Đợt vừa rồi hệ thống Tiện ích Xanh của mình bị hack toàn bộ tài nguyên, bao gồm toàn bộ BM, tkqc và hệ thống fanpage. Trong đó có khá nhiều fanpage lớn từ 500K – 1m fowlow, cũng như tkqc ngưỡng lớn từ 50-100m. Quá trình phát hiện và xử lý vấn đề của mình cũng mất khá nhiều ngày. Mình viết lại mấy dòng chia sẻ về sự việc để cả nhà mình cảnh giác hơn trong vấn đề bảo mật thông tin.
Ngày 2/8, mình có tìm và tải ứng dụng Photoshop 2023 qua một link trên tinhte.vn: https://tinhte.vn/…/download-adobe-photoshop-2023-full…/
Đánh giá sơ bộ thì mình ko nghi ngờ gì cả, tải về và cài đặt bình thường.
Đến rạng sáng thứ 7, ngày 5/8 thì xảy ra sự cố. Nhiều ngày sau, mình nhờ một bạn làm bảo mật kiểm tra máy thì mới phát hiện ra có một phần mềm chạy ngầm trong máy là Updater.exe. Đó chính là con Botnet giả danh phần mềm photoshop kia. Con Bot này nó lấy thông tin cookies và thông tin user, password được lưu trong trình duyệt để gửi về địa chỉ telegram của chủ Bot (Thông thường, khi đăng nhập bằng user và password thì fb sẽ có thông báo và cần xác nhận 2FA, nhưng khi đăng nhập bằng cookies thì ko có bất kỳ thông báo và xác nhận gì cả, nên việc lộ cookies là cực kỳ nguy hiểm).
Sau khi có được những thông tin trên thì nó bắt đầu đăng nhập vào các via bên mình, add một số via bên nó làm quản trị viên, rồi sau là out các via bên mình ra. Sau cùng là mình mất toàn bộ quyền quản trị trên các BM (page và tkqc nằm trong BM nên cũng mất luôn).
Mình có liên hệ support fb ngay sau đó, nhưng fb theo đúng quy trình, vẫn phải chờ thêm một số ngày. Trong quá trình xem xét, nếu thấy hoạt động bất thường thì khả năng fb sẽ back lại quyền truy cập cho một số via cũ trên BM.
Vấn đề của mình phức tạp hơn khi toàn bộ via của mình (từ via cầm BM, cầm page, lên camp, add thẻ…) đều được quản lý trong Gologin. Có được đầy đủ thông tin nên bọn nó đăng nhập vào tài khoản Gologin của mình, change email (khiến mình ko tự reset mật khẩu hay tài khoản được) và chiếm quyền toàn bộ via bên mình. Toàn bộ via cứng đã nằm sẵn trong BM nên việc còn lại của bọn nó là khá đơn giản mà ko có chút dấu hiệu bất thường nào đối với fb.
Trong thời gian này, mình cũng liên hệ support của Gologin để yêu cầu lấy lại tài khoản. Mặc dù cũng đã cung cấp đầy đủ thông tin được yêu cầu như: email, lịch sử thanh toán, transaction id…nhưng cũng phải đến tận trưa thứ 2, ngày 7/8 mới lấy lại được tài khoản. Mình truy cập lại được vào tài khoản Gologin, via còn nguyên, nhưng toàn bộ đã bị out hết ra khỏi BM.
Về phía fb thì cũng phải đến chiều thứ 3, ngày 8/8 mới có phản hồi, nhưng cũng không khá khẩm gì “Chúng tôi không nhận thấy BM này đang bị xâm phạm, do đó sẽ không thể tiến hành trả BM về Quản trị viên cũ”. Cửa chờ support fb hẹp dần, mình chủ động liên hệ nick telegram theo info trên con bot để thương lượng. Sau đó thì mình cũng đã lấy lại đc toàn bộ page, còn BM và tkqc thì coi như bỏ.
Bị mất tài nguyên đã rất hoang mang, nhưng việc không tìm ra nguyên nhân còn khiến mình hoang mang hơn rất nhiều. May mắn cho mình là được một số ae có chuyên môn giúp đỡ, sớm tìm ra vấn đề hơn. Mình rất cảm ơn sự quan tâm và giúp đỡ của các anh em !
Ps: Gần đây bọn nó thả botnet khá nhiều ở trên diễn đàn, fanpage, thậm chí mạo danh Meta hay các tên tuổi lớn và uy tín khác để chạy quảng cáo và thả botnet. Mình sẽ up ở phần comment về trường hợp của mình hoặc trường hợp mình biết để cả nhà cùng cảnh giác. Ae nào có thêm trường hợp nào thì update luôn nhé.
Sáng nay, mình có đăng bài cảnh báo về botnet. Mình viết từ chính sự cố bên mình vừa trải qua hồi đầu tháng 8 vừa rồi. Mình viết tóm tắt theo trình tự thời gian để anh em tiện theo dõi, và dễ dàng nắm bắt ý chính (còn thực ra nếu đúng theo trình tự sự việc thì mình cũng mất chừng 10 ngày rất rối bời, đoán già đoán non tìm nguyên nhân bị hack).
Vấn đề mình đưa ra ở đây là: mình tải phần mềm theo link trên tinhte.vn, rồi mình bị sự cố mất tài nguyên. Sau cùng mình cũng tìm được nguyên nhân là do con Botnet, mà nguồn chính là phần mềm photoshop fake kia. Mình thông báo để ae biết và phòng tránh.
Mình đọc cũng gần hết comment của anh em. Cũng cảm ơn anh em đã quan tâm vụ việc, nhưng có một số ý có vẻ ae đang hiểu sai, mình muốn đính chính lại.
Mình không kêu khóc, bắt vạ tinhte hay bất kỳ ai ở đây cả. Đây chỉ là trường hợp của cá nhân mình và nó bắt nguồn từ link trên tinhte. Mình sơ suất thì mình chịu hậu quả. Ngoài ra, botnet có thể được gắn ở diễn đàn khác, fanpage khác, cách thức khác… Mình nêu ra trường hợp của mình ko phải để hạ bệ hay gây war gì với tinhte, mà để mọi người dễ hình dung và né tránh cho các trường hợp tương tự. Các anh chị admin bên tinhte có thể xem lại một số link, cũng như nick đăng các bài đó để rà sát lại, tránh các trường hợp đáng tiếc cho những người sau như em.
Vấn đề crack hay bản quyền ?
Đợt rồi photoshop 2023 giới thiệu tính năng “text to image”, mình lên google tìm kiếm “photoshop 2023” (cũng định xem có link nào tiện thì tải, dùng bản trial cũng đc, chưa nghĩ đến mua bản trả phí hay crack gì cả), thấy trong top kết quả có link của tinhte, mình cũng khá tin tưởng nên tải về. Ko may dính botnet và mình bị mất tài nguyên.
Việc dùng crack hay bản quyền – cái này tùy suy nghĩ và khả năng tài chính mỗi người. Trước vì ko đủ điều kiện tài chính, cũng chả suy nghĩ gì nhiều thì mình cũng dùng 100% là crack. Hiện tại thì mình cũng rất ủng hộ việc dùng phần mềm bản quyền, bản thân mình cũng dùng bản quyền của win, capcut, kaspersky, moises, gologin…những phần mềm mà mình dùng thường xuyên.
Nhưng cũng ko vì thế mà mình cảm thấy mình cao sang, ngon nghẻ hơn ngày xưa. Mỗi thời, mỗi khác, mỗi người, mỗi hoàn cảnh mỗi khác.
Vấn đề đơn giản chỉ có thế. Anh em tự rút được bài học cho cá nhân mình là đúng mong muốn của mình rồi. Cảm ơn cả nhà đã đọc bài ạ !