Nội dung bài viết
Những tài khoản Instagram đắt tiền đã bị đánh cắp và bán lại trước khi Meta vá lỗi khai thác. Chatbot hỗ trợ AI của Meta tỏ ra hữu ích bất thường đối với các tin tặc muốn đánh cắp và bán lại các tài khoản Instagram đáng chú ý.
Tin tặc chỉ cần yêu cầu bot thay đổi địa chỉ email liên kết của tài khoản trong khi sử dụng VPN để che giấu vị trí thực của chúng. Theo 404 Media, các video về cách khai thác “dễ dàng đến kinh ngạc” đã được lan truyền giữa các nhóm Telegram dành cho tin tặc và nhà nghiên cứu bảo mật.
Việc khai thác cho phép tin tặc chiếm đoạt và lật tẩy các tài khoản Instagram có giá trị trị giá hàng trăm nghìn đô la trên thị trường chợ đen trước khi Meta triển khai bản vá khẩn cấp vào ngày 29 tháng 5.
Tài khoản Nhà Trắng của Barack Obama và tài khoản của Thượng sĩ trưởng Lực lượng Không gian cũng đăng các hình ảnh và tin nhắn ủng hộ Iran trong khi chúng tạm thời bị xâm phạm.
Theo 404 Media, những kẻ tấn công chỉ cần sử dụng VPN để khớp vị trí của chúng với khu vực của tài khoản Instagram mục tiêu, bắt đầu quá trình đặt lại mật khẩu và sau đó yêu cầu chatbot hỗ trợ AI của Meta thay đổi địa chỉ email được liên kết với tài khoản.
Đó là một cuộc tấn công tiêm nhiễm nhanh chóng rất đơn giản. Neowin báo cáo có expl oit là “hoạt động tự nhiên trong nhiều tháng, kể từ tháng 2 năm nay, với việc tin tặc xâm phạm hàng nghìn tài khoản”.
Nhưng việc khai thác dường như đã được công chúng chú ý nhiều hơn trong những ngày gần đây với sự xâm phạm của các tài khoản cao cấp. Các nhà nghiên cứu nổi tiếng, chẳng hạn như Jane Manchun Wong, gần đây cũng đã báo cáo rằng tài khoản của họ đã bị hack.
Vào ngày 31 tháng 5, nhà nghiên cứu tình báo nguồn mở có biệt danh ZachXBT đã đăng trên X về việc “hỗ trợ Meta AI là rác rưởi và có nhiều quyền truy cập cho phép bạn đặt lại mật khẩu cho bất kỳ người dùng nào mà không cần 2FA và không xác minh bạn là ai”.
Đồng thời, nhà nghiên cứu Dark Web Informer đã mô tả cách khai thác tương tự trên X trong khi lưu ý rằng nó đã được vá gần đây.
Cả ZachXBT và Dark Web Informer cũng xác nhận cách tin tặc nhắm mục tiêu và bán lại các tài khoản Instagram đặc biệt có giá trị, bao gồm cả các tài khoản ngắn @hey và @jowo với “mức định giá tổng hợp trên thị trường xám ước tính trên 1 triệu USD”, theo CyberSec Guru.
Blog bảo mật đưa tin những tài khoản như vậy có thể có giá trị ngay cả khi tin tặc giữ chúng chỉ trong vài ngày vì “tác động, bán lại hoặc mạo danh thương hiệu”.
CyberSec Guru cũng mô tả d cách khai thác đại diện cho vấn đề “bối rối” cổ điển từ bảo mật máy tính, trong đó một chương trình có quyền nâng cao bị lừa sử dụng sai các quyền đó thay mặt cho bên thứ ba ít đặc quyền hơn.
Nhưng trong trường hợp này, “thứ trưởng” là một mô hình ngôn ngữ lớn với “mô hình phản hồi xác suất mà bạn có thể di chuyển bằng từ ngữ” thay vì “chương trình xác định” với “các điều kiện được mã hóa cứng mà bạn cần phải bỏ qua bằng mã”.
Điều đáng lưu ý là người dùng đã có sẵn các giải pháp bảo mật đơn giản, ngay cả khi chatbot hỗ trợ Meta AI đang bị khai thác.
Theo KrebsOnSecurity, các tin tặc đã báo cáo rằng việc khai thác của họ không thành công đối với bất kỳ tài khoản nào đã kích hoạt xác thực đa yếu tố (MFA), bao gồm cả “dạng MFA kém mạnh mẽ nhất mà Instagram cung cấp” dưới dạng mã một lần được gửi qua SMS, theo KrebsOnSecurity.
Tuy nhiên, việc khai thác vẫn làm nổi bật nguy cơ lớn hơn khi các công ty công nghệ và các tổ chức khác đổ xô triển khai các tác nhân AI với quyền nâng cao cho phép họ sửa đổi, tạo hoặc xóa dữ liệu quan trọng.
Meta đã ra mắt trợ lý hỗ trợ Meta AI vào tháng 3 năm 2026 với lời hứa rằng nó có thể “cung cấp hỗ trợ 24/7 đáng tin cậy cho hầu hết mọi vấn đề hỗ trợ tại một thời điểm.” lúc này.” Theo CyberSec Guru, kiến trúc “tối thiểu” cần thiết để thực hiện việc này một cách an toàn hơn sẽ bao gồm “xác minh ngoài phạm vi trước khi sửa đổi tài khoản… giới hạn tốc độ đối với các luồng đặt lại do AI khởi tạo được khóa theo tín hiệu rủi ro tài khoản, ghi nhật ký hành động với tính năng phát hiện bất thường đối với các sửa đổi tài khoản bất thường do AI điều khiển và một cổng xác định cứng”.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.