Cách thức giả mạo hầu như không thể bị phát hiện trên Chrome, Firefox và Opera

Cách thức giả mạo hầu như không thể bị phát hiện trên Chrome, Firefox và Opera

Bảo mật, Bảo mật Website, Kiểm tra lỗ hổng, Lỗ hổng bảo mật No Comments on Cách thức giả mạo hầu như không thể bị phát hiện trên Chrome, Firefox và Opera

Xudong Zheng, nhà nghiên cứu Trung Quốc đã phát hiện ra một cuộc tấn công “gần như không thể phát hiện” được sử dụng để lừa người dùng trên Internet.

Ông cảnh báo rằng, hacker có thể sử dụng một lỗ hổng đã biết trong các trình duyệt web Chrome, Firefox và Opera để hiển thị tên miền giả mạo của họ như là các trang web của các dịch vụ hợp pháp, như Apple, Google hay Amazon để ăn cắp thông tin đăng nhập hoặc tài chính và các thông tin nhạy cảm khác từ người dùng .

Cách tốt nhất để phòng chống tấn công kiểm tra thanh địa chỉ sau khi trang đã được tải và nó có đang sử dụng kết nối HTTPS hợp lệ hay không. Nhưng “Không thể xác định trang web là gian lận mà không cần kiểm tra kỹ lưỡng URL của trang web hoặc chứng thư số SSL”. Xudong Zheng cho biết.

Đây là một trang web phishing:

Lúc này nếu trình duyệt web của người dùng hiển thị “apple.com” trong thanh địa chỉ được bảo vệ bằng SSL, nhưng nội dung trên trang đó đến từ một máy chủ khác như hình dưới, thì trình duyệt của người dùng dễ bị tấn công đồng bộ.

2

12

Có một trang web được tạo ra bởi các chuyên gia bảo mật từ Wordfence để chứng minh lỗ hổng của trình duyệt này. Nó giả mạo tên miền “epic.com”.

Cuộc tấn công Homograph đã được biết đến từ năm 2001, nhưng các nhà cung cấp trình duyệt đã phải vật lộn để khắc phục sự cố. Đó là một kiểu tấn công giả mạo mà địa chỉ trang web có vẻ hợp pháp nhưng không phải vì các ký tự đã được thay thế bằng các ký tự Unicode.

Nhiều ký tự Unicode, đại diện cho các bảng chữ cái như Hy Lạp, Cyrillic và Armenian trong các tên miền quốc tế. Ví dụ: Cyrillic “а” (U + 0430) và Latin “a” (U + 0041) cả hai được trình duyệt xử lý khác nhau nhưng được hiển thị “a” trong trình duyệt.

Theo mặc định, nhiều trình duyệt web sử dụng mã hóa ‘Punycode’ để biểu diễn các ký tự Unicode trong URL. Punycode là một mã hóa đặc biệt được sử dụng bởi trình duyệt web để chuyển đổi các ký tự Unicode sang bộ ký tự giới hạn của ASCII (A-Z, 0-9), được hỗ trợ bởi hệ thống tên miền quốc tế (IDN).

Ví dụ: tên miền Trung Quốc “短 .co” được thể hiện trong Punycode là “xn--s7y.co”.

Lỗ hổng này cho phép đăng ký tên miền xn--80ak6aa92e.com và xuất hiện dưới dạng “apple.com” với tất cả các trình duyệt web dễ bị tổn thương, bao gồm Chrome, Firefox và Opera, tuy nhiên Internet Explorer, Microsoft Edge, Apple Safari, Brave và Vivaldi không dễ bị tấn công.

Ở đây, tiền tố xn-- cho biết trình duyệt web sử dụng mã hoá ‘punycode’ để biểu diễn các ký tự Unicode và Zheng sử dụng chữ “а” (U + 0430) của chữ chứ không phải “a” (U + 0041) của ASCII.

Zheng đã báo cáo vấn đề này cho các nhà cung cấp trình duyệt bị ảnh hưởng, bao gồm Google và Mozilla vào tháng 1.

15

Người dùng Internet nên tắt chức năng Punycode trong trình duyệt web của họ để tạm thời giảm nhẹ cuộc tấn công này và giúp xác định các tên miền lừa đảo.

Với người dùng Firefox, có thể làm theo các bước dưới đây để giảm nhẹ nguy cơ tấn công (Người dùng Chrome hoặc Opera phải chờ vài tuần tới để được phát hành phiên bản vá lỗi cho mình):

  1. Gõ network.IDN_show_punycode lên thanh tìm kiếm
  2. Chuyển giá trị của network.IDN_show_punycode từ false thành true

Và người dùng Internet nên luôn luôn nhập các URL trang web vào thanh địa chỉ cho các trang web quan trọng như Gmail, Facebook, Twitter, Yahoo hoặc các trang web ngân hàng thay vì nhấp vào liên kết được đề cập trên một số trang web hoặc email để ngăn chặn các cuộc tấn công tương tự.

Theo: The Hacker News, VNPT-CERT

Author

Related Articles

Leave a comment

Back to Top