Có thể nhiều người dùng không biết rằng chính sự dễ dãi khi click vào các ứng dụng tràn lan trên Facebook là nguyên nhân khiến bạn bè của họ bị vạ lây.
Thời gian gần đây, rất nhiều người dùng Facebook tại Việt Nam bị quấy nhiễu bởi tình trạng bỗng nhiên trở thành thành viên của một nhóm hay diễn đàn hoàn toàn mang tính chất spam. Thực tế cho thấy, đây là các trang hay nhóm đăng tải các thông tin quảng cáo, bán hàng khuyến mãi hay chỉ đơn giản là để làm phiền người khác.
Hiện tại, Facebook chưa có bất kì giải pháp nào để ngăn chặn tình trang thêm vào nhóm ồ ạt này. Mặc dù người dùng có thể nhắc nhở bạn bè về việc không thêm mình vào các nhóm khác nhau nhưng giải pháp này chưa thật sự hiệu quả. Những nhóm này tạo rất nhiều notification "spam" và thậm chí có một số nhóm còn tuyên truyền virus cũng như các văn hóa phẩm không phù hợp thuần phong mỹ tục.
Câu hỏi đặt ra ở đây là, mặc dù đã "bảo vệ" rất kỹ tài khoản của mình (ID, mật khẩu) nhưng bằng cách nào đó, Facebook của người dùng vẫn bị thêm vào hàng trăm group vớ vẩn. Hãy cùng chúng tôi tìm hiểu nguyên nhân và cách khắc phục.
Chính sự tò mò, thích nghịch ngợm các ứng dụng trên Facebook của nhiều người dùng đang làm hại bạn bè trong danh sách Friends của họ
Hiện tại, Facebook có một số biện pháp an ninh để bảo vệ tài khoản người dùng, trong đó có việc cấp mã “access token” cho các ứng dụng (ví dụ như Candy Crush Saga, Lexulous Word Game,...) khi được người dùng cho phép. Cụ thể, access token trên sẽ cung cấp cho các ứng dụng quyền truy cập tạm thời và an toàn tới các API của Facebook để lấy thông tài khoản người dùng (tên, tuổi, danh sách bạn bè,...).
"Access token là đoạn mã sinh ra ngẫu nhiên được sử dụng bí mật cho mỗi người dùng, ứng dụng khi thực hiện các thao tác quan trọng, hay truy cập vào tài khoản của người dùng. Bạn có thể tạm hiểu access token trong trường hợp này như một đường hầm bí mật để vào ngôi nhà của bạn. Các hình thức xác thực như username, password giống như khóa và chìa khóa cửa nhà của bạn vậy. Access token sẽ không đi qua cánh cửa này" - trích lời chuyên gia bảo mật tại công ty công nghệ VCCorp.
Việc cấp “access token” cho các ứng dụng là một con dao 2 lưỡi của Facebook
Nói dễ hiểu hơn, khi bạn đăng nhập vào 1 ứng dụng thông qua Facebook, nó sẽ không yêu cầu bạn nhập username/password mà thay vào đó Facebook sẽ cung cấp một mã access token. Với token này, ứng dụng trên có thể truy cập trực tiếp vào tài khoản của người dùng, thực hiện public hay xóa các nội dung giống như người dùng vẫn thường làm mà không cần biết tới mật khẩu hay tài khoản.
- Như vậy, trong trường hợp access token của 1 tài khoản Facebook bị lộ, kẻ xấu có thể làm tất cả các thao tác giống như người dùng có thể làm trên Facebook. Để làm được điều này, hacker sẽ gắn các đoạn mã độc trên nhiều website, pop-up quảng cáo (18+, webgame,...) để người dùng tò mò click vào.
Sau khi có token, việc thêm chính người dùng hay kéo cả danh sách bạn bè của họ vào 1 group vớ vẩn trên Facebook là việc quá dễ dàng. Thậm chí, kẻ xấu còn có thể lợi dụng đoạn access token này để đọc toàn bộ tin nhắn Facebook của người dùng hoặc like hàng trăm fanpage khác.
Những đoạn mã độc để đánh cắp access token của người dùng đầy rẫy trên Internet
- Một phương pháp khác, tốn kém hơn nhưng rất tinh vi: lấy token qua những ứng dụng hot. Ví dụ, khi có một trào lưu hot trên Facebook (kiếp sau bạn sẽ là con gì, Valentine này bạn sẽ đi chơi với ai,...) thì những kẻ cơ hội sẽ tạo ra những ứng dụng miễn phí cho người dùng. Thường thì người dùng sẽ không quan tâm đến ứng dụng trên sẽ truy cập thông tin gì trên Facebook (email, danh sách bạn bè,...) và họ sẽ trở thành nạn nhân mà không hề hay biết.
Cuối cùng, access token có thể bị xâm nhập qua một số addon, extension không được xác thực trên Google Chrome hay Firefox. Tuy nhiên, trường hợp này hiếm khi xảy ra hơn vì Google thường xuyên kiểm duyệt và xóa vĩnh viễn mọi extension thực thi những đoạn lệnh script "có mục đích xấu" với người dùng.
Những lỗ hổng trong cơ chế cấp access token này thực sự không mới, nó đã được biết đến từ hơn một năm trước, nhưng Facebook vẫn chưa hoàn thiện việc “vá” lỗ hổng này. Để bảo vệ tài khoản của mình cũng như tránh nhiều phiền phức, đây là những biện pháp mà bạn có thể làm:
+ Hạn chế vào những website độc hại (thường là quảng cáo, câu like, 18+,...).
+ Nên tránh việc tham gia vào những ứng dụng trên Facebook theo kiểu "Click vào đây để biết người yêu bạn nhiều nhất" "Xem bạn thọ bao nhiêu tuổi"...
+ Chỉ nên cài đặt/đăng nhập bằng Facebook với những ứng dụng (PC lẫn di động) an toàn, nhiều người sử dụng, review tốt.
+ Sử dụng Facebook Protector - công cụ (add-on) dành cho các trình duyệt Chrome, Cốc Cốc, Yandex… do chính người Việt phát triển. Chúng tôi đã có bài hướng dẫn cụ thể tại (LINK).