Kỹ thuật trình duyệt trong trình duyệt làm giả URL Facebook hoàn hảo đến mức nào?
Lời khuyên “Hãy luôn kiểm tra thanh địa chỉ URL xem có đúng là facebook.com không” đã chính thức lỗi thời! Tin tặc hiện đang sử dụng kỹ thuật Browser-in-the-Browser (BitB) để vẽ ra một thanh địa chỉ URL giả mạo chuẩn xác 100%, đánh lừa ngay cả những người dùng cẩn thận nhất.
.jpg "Kỹ Thuật Trình Duyệt Trong Trình Duyệt Làm Giả URL Facebook Hoàn Hảo Đến Mức Nào")
“Trình duyệt trong Trình duyệt” (BitB) là cái bẫy gì?
Ý tưởng về BitB được một nhà nghiên cứu bảo mật (mr. d0x) đưa ra vào năm 2022 như một khái niệm lý thuyết, nhưng giờ đây nó đã bị tội phạm mạng vũ khí hóa trong thực chiến.
-
Bản chất của cú lừa: Thay vì tạo ra một trang web nhìn hơi giống Facebook, tin tặc lập trình ra một cửa sổ pop-up giả mạo nằm ngay bên trong trang web mà bạn đang xem.
-
Điểm mù chết người: Cửa sổ pop-up này được thiết kế để trông y hệt một cửa sổ trình duyệt thu nhỏ, có đầy đủ logo, nút X để đóng, biểu tượng ổ khóa an toàn, và quan trọng nhất: Thanh địa chỉ hiển thị chính xác
www.facebook.com. Tuy nhiên, thanh URL đó không phải là thanh địa chỉ thật của hệ thống, nó chỉ là một “bức tranh” được vẽ ra bằng mã lập trình web (HTML/CSS/JavaScript).
Kịch bản sập bẫy “Ru ngủ” nạn nhân
Tin tặc không lập tức ném bảng đăng nhập vào mặt bạn, chúng dàn dựng một vở kịch tâm lý rất khéo léo:
-
Sập bẫy mồi: Bạn bấm vào một đường link trúng thưởng, xem tin tức sốc, hoặc bình chọn sự kiện từ một tin nhắn lạ.
-
Chiếc khiên giả mạo (Fake CAPTCHA): Thay vì bắt đăng nhập ngay, trang web hiển thị một bài kiểm tra CAPTCHA mạo danh Meta (ví dụ: bắt bạn tích vào ô “Tôi không phải người máy” để tiếp tục). Bước này nhằm hạ gục sự cảnh giác của bạn, khiến bạn nghĩ rằng: “Trang web này bảo mật rất kỹ, chắc chắn là hàng thật”.
-
Màn kịch chính: Ngay sau khi qua ải CAPTCHA, cửa sổ BitB đăng nhập Facebook giả mạo hiện ra. Thấy URL chuẩn xác, bạn vô tư điền Tên đăng nhập và Mật khẩu. Mọi thông tin ngay lập tức được gửi thẳng về máy chủ của kẻ gian.
3 “Thanh Gươm” phá vỡ ảo ảnh BitB
Khi mắt thường và thanh URL không còn đáng tin, bạn cần trang bị cho mình những lớp khiên bảo mật bằng công nghệ và mẹo vặt sau:
-
Mẹo “Kéo thả cửa sổ” (Window Drag Test): Vì cửa sổ đăng nhập giả chỉ là một thành phần hình ảnh bên trong trang web, bạn sẽ không thể kéo nó văng ra khỏi đường viền của cửa sổ trình duyệt chính. Nếu bạn thử kéo cái pop-up đăng nhập đó ra sát mép màn hình máy tính mà nó bị “cắt xén” hoặc kẹt lại bên trong, đó chắc chắn 100% là đồ giả!
-
Dùng Ứng dụng tạo mã 2FA (Authenticator App): Hãy bật xác thực 2 lớp, nhưng đừng dùng SMS. Nếu tin tặc lừa bạn nhập SMS vào web giả, bạn vẫn mất tài khoản. Hãy dùng các ứng dụng như Google Authenticator hay Microsoft Authenticator.
-
Nâng cấp lên Passkeys (Mã khóa): Đây là “khắc tinh” tuyệt đối của lừa đảo BitB. Passkeys sử dụng xác thực sinh trắc học (Vân tay/FaceID) gắn liền với tên miền gốc của thiết bị. Trang web giả mạo sẽ không bao giờ có thể “gọi” hệ thống Passkeys của bạn ra được. Nếu một trang yêu cầu đăng nhập bằng mật khẩu thay vì Passkeys như thường lệ, hãy cảnh giác!
Kẻ thù đang ngày càng thông minh hơn, và cách duy nhất để chiến thắng là chúng ta phải chủ động gia cố lớp bảo vệ cho các tài khoản số của mình.
Theo Kaspersky Việt Nam
