Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

09:17 | 16/05/2017 | LỖ HỔNG ATTT

Trên một số trình duyệt web phổ biến tồn tại lỗ hổng về mã chữ khiến người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo, vì nó cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác, nhưng hiển thị giống chữ La-tinh.

Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

Ngày 14/4/2017, trên blog cá nhân, nhà phát triển web Xudong Zheng (Trung Quốc) đã cảnh báo người dùng về lỗ hổng mã chữ trên một số trình duyệt web phổ biến. Lỗ hổng này cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác nhưng hiển thị giống chữ La-tinh. Đây được gọi là tấn công đồng bộ hóa (homograph attack) tên miền quốc tế (IDN).

Theo Xudong Zheng, kẻ tấn công có thể đã đăng ký tên miền “xn--80ak6aa92e.com” và nhận chứng thư số miễn phí từ Let's Encrypt (tổ chức phát hành chứng thư số ở Hoa Kỳ). Thay vì hiển thị tên miền đầy đủ dưới dạng mã Punycode, tên miền sẽ trở thành “apple.com” trên một số trình duyệt phổ biến, với thông báo “an toàn” vì có chứng thư số. Tên miền này có thể được đọc là “apple.com”, nhưng thực chất là một loạt các ký tự Kirin. Bằng mắt thường, người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo.

Punycode là một mã chữ đặc biệt, sử dụng trên các trình duyệt web để chuyển đổi các ký tự Unicode sang bộ ký tự giới hạn của mã ASCII (A-Z, 0-9). Theo mặc định, nhiều trình duyệt web sử dụng Punycode để hiển thị các ký tự Unicode trong URL, nhằm phát hiện và chống lại các cuộc tấn công đồng bộ hóa IDN. Nhưng khi các ký tự của tên miền đều thuộc cùng một bộ ký tự ngôn ngữ duy nhất, thì các trình duyệt sẽ hiển thị dưới dạng ngôn ngữ đó thay vì Punycode.

Từ lâu, tên miền được viết bằng các ký tự La-tinh thông thường, nhưng từ năm 1998, kiểu ngôn ngữ có thể hiển thị với Unicode đều có thể được đăng ký. Tin tặc có thể lợi dụng điều này để tạo nên những tên miền giả mạo bằng ngôn ngữ khác nhưng hiển thị giống với chữ La-tinh, hoặc đăng ký chứng thư số để tăng độ tin cậy. Từ đó, có thể lấy cắp thông tin đăng nhập, thông tin ngân hàng và các thông tin nhạy cảm khác của nạn nhân.

Các trình duyệt bị ảnh hưởng bao gồm Chrome, Firefox và Opera. Các trình duyệt chưa bị ảnh hưởng là: Microsoft Edge, Apple Safari, Brave, và Vivaldi. Internet Explorer chỉ bị ảnh hưởng khi có cài đặt ngôn ngữ của tên miền trong hệ thống máy tính.

Xudong Zheng đã báo cáo cho Google và Mozilla vào ngày 20/01/2017. Google đã phát hành bản vá cho lỗ hổng này trong Chrome 58 vào ngày 19/4/2017. Mozilla đã quyết định không tạo bản vá cho Firefox về vấn đề này, và cho biết sẽ là thiếu công bằng nếu giới hạn các ngôn ngữ khác ngoài La-tinh. Người dùng Firefox có thể hiển thị tên miền dưới mã Punycode bằng cách gõ “about: config” vào thanh địa chỉ và thay đổi “network.IDN_show_punycode” thành “true”.

Email Office 365 được báo cáo rằng, dịch vụ đang bị tin tặc nhằm vào để khai thác lỗ hổng hiển thị Punycode

Để tự bảo vệ mình, người dùng cần thực hiện các biện pháp sau:

- Cập nhật phiên bản mới nhất của trình duyệt.

- Sử dụng chương trình quản lý mật khẩu đi cùng với ứng dụng trên trình duyệt. Khi vào đúng trang web chính thức, thông tin đăng nhập sẽ tự động điền vào đầy đủ.

- Gõ lại đường dẫn hoặc truy cập thông qua trang tìm kiếm.

- Chú ý cẩn thận và kiểm tra nếu cần nhấp chuột vào bất kỳ đường dẫn nào.

‹ › ×

Tin liên quan

Tình trạng tấn công mạng qua liên kết giả mạo ở Đông Nam Á gia tăng nhanh chóng

16:00 | 03/08/2023

Ngày 18/7, hãng thông tấn quốc gia Bernama của Malaysia đăng tải bài viết về số vụ tấn công mạng mà công ty Kaspersky đã ngăn chặn trong năm 2022. Đáng lưu ý, tại Việt Nam phải đối mặt với gần 18 triệu lượt tấn công giả mạo.

Phát hiện 324 tên miền giả mạo các ngân hàng lớn ở Anh

08:00 | 28/11/2017

Các nhà nghiên cứu an ninh tại DomainTools (Hoa Kỳ) đã tìm ra 324 tên miền giả danh 5 trong số những ngân hàng lớn nhất nước Anh như ngân hàng Barclays, HSBC, Natwest, Lloyds và Standard Chartered để đánh lừa người dùng.

Tin cùng chuyên mục

Cảnh báo mã độc FakeCall nhắm vào tài khoản ngân hàng

13:00 | 11/11/2024

Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.

Người lái xe tại Úc bị theo dõi và bán dữ liệu

07:00 | 21/10/2024

Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.

Phần mềm độc hại TrickMo đánh cắp mã PIN Android bằng màn hình khóa giả mạo

10:00 | 18/10/2024

Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.

Tấn công chuỗi cung ứng trong thời đại số: thách thức lớn đối với Việt Nam

07:00 | 10/09/2024

Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.