Các chuyên gia bảo mật vừa phát hiện một lỗ hổng cực kỳ nguy hiểm bên trong tất cả các trình duyệt ăn khách, cho phép bọn tội phạm mạng đánh cắp thông tin tài khoản ngân hàng của người dùng bằng dạng thức tấn công mới có tên "phishing trực tiếp".
"Phishing trực tiếp" chính là giải pháp cho bài toán hóc búa nhất của giới phisher hiện nay: làm sao để có thể tiếp cận các nạn nhân mới.
Trước đây, để có thể tấn công phishing thành công, bọn lừa đảo phải phát tán hàng triệu email mạo danh các doanh nghiệp chân chính, chẳng hạn như ngân hàng hoặc dịch vụ thanh toán trực tuyến.
Nguồn: CNET |
Nhưng với thủ pháp phishing trực tiếp, vai trò của email đã bị loại bỏ. Thay vào đó là cửa sổ pop-up ngay trong trình duyệt.
Dưới đây là cơ chế tấn công của bọn chúng: Đầu tiên, bọn tội phạm mạng sẽ hack một website hợp pháp và cấy mã HTML độc vào đó.
Hệ quả là một cửa sổ pop-up sẽ nhảy xổ ra, dưới dạng một cảnh báo về bảo mật.
Nó sẽ yêu cầu nạn nhân nhập lại mật khẩu và thông tin đăng nhập, cùng với nhiều câu hỏi bảo mật mà ngân hàng thường dùng để xác thực danh tính khách hàng.
Không thể nghi ngờ
Phần việc khó nhất là làm sao thuyết phục được nạn nhân tin rằng những thông báo pop-up này là hợp pháp.
Nhưng nhờ có một lỗ hổng bên trong công cụ JavaScript mà tất cả các trình duyệt ăn khách nhất hiện nay đều sử dụng, chúng đã tìm được lối ra.
Nghiên cứu kỹ cơ chế các trình duyệt sử dụng JavaScript, ông Amit Klein, Giám đốc công nghệ của hãng bảo mật Trusteer đã tìm ra cách nhận biết một người dùng có đăng nhập vào một website nhất định hay không.
Khi đó, bọn tội phạm mạng sẽ có thể viết ra đoạn mã để kiểm tra những trang web mà người dùng thường ra vào.
Chúng có thể theo dõi 100 website ngân hàng, và thay vì gửi đi email một cách cầu âu, ngẫu nhiên, mục tiêu sẽ trở nên cụ thể hơn.
"Việc nhận được thông điệp ngay khi đang đăng nhập website hợp pháp sẽ khiến cho bạn chẳng mảy may nghi ngờ", ông Klein nói thêm.