm “Tech Protection” để đề phòng trong tương lai. Phần mềm này có giá 299,99 Euro, tức là đắt hơn so với gói phần mềm mà Patricia đã nói với tôi khi nãy.

Tôi đồng ý sẽ mua phần mềm mà Dileep nói và đưa cho anh ta một số thẻ tín dụng giả nhanh nhất có thể. Rõ ràng, công cụ thanh toán không chấp nhận giao dịch này và chúng tôi đã thử lại khoảng 4 hay 5 lần. Cuối cùng, tôi đề nghị rằng tôi sẽ dùng một thẻ tín dụng thứ hai và đưa cho anh ta thêm một dãy số ngẫu nhiên nữa (nhưng lần này là số hợp lệ dựa trênthuật toán Luhn). Dileep đã nói tôi đọc lại số thẻ hơn 10 lần và thậm chí còn hỏi “cấp trên” để xem tại sao giao dịch không được chấp thuận. Tôi cũng nghe một ai đó đọc lại số thẻ của tôi rất to trong điện thoại.

Ngay lúc này, tôi chợt nảy ra một ý tưởng hay. Tôi mở hộp thư rác của mình ra, trong đó có nhiều mẫu phần mềm mã độc tên là Locky. Đây là những file ZIP chứa đoạn mã JavaScript để tải về ransomware. Tôi lấy một cái và kéo thả nó vào máy ảo của mình. Trình hỗ trợ từ xa mà tôi đã cài khi nãy có tính năng cho phép tôi gửi file cho người hỗ trợ. Tôi upload file ZIP này và nói: “Tôi đã chụp lại tấm ảnh thẻ tín dụng của tôi, anh hãy thử tự mình nhập vào xem sao. Có thể nó sẽ được đó”.

Lúc đầu, Dileep phớt lờ tôi và bắt tôi nhập thông tin thẻ thêm vài lần nữa. Anh chàng này khá là kiên nhẫn đấy chứ. Rồi tôi nói: “Dileep, nghe này, tôi đã già và mắt tôi không tốt. Tôi bắt đầu mệt khi phải đọc đi đọc lại những con số bé tí này. Ngoài ra, tôi nghĩ rằng anh cũng đã biết tôi không rành về máy tính. Vậy sao anh không giúp tôi đi?”.

Scammer_bi_lua_nguoc_lai_1.png

Dileep dừng một ít lâu rồi trả lời: “Tôi đã cố gắng thử mở tấm hình của anh rồi nhưng không có gì xảy ra cả”. Lúc này, tôi cố hết sức để nhịn cười. “Anh chắc chứ, đôi khi tấm hình của tôi không mở được trên Mac OS, anh có đang dùng Windows không thế?”. Dileep trà lời “Có chứ. Tấm hình của anh không mở được bởi vì máy tính anh đã bị nhiễm virus đó. Đây là lý do vì sao chúng ta cần phải giải quyết vấn đề này”.

Và trong lúc anh ta đang chat với tôi, con ransomware đó đã bắt đầu mã hóa file của anh ta rồi. Chúng tôi thử thêm vài lẫn nữa và cuối cùng anh ta cũng đã bỏ cuộc. Anh ta nói tôi hãy liên hệ với ngân hàng và sẽ gọi lại cho tôi vào thứ Hai tuần sau đó.

Qua việc này, chúng ta có thể thấy rằng chúng ta rất dễ lừa ngược lại những người đang muốn đi lừa bạn. Mô hình của họ hoạt động dựa trên một giả định rằng chỉ những người dễ bị lừa mới liên hệ với họ, vậy nên khi họ bị lừa thì dính ngay. Nếu bạn rảnh và có thể nói tiếng Pháp, hãy gọi họ qua số +339 75 18 77 63 và dụ họ làm vài trò vui vẻ nhé.

Theo Tinh Tế

 

Advertisements

Posted on August 17, 2016, in Tin học and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: