Điều này đặc biệt quan trọng nếu bạn hay sử dụng Facebook trên di đông hơn là máy tính. Dưới đây là biểu đồ phần trăm các trang web được dùng trên di động từ 2009 tới 2017 trên toàn cầu.
Các trang web trên toàn cầu có phục vụ bản di động
Những kẻ lừa đảo (scam) đang bắt đầu khai thác các kỹ thuật để tấn công người dùng di động khi traffic mobile đang lớn hơn traffic PC. Với thực tế là nhiều thiết bị di động được bảo mật kém hơn PC, đây là cơ hội lớn cho họ.
Lừa đảo đăng nhập Facebook hoạt động như thế nào?
Kiểu lừa đảo này sử dụng kỹ thuật gọi là URL padding. Một URL thông thường sẽ gồm ba phần:
- Domain (bắt buộc)
http://facebook.com/photo.php?fbid=123456
- Domain phụ (tùy chọn)
http://m.facebook.com/photo.php?fbid=123456
- Đường dẫn (tùy chọn)
http://m.facebook.com/photo.php?fbid=123456
Với người dùng di động, bạn sẽ thấy địa chỉ m.facebook.com trên trình duyệt khi dùng Facebook. Đây là kết hợp domain và domain phụ hiển thị trên bản di động của Facebook. Khi trông thấy nó, bạn sẽ cảm thấy an toàn.
URL padding là khi kẻ lừa đảo tạo domain phụ dựa trên một domain hoàn toàn khác để mạo nhận một trang nào đó, sau đó chèn thêm vào domain phụ bằng các kí tự vô thưởng vô phạt để khiến người dùng nghĩ họ đang ở đúng trang thật. Đây là một URL ví dụ từ PhishLabs:
http://m.facebook.com----------------validate----step1.rickytaylk.com/sign_in.html
Truy cập vào trang này, bạn sẽ thấy màn hình đăng nhập giống hệt trang chủ của Facebook trên di động, yêu cầu nhập thông tin đăng nhập. Người dùng không để ý kĩ sẽ chỉ nhìn qua URL và thấy m.facebook.com và cho rằng đó là trang thật.
Khi đã nhập xong thì coi như xong. Trang sẽ thông báo lỗi vô thưởng vô phạt (ví dụ như sai mật khẩu…) nhưng thông tin tên người dùng và mật khẩu của bạn vậy là đã bị đánh cắp. Giờ kẻ tấn công có thể dùng tài khoản đó để moi thêm các tài khoản khác như Gmail, Amazon, PayPal, ngân hàng…
Ai để ý kĩ sẽ thấy domain thực sự của trang này là rickytaylk.com và nó có tới 3 domain phụ.
- com----------------validate----step1
- m
Nếu dùng máy tính thì có lẽ bạn sẽ để ý thấy URL này là giả ngay, nhưng trên điện thoại thì URL chỉ hiển thị như hình dưới đây, vì thế rất dễ gây nhầm lẫn.
URL không thể hiển thị hết trên trình duyệt di động
URL bị chèn thêm như thế này có thể được gửi qua nhiều cách như email, tin nhắn, ứng dụng chat… Dù vậy, URL giả cũng không phải phương pháp gì mới mẻ. Đầu năm nay cũng đã có một vụ khai thác bị phát hiện trên Chrome (và các trình duyệt dựa trên Chromium khác), trong đó URL bị chỉnh sửa. Rất may là lỗi đã được vá trước khi kẻ lừa đảo kịp khai thác. Nhưng điều này cũng cho thấy hoàn toàn tin tưởng URL là không nên chút nào.