Thủ đoạn tấn công lừa đảo rất khó phát hiện ra trên Chrome, Firefox và Opera

www.tuoitre.vn -   24/04/2017 10:00:00 2911

Đây là một thủ đoạn tấn công lừa đảo rất khó phát hiện ra và có thể lừa được những người dùng cẩn thận nhất trên Internet.

Một nhà nghiên cứu bảo mật của Trung Quốc đã báo động về một thủ đoạn tấn công lừa đảo rất khó phát hiện ra và có thể lừa được những người dùng cẩn thận nhất trên Internet. Ông cảnh báo hacker có thể dùng những lỗ hổng trên trình duyệt Chrome, Firefox và Opera để hiển thị những tên miền giả như là tên miền thực sự của các nhà cung cấp dịch vụ internet nổi tiếng và đáng tin cậy như Apple, Google, Amazon để đánh cắp thông tin đăng nhập, thông tin giao dịch tài chính và các dữ liệu cá nhân nhạy cảm khác của nạn nhân.

Cụ thể, tên miền này sẽ hiển thị trên địa chỉ liên kết của trình duyệt là “apple.com” nhưng lại không hề dẫn đến trang apple.com chính thức mà lại dẫn đến một server khác như hình bên dưới:

Thủ đoạn tấn công lừa đảo rất khó phát hiện ra trên Chrome, Firefox và Opera

Trong lúc tìm hiểu, người viết bài cũng đã thử sao chép địa chỉ trên và dán vào một chương trình soạn thảo văn bản để kiểm tra, và kết quả là đường link thực sự hiển thị như bên dưới:

 Thủ đoạn tấn công lừa đảo rất khó phát hiện ra trên Chrome, Firefox và Opera

Kiểm tra trên trình duyệt Firefox thì kết quả ra như sau:

Thủ đoạn tấn công lừa đảo rất khó phát hiện ra trên Chrome, Firefox và Opera

Cách đây không lâu, một hình thức tấn công tương tự cũng lợi dụng ký tự Unicode đặc biệt trong các loại ngôn ngữ như Hy Lạp, Cyrillic, và Armenian có hình dáng tương tự như ký tự Latin cũng đã xảy ra. Điển hình là Google.com.

Chẳng hạn như Cyrillic "а" (U+0430) và  Latin "a" (U+0041) được trình duyệt phân biệt rõ nhưng lại cùng hiển thị là “a” trên thanh địa chỉ trình duyệt.

Được biết, nhà nghiên cứu đã báo cáo vấn đề này với các nhà cung cấp trình duyệt như Google và Mozilla vào tháng Giêng này. Trong khi Mozilla vẫn đang chỉnh sửa thì  Google đã tung ra bản vá lỗi trong bản thử nghiệm Chrome Canary 59 và sẽ đưa ra bản sửa lỗi vĩnh viễn cùng lúc với bản phát hành Chrome Stable 58 được tung ra vào cuối tháng này.

Làm sao để bảo vệ bản thân khỏi hình thức tấn công này?

Người dùng Firefox có thể thực hiện theo các bước sau để thiết lập giảm nhẹ nguy cơ này bằng cách:

  • Đánh lệnh about:config trong thanh địa chỉ và nhấn Enter
  • Nhập Punycode trong thanh tìm kiếm
  • Thiết lập trình duyệt sẽ hiển thị thông số có tiêu đề: network.IDN_show_punycode, nhấp đúp hoặc nhấp chuột phải và chọn Toggle để thay đổi giá trị từ False sang True.

Đáng tiếc là trên Chrome và Opera vẫn chưa có cách chỉnh như Firefox, vì vậy người dùng Chrome cần phải chờ một thời gian nữa đến khi Chrome công bố bản vá lỗi.

Trong thời gian đó, cách tốt nhất để chống hình thức tấn công này chính là sử dụng một giải pháp quản lý mật khẩu tốt và đáng tin cậy có tích hợp vào trình duyệt Web, sẽ ngay lập tức thông báo khi đăng nhập vào những tên miền đáng ngờ hoặc sẽ không đăng nhập vì trang này khác với trang mặc định đã lưu trên ứng dụng.

Thêm vào đó, thay vì tìm kiếm đường link trên Google để nhấp vào, người dùng nên đánh bằng tay địa chỉ của các website quan trọng như Gmail, Facebook, Twitter, Yahoo hoặc các trang web ngân hàng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 478
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 473
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 56
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