Thông thường tên miền được giới hạn bởi các chữ cái ASCII từ a đến z (không phân biệt hoa thường), chữ số từ 0 đến 9, và dấu gạch ngang (-), kèm theo những giới hạn về chiều dài tên và vị trí dấu gạch ngang. Tuy nhiên với mã Punycode thì ta có thể tạo ra những tên miền với các ký tự đặc biệt cho một số loại ngôn ngữ trên thế giới. Tiếng Việt cũng nằm trong số đó vậy nên mới có dịch vụ đăng ký tên miền tiếng Việt kiểu như: huỳnhmaianhkiệt.vn.
Punycode hoạt động theo kiểu chuyển đổi các kiểu ký tự đặc biệt về mã ASCII thông thường như tên miền kiểu như huỳnhmaianhkiệt.vn sẽ thành xn--hunhmaianhkit-0u2glw.vn. Các trình duyệt tích hợp bộ giải mã Punycode nên sẽ ánh xạ đúng địa chỉ trỏ về của tên miền tuy nhiên trên địa chỉ trình duyệt thì vẫn hiển thị đường dẫn có chứa ký tự đặc biệt. Lợi dụng điều này hacker sẽ tạo ra các tên miền sử dụng có chứa ký tự đặc biệt nhưng hiển thị gần giống mã ASCII thông dụng để lừa đảo người dùng.
Ví dụ một chuyên gia bảo mật người Trung Quốc đã tạo ra trang web có tên miền www.аррӏе.com để làm ví dụ. Bằng mắt thường nhìn vào địa chỉ trang web thì không có gì khác biệt. Tuy nhiên nếu kiểm tra kỹ thì địa chỉ thật sự của nó sẽ là: www.xn--80ak6aa92e.com. Như vậy nếu không chú ý rõ ràng thì người dùng có thể dễ dàng bị đánh lừa.
Phương thức tấn công này được đặt tên là Tấn công đồng bộ hóa tên miền quốc tế (The internationalized domain name – IDN homograph attack). Giả dụ hacker sẽ đăng ký 1 tên miền giả mạo có địa chỉ tương đồng (dĩ nhiên là phải sử dụng Punycode) và dựng lên 1 trang web có nội dung tương đồng với trang web thì nguy cơ mất an toàn cho người dùng là hiện hữu.
Ngày xưa mình có chia sẻ ý kiến là người dùng internet chỉ cần chú ý một chút (kiểu như quan sát tên miền) là có thể bảo vệ được chính mình nhưng giờ đây với kỹ thuật tấn công này thì đã đến lúc người dùng phải trang bị cho mình thêm một chút kiến thức về an toàn thông tin thì mới có thể bảo vệ mình trước những mối nguy ngại này.
Tính đến thời điểm viết bài này thì bản cập nhật mới nhất của Google Chrome đã khắc phục được phần nào cách thức tấn công này khi đã ánh xạ ra tên miền chuẩn ASCII trong khi đó Firefox thì bản cập nhật mới nhất vẫn chưa thấy khắc phục.
Huỳnh Mai Anh Kiệt
