Ubisoft: Hacker mua chuộc nhân viên hỗ trợ để đánh cắp tài khoản
Báo cáo an ninh mạng mới đây tiết lộ hệ thống hỗ trợ khách hàng của Ubisoft đang trở thành lỗ hổng lớn, khi hacker sử dụng hối lộ và thao túng tâm lý để chiếm đoạt tài khoản.
Một báo cáo an ninh mạng vừa được công bố đã chỉ ra những lỗ hổng nghiêm trọng trong quy trình bảo mật của Ubisoft, đặc biệt là tại bộ phận hỗ trợ khách hàng. Theo đó, các hacker đã chuyển hướng tấn công từ kỹ thuật phần mềm sang việc tác động trực tiếp vào con người để chiếm đoạt tài khoản người chơi, trong đó Rainbow Six Siege là mục tiêu hàng đầu.
Lỗ hổng từ bộ phận hỗ trợ khách hàng
Thay vì chỉ sử dụng các phương thức tấn công kỹ thuật phức tạp vào hệ thống máy chủ, các nhóm tội phạm mạng đang tập trung khai thác "mắt xích yếu nhất" trong chuỗi bảo mật: con người. Báo cáo cho biết trung tâm hỗ trợ (help desk) của nhà phát hành này đã trở thành một điểm yếu chí mạng khi bị hacker nhắm tới thông qua các chiến dịch mua chuộc và thao túng tâm lý (social engineering).
Các đối tượng xấu thường xuyên tiếp cận các nhân viên hỗ trợ khách hàng để đưa ra những đề nghị hối lộ bằng tiền mặt. Mục tiêu của chúng là yêu cầu các nhân viên này cung cấp quyền truy cập hoặc thực hiện thay đổi thông tin xác thực của các tài khoản game giá trị cao mà không cần thông qua các bước xác minh chính danh của người dùng.
Thủ thuật hối lộ và thao túng tâm lý
Kỹ thuật xã hội (Social engineering) đóng vai trò then chốt trong các vụ tấn công này. Hacker có thể giả danh chủ sở hữu tài khoản bị mất quyền truy cập và đưa ra các kịch bản thuyết phục để đánh lừa nhân viên hỗ trợ. Khi các biện pháp thuyết phục không thành công, việc hối lộ trực tiếp sẽ được thực hiện để ép buộc hoặc dụ dỗ nhân viên bỏ qua các quy trình an ninh nghiêm ngặt.
Hành vi này không chỉ đe dọa đến quyền riêng tư và dữ liệu cá nhân của người dùng mà còn làm xói mòn lòng tin vào hệ thống bảo mật của Ubisoft. Đặc biệt với các tựa game có tính cạnh tranh cao và sở hữu nhiều vật phẩm ảo giá trị như Rainbow Six Siege, việc mất tài khoản gây ra thiệt hại lớn về cả thời gian và tài chính cho game thủ.
Cảnh báo về an ninh tài khoản game
Vụ việc này cho thấy ngay cả khi người dùng sử dụng mật khẩu mạnh, tài khoản vẫn có thể bị xâm nhập nếu quy trình kiểm soát nội bộ của nhà phát hành bị lỏng lẻo. Hiện tại, các chuyên gia an ninh mạng khuyến cáo người chơi nên kích hoạt đầy đủ các biện pháp bảo vệ bổ sung như xác thực hai yếu tố (2FA) và thường xuyên kiểm tra nhật ký hoạt động của tài khoản.
Về phía Ubisoft, báo cáo nhấn mạnh hãng cần phải thắt chặt quy trình giám sát nhân sự và nâng cấp các tiêu chuẩn xác thực tại bộ phận hỗ trợ khách hàng để ngăn chặn các hành vi trục lợi từ bên trong trong tương lai.