-
30/08/2016
-
319
-
448 bài viết
Chức Năng Autofill trên các trình duyệt phổ biến gây rò rỉ thông tin khách hàng
Ngày nay để đỡ tốn thời gian của người dùng khi thực hiện việc đăng ký trên nhiều website khác nhau, các nhà phát triển trình duyệt đã đưa ra tính năng Autofill (tự động điền thông tin) để người dùng chỉ cần vài lần click chuột là đã tự động điền những thông tin còn thiếu để hoàn thành việc đăng ký rườm rà. Tuy nhiên hành động đó là cực kỳ nguy hiểm như khi hoàn thành những bước thanh toán trực tuyến. Dựa vào điều đó, tin tặc có thể lấy toàn bộ các thông tin cá nhân của bạn, mặc dù chỉ yêu cầu điền tên và email.
Ngoài những trường yêu cầu, tin tặc có thể sẽ lấy được những thông tin khác đã được lưu sẵn như ngày tháng năm sinh, giới tính, thậm chí tài khoản tín dụng, ngày hết hạn, mã cvv, ….. Mặc dù trình duyệt Chrome sẽ cảnh báo đối với những trang web không có https.
Chuyên gia bảo mật Viljami Kuosmanen người Phần Lan đã phát hiện và đưa ra trang web cho người dùng có thể biết được những thông tin mà mình đã vô tình gửi đi mặc dù chỉ yêu cầu điền 2 trường là tên người dùng và email.
Dưới đây là thực tế những gì bạn đã gửi cho tin tặc, tất cả thông tin cá nhân như tên, số điện thoại, email, đơn vị làm việc, mã thẻ tín dụng, cvv, ngày hết hạn,….
Ngoài ra, hacker mũ trắng người Phần Lan cũng đã tấn công thành công trên một loạt các trình duyệt lớn và các công cụ tự động điền, bao gồm cả Google Chrome, Apple Safari, Opera, và thậm chí cả phần mềm ứng dụng quản lý mật khẩu phổ biến như LastPass.
Bạn cũng có thể tự kiểm tra tính năng tự động điền của bạn bằng cách sử dụng trang web được xây dựng trên mã nguồn mở github do chính nhà nghiên cứu bảo mật Kuosmanen xây dựng.
Cách bảo vệ hữu hiệu nhất đó là tắt các tính năng Autofill. Bởi vì tính năng Autofill được bật mặc định trên hầu hết các trình duyệt nên các bạn phải tự tắt tính năng đó.
HƯỚNG DẪN TẮT TÍNH NĂNG AUTOFILL TRÊN CÁC TRÌNH DUYỆT
Đổi với Chrome:
Bỏ chọn ô “Bật tự động để điền các biểu mẫu web bằng một nhấp chuột duy nhất”
Xóa hết các thông tin ở phần Địa Chỉ và Thẻ Tín Dụng và nhấn vào “Hoàn tất” để lưu.
Đối với Opera:
Bỏ chọn “Enable auto-filling of forms on webpages”
Đối với Safari thường cho người dùng MacOS:
Bỏ chọn cả 3 ô trong mục AutoFill để tắt tình năng Autofill.
Tham khảo:
http://thehackernews.com/2017/01/bro...-phishing.html
http://www.forbes.com/sites/leemathe.../#167a643e482a
Ví dụ, nếu người dùng sử dụng tính năng Autofill đã được lưu sẵn trong trình duyệt và điền vào form mẫu đơn giản này rồi gửi đi.
Ngoài những trường yêu cầu, tin tặc có thể sẽ lấy được những thông tin khác đã được lưu sẵn như ngày tháng năm sinh, giới tính, thậm chí tài khoản tín dụng, ngày hết hạn, mã cvv, ….. Mặc dù trình duyệt Chrome sẽ cảnh báo đối với những trang web không có https.
Chuyên gia bảo mật Viljami Kuosmanen người Phần Lan đã phát hiện và đưa ra trang web cho người dùng có thể biết được những thông tin mà mình đã vô tình gửi đi mặc dù chỉ yêu cầu điền 2 trường là tên người dùng và email.
Dưới đây là thực tế những gì bạn đã gửi cho tin tặc, tất cả thông tin cá nhân như tên, số điện thoại, email, đơn vị làm việc, mã thẻ tín dụng, cvv, ngày hết hạn,….
Ngoài ra, hacker mũ trắng người Phần Lan cũng đã tấn công thành công trên một loạt các trình duyệt lớn và các công cụ tự động điền, bao gồm cả Google Chrome, Apple Safari, Opera, và thậm chí cả phần mềm ứng dụng quản lý mật khẩu phổ biến như LastPass.
Bạn cũng có thể tự kiểm tra tính năng tự động điền của bạn bằng cách sử dụng trang web được xây dựng trên mã nguồn mở github do chính nhà nghiên cứu bảo mật Kuosmanen xây dựng.
Cách bảo vệ hữu hiệu nhất đó là tắt các tính năng Autofill. Bởi vì tính năng Autofill được bật mặc định trên hầu hết các trình duyệt nên các bạn phải tự tắt tính năng đó.
HƯỚNG DẪN TẮT TÍNH NĂNG AUTOFILL TRÊN CÁC TRÌNH DUYỆT
Đổi với Chrome:
Vào
Cài đặt -> Cài đặt nâng cao -> Mật khẩu và biểu mẫu
Bỏ chọn ô “Bật tự động để điền các biểu mẫu web bằng một nhấp chuột duy nhất”
Vào phần “Quản lý cài đặt Tự Động Điền”
Xóa hết các thông tin ở phần Địa Chỉ và Thẻ Tín Dụng và nhấn vào “Hoàn tất” để lưu.
Đối với Opera:
Vào phần
Menu -> Setting -> Privacy & security
Bỏ chọn “Enable auto-filling of forms on webpages”
Đối với Safari thường cho người dùng MacOS:
Chọn
Preferences -> AutoFill
Bỏ chọn cả 3 ô trong mục AutoFill để tắt tình năng Autofill.
Tham khảo:
http://thehackernews.com/2017/01/bro...-phishing.html
http://www.forbes.com/sites/leemathe.../#167a643e482a
Chỉnh sửa lần cuối: