Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

09:17 | 16/05/2017 | LỖ HỔNG ATTT

Trên một số trình duyệt web phổ biến tồn tại lỗ hổng về mã chữ khiến người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo, vì nó cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác, nhưng hiển thị giống chữ La-tinh.

Tấn công giả mạo gần như không thể phát hiện trên Chrome, Firefox và Opera

Ngày 14/4/2017, trên blog cá nhân, nhà phát triển web Xudong Zheng (Trung Quốc) đã cảnh báo người dùng về lỗ hổng mã chữ trên một số trình duyệt web phổ biến. Lỗ hổng này cho phép tin tặc tạo tên miền bằng các ký tự của ngôn ngữ khác nhưng hiển thị giống chữ La-tinh. Đây được gọi là tấn công đồng bộ hóa (homograph attack) tên miền quốc tế (IDN).

Theo Xudong Zheng, kẻ tấn công có thể đã đăng ký tên miền “xn--80ak6aa92e.com” và nhận chứng thư số miễn phí từ Let's Encrypt (tổ chức phát hành chứng thư số ở Hoa Kỳ). Thay vì hiển thị tên miền đầy đủ dưới dạng mã Punycode, tên miền sẽ trở thành “apple.com” trên một số trình duyệt phổ biến, với thông báo “an toàn” vì có chứng thư số. Tên miền này có thể được đọc là “apple.com”, nhưng thực chất là một loạt các ký tự Kirin. Bằng mắt thường, người dùng “gần như không thể” phân biệt được địa chỉ trang web chính thức và trang web giả mạo.

Punycode là một mã chữ đặc biệt, sử dụng trên các trình duyệt web để chuyển đổi các ký tự Unicode sang bộ ký tự giới hạn của mã ASCII (A-Z, 0-9). Theo mặc định, nhiều trình duyệt web sử dụng Punycode để hiển thị các ký tự Unicode trong URL, nhằm phát hiện và chống lại các cuộc tấn công đồng bộ hóa IDN. Nhưng khi các ký tự của tên miền đều thuộc cùng một bộ ký tự ngôn ngữ duy nhất, thì các trình duyệt sẽ hiển thị dưới dạng ngôn ngữ đó thay vì Punycode.

Từ lâu, tên miền được viết bằng các ký tự La-tinh thông thường, nhưng từ năm 1998, kiểu ngôn ngữ có thể hiển thị với Unicode đều có thể được đăng ký. Tin tặc có thể lợi dụng điều này để tạo nên những tên miền giả mạo bằng ngôn ngữ khác nhưng hiển thị giống với chữ La-tinh, hoặc đăng ký chứng thư số để tăng độ tin cậy. Từ đó, có thể lấy cắp thông tin đăng nhập, thông tin ngân hàng và các thông tin nhạy cảm khác của nạn nhân.

Các trình duyệt bị ảnh hưởng bao gồm Chrome, Firefox và Opera. Các trình duyệt chưa bị ảnh hưởng là: Microsoft Edge, Apple Safari, Brave, và Vivaldi. Internet Explorer chỉ bị ảnh hưởng khi có cài đặt ngôn ngữ của tên miền trong hệ thống máy tính.

Xudong Zheng đã báo cáo cho Google và Mozilla vào ngày 20/01/2017. Google đã phát hành bản vá cho lỗ hổng này trong Chrome 58 vào ngày 19/4/2017. Mozilla đã quyết định không tạo bản vá cho Firefox về vấn đề này, và cho biết sẽ là thiếu công bằng nếu giới hạn các ngôn ngữ khác ngoài La-tinh. Người dùng Firefox có thể hiển thị tên miền dưới mã Punycode bằng cách gõ “about: config” vào thanh địa chỉ và thay đổi “network.IDN_show_punycode” thành “true”.

Email Office 365 được báo cáo rằng, dịch vụ đang bị tin tặc nhằm vào để khai thác lỗ hổng hiển thị Punycode

Để tự bảo vệ mình, người dùng cần thực hiện các biện pháp sau:

- Cập nhật phiên bản mới nhất của trình duyệt.

- Sử dụng chương trình quản lý mật khẩu đi cùng với ứng dụng trên trình duyệt. Khi vào đúng trang web chính thức, thông tin đăng nhập sẽ tự động điền vào đầy đủ.

- Gõ lại đường dẫn hoặc truy cập thông qua trang tìm kiếm.

- Chú ý cẩn thận và kiểm tra nếu cần nhấp chuột vào bất kỳ đường dẫn nào.

‹ › ×

Tin liên quan

Tình trạng tấn công mạng qua liên kết giả mạo ở Đông Nam Á gia tăng nhanh chóng

16:00 | 03/08/2023

Ngày 18/7, hãng thông tấn quốc gia Bernama của Malaysia đăng tải bài viết về số vụ tấn công mạng mà công ty Kaspersky đã ngăn chặn trong năm 2022. Đáng lưu ý, tại Việt Nam phải đối mặt với gần 18 triệu lượt tấn công giả mạo.

Phát hiện 324 tên miền giả mạo các ngân hàng lớn ở Anh

08:00 | 28/11/2017

Các nhà nghiên cứu an ninh tại DomainTools (Hoa Kỳ) đã tìm ra 324 tên miền giả danh 5 trong số những ngân hàng lớn nhất nước Anh như ngân hàng Barclays, HSBC, Natwest, Lloyds và Standard Chartered để đánh lừa người dùng.

Tin cùng chuyên mục

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.

Hơn 100 tổ chức của Israel bị tấn công làm rò rỉ dữ liệu

09:00 | 09/01/2024

Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

Hacker / Malware

Phân tích phần mềm độc hại DinodasRAT trên Linux

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

19:00 | 30/04/2024
Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub
Vén màn chiến dịch gián điệp mạng LightSpy
Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến