Tấn công trình duyệt trong trình duyệt: một kỹ thuật lừa đảo mới

Chúng tôi giải thích một kỹ thuật lén lút mới để đánh cắp mật khẩu và cách tránh bị lừa bởi một trang web lừa đảo.

Trong việc theo đuổi không ngừng thông tin đăng nhập, khóa bí mật và thông tin có giá trị khác của mọi người, tội phạm mạng liên tục phát minh ra những cách mới để đánh lừa người dùng. Điều đáng chú ý là thông thường, cho dù các âm mưu này có trở nên phức tạp đến đâu, chúng đều nhằm vào những người dùng mất cảnh giác. Nếu bạn chỉ chú ý đến một vài chi tiết – đầu tiên và quan trọng nhất, địa chỉ của trang web nơi bạn được yêu cầu nhập thông tin đăng nhập của mình – thì bạn sẽ không phải là nạn nhân lừa đảo.

Tại sao có lỗi trong địa chỉ của các trang web lừa đảo?

Mọi địa chỉ miền mà bạn thấy trên thanh địa chỉ là duy nhất và luôn được gán cho chủ sở hữu của nó. Nếu ai đó muốn tạo một trang web, trước tiên họ cần liên hệ với một tổ chức đặc biệt đăng ký tên miền. Họ sẽ kiểm tra cơ sở dữ liệu quốc tế để đảm bảo rằng địa chỉ chưa được sử dụng. Nếu có sẵn, nó sẽ được giao cho người nộp đơn.

Điều này có nghĩa là không thể đăng ký một trang web giả mạo có cùng địa chỉ với một trang web thật. Tuy nhiên, bạn hoàn toàn có thể tạo một miền rất giống với miền của người khác bằng cách chọn một miền tương tự: ví dụ: Colombia (.co) thay vì Canada (.ca). Nhưng nếu bạn xem kỹ địa chỉ, điều đó rất dễ nhận ra.

Đây là lý do tại sao thay vì đăng ký tên miền, những bộ óc tinh vi đã nảy ra ý tưởng mô phỏng một cửa sổ trình duyệt với địa chỉ của một trang web đáng tin cậy xuất hiện trên một trang.

Tấn công trình duyệt trong trình duyệt là gì?

Loại tấn công này, được gọi là tấn công “trình duyệt trong trình duyệt” được mô tả bởi một nhà nghiên cứu infosec và pentester bằng cách xử lý mr.d0x. Ông nhận thấy rằng các phương tiện hiện đại để tạo trang web (công cụ HTML, CSS và JavaScript) đã trở nên tiên tiến đến mức chúng có thể hiển thị thực tế mọi thứ trên trang: từ các trường có màu sắc hoặc hình dạng bất kỳ, đến hoạt ảnh mô phỏng các thành phần chuyển động của giao diện. Điều này có nghĩa là kẻ lừa đảo cũng có thể sử dụng chúng để mô phỏng một trang chính thức từ một dịch vụ khác bên trong trang web của chính chúng.

Đối với thử nghiệm, mr.d0x đã xem xét các cửa sổ đăng nhập bật lên. Có thể bạn đã thấy chúng: chúng xuất hiện khi bạn chọn một tùy chọn như “Đăng nhập bằng Google” hoặc “Tiếp tục với Apple” thay vì tạo tài khoản trên một trang web. Tùy chọn này thuận tiện vì bạn không cần phải nghĩ ra và ghi nhớ mật khẩu mới hoặc đợi các liên kết hoặc mã xác nhận. Ngoài ra, phương pháp đăng ký này khá an toàn. Khi bạn nhấn nút Đăng nhập bằng, nó sẽ mở ra trang của dịch vụ liên quan mà bạn nhập thông tin đăng nhập của mình và trang web bạn đang đăng nhập bằng tùy chọn này sẽ không bao giờ nhận được mật khẩu, thậm chí không phải tạm thời.

Nó hoạt động như thế này: Tội phạm mạng đăng ký một trang web bằng cách sử dụng kỹ thuật lừa đảo cổ điển là tạo bản sao của một trang web hợp pháp. Ngoài ra, họ có thể chọn một địa chỉ và nội dung hấp dẫn có thể thu hút nạn nhân – chẳng hạn như giao dịch mua sắm, cơ hội việc làm hoặc tin tức mà người dùng có thể muốn nhận xét. Bọn tội phạm thiết lập mọi thứ để khách truy cập cần đăng nhập nếu họ muốn mua thứ gì đó, nhận xét hoặc truy cập các tính năng khác mà họ quan tâm. Sau đó, những kẻ giả mạo thêm các nút được cho là cho phép đăng nhập thông qua các dịch vụ hợp pháp mà chúng muốn lấy mật khẩu.

Nếu nạn nhân nhấp vào nút như vậy, họ sẽ thấy một cửa sổ đăng nhập mà họ quen thuộc, chẳng hạn như lời nhắc của Microsoft, Google hoặc Apple, với địa chỉ, biểu trưng và các trường nhập chính xác – nói tóm lại, tất cả các thành phần của giao diện mà họ đã quen nhìn thấy. Cửa sổ thậm chí có thể hiển thị địa chỉ chính xác khi người dùng di chuột qua nút “Đăng nhập” và liên kết “Quên mật khẩu”.

Điều đáng chú ý là đây thực sự không phải là một cửa sổ riêng biệt – sự lừa dối kỳ diệu này được viết theo kịch bản để xuất hiện ngay trên trang đang cố lừa người dùng. Nếu bạn nhập thông tin đăng nhập của mình vào cửa sổ này, chúng sẽ không chuyển đến Microsoft, Google hoặc Apple mà chuyển thẳng đến máy chủ của tội phạm mạng. Ở đây bạn có thể thấy điều này có thể trông như thế nào.

Làm thế nào bạn có thể biết nếu cửa sổ đăng nhập là giả mạo?

Để kiểm tra xem biểu mẫu đăng nhập trên màn hình của bạn có phải là giả mạo hay không, hãy thử các bước sau:

• Thu nhỏ cửa sổ trình duyệt mà biểu mẫu bật lên. Nếu biểu mẫu đăng nhập được cho là trong một cửa sổ riêng biệt cũng biến mất, thì đó là giả mạo. Một cửa sổ thực sẽ ở trên màn hình.
• Cố gắng di chuyển cửa sổ đăng nhập ra ngoài đường viền cửa sổ mẹ. Một cửa sổ thực sẽ dễ dàng vượt qua; một cái giả sẽ bị mắc kẹt.
• Nếu cửa sổ có biểu mẫu đăng nhập hoạt động kỳ lạ – nó thu nhỏ với cửa sổ khác, dừng lại dưới thanh địa chỉ hoặc biến mất dưới nó – thì đó là giả mạo và bạn không nên nhập thông tin đăng nhập của mình.
• Đảm bảo sử dụng trình quản lý mật khẩu cho tất cả các tài khoản của bạn. Nó xác minh địa chỉ thực của trang và nó sẽ không bao giờ nhập thông tin đăng nhập của bạn vào các trường của một trang web không xác định, bất kể nó trông hợp pháp đến mức nào.
• Cài đặt giải pháp bảo mật mạnh mẽ với mô-đun chống lừa đảo. Giải pháp này cũng xác minh URL cho bạn và sẽ cảnh báo bạn ngay lập tức nếu một trang nguy hiểm.

Và tất nhiên, hãy nhớ sử dụng xác thực hai yếu tố. Bật nó ở bất cứ đâu bạn có tùy chọn để làm như vậy, kể cả trên tất cả các mạng xã hội. Sau đó, ngay cả khi những kẻ tấn công đánh cắp thông tin đăng nhập của bạn, chúng sẽ không thể truy cập vào tài khoản của bạn mà không có mã dùng một lần, mã này sẽ được gửi cho bạn chứ không phải chúng.

Nếu bạn muốn bảo vệ mạnh mẽ hơn cho các tài khoản có giá trị bổ sung của mình, chúng tôi khuyên bạn nên sử dụng mã thông báo phần cứng U2F (ví dụ được biết đến nhiều nhất là YubiKey). Hệ thống này không chỉ kiểm tra địa chỉ của trang web mà còn kiểm tra xem nó có biết khóa mã hóa hay không. Do đó, không thể thực hiện nó thông qua một hệ thống xác thực như vậy ngay cả khi trang web ban đầu và trang web song sinh của nó trông giống hệt nhau.