Trang chủ Tản mạn Đồng bộ hóa tên miền - Phương thức tấn công lừa đảo...

Đồng bộ hóa tên miền – Phương thức tấn công lừa đảo nguy hiểm vô cùng

Thông thường tên miền được giới hạn bởi các chữ cái ASCII từ a đến z (không phân biệt hoa thường), chữ số từ 0 đến 9, và dấu gạch ngang (-), kèm theo những giới hạn về chiều dài tên và vị trí dấu gạch ngang. Tuy nhiên với mã Punycode thì ta có thể tạo ra những tên miền với các ký tự đặc biệt cho một số loại ngôn ngữ trên thế giới. Tiếng Việt cũng nằm trong số đó vậy nên mới có dịch vụ đăng ký tên miền tiếng Việt kiểu như: huỳnhmaianhkiệt.vn.

Punycode hoạt động theo kiểu chuyển đổi các kiểu ký tự đặc biệt về mã ASCII thông thường như tên miền kiểu như huỳnhmaianhkiệt.vn sẽ thành xn--hunhmaianhkit-0u2glw.vn. Các trình duyệt tích hợp bộ giải mã Punycode nên sẽ ánh xạ đúng địa chỉ trỏ về của tên miền tuy nhiên trên địa chỉ trình duyệt thì vẫn hiển thị đường dẫn có chứa ký tự đặc biệt. Lợi dụng điều này hacker sẽ tạo ra các tên miền sử dụng có chứa ký tự đặc biệt nhưng hiển thị gần giống mã ASCII thông dụng để lừa đảo người dùng.

Ví dụ một chuyên gia bảo mật người Trung Quốc đã tạo ra trang web có tên miền www.аррӏе.com để làm ví dụ. Bằng mắt thường nhìn vào địa chỉ trang web thì không có gì khác biệt. Tuy nhiên nếu kiểm tra kỹ thì địa chỉ thật sự của nó sẽ là: www.xn--80ak6aa92e.com. Như vậy nếu không chú ý rõ ràng thì người dùng có thể dễ dàng bị đánh lừa.

Phương thức tấn công này được đặt tên là Tấn công đồng bộ hóa tên miền quốc tế (The internationalized domain name – IDN homograph attack). Giả dụ hacker sẽ đăng ký 1 tên miền giả mạo có địa chỉ tương đồng (dĩ nhiên là phải sử dụng Punycode) và dựng lên 1 trang web có nội dung tương đồng với trang web thì nguy cơ mất an toàn cho người dùng là hiện hữu.

Ngày xưa mình có chia sẻ ý kiến là người dùng internet chỉ cần chú ý một chút (kiểu như quan sát tên miền) là có thể bảo vệ được chính mình nhưng giờ đây với kỹ thuật tấn công này thì đã đến lúc người dùng phải trang bị cho mình thêm một chút kiến thức về an toàn thông tin thì mới có thể bảo vệ mình trước những mối nguy ngại này.

Tính đến thời điểm viết bài này thì bản cập nhật mới nhất của Google Chrome đã khắc phục được phần nào cách thức tấn công này khi đã ánh xạ ra tên miền chuẩn ASCII trong khi đó Firefox thì bản cập nhật mới nhất vẫn chưa thấy khắc phục.

Huỳnh Mai Anh Kiệt

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng Dẫn Đăng Ký Nhận Mã Giảm Giá Highland Coffee

Highland Coffee đang có nhiều chương trình khuyến mã cho khách hàng của mình. Các khuyến mãi có thể bao gồm upsize, mua 1...

Quà cuối năm 2022 từ Shopify

Năm nay nhận quà từ các đối tác công nghệ hơi bị nhiều. Mới đây mình lại nhận được quà từ Shopify. Quà về đúng...

Nhận quà từ đối tác công nghệ Recharge

Recharge là một trong những công ty chuyên cung cấp giải pháp bán hàng đăng ký định kỳ (subscription payments) cho các nền tảng...

Hướng dẫn tải video ngắn Facebook Reel miễn phí

Facebook Reels là tính năng video ngắn mới của Facebook. Nếu bạn muốn tải những video ngắn này của mọi người thì bạn có...

Lập Trình Viên 25 Tuổi Kiếm Được $30.000 Mỗi Tháng Từ Các Ứng Dụng Shopify

Mat De Sousa là một doanh nhân Pháp, anh là người đứng sau 2 ứng dụng Shopify là Wide Bundles và WideReview do chính...

BẠN XEM CHƯA

Leo Chat – Mã nguồn web chat bằng PHP và AJAX

Leo Chat là mã nguồn ứng dụng chat trên nền web. Leo Chat được xây dựng bằng ngôn ngữ PHP sử dụng kỹ thuật...

Thiết lập dọn rác trong Windows 10

Nếu máy tính chạy hệ điều hành Windows 10 của bạn đã được nâng cấp lên phiên bản Windows 10 Creators thì có thể...

Tạo ảnh ngộ nghĩnh với ứng dụng PKool từ Zing Me

Pkool là công cụ chỉnh sửa hình ảnh miễn phí đầy thú vị, cho phép bạn tạo ra những bức ảnh ngộ nghĩnh, dễ...

Google Pixel 5A 5G vẫn sẽ ra mắt vào cuối năm nay

Thứ Sáu tuần trước, Google cho biết sẽ ra mắt điện thoại tầm trung Pixel 5A vào cuối năm nay, bác bỏ tin đồn...

Dad, How Do I? – Kênh Youtube cho những ai không có bố

Vừa qua, một kênh YouTube mới của một người đàn ông dạy bài học, kỹ năng về cuộc sống đã lan truyền cực kỳ...