"Copy - paste" là một trong những thao tác được sử dụng phổ biến nhất khi mọi người sử dụng Internet. Dù đó là người dùng bình thường, lập trình viên, quản trị viên hệ thống, nhà nghiên cứu bảo mật CNTT hay thậm chí những hacker cũng đều hay sử dụng thao tác này.

Mới đây, Gabriel Friedlander - người sáng lập nền tảng đào tạo bảo mật máy tính Wizer đã muốn nhắc nhở bạn rằng phương pháp này cũng có rủi ro. Đặc biệt là khi bạn copy và paste các lệnh hiển thị trên trang web.

Theo Gabriel Friedlander, ông đã tìm ra một chiêu thức và thử nghiệm nó ngay trên trang web của mình. Nếu bạn copy một nội dung bất kỳ trên trang của nhà sáng lập này thì một đoạn mã độc sẽ được kích hoạt và âm thầm thay đổi nội dung theo cách mà hacker muốn.

 - Ảnh 2

Chiêu thức đó có tên gọi là PastJacking, nó bao gồm việc các dòng mã độc sẽ tự động được thực thi khi người dùng định dán văn bản của họ vào cửa sổ terminal (một chương trình phần mềm được cài đặt sẵn trên hệ điều hành Linux cho phép người dùng có thể giao tiếp với máy tính thông qua việc chạy các câu lệnh).

Trong một bằng chứng khá đơn giản về khái niệm được đăng trên blog cá nhân của mình, ông Friedlander yêu cầu độc giả sao chép một lệnh mà hầu hết các sysadmins (Quản trị viên hệ thống) và các nhà phát triển quen thuộc, đó là: sudo apt update (ndrl: một lệnh được sử dụng để truy xuất thông tin cập nhật về phần mềm được cài đặt trên hệ thống).

Nói một cách đơn giản, ngay sau khi bạn sao chép lệnh "sudo apt update" vào một phần tử HTML, đoạn mã độc hại được hiển thị bên dưới sẽ được thực thi. Chính xác hơn nó là một trình sự kiện javascript ghi lại sự kiện sao chép và thay thế dữ liệu trong khay nhớ tạm bằng mã độc từ ông Friedlander.

 - Ảnh 2

"Đây là lý do tại sao bạn không bao giờ nên sao chép và dán các lệnh trực tiếp vào thiết bị của mình. Chỉ mất một dòng mã duy nhất được chèn vào mã bạn đã sao chép để tạo ra lỗ hổng trong ứng dụng. Cách tấn công này rất đơn giản nhưng đặc biệt hiệu quả", ông cảnh báo.

Chính vì thế, để hạn chế gặp phải việc máy tính bị hack bởi chiêu trò này, bạn có thể gõ câu lệnh bằng tay hoặc paste nó ra các ứng dụng như ghi chú.