Cách tội phạm mạng ngụy trang URL

Các phương pháp được kẻ tấn công sử dụng để chuyển hướng nạn nhân đến các trang web độc hại và lừa đảo từ các URL có vẻ an toàn.

Các chuyên gia bảo mật thông tin doanh nghiệp thường biết khá nhiều nhân viên tự tin nói rằng họ không nhấp vào các liên kết nguy hiểm và do đó không dễ bị đe dọa trên mạng. Đôi khi những nhân viên đó sử dụng lập luận này khi yêu cầu tắt các biện pháp bảo mật của công ty, điều này phần nào cản trở công việc. Nhưng những kẻ tấn công thường ngụy trang các liên kết độc hại và lừa đảo, cố gắng gây nhầm lẫn cho cả bộ lọc thư và người quan sát. Điều họ muốn là khiến nạn nhân (ngay cả khi họ đang kiểm tra URL như chúng tôi liên tục khuyên) nhấp vào một địa chỉ thực sự đưa họ đến một địa chỉ khác. Dưới đây là các phương pháp phổ biến nhất được tội phạm mạng sử dụng để ẩn các URL độc hại hoặc lừa đảo.

Ký hiệu @ trong địa chỉ

Cách đơn giản nhất để ẩn miền thực trong địa chỉ là sử dụng ký hiệu @ trong URL. Đây là một biểu tượng hoàn toàn hợp pháp có thể được sử dụng để tích hợp thông tin đăng nhập và mật khẩu vào địa chỉ trang web - HTTP cho phép chuyển thông tin xác thực đến máy chủ web thông qua URL chỉ bằng cách sử dụng định dạng login:password@domain.com. Nếu dữ liệu trước ký hiệu @ không chính xác và không phù hợp để xác thực, trình duyệt chỉ cần loại bỏ dữ liệu đó, chuyển hướng người dùng đến địa chỉ nằm sau ký hiệu @. Vì vậy, tội phạm mạng sử dụng điều này: chúng nghĩ ra một tên trang thuyết phục, sử dụng tên của một trang hợp pháp trong đó và đặt địa chỉ thực sau biểu tượng @. Ví dụ: hãy xem địa chỉ blog của chúng tôi được ngụy trang theo cách này:

http://convincing-business-related-page-name-pretending-to-be-on-google.com@kaspersky.com/blog/

Nó trông giống như một trang có nhiều từ trong tên được lưu trữ ở đâu đó trên miền Google nhưng trình duyệt sẽ đưa bạn đến http://kaspersky.com/blog/.

Số thay vì địa chỉ IP

Trong phương pháp trước, kẻ tấn công thường cố gắng nhầm lẫn người dùng bằng một tên trang dài để đánh lạc hướng họ khỏi địa chỉ thực – vì nó vẫn còn trong URL. Nhưng có một cách để ẩn nó hoàn toàn — bằng cách chuyển đổi địa chỉ IP của một trang web thành số nguyên. Như bạn có thể biết, địa chỉ IP không được lưu trữ thuận tiện trong cơ sở dữ liệu. Do đó, tại một thời điểm nào đó, một cơ chế đã được phát minh để chuyển đổi địa chỉ IP thành số nguyên (lưu trữ thuận tiện hơn nhiều) và ngược lại. Và ngày nay, khi các trình duyệt hiện đại nhìn thấy một số trong URL, chúng sẽ tự động chuyển đổi nó thành địa chỉ IP. Kết hợp với cùng một biểu tượng @, nó sẽ ẩn tên miền thực một cách hiệu quả. Đây là cách liên kết đến trang web công ty của chúng tôi có thể trông như thế nào:

http://google.com…%@3109359386/

​ Khi sử dụng thủ thuật này, tội phạm mạng cố gắng tập trung sự chú ý vào miền trước biểu tượng @ và làm cho mọi thứ khác trông giống như một loại thông số nào đó — các công cụ tiếp thị khác nhau thường chèn tất cả các loại thẻ chữ và số vào các liên kết web.

Dịch vụ rút ngắn URL

Một cách khá đơn giản khác để ẩn URL thực là sử dụng một trong những dịch vụ rút ngắn liên kết hợp pháp. Bạn có thể bao gồm hoàn toàn mọi thứ bên trong một liên kết ngắn — và không thể kiểm tra những gì ẩn ở đó nếu không nhấp vào.

http://tinyurl.com/ypzuvcht

Trang di động được tăng tốc của Google

Vài năm trước, Google và một số đối tác đã tạo ra khung Google AMP - một dịch vụ nhằm giúp các trang web tải nhanh hơn trên thiết bị di động. Vào năm 2017, Google tuyên bố rằng các trang AMPed tải trong chưa đầy một giây và sử dụng dữ liệu ít hơn 10 lần so với các trang tương tự không có AMP. Bây giờ những kẻ tấn công đã học được cách sử dụng cơ chế này để lừa đảo. Email chứa liên kết bắt đầu bằng “google.com/amp/s/”, nhưng nếu người dùng nhấp vào liên kết đó, họ sẽ được chuyển hướng đến một trang web không thuộc về Google. Ngay cả một số bộ lọc chống lừa đảo cũng thường mắc phải thủ thuật này: do danh tiếng của Google, họ coi liên kết như vậy là đủ đáng tin cậy.

Các nhà cung cấp dịch vụ email

Một cách khác để ẩn trang của bạn sau URL của người khác là sử dụng ESP; nghĩa là dịch vụ tạo bản tin hợp pháp và các thư gửi khác. Chúng tôi đã viết chi tiết về phương pháp này trong một trong những bài viết trước đây của chúng tôi. Nói tóm lại, bọn tội phạm sử dụng một trong những dịch vụ này, tạo chiến dịch gửi thư, nhập URL lừa đảo và kết quả là có được một địa chỉ sạch được tạo sẵn, có danh tiếng là một công ty ESP. Tất nhiên, các công ty ESP cố gắng chống lại việc lạm dụng dịch vụ của họ như vậy, nhưng không phải lúc nào cũng thành công.

Chuyển hướng qua Baidu

Công cụ tìm kiếm Baidu của Trung Quốc có cách tiếp cận khá thú vị để hiển thị kết quả tìm kiếm. Không giống như Google, nó không cung cấp cho bạn liên kết đến các trang web mà thay vào đó tạo liên kết đến chính nó bằng chuyển hướng đến trang web được tìm kiếm. Nghĩa là, để ngụy trang một URL độc hại thành Baidu, tất cả những gì tội phạm mạng cần làm là tìm kiếm trang đó (và điều đó khá đơn giản nếu bạn nhập địa chỉ chính xác), sao chép liên kết và dán vào email lừa đảo.

Và nhìn chung, chúng tôi không biết có bao nhiêu dịch vụ khác có thể chuyển hướng URL hoặc thậm chí lưu các trang vào bộ nhớ đệm từ phía họ (có thể là vì nhu cầu riêng của họ hoặc vì sự thuận tiện trong việc phân phối nội dung).

Bài học thực tế

Kaspersky khuyến nghị nên sao lưu chúng bằng các giải pháp bảo vệ. Hơn nữa, nên sử dụng các giải pháp như vậy ở cả cấp độ máy chủ thư của công ty và ở cấp độ thiết bị làm việc có hỗ trợ Internet.

Hương – Theo TheHackerNews