Không bấm link lạ vẫn mất Gmail, Facebook vì mã độc Infostealer trong thiết bị

Làn sóng mất quyền kiểm soát tài khoản cá nhân thời gian gần đây đang đặt ra nhiều câu hỏi về mức độ an toàn của các dịch vụ số. Tuy nhiên, trong phần lớn trường hợp, nguyên nhân không nằm ở hệ thống của các nền tảng lớn, mà đến từ chính thiết bị của người dùng, nơi một loại mã độc có tên infostealer đang âm thầm hoạt động, chuyên thu thập mật khẩu, phiên đăng nhập và dữ liệu cá nhân để chuyển về cho kẻ tấn công.

Con đường lây nhiễm quen thuộc

Điểm nguy hiểm của infostealer nằm ở chỗ: nhiều người tự cài nó vào máy mà không hề hay biết. Con đường lây nhiễm phổ biến nhất là thông qua phần mềm crack, phần mềm lậu, game crack hoặc các công cụ "miễn phí" được chia sẻ tràn lan trên mạng. 

Trong nhiều trường hợp, file cài đặt đã bị gắn sẵn mã độc, và việc cài phần mềm cũng đồng nghĩa với việc mở cửa cho infostealer xâm nhập.

Ngoài ra, loại phần mềm độc hại này còn được phát tán qua email giả mạo hóa đơn, thông báo ngân hàng, file CV xin việc hoặc các đường link mạo danh Google, Facebook. 

Một số biến thể khác ẩn trong các extension trình duyệt trông có vẻ vô hại như công cụ tải video, chặn quảng cáo hay các tiện ích vượt giới hạn truy cập website.

Infostealer đánh cắp dữ liệu như thế nào?

Sau khi xâm nhập thành công, infostealer sẽ quét hệ thống, tập trung vào các trình duyệt phổ biến như Chrome, Edge hay Firefox. Tại đây, bạn sẽ bị trích xuất mật khẩu đã lưu, lịch sử đăng nhập và đặc biệt là cookie.

Cookie có thể hiểu là "vé thông hành" giúp người dùng không phải đăng nhập lại mỗi lần mở website. Khi chiếm được cookie, kẻ tấn công có thể truy cập thẳng vào tài khoản của nạn nhân mà không cần biết mật khẩu, trong nhiều trường hợp còn không cần vượt qua bước xác thực hai lớp.

Không dừng lại ở đó, nhiều infostealer còn tiếp tục quét các ứng dụng như Telegram, Discord, phần mềm làm việc từ xa và các ví tiền điện tử. Toàn bộ dữ liệu sau đó được nén lại và tự động gửi về máy chủ của kẻ điều khiển phía sau.

Từ những gói dữ liệu này, tài khoản có thể bị chiếm đoạt, danh tính số có thể bị mạo danh và thông tin cá nhân có thể bị sử dụng cho các hoạt động lừa đảo hoặc rao bán trên chợ đen.

Vì sao nạn nhân khó phát hiện?​​​​​

Khác với các loại phần mềm độc hại gây phá hoại trực tiếp, infostealer được thiết kế để càng kín đáo càng tốt. Nó không làm máy chậm rõ rệt, không hiển thị cảnh báo bất thường và không can thiệp vào hoạt động thường ngày của người dùng. Sau khi hoàn thành việc thu thập dữ liệu, một số biến thể thậm chí còn tự xóa dấu vết.

Phần lớn nạn nhân chỉ nhận ra sự cố khi tài khoản bị đổi thông tin khôi phục, bị đăng xuất khỏi mọi thiết bị hoặc khi bạn bè nhận được tin nhắn lừa đảo từ chính tài khoản của họ. Lúc này, dữ liệu thực tế đã bị đánh cắp từ trước đó.

Đặc biệt, khi email chính bị chiếm quyền kiểm soát, kẻ tấn công có thể lần lượt khôi phục mật khẩu và tiếp quản hàng loạt tài khoản khác, khiến nạn nhân mất gần như toàn bộ danh tính số của mình.

Người dùng cần làm gì để tự bảo vệ?

- Không cài phần mềm crack, tiện ích lạ; không mở link hoặc file đáng ngờ.

- Bật 2FA, không dùng chung mật khẩu giữa các dịch vụ.

- Cài phần mềm bảo mật uy tín, thường xuyên kiểm tra lịch sử đăng nhập.

- Khi nghi nhiễm mã độc: ngắt mạng, quét máy và đổi mật khẩu trên thiết bị khác.