Hình thức tấn công lừa đảo mới khiến ngay cả người dùng thận trọng nhất cũng có thể mắc bẫy

[WhiteHat News #ID:2018]

Thông thường người dùng sẽ sử dụng các cách sau để kiểm tra xem một website yêu cầu cung cấp thông tin đăng nhập là hợp pháp hay giả mạo:

• Kiểm tra đường dẫn URL
• Kiểm tra địa chỉ website
• Kiểm tra xem trang đó có đang sử dụng HTTPS không
• Hoặc sử dụng các tiện ích mở rộng của phần mềm và trình duyệt để phát hiện các domain lừa đảo

Đây là các biện pháp an ninh cơ bản để nhận biết website truy cập có phải là giả mạo hay không. Tuy nhiên, người dùng vẫn có thể trở thành nạn nhân của một kiểu tấn công lừa đảo mới và khiến mật khẩu rơi vào tay tin tặc.

Antoine Vincent Jebara, đồng sáng lập và CEO của phần mềm quản lý mật khẩu Myki, cho biết, đội ngũ của mình vừa phát hiện một chiến dịch tấn công lừa đảo mới khiến “ngay cả những người dùng thận trọng nhất cũng có thể mắc bẫy”.

Theo Vincent, tội phạm mạng phát tán các đường dẫn đến các blog và dịch vụ đồng thời yêu cầu người dùng “truy cập để sử dụng tài khoản Facebook” lần đầu mới có thể đọc một bài báo độc quyền hoặc mua một sản phẩm giảm giá.

Điều này cũng bình thường thôi. Truy cập tài khoản Facebook hoặc bất kỳ dịch vụ mạng xã hội khác là phương thức an toàn và được phần lớn các website sử dụng để khiến người dùng dễ dàng sử dụng dịch vụ của một bên thứ ba.

Thông thường, khi người dùng click vào nút “truy cập bằng tài khoản Facebook” có sẵn trên bất kỳ website nào, họ sẽ được điều hướng đến facebook.com hoặc được sử dụng Facebook qua một cửa sổ trình duyệt pop-up mới, yêu cầu người dùng nhập thông tin đăng nhập Facebook để xác thực sử dụng OAuth (tiêu chuẩn mở cho ủy quyền truy cập), cho phép truy cập thông tin cần thiết trên profile của người dùng.

Tuy nhiên Vincent phát hiện các trang blog và các trang dịch vụ trực tuyến độc hại sử dụng các thông báo truy cập rất giống Facebook để ghi lại thông tin đăng nhập.

Clip demo:

Trong video demo, cửa sổ truy cập pop-up giả mạo thực tế được tạo ra bằng HTML và JavaScript, khiến người dùng nghĩ rằng mình đang truy cập cửa sổ của một trình duyệt hợp pháp – thanh trạng thái, thanh điều hướng, các shadow và URL đến Facebook với hình ảnh chiếc khóa HTTPS màu xanh hợp lệ.

Bên cạnh đó, người dùng có thể tương tác với các cửa sổ giả mạo, kéo, thả hoặc thoát giống như bất kỳ các cửa sổ hợp lệ khác.

Theo Vinent, cách duy nhất để người dùng tự bảo vệ mình khỏi kiểu tấn công lừa đảo này là thử kéo khung thông báo khỏi cửa sổ hiển thị trên trình duyệt. Nếu thao tác này thất bại (phần popup biến mất đằng sau mép cửa sổ), đây rõ ràng là trang popup giả mạo.

Bên cạnh đó, người dùng được khuyến cáo nên dùng xác thực hai bước cho mọi dịch vụ để ngăn chặn tin tặc truy cập các tài khoản trực tuyến.

Các âm mưu lừa đảo vẫn là một trong những mối đe dọa nghiêm trọng đối với người dùng cũng như doanh nghiệp và tin tặc luôn thử các cách mới và sáng tạo hơn để khiến người dùng phải cung cấp các thông tin nhạy cảm, sau đó sử dụng thông tin này để đánh cắp và tấn công tài khoản trực tuyến của người dùng.

Theo The Hacker News​

 

Hiện tại mình đang thấy clip demo bị lỗi, BKAV có vui lòng up lại để mọi người tham khảo. Mặt khác mình cũng đang thắc mắc, bạn nào biết giải đáp giúp mình. Trong trường hợp, nếu có pop-up fishing hiện lên thì URL cũng khác chứ không giống URL facebook ?

 

Hiện tại mình đang thấy clip demo bị lỗi, BKAV có vui lòng up lại để mọi người tham khảo. Mặt khác mình cũng đang thắc mắc, bạn nào biết giải đáp giúp mình. Trong trường hợp, nếu có pop-up fishing hiện lên thì URL cũng khác chứ không giống URL facebook ?

Theo như mình hiểu về hình thức tấn công này. Bình thường khi đăng nhập với trang web khác như gmail hay face qua 1 trang web khác thì nó sẽ tạo ra 1 cửa số trình duyệt mới truy cập trực tiếp vào trang face hoặc gmail qua đó web kia sẽ không lấy được tài khoản của người dùng. Tuy nhiên với hình thức này tức thay vì gọi cử sổ trình duyệt mới thì hacker dùng javascript để vẽ lại 1 popup giống như cửa số bật lên. Cho nên thanh địa chỉ này là do hacker vẽ ra và tạo url facebook để người nhìn nhìn vào tưởng là thanh địa chỉ của trình duyệt. Nhưng bản chất đó k phải thanh địa chỉ và nó thuộc quyền kiểm soát nên hackers có thể tùy chọn hiển thị bất kỳ Url nào

 

Theo như mình hiểu về hình thức tấn công này. Bình thường khi đăng nhập với trang web khác như gmail hay face qua 1 trang web khác thì nó sẽ tạo ra 1 cửa số trình duyệt mới truy cập trực tiếp vào trang face hoặc gmail qua đó web kia sẽ không lấy được tài khoản của người dùng. Tuy nhiên với hình thức này tức thay vì gọi cử sổ trình duyệt mới thì hacker dùng javascript để vẽ lại 1 popup giống như cửa số bật lên. Cho nên thanh địa chỉ này là do hacker vẽ ra và tạo url facebook để người nhìn nhìn vào tưởng là thanh địa chỉ của trình duyệt. Nhưng bản chất đó k phải thanh địa chỉ và nó thuộc quyền kiểm soát nên hackers có thể tùy chọn hiển thị bất kỳ Url nào

Rất cảm ơn bạn đã trả lời, mình cũng đã hiểu sơ sơ. Nếu có video hoặc bài viết kèm hình ảnh thì tốt quá. Bạn cho mình hỏi nhờ chút là cái pop-up được viết bằng javacript đó có url dạng hình vẽ hoặc text, css và form login để victim nhập vào collect thông tin. M hiểu vậy có đúng ko nhỉ

 

Rất cảm ơn bạn đã trả lời, mình cũng đã hiểu sơ sơ. Nếu có video hoặc bài viết kèm hình ảnh thì tốt quá. Bạn cho mình hỏi nhờ chút là cái pop-up được viết bằng javacript đó có url dạng hình vẽ hoặc text, css và form login để victim nhập vào collect thông tin. M hiểu vậy có đúng ko nhỉ

Cơ bản là thế và hacker kiểm soát được cái form login này nên thu thập được thông tin người dùng. Nếu cẩn thận thì phải F12 và kiểm tra phần tử sẽ phát hiện hình thức tấn công này