Một số chuyên gia bảo mật "cảnh báo" Google vì thông báo gần đây đối với người sử dụng

Quản Trị Mạng - Gần đây, Google đã “âm thầm” tiến hành những bước đi “chưa từng có” trong việc đưa ra thông điệp cảnh báo hàng triệu người sử dụng máy tính rằng hệ thống của họ đã bị xâm nhập bởi những phần mềm bảo mật giả mạo và một số loại chương trình mã độc khác. Nhưng một số chuyên gia bảo mật đã nắm được điểm này của Google.

Thông tin cảnh báo được đưa tới người sử dụng qua 1 banner nhỏ màu vàng (như hình dưới) với nội dung: “Your computer appears to be infected” sau khi họ thực hiện lệnh tìm kiếm bất kỳ với Google:

It appears that your computer is infected with software that intercepts your connection to Google and other sites

Bên cạnh đó, thông tin cảnh báo này còn có kết nối tới trang hỗ trợ của Google, tại đây cung cấp nhiều dữ liệu cụ thể hơn về những trường hợp người sử dụng gặp phải, cũng như cách xử lý và gỡ bỏ phần mềm độc hại ra khỏi hệ thống. Lần đầu tiên Google cung cấp những thông tin cảnh báo này vào ngày thứ 3 vừa rồi khi họ bất ngờ phát hiện được các dấu hiệu bất thường có liên quan tới “unusual search traffic” trong khi tiến hành bảo dưỡng 1 đơn vị data center. Và Google đã đưa ra nhận định rằng đây chính là triệu chứng những máy tính đã bị lây nhiễm bởi phần mềm bảo mật giả mạo.

Damian Menscher – chuyên viên nghiên cứu về lĩnh vực bảo mật của Google đã đăng tải những thông tin này trên Google Blog vào ngày thứ 4 vừa rồi: “Mục đích chính của loại malware này sau khi lây nhiễm vào máy tính của nạn nhân sẽ liên tục gửi các tín hiệu nhằm làm tăng lượng traffic tới Google qua proxy của những dịch vụ được sử dụng trên hệ thống server.”

Menscher đã tiến hành gán những traffic proxy có nguồn gốc từ những chương trình Fake Antivirus (AV) – bảo mật giả mạo, hay còn gọi là scareware, với kết quả phân tích từ hàng triệu máy tính đã bị lây nhiễm và ảnh hưởng từ những nguồn gốc như vậy.

Những phần mềm Scareware – hay còn gọi dưới cái tên quen thuộc là rogueware, được xây dựng khá công phu dựa trên nền tảng công nghệ khá vững chắc, với mục đích chính là ngụy trang dưới lớp vỏ bọc của 1 ứng dụng bảo mật và an toàn. Nhưng trên thực tế, sau khi xâm nhập thành công vào máy tính của nạn nhân, những chương trình như vậy sẽ liên tục hiển thị các thông tin không có thật về tình trạng an ninh hiện thời của hệ thống, đồng thời “dụ dỗ” người sử dụng mua bản quyền hoặc mã kích hoạt để khắc phục những hiện tượng trên.

Vikram Thakur – quản lý bộ phận bảo mật của Symantec cho biết trong buổi phỏng vấn ngày hôm nay rằng: “Việc các phần mềm scareware thay đổi lưu lượng traffic qua proxy là hoàn toàn bình thường. Mặt khác, những kẻ xấu không muốn để lộ tung tích sau khi lấy được 50 hoặc 60 USD từ mỗi nạn nhân.” Thakur tiếp tục đề cập đến cách thức khai thác và lừa đảo tiền thật của tin tặc đối với người dùng thông thường: “Chúng muốn nhiều hơn thế, thay đổi toàn bộ hệ thống máy tính của họ!”

Bằng việc chuyển hướng luồng traffic từ 1 máy tính đã bị lây nhiễm qua hệ thống proxy, tin tặc có thể dễ dàng kiểm soát được những gì nạn nhân đang thao tác qua trình duyệt, qua đó dễ dàng đưa họ vào những hành động hoặc thao tác bất hợp pháp mà họ không hề hay biết, vi dụ như thực hiện giao dịch trực tuyến qua tài khoản của họ, nhưng thật ra lại là chuyển tiền thẳng vào “hầu bao” của hacker. Bên cạnh đó, những kẻ tin tặc này còn có thể chỉnh sửa những kết quả tìm kiếm, bí mật chèn đường dẫn có chứa mã độc vào website họ đang truy cập... tất cả những việc làm trên đều có thể mang lại lợi nhuận cho chúng. Thakur còn cho biết thêm rằng tin tặc có thể thay đổi, di chuyển lượng traffic này tới bất kỳ đâu nếu muốn.

Chỉ có những nhà cung cấp dịch vụ như Google, hoặc bất cứ công ty hosting, ISP nào đều có thể dễ dàng nhận ra hình thức lừa đảo qua proxy này.

Về mặt kỹ thuật, Google không tiến hành tiêu diệt các loại malware hoặc scareware từ những máy tính bị lây nhiễm, mà chỉ đưa ra thông tin cảnh báo rằng hệ thống của họ đã bị ảnh hưởng. Qua đó, người sử dụng phải tiến hành rà soát toàn bộ bằng chương trình bảo mật có uy tín và đảm bảo chất lượng, và tất nhiên là việc này phải được tiến hành càng sớm càng tốt.

Adam Wosotowsky – chuyên viên nghiên cứu cao cấp trong lĩnh vực phân tích của McAfee Labs khuyến cáo với người dùng rằng họ cần áp dụng những công cụ bảo mật thực sự an toàn và đáng tin cậy trên hệ thống của họ, bất kỳ trong tình huống nào. Đồng thời, Menscher cũng xác nhận với cộng đông người sử dụng rằng những cảnh báo được đưa ra bởi Google là hoàn toàn chính xác. Bên cạnh đó, ông còn cho biết thêm rằng: “Chúng tôi cũng đã nghĩ đến trường hợp này, đó là lý do tại sao thông điệp cảnh báo chỉ xuất hiện ở phía trên top trang kết quả tìm kiếm.”

Nhưng mặt khác, Google lại cảnh báo rằng các thông tin được cung cấp trên trang trợ giúp của hãng cũng có thể chứa đường dẫn kết nối tới các nguồn scareware. Đây là thời điểm người sử dụng phải phát huy được kinh nghiệm và khả năng phân biệt đâu là phần mềm bảo mật giả mạo. Tuy nhiên, cách thức mà Google dùng để đưa ra thông tin cảnh báo đến người dùng như vậy lại khiến một số chuyên gia bảo mật không đồng tình, và họ đã lên tiếng chỉ trích Google về việc này.

Thakur cho biết: “Thông điệp của Google chỉ ra rằng tin nhắn giả mạo chỉ xuất hiện trên những máy tính đã bị lây nhiễm, nhưng thông báo của họ lại dành cho người dùng có thể bị lây nhiễm. Và với 1 chút suy luận, quy trình này rất có thể sẽ gây nhầm lẫn cho phần lớn người sử dụng.”

John Pescatore – một chuyên gia phân tích tình hình bảo mật khác lại bày tỏ quan điểm như sau: “Tôi cảm thấy băn khoăn với đường dẫn how to fix this mà Google đã đặt vào thông báo này. Và đây cũng chính là thủ đoạn tin tặc chắc chắn sẽ sử dụng khi đánh trúng tâm lý của người sử dụng.” Bên cạnh đó, Thakur còn cho biết thêm một số ý kiến chủ quan: “Tin tặc hoàn toàn có thể dễ dàng áp dụng chiến lược đó trêm 1 mô hình rộng hơn nếu những đợt tấn công hiện tại mang lại kết quả khả quan cho chúng. Mặt khác, những kẻ hacker rất thông minh và sáng tạo, chúng có thể thay đổi địa chỉ proxy bât cứ lúc nào mà người sử dụng lẫn Google đều không hề hay biết!”