Google xác nhận lỗi phishing trong Public Search Service

Google vừa xác nhận một lỗi bảo mật có thể bị lợi dụng để tổ chức tấn công phishing tồn tại trong ứng dụng dịch vụ Public Service Search của hãng.

Nhà cung cấp dịch vụ tìm kiếm Internet hàng đầu thế giới ngay lập tức đã cho đóng cửa dịch vụ nói trên cho đến khi nào lỗi bảo mật trên được khắc phục.

Hôm 14/9, lỗi bảo mật phishing trong Public Service Search đã được công bố rộng rãi thông qua blog của một người có tên là Eric Farraro. Anh này cho biết các đoạn mã có thể được tuỳ biến của Google Public Service Search nhằm cho phép các tổ chức phi lợi nhuận cài đặt lên trang web của họ chức năng tìm kiếm thông qua động cơ tìm kiếm Google có thể bị lợi dụng để tạo ra một trang web ăn theo tên miền Google.com.

Những kẻ lừa đảo trực tuyến có thể lợi dụng lỗi này để tạo nên những trang web giả mạo Google để lừa người dùng cung cấp thông tin cá nhân. Farraro đã minh chứng điều này bằng cách tạo ra một trang web giải mạo Gmail Plus. Khi người dùng truy cập vào trang này bằng mật khẩu dịch vụ Gmail họ sẽ được đưa đến một trang web hoàn toàn khác.

Thông qua một tuyên bố đăng tải trên blog của hãng này, Google đã xác nhận lỗi bảo mật nói trên đồng thời tuyên bố tạm ngừng mọi truy cập đến dịch vụ Public Service Search. Tuy nhiên, chức năng tìm kiếm thông qua dịch vụ nói trên đã được cài đặt trên các trang web khác sẽ vẫn hoạt động bình thường.

Google cũng cho biết bản vá lỗi tạm thời đã được cài đặt nhưng hãng muốn có thêm thời gian để phát triển một bản vá lỗi đầy đủ.

Lỗi bảo mật phishing trong Google Public Search Service thực sự nguy hiểm vì nó có thể lợi dụng tên miên thực sự Google để tạo ra những trang web giả mạo khác. Với phương thức này những trang web giả mạo hoàn toàn có thể vượt qua các công cụ phòng chống giả mạo tên miền.

Lừa đảo trực tuyến gần đây đang có xu hướng bùng nổ mạnh mẽ trong thế giới tội phạm mạng. Phishing là minh chứng cho “cơn khát” lợi nhuận của bọn tội phạm mạng.

Hoàng Dũng