Người dùng có thể dễ dàng "bay" mất tài khoản Facebook chỉ trong vòng 1 nốt nhạc với thủ đoạn lừa đảo mới này.

Minh Quang (TH) 14:00 22/03/2022

Với sự phát triển nhanh chóng của công nghệ, các hình thức >lừa đảo thông qua mạng ngày càng tinh vi và khó phát hiện hơn.

Theo Android Police, các nhà nghiên cứu bảo mật quốc tế mới đây lại phát hiện một hình thức lừa đảo tinh vi mới. Bằng cách sử dụng bộ công cụ cho phép tạo cửa sổ trình duyệt Chrome giả mạo, hacker có thể dễ dàng dẫn dụ nạn nhân vào bẫy.

Báo cáo từ các chuyên gia nghiên cứu bảo mật cho biết, cửa sổ giả mạo được tạo ra bằng công cụ này có thiết kế cực kỳ giống thật, và đồng thời cũng đi kèm với hàng loạt tùy chọn đăng nhập quen thuộc với >Facebook, Google, Microsoft, Apple, Twitter hoặc thậm chí cả Steam.

Biểu mẫu đăng nhập DropBox giả mạo với loạt tuỳ chọn đăng nhập bằng tài khoản Apple hoặc Google
 

Khi nhấp vào nút Login in Google hoặc Apple,cửa sổ trình duyệt đăng nhập một lần (SSO) sẽ được hiển thị, nhắc bạn nhập thông tin đăng nhập của mình và tiến hành đăng nhập tài khoản.

Các cửa sổ này giả mạo này được thu nhỏ để chỉ hiển thị biểu mẫu đăng nhập và một thanh địa chỉ URL của biểu mẫu đăng nhập

Để khiến người dùng tin tưởng và điền thông tin đăng nhập vào cửa sổ SSO này, một URL sẽ được hiển thị phía trên khung cửa sổ.

Theo các chuyên gia bảo mật, sự xuất hiện của URL này giúp cho biểu mẫu trở nên đáng tin cậy hơn, và sẽ khiến nạn nhân cảm thấy không nghi ngờ khi nhập thông tin đăng nhập của mình.

Sự xuất hiện của các cửa sổ trình duyệt giả mạo này dẫn đến một hình thức tấn công mới có tên "Browser in the Browser (BitB)". Chúng sử dụng các mẫu tạo sẵn để tạo cửa sổ pop-up Chrome giả, nhưng được thiết kế y như thật - bao gồm URL và tiêu đề địa chỉ tùy chỉnh.

Giao diện trang đăng nhập Facebook giả mạo (bên trái) và trang đăng nhập thật từ Facebook

Về cơ bản, tấn công BitB sẽ tạo ra các cửa sổ trình duyệt giả mạo bên trong các cửa sổ trình duyệt thật (trình duyệt trong trình duyệt), qua đó khiến hoạt động lừa đảo ngày càng tinh vi hơn. Người dùng có thể dễ dàng "bay" mất tài khoản Facebook, Google,... chỉ trong vòng 1 nốt nhạc.

Dẫu vậy, phương thức tấn công này cũng không hoàn hảo - với yếu điểm là các trình quản lý mật khẩu. Theo đó, các trình quản lý mật khẩu như LastPass sẽ không tự động điền dữ liệu đăng nhập của người dùng vào vì BitB không hiển thị các biểu mẫu thực.

Ngoài ra, để đảm bảo bản thân an toàn khỏi các cuộc tấn công BitB, lời khuyên cho bạn là cần dành một chút thời gian để suy nghĩ trước khi truy cập bất kỳ liên kết đáng ngờ nào đính kèm trong email, tin nhắn,...

Theo Huỳnh Duy/Tổ Quốc