Đối với hầu hết mọi người, việc đăng nhập vào các trang web hoặc cổng thông tin là một phần hàng ngày khi sử dụng Internet. Phiên được tạo mỗi khi bạn đăng nhập vào một trang web. Phiên là việc liên lạc giữa hai hệ thống, nó tiếp tục hoạt động cho đến khi người dùng kết thúc liên lạc. Việc bắt đầu một phiên là điều cần thiết để liên lạc diễn ra qua internet – nhưng cũng mở ra nguy cơ chiếm đoạt phiên. Đọc tiếp để tìm hiểu thêm về việc chiếm đoạt phiên, cách hoạt động của nó và cách bảo vệ bản thân.
Chiếm đoạt phiên là gì?
Chiếm đoạt phiên - đôi khi được gọi là chiếm đoạt cookie, chiếm đoạt phiên cookie hoặc chiếm đoạt phiên TCP – xảy ra khi kẻ tấn công chiếm quyền điều khiển phiên internet của bạn. Việc này có thể xảy ra khi bạn đang mua sắm trực tuyến, thanh toán hóa đơn hoặc kiểm tra số dư ngân hàng của bạn. Những kẻ chiếm đoạt phiên thường nhằm mục tiêu vào trình duyệt hoặc các ứng dụng web, mục đích của chúng là kiểm soát phiên duyệt web của bạn để giành quyền truy cập vào thông tin cá nhân và mật khẩu của bạn.
Những kẻ chiếm đoạt phiên sẽ đánh lừa để các trang web cho rằng đó là bạn. Loại tấn công này có thể gây ra những hậu quả nghiêm trọng cho việc bảo mật ứng dụng vì nó cho phép kẻ tấn công giành quyền truy cập trái phép vào các tài khoản được bảo vệ (và dữ liệu có trong đó) bằng cách ngụy trang thành người dùng hợp pháp.
Phiên là gì?
Mỗi khi một người dùng truy cập trang web hoặc ứng dụng thông qua kết nối HTTP, dịch vụ sẽ xác thực người dùng (ví dụ như thông qua tên người dùng và mật khẩu) trước khi mở đường truyền liên lạc và cung cấp quyền truy cập. Tuy nhiên, bản thân các kết nối HTTP có dạng "không trạng thái", nghĩa là mỗi hành động mà người dùng thực hiện được xem độc lập. Do đó, nếu chúng ta chỉ dựa vào HTTP, người dùng sẽ phải xác thực lại họ cho mỗi hành động mà họ thực hiện hoặc mỗi trang mà họ xem.
Phiên khắc phục thách thức này. Một phiên được tạo trên máy chủ lưu trữ trang web hoặc ứng dụng sau khi người dùng đăng nhập và sau đó đóng vai trò là tham chiếu cho xác thực ban đầu. Người dùng có thể duy trì trạng thái xác thực chừng nào phiên còn mở trên máy chủ và có thể kết thúc phiên bằng cách đăng xuất khỏi dịch vụ. Một số dịch vụ kết thúc phiên sau một khoảng thời gian không hoạt động.
Nhiều dịch vụ tạo ra các phiên này bằng cách cấp một ID phiên, một chuỗi các số và chữ cái được lưu trữ trong phiên tạm thời, các cookie, URL hoặc các trường ẩn trên trang web. Các ID phiên này được mã hóa trong một số trường hợp nhưng không phải tất cả. Thông thường, ID phiên dựa trên thông tin có thể dự đoán được, chẳng hạn như địa chỉ IP của người dùng.
Chiếm đoạt phiên hoạt động như thế nào?
Sau đây là một ví dụ giả định về cách chiếm đoạt phiên có thể hoạt động:
Bước 1: Người dùng internet đăng nhập vào một tài khoản như bình thường.
Đây có thể là tài khoản ngân hàng trực tuyến hoặc thẻ tín dụng của họ, một cửa hàng trực tuyến, ứng dụng hoặc cổng thông tin. Ứng dụng hoặc trang web cài đặt cookie phiên tạm thời trong trình duyệt của người dùng. Cookie đó chứa thông tin về người dùng cho phép trang web duy trì trạng thái xác thực và đăng nhập của họ, đồng thời theo dõi hoạt động của họ trong phiên. Cookie phiên vẫn ở trong trình duyệt cho đến khi người dùng đăng xuất (hoặc tự động đăng xuất sau một khoảng thời gian không hoạt động).
Bước 2: Tội phạm có thể truy cập vào phiên hợp lệ của người dùng internet.
Tội phạm mạng sử dụng các phương thức khác nhau để đánh cắp phiên. Thông thường, chiếm đoạt phiên liên quan đến việc đánh cắp cookie phiên của người dùng, định vị ID phiên trong cookie và sử dụng thông tin đó để chiếm quyền điều khiển phiên. ID phiên còn được gọi là khóa phiên. Khi tội phạm có được ID phiên, chúng có thể chiếm quyền điều khiển phiên mà không bị phát hiện.
Bước 3: Kẻ chiếm đoạt phiên nhận lợi ích khi đánh cắp phiên.
Khi người dùng internet ban đầu tiếp tục hành trình trực tuyến của họ, kẻ chiếm đoạt có thể sử dụng phiên đang diễn ra để thực hiện nhiều hành vi độc hại khác. Điều này có thể bao gồm ăn cắp tiền từ tài khoản ngân hàng của người dùng, mua các mặt hàng, lấy dữ liệu cá nhân để thực hiện trộm cắp danh tính hoặc mã hóa các dữ liệu quan trọng, sau đó yêu cầu tiền chuộc để trả lại.
Các cuộc tấn công chiếm đoạt phiên thường được thực hiện trên các mạng bận rộn với số lượng phiên liên lạc đang hoạt động cao. Việc này cung cấp cho kẻ tấn công một lượng lớn phiên để khai thác đồng thời mang lại một biện pháp bảo vệ cho chúng – vì số lượng phiên đang hoạt động trên máy chủ khiến chúng ít có khả năng bị phát hiện.
Các loại chiếm đoạt phiên
Mã lệnh xuyên trang web
Một cuộc tấn công bằng mã lệnh xuyên trang
web liên quan đến việc tội phạm mạng khai thác các điểm yếu
bảo mật trên một máy chủ web hoặc ứng dụng. Mã lệnh xuyên trang web liên
quan đến việc kẻ tấn công chèn tập lệnh vào các trang web. Chúng khiến
trình duyệt web tiết lộ khóa phiên của bạn cho kẻ tấn công để chúng có
thể chiếm quyền điều khiển phiên.
Cướp phiên (còn gọi là nghe trộm phiên)
Trong loại tấn công này, tội phạm cần truy cập lưu lượng mạng của một
người dùng. Chúng có thể giành quyền truy cập khi người dùng sử dụng
Wi-Fi không an toàn hoặc khi tham gia vào các cuộc tấn công xen giữa.
Trong cướp phiên, tội phạm sử dụng kỹ thuật "nghe trộm gói tin" để giám
sát lưu lượng mạng của người dùng internet nhằm tìm kiếm phiên. Việc này
cho phép kẻ tấn công lấy được cookie phiên và dùng nó để chiếm quyền
điều khiển phiên.
Cố định phiên
Trong một cuộc tấn công cố định phiên, tội phạm tạo ra một ID phiên và
lừa người dùng bắt đầu một phiên với ID đó. Chúng có thể thực hiện việc
này bằng cách gửi email tới người dùng có đường liên kết đến biểu mẫu
đăng nhập chovtrang web mà kẻ tấn công muốn truy cập. Người dùng đăng
nhập bằng ID phiên giả, khiến kẻ tấn công có cơ hội đặt chân vào.
Tấn công xâm phạm trình duyệt
Loại tấn công này tương tự như tấn công xen giữa nhưng trước
tiên, kẻ tấn công phải lây nhiễm một Trojan vào máy tính của nạn
nhân. Khi nạn nhân bị lừa cài đặt phần mềm độc hại vào hệ thống, phần
mềm độc hại sẽ đợi nạn nhân truy cập vào trang web mục tiêu. Phần mềm
độc hại xâm phạm trình duyệt có thể bí mật sửa đổi thông tin giao dịch
và cũng có thể tạo các giao dịch bổ sung mà người dùng không biết. Vì
các yêu cầu được khởi tạo từ máy tính của nạn nhân, dịch vụ web rất khó
phát hiện các yêu cầu đó là giả.
ID token phiên có thể dự đoán
Nhiều máy chủ web sử dụng thuật toán tùy chỉnh hoặc mẫu được xác
định trước để tạo ID phiên. Nếu token phiên càng dễ dự đoán thì nó càng
yếu. Nếu kẻ tấn công có thể nắm bắt được nhiều ID và phân tích mẫu,
chúng có thể dự đoán được ID phiên hợp lệ. (Có thể so sánh cách tiếp cận
này với tấn công brute force.)
Chiếm đoạt phiên và nghe trộm phiên khác nhau như thế nào?
Chiếm đoạt phiên và nghe trộm phiên có những điểm tương đồng nhưng không cùng loại tấn công. Hai loại này khác biệt chính ở chỗ chiếm đoạt phiên xảy ra khi người dùng hợp pháp đã đăng nhập vào một phiên web. Ngược lại, nghe trộm phiên xảy ra khi kẻ tấn công mạo danh người dùng để khởi chạy một phiên web mới (có nghĩa là người dùng không cần phải đăng nhập tại thời điểm đó).
Sự khác biệt này có nghĩa là người dùng hợp pháp trải nghiệm các cuộc tấn công theo cách khác nhau. Với chiếm đoạt phiên, kẻ tấn công gây gián đoạn phiên có thể khiến trang web hoặc ứng dụng hoạt động bất thường hoặc thậm chí gây sập nguồn cho nạn nhân. Tuy nhiên, trong tấn công nghe trộm phiên, vì người dùng không chủ động đăng nhập, họ sẽ không gặp bất kỳ sự gián đoạn nào trong phiên tiếp theo.
Tác động của tấn công chiếm đoạt phiên
Việc không thực hiện các bước để ngăn chặn chiếm đoạt phiên gây nhiều rủi ro. Một số mối nguy hiểm này bao gồm:
Trộm cắp danh tính
Khi giành quyền truy cập trái phép vào những thông tin cá nhân nhạy cảm được lưu trong tài khoản, kẻ tấn công có thể đánh cắp danh tính của nạn nhân vượt ra ngoài phạm vi trang web hoặc ứng dụng bị xâm nhập.
Trộm cắp tài chính
Thông qua việc chiếm đoạt phiên, kẻ tấn công có thể thực hiện các giao dịch tài chính thay mặt người dùng. Điều này có thể liên quan đến việc chuyển tiền từ tài khoản ngân hàng hoặc thực hiện giao dịch mua bằng thông tin thanh toán đã lưu.
Lây nhiễm phần mềm độc hại
Nếu tin tặc có thể đánh cắp ID phiên của người dùng, chúng cũng có thể lây nhiễm phần mềm độc hại vào máy tính của người dùng. Điều này có thể cho phép chúng giành quyền kiểm soát máy tính của mục tiêu và đánh cắp dữ liệu của họ.
Tấn công từ chối dịch vụ (DoS)
Một tin tặc giành quyền kiểm soát phiên của người dùng có thể khởi chạy một cuộc tấn công DoS vào trang web hoặc máy chủ mà họ kết nối, gây gián đoạn dịch vụ hoặc đánh sập trang web.
Truy cập vào các hệ thống khác thông qua SSO
SSO là viết tắt của "single sign on" (đăng nhập một lần). Kẻ tấn công cũng có thể giành quyền truy cập trái phép vào các hệ thống bổ sung nếu SSO được bật, tiếp tục lan truyền nguy cơ tiềm ẩn của một cuộc tấn công chiếm đoạt phiên. Nguy cơ này đặc biệt quan trọng đối với các tổ chức vì hiện nay nhiều tổ chức cho phép SSO cho nhân viên. Cuối cùng, điều này có nghĩa là kể cả những hệ thống được bảo vệ nghiêm ngặt với giao thức xác thực mạnh hơn và cookie phiên ít dự đoán được hơn, chẳng hạn như những hệ thống lưu trữ thông tin tài chính hoặc khách hàng, cũng chỉ có thể được bảo vệ như liên kết yếu nhất trong toàn bộ hệ thống.
Các ví dụ về tấn công chiếm đoạt phiên
Ném bom Zoom
Trong đại dịch Covid-19, thế giới đã chuyển sang các ứng dụng
hội nghị truyền hình như Zoom. Các ứng dụng này đã trở thành mục tiêu
phổ biến của những kẻ chiếm đoạt phiên, thậm chí còn có biệt danh là
"ném bom zoom". Có những báo cáo tin tức về việc những kẻ chiếm
đoạt phiên tham gia vào các phiên video riêng tư, trong một
số trường hợp hét lên những lời tục tĩu, ngôn ngữ thù địch và chia sẻ
hình ảnh khiêu dâm. Để ứng phó, Zoom đã đưa ra các biện pháp bảo vệ
quyền riêng tư nghiêm ngặt hơn để giảm thiểu rủi ro.
