maiquang
03-15-2009, 05:26 AM
Source : mod ohmygod1990.
Hi anh em,
Vụ này mới phát hiện ra cách đây chưa đầy 5 phút, đang rất bận nhưng phải viết luôn.
Gần 1 tháng trở lại đây có hiện tượng anh em kêu tự nhiên bị ăn cắp account, mặc dù chắc chắn là máy ko bị nhiễm virus hay keylog và cũng toàn là anh em khá thạo máy tính cả. Bản thân đầu tháng 2 vừa qua Nasadows98 cũng bị mất tích 2 account 1 cách bí ẩn. Sau 2 tuần th́ mới biết 2 account đó đă bị redeemed point và sử dụng bởi một số kẻ bên Mỹ. Có 1 nguồn tin khác cho hay "tụi nó hack được account, ko phải xài keylog, trojan, web giả.... đâu". Điều này làm tui rất lo ngại. Chẳng lẽ RapidShare đă bị nó bẻ khóa? V́ mật khẩu của ḿnh tự đặt (và chắc là đa số những anh em khác) đều thuộc dạng "KHÔNG AI CÓ THỂ ĐOÁN ĐƯỢC" - vậy th́ chắc vấn đề ko phải tại ḿnh .
Hôm nay vô t́nh lâu lắm không bật URL Helper lên để xem máy ḿnh kết nối với những địa chỉ nào (ḍ link), nghịch ngợm thế nào lại click lại vào cái nút "View all" (hiển thị cả link vô nghĩa). Thế quái nào mà lại nh́n thấy connection này trong list:
Code :
http://zshareaudio.phpnet.us/?user=ACCOUNT CỦA M̀NH-PASS CỦA M̀NH
CHẾT CHA!
Vậy tức là acc & mật khẩu của ḿnh đă bị gửi đến 1 địa chỉ thu thập tin mà ḿnh ko biết. Google địa chỉ này th́ thấy có bài phân tích & tố cáo nó ở đây:
http://userscripts.org/topics/704?page=5
Như vậy thủ phạm là 1 GreaseMonkey Userscript mà anh em vẫn hay dùng:
Rapidshare Collectors/Premium Zone Tweak của FF tên có nick là "lifetalk"
Chức năng của script này ở FireFox như anh em đă biết, là để xóa nhanh list remote upload của Rapidshare. Có lẽ dân Uploader là người hay dùng nhất.
NHƯNG ĐỒNG THỜI VỚI VIỆC XÓA LINK CHO M̀NH NHANH TH̀ NÓ CŨNG LẠI ĂN CẮP ACCOUNT CỦA M̀NH!!!
Lư do Antivirus không phát hiện ra được là v́ chúng ta chưa có khả năng quét Javascript Virus.
Disable script này trong FireFox, th́ y như rằng ko c̣n hiện ra cái trang thu thập trong URL Helper nữa ----> SAFE!!
Vậy khẳng định: chính thủ đoạn này mà tên lifetalk đă dùng để ăn cắp account của anh em.
Được biết (nhờ bài viết trang web kia) rằng script này trước giờ đă bị xóa rất nhiều lần nhưng tên lifetalk vẫn cố t́nh đưa lên và tạo 2 nick ảo comment tốt để lừa đảo anh em. Hiện chưa thử (thử làm ǵ nữa!) nên ko biết phiên bản mới nhất của script này thằng đó có c̣n "dám" chèn code ăn cắp vào ko, nhưng TỪ BÂY GIỜ ANH EM CẠCH MẶT THẰNG NÀY & CẨN THẬN HƠN VỚI TẤT CẢ NHỮNG GREASEMONKEY SCRIPT ANH EM NHÉ!!!!!!!!!!
Mong anh em nhanh chóng xóa script & đổi lại tất cả các password đă bị lộ, và BÁO CHO CÁC ANH EM KHÁC. Mong các coder trong giới khẳng định lại thông tin này, và nếu có ai có tiếng nói ở trang Userscript th́ thông báo giùm với admin để delete tên lifetalk như đă nói ở trên.
P.S Thông báo với anh em là con này sử dụng JSQuery để giải mă Cookie trong máy & send cho nên CÓ THỂ NGUY HIỂM VỚI CẢ ACC MEGAUPLOAD NỮA NHÉ!!!
