Một nhà nghiên cứu người Trung Quốc đã tìm ra một kiểu tấn công Phishing nhằm đánh cấp mật khẩu, email,... hầu như không thể phát hiện được bởi các trình duyệt Chrome, Firefox, Opera thông thường và có thể lừa được những người dùng cẩn thận nhất.
Anh ấy cảnh báo rằng, hacker có thể sử dụng lỗ hổng đã được biết đến của trình duyệt Chrome, Firefox, Opera để hiển thị tên miền giả của họ như là một website chính gốc của Amazon, Google, Apple để đánh cắp các thông tin quan trọng như mật khẩu, email, thẻ tín dụng,... từ người dùng.
Vậy cách để phòng chống tốt nhất phishing là như thế nào? Xem tên miền trên thanh address sau khi trang web load xong?
Vậy hãy bàn luận sâu hơn về vấn đề này. Trước hết hãy xem trang mẫu sau, được thiết lập bởi nhà nghiên cứu bảo mật người Trung Quốc tên Xudong Zheng, người đã phát hiện lỗ hổng trên.
"Nó trở nên không thể phát hiện sự lừa đảo của trang web mà không cẩn thận xem xét URL của trang web hoặc SSL của trang." Xudong Zheng viết trong bài blog của anh ấy.Nếu trang web của bạn hiển thị "apple.com" trên thanh trình duyệt, được bảo mật bởi SSL, nhưng nội dung trên trang lại đến từ một máy chủ (server) khác như hình bên dưới, thì trình duyệt của bạn có thể nguy hiểm trước cuộc tấn công homograph (tạm dịch là tấn công cùng tên miền).
Trang web mẫu |
Tấn công cùng tên miền được biết đến từ năm 2001, nhưng những nhà cung cấp trình duyệt (Chrome, Cốc Cốc, Opera, Firefox) đã gặp khó khăn trong việc sửa nó. Nó là một loại tấn công spoofing nơi mà trang web giống hệt trang web chính thống nhưng không phải vì đã bị chèn một hoặc một số kí tự Unicode.
Ví dụ: Chữ cái Kirin "а" (U+0430) và chữ cái Latin "a" (U+0041) đều được xem là khác nhau bởi các trình duyệt nhưng lại thể hiện chữ "a" trên thanh trình duyệt.
Ví dụ, tên miền Trung Quốc "短.co" được thể hiện dưới dạng Punycode là "xn--s7y.co".
Theo Zheng, lỗ hổng dựa trên những trình duyệt chỉ đưa ra những đường dẫn URL dạng Punycode của 1 ngôn ngữ Unicode (như chỉ Trung Quốc hay chỉ Nhật Bản), nhưng lại thất bại nếu đưa ra nhiều chữ trong những ngôn ngữ khác nhau.
Lỗ hổng này cho phép nhà nghiên cứu đăng kí tên miền dạng xn--80ak6aa92e.com hiển thị như "apple.com" trên tất cả các trình duyệt, bao gồm trình duyệt Chrome, Firefox, Opera,... , tuy nhiên lại không ảnh hưởng đến Internet Explorer, Microsoft Edge, Apple Safari, Brave, và Vivaldi.
Tiền tố xn-- được biết như là "mã hoá được bởi ASCII" chỉ ra cho trình duyệt biết rằng tên miền này sử dụng mã hoá 'Punycode' để thể hiện kí tự Unicode và bởi vì Zheng đã sử dụng một kí tự Kirin "а" (U+0430) thay cho kí tự "a" (U+0041) trong ASCII đã làm cho trình duyệt xuất hiện lỗi và không thể hiện hết được.
Zheng đã báo cáo lỗi này đến các nhà cung cấp tên miền, bao gồm Google và Mozilla trong tháng Một.
Tên miền giả mạo (Trên) và tên miền thật (Dưới) |
Trong khi Mozilla đang tìm cách vá lỗi trên, Google đã vá được lỗi trên dành cho trình duyệt Chrome Canary 59 và sẽ được vá vĩnh viễn trên trình duyệt Chrome Stable 58, dự kiến phát hành vào cuối tháng này.
Cách phòng chống tạm thời dành cho người dùng Firefox (KHÔNG SỬA được trên Chrome)
Người dùng Firefox có thể tiến hành các bước sau để vá lỗi tạm thời trong lúc chờ bản vá chính thức từ Mozilla:
- Nhập about:config trong thanh trình duyệt và nhấn Enter.
- Nhập Punycode trong thanh tìm kiếm.
- Cài đặt của trình duyệt sẽ hiện biến parameter network.IDN_show_punycode, nhấp đôi (Click 2 lần) hoặc nhấn chuột phải và chọn Toggle để đổi giá trị từ False thành True.
Không may là hiện nay chưa có cách sửa lỗi tạm thời trên Chrome hoặc Firefox để tắt chuyển đổi Punycode URL thủ công, vì vậy người dùng phải chờ vài tuần để Google phát hành bản vá Stable 58 mới.
Dịch bởi Hào (https://facebook.com/haovist) Vui lòng ghi tên người dịch để tôn trọng người dịch.
Nguồn: The Hacker News
No comments:
Post a Comment
Chào bạn,
Nếu bạn có thắc mắc gì đừng ngại ngần để lại bình luận nhé. Bình luận của bạn rất quan trọng trong việc phát triển blog của chúng mình. Cám ơn bạn đã ghé thăm blog.