Slack
Năm 2019, một nhà nghiên cứu trên một nền tảng thưởng phát hiện
lỗi đã xác định được một lỗ hổng bảo mật trong
Slack cho phép kẻ tấn công buộc người dùng vào các phiên giả
mạo chuyển hướng để chúng có thể đánh cắp cookie phiên của họ. Việc này
cho phép kẻ tấn công truy cập vào bất kỳ dữ liệu nào được chia sẻ trong
Slack (mà có thể rất quan trọng đối với nhiều tổ chức). Slack đã phản
hồi nhanh chóng và vá lỗ hổng bảo mật trong vòng 24 giờ kể từ khi nhà
nghiên cứu phát hiện ra nó.
GitLab
Năm 2017, một nhà nghiên cứu bảo mật đã xác định được một lỗ hổng bảo mật trong GitLab trong đó token phiên của người dùng có sẵn trực tiếp trong URL. Cuộc điều tra sâu hơn tiết lộ rằng GitLab cũng đã sử dụng các token phiên liên tục không bao giờ hết hạn, điều này có nghĩa là một khi kẻ tấn công có được một token phiên, chúng có thể sử dụng nó mà không lo hết hạn. Sự kết hợp giữa việc phơi nhiễm mở và token liên tục này tạo ra một rủi ro nghiêm trọng, khiến người dùng có nguy cơ chịu nhiều cuộc tấn công nghiêm trọng do chiếm đoạt phiên thông qua một cuộc tấn công brute force. GitLab đã khắc phục lỗ hổng bảo mật bằng cách thay đổi cách họ sử dụng và lưu trữ các token đó.
Cách ngăn chặn chiếm đoạt phiên
Thực hiện theo các mẹo ngăn chặn chiếm đoạt phiên này để tăng cường bảo mật trực tuyến của bạn:
Tránh sử dụng Wi-Fi công cộng
Tránh thực hiện các giao dịch quan trọng như ngân hàng, mua sắm trực
tuyến hoặc đăng nhập vào tài khoản thư điện tử hoặc mạng xã hội của bạn
qua Wi-Fi công cộng. Có thể một tội
phạm mạng ở gần đó đang sử dụng tính năng nghe trộm gói tin để cố gắng
lấy cookie phiên và các thông tin khác.
Sử dụng VPN
Nếu bạn cần sử dụng Wi-Fi công cộng, hãy sử dụng một Mạng riêng ảo (VPN) để tối đa
hóa sự an toàn và ngăn chặn những kẻ chiếm đoạt phiên khỏi các phiên của
bạn. VPN che dấu địa chỉ IP của bạn và giữ riêng
tư các hoạt động trực tuyến của bạn bằng cách tạo một đường hầm riêng tư
mà tất cả các hoạt động trực tuyến của bạn đều đi qua đó. VPN mã hóa dữ
liệu mà bạn gửi và nhận.
Cảnh giác với giả mạo và các trò lừa đảo trực tuyến
khác
Tránh nhấp vào bất kỳ đường liên kết nào trong thư điện tử trừ
khi bạn biết đó là từ một người gửi hợp pháp. Kẻ chiếm đoạt phiên có thể
gửi cho bạn một email có đường liên kết để nhấp vào. Đường liên kết này
có thể cài đặt phần mềm độc hại vào thiết bị của bạn hoặc đưa bạn đến
một trang đăng nhập để đăng nhập bạn vào một trang web sử dụng ID phiên
do kẻ tấn công chuẩn bị.
Lưu ý về bảo mật trang web
Các ngân hàng, nhà cung cấp dịch vụ email, nhà bán lẻ trực
tuyến và các trang mạng xã hội có uy tín đều có các biện pháp bảo vệ để
tránh tình trạng chiếm đoạt phiên. Chú ý đến các trang web có URL bắt
đầu bằng HTTPS - S là viết tắt của "secure" (an toàn). Việc sử dụng các
cửa hàng trực tuyến đáng ngờ hoặc các nhà cung cấp khác không có bảo mật
mạnh có thể khiến bạn dễ phải chịu một tấn công chiếm đoạt phiên.
Sử dụng phần mềm diệt virus
Cài đặtphần mềm diệt virus có uy tín có thể dễ dàng phát hiện virus và
bảo vệ bạn khỏi mọi loại phần mềm độc hại (bao gồm phần mềm độc hại mà
những kẻ tấn công sử dụng để thực hiện chiếm đoạt phiên). Luôn cập nhật
hệ thống của bạn bằng cách thiết lập cập nhật tự động trên tất cả các
thiết bị.
Các sản phẩm liên quan:
