Trang chủ Tản mạn Đồng bộ hóa tên miền - Phương thức tấn công lừa đảo...

Đồng bộ hóa tên miền – Phương thức tấn công lừa đảo nguy hiểm vô cùng

Thông thường tên miền được giới hạn bởi các chữ cái ASCII từ a đến z (không phân biệt hoa thường), chữ số từ 0 đến 9, và dấu gạch ngang (-), kèm theo những giới hạn về chiều dài tên và vị trí dấu gạch ngang. Tuy nhiên với mã Punycode thì ta có thể tạo ra những tên miền với các ký tự đặc biệt cho một số loại ngôn ngữ trên thế giới. Tiếng Việt cũng nằm trong số đó vậy nên mới có dịch vụ đăng ký tên miền tiếng Việt kiểu như: huỳnhmaianhkiệt.vn.

Punycode hoạt động theo kiểu chuyển đổi các kiểu ký tự đặc biệt về mã ASCII thông thường như tên miền kiểu như huỳnhmaianhkiệt.vn sẽ thành xn--hunhmaianhkit-0u2glw.vn. Các trình duyệt tích hợp bộ giải mã Punycode nên sẽ ánh xạ đúng địa chỉ trỏ về của tên miền tuy nhiên trên địa chỉ trình duyệt thì vẫn hiển thị đường dẫn có chứa ký tự đặc biệt. Lợi dụng điều này hacker sẽ tạo ra các tên miền sử dụng có chứa ký tự đặc biệt nhưng hiển thị gần giống mã ASCII thông dụng để lừa đảo người dùng.

Ví dụ một chuyên gia bảo mật người Trung Quốc đã tạo ra trang web có tên miền www.аррӏе.com để làm ví dụ. Bằng mắt thường nhìn vào địa chỉ trang web thì không có gì khác biệt. Tuy nhiên nếu kiểm tra kỹ thì địa chỉ thật sự của nó sẽ là: www.xn--80ak6aa92e.com. Như vậy nếu không chú ý rõ ràng thì người dùng có thể dễ dàng bị đánh lừa.

Phương thức tấn công này được đặt tên là Tấn công đồng bộ hóa tên miền quốc tế (The internationalized domain name – IDN homograph attack). Giả dụ hacker sẽ đăng ký 1 tên miền giả mạo có địa chỉ tương đồng (dĩ nhiên là phải sử dụng Punycode) và dựng lên 1 trang web có nội dung tương đồng với trang web thì nguy cơ mất an toàn cho người dùng là hiện hữu.

Ngày xưa mình có chia sẻ ý kiến là người dùng internet chỉ cần chú ý một chút (kiểu như quan sát tên miền) là có thể bảo vệ được chính mình nhưng giờ đây với kỹ thuật tấn công này thì đã đến lúc người dùng phải trang bị cho mình thêm một chút kiến thức về an toàn thông tin thì mới có thể bảo vệ mình trước những mối nguy ngại này.

Tính đến thời điểm viết bài này thì bản cập nhật mới nhất của Google Chrome đã khắc phục được phần nào cách thức tấn công này khi đã ánh xạ ra tên miền chuẩn ASCII trong khi đó Firefox thì bản cập nhật mới nhất vẫn chưa thấy khắc phục.

Huỳnh Mai Anh Kiệt

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Trang web hỗ trợ tìm kiếm trên Facebook

Facebook là mạng xã hội lớn nhất hiện nay. Thông tin được người dùng chia sẻ trên mạng xã hội này là vô cùng...

Giới thiệu một số công nghệ, dịch vụ mà Hura Apps đang dùng cho mô hình SaaS

Hura Apps là nhóm phát triển các ứng dụng web hỗ trợ cho nền tảng Shopify. Hura Apps hoạt động theo mô hình SaaS....

Hành trình kiếm 500 triệu/tháng từ việc xuất bản ứng dụng lên Shopify App Store

Đây là câu chuyện của một lập trình viên người Pháp có tên Axel Hardy được chính anh chia sẻ trên Twitter của mình....

Hura Apps nhận được gói hỗ trợ khởi nghiệp $10.000 từ Amazon Web Services

Mới đây Hura Apps đã nhận được gói hỗ trợ khởi nghiệp $10.000 từ Amazon Web Services. Đây là gói hỗ trợ dành cho Hura...

PayPal đang phát triển đồng stablecoin của riêng mình

Công ty PayPal đang tích cực làm việc để ra mắt stablecoin của riêng mình như là một phần của việc thúc đẩy sử...

BẠN XEM CHƯA

Đổi màu cho biểu tượng thư mục với Folder Colorizer

Màu vàng là màu mặc định của các biểu tượng thư mục trong Windows. Khi bạn muốn đánh dấu một thư mục đặc biệt...

Tên miền .cloud đã sẵn sàng cho thế giới web

Tên miền mới .cloud đã chính thức được bán cho người dùng toàn thế giới trên cơ sở ai đăng ký trước được mua...

Tự động tìm và nâng cấp driver để tăng hiệu suất hoạt động của Windows

Driver là thành phần quan trọng trong máy tính, giúp nhận diện các thiết bị phần cứng