Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

09:17 | 16/05/2017 | LỖ HỔNG ATTT

Trên một số trình duyệt web phổ biến tồn tại lỗ hổng về mã chữ khiến người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo, vì nó cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác, nhưng hiển thị giống chữ La-tinh.

Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

Ngày 14/4/2017, trên blog cá nhân, nhà phát triển web Xudong Zheng (Trung Quốc) đã cảnh báo người dùng về lỗ hổng mã chữ trên một số trình duyệt web phổ biến. Lỗ hổng này cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác nhưng hiển thị giống chữ La-tinh. Đây được gọi là tấn công đồng bộ hóa (homograph attack) tên miền quốc tế (IDN).

Theo Xudong Zheng, kẻ tấn công có thể đã đăng ký tên miền “xn--80ak6aa92e.com” và nhận chứng thư số miễn phí từ Let's Encrypt (tổ chức phát hành chứng thư số ở Hoa Kỳ). Thay vì hiển thị tên miền đầy đủ dưới dạng mã Punycode, tên miền sẽ trở thành “apple.com” trên một số trình duyệt phổ biến, với thông báo “an toàn” vì có chứng thư số. Tên miền này có thể được đọc là “apple.com”, nhưng thực chất là một loạt các ký tự Kirin. Bằng mắt thường, người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo.

Punycode là một mã chữ đặc biệt, sử dụng trên các trình duyệt web để chuyển đổi các ký tự Unicode sang bộ ký tự giới hạn của mã ASCII (A-Z, 0-9). Theo mặc định, nhiều trình duyệt web sử dụng Punycode để hiển thị các ký tự Unicode trong URL, nhằm phát hiện và chống lại các cuộc tấn công đồng bộ hóa IDN. Nhưng khi các ký tự của tên miền đều thuộc cùng một bộ ký tự ngôn ngữ duy nhất, thì các trình duyệt sẽ hiển thị dưới dạng ngôn ngữ đó thay vì Punycode.

Từ lâu, tên miền được viết bằng các ký tự La-tinh thông thường, nhưng từ năm 1998, kiểu ngôn ngữ có thể hiển thị với Unicode đều có thể được đăng ký. Tin tặc có thể lợi dụng điều này để tạo nên những tên miền giả mạo bằng ngôn ngữ khác nhưng hiển thị giống với chữ La-tinh, hoặc đăng ký chứng thư số để tăng độ tin cậy. Từ đó, có thể lấy cắp thông tin đăng nhập, thông tin ngân hàng và các thông tin nhạy cảm khác của nạn nhân.

Các trình duyệt bị ảnh hưởng bao gồm Chrome, Firefox và Opera. Các trình duyệt chưa bị ảnh hưởng là: Microsoft Edge, Apple Safari, Brave, và Vivaldi. Internet Explorer chỉ bị ảnh hưởng khi có cài đặt ngôn ngữ của tên miền trong hệ thống máy tính.

Xudong Zheng đã báo cáo cho Google và Mozilla vào ngày 20/01/2017. Google đã phát hành bản vá cho lỗ hổng này trong Chrome 58 vào ngày 19/4/2017. Mozilla đã quyết định không tạo bản vá cho Firefox về vấn đề này, và cho biết sẽ là thiếu công bằng nếu giới hạn các ngôn ngữ khác ngoài La-tinh. Người dùng Firefox có thể hiển thị tên miền dưới mã Punycode bằng cách gõ “about: config” vào thanh địa chỉ và thay đổi “network.IDN_show_punycode” thành “true”.

Email Office 365 được báo cáo rằng, dịch vụ đang bị tin tặc nhằm vào để khai thác lỗ hổng hiển thị Punycode

Để tự bảo vệ mình, người dùng cần thực hiện các biện pháp sau:

- Cập nhật phiên bản mới nhất của trình duyệt.

- Sử dụng chương trình quản lý mật khẩu đi cùng với ứng dụng trên trình duyệt. Khi vào đúng trang web chính thức, thông tin đăng nhập sẽ tự động điền vào đầy đủ.

- Gõ lại đường dẫn hoặc truy cập thông qua trang tìm kiếm.

- Chú ý cẩn thận và kiểm tra nếu cần nhấp chuột vào bất kỳ đường dẫn nào.

‹ › ×

Tin liên quan

Tình trạng tấn công mạng qua liên kết giả mạo ở Đông Nam Á gia tăng nhanh chóng

16:00 | 03/08/2023

Ngày 18/7, hãng thông tấn quốc gia Bernama của Malaysia đăng tải bài viết về số vụ tấn công mạng mà công ty Kaspersky đã ngăn chặn trong năm 2022. Đáng lưu ý, tại Việt Nam phải đối mặt với gần 18 triệu lượt tấn công giả mạo.

Phát hiện 324 tên miền giả mạo các ngân hàng lớn ở Anh

08:00 | 28/11/2017

Các nhà nghiên cứu an ninh tại DomainTools (Hoa Kỳ) đã tìm ra 324 tên miền giả danh 5 trong số những ngân hàng lớn nhất nước Anh như ngân hàng Barclays, HSBC, Natwest, Lloyds và Standard Chartered để đánh lừa người dùng.

Tin cùng chuyên mục

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.