Hi anh em,
Vụ này mới phát hiện ra cách đây chưa đầy 5 phút, đang rất bận nhưng phải viết luôn.
Gần 1 tháng trở lại đây có hiện tượng anh em kêu tự nhiên bị ăn cắp account, mặc dù chắc chắn là máy ko bị nhiễm virus hay keylog và cũng toàn là anh em khá thạo máy tính cả. Bản thân đầu tháng 2 vừa qua Nasadows98 cũng bị mất tích 2 account 1 cách bí ẩn. Sau 2 tuần th́ mới biết 2 account đó đă bị redeemed point và sử dụng bởi một số kẻ bên Mỹ. Có 1 nguồn tin khác cho hay "tụi nó hack được account, ko phải xài keylog, trojan, web giả.... đâu". Điều này làm tui rất lo ngại. Chẳng lẽ RapidShare đă bị nó bẻ khóa? V́ mật khẩu của ḿnh tự đặt (và chắc là đa số những anh em khác) đều thuộc dạng "KHÔNG AI CÓ THỂ ĐOÁN ĐƯỢC" - vậy th́ chắc vấn đề ko phải tại ḿnh .
Hôm nay vô t́nh lâu lắm không bật URL Helper lên để xem máy ḿnh kết nối với những địa chỉ nào (ḍ link), nghịch ngợm thế nào lại click lại vào cái nút "View all" (hiển thị cả link vô nghĩa). Thế quái nào mà lại nh́n thấy connection này trong list:
Code :
http://zshareaudio.phpnet.us/?user=ACCOUNT CỦA M̀NH-PASS CỦA M̀NH
CHẾT CHA!
Vậy tức là acc & mật khẩu của ḿnh đă bị gửi đến 1 địa chỉ thu thập tin mà ḿnh ko biết. Google địa chỉ này th́ thấy có bài phân tích & tố cáo nó ở đây:
http://userscripts.org/topics/704?page=5
Như vậy thủ phạm là 1 GreaseMonkey Userscript mà anh em vẫn hay dùng:
Rapidshare Collectors/Premium Zone Tweak của FF tên có nick là "lifetalk"
Chức năng của script này ở FireFox như anh em đă biết, là để xóa nhanh list remote upload của Rapidshare. Có lẽ dân Uploader là người hay dùng nhất.
NHƯNG ĐỒNG THỜI VỚI VIỆC XÓA LINK CHO M̀NH NHANH TH̀ NÓ CŨNG LẠI ĂN CẮP ACCOUNT CỦA M̀NH!!!
Lư do Antivirus không phát hiện ra được là v́ chúng ta chưa có khả năng quét Javascript Virus.
Disable script này trong FireFox, th́ y như rằng ko c̣n hiện ra cái trang thu thập trong URL Helper nữa ----> SAFE!!
Vậy khẳng định: chính thủ đoạn này mà tên lifetalk đă dùng để ăn cắp account của anh em.
Được biết (nhờ bài viết trang web kia) rằng script này trước giờ đă bị xóa rất nhiều lần nhưng tên lifetalk vẫn cố t́nh đưa lên và tạo 2 nick ảo comment tốt để lừa đảo anh em. Hiện chưa thử (thử làm ǵ nữa!) nên ko biết phiên bản mới nhất của script này thằng đó có c̣n "dám" chèn code ăn cắp vào ko, nhưng TỪ BÂY GIỜ ANH EM CẠCH MẶT THẰNG NÀY & CẨN THẬN HƠN VỚI TẤT CẢ NHỮNG GREASEMONKEY SCRIPT ANH EM NHÉ!!!!!!!!!!
Mong anh em nhanh chóng xóa script & đổi lại tất cả các password đă bị lộ, và BÁO CHO CÁC ANH EM KHÁC. Mong các coder trong giới khẳng định lại thông tin này, và nếu có ai có tiếng nói ở trang Userscript th́ thông báo giùm với admin để delete tên lifetalk như đă nói ở trên.
P.S Thông báo với anh em là con này sử dụng JSQuery để giải mă Cookie trong máy & send cho nên CÓ THỂ NGUY HIỂM VỚI CẢ ACC MEGAUPLOAD NỮA NHÉ!!!