Một lỗ hổng scripting trong website của PayPal cho phép hacker mạo danh một trang đăng nhập "xịn" với đủ cả chứng nhận bảo đảm về bảo mật.
Theo Netcraft, một hãng dịch vụ Internet của Anh thì kẻ lừa đảo có thể khai thác lỗ hổng để ăn cắp thông tin cá nhân người dùng, bao gồm thông tin đăng nhập PayPal, số Bảo hiểm xã hội và thẻ tín dụng.
PayPal là dịch vụ thanh toán trực tuyến bằng cách khấu trừ trực tiếp vào thẻ tín dụng người dùng, chính vì thế, thông tin đăng nhập của dịch vụ này thực sự là mục tiêu sáng giá với giới hacker.
Đầu tiên, kẻ tấn công lừa các thành viên của PayPal click vào một đường link giả, dẫn tới một trang có thật bên trong PayPal. Ngay cả những người dùng đa nghi và cẩn trọng nhất cũng bị lừa, bởi khi họ kiểm tra chứng nhận bảo mật của trang này, họ sẽ thấy dấu chứng nhận 256-bit "sừng sững" tại đó như một sự bảo đảm bằng vàng.
Tuy nhiên, địa chỉ URL của trang này lại khai thác một lỗi của PayPal, cho phép kẻ lừa đào ngấm ngầm cài vào những đoạn mã độc. Kết quả là người dùng sẽ nhận được thông báo rằng tài khoản của họ đã bị ăn cắp, và họ sẽ được "chuyển lại về Resolution Center" (Trung tâm xử lý).
Đến đây thì màn lừa đảo bắt đầu. Sau khi được chuyển đến trang của Resolution Center, người dùng sẽ bị yêu cầu cung cấp các thông tin về tài khoản PayPal. Nhưng vì lỗ hổng scripting và những đoạn mã mà kẻ lừa đảo đã cài vào URL, trang web đó đã không còn thuộc về PayPal nữa. Thay vào đó, nó sẽ đánh cắp tất cả những gì người dùng nhập vào rồi gửi chúng tới máy chủ từ xa.
Máy chủ Web thu thập các thông tin quý giá nói trên được đặt host tại Hàn Quốc, Netcraft cho biết.
Theo Netcraft thì lỗ hổng scripting chéo sai này khiến cho vụ tấn công phishing rất khó bị phát hiện. Nếu đường link được gửi đến bên trong một email, người dùng sẽ nghi ngờ ngay rằng link đó giả mạo. "Nhưng khi đường link đấy lại được cung cấp từ chính một trang web thật thì ai dám nghĩ là mình đang bị lừa?".
Đến hôm qua, đại diện của PayPal cho biết họ đã khắc phục xong lỗ hổng, song số nạn nhân của vụ tấn công phishing này là bao nhiêu thì vẫn chưa được công bố.
Thiên Ý (Tổng hợp PC World, CNET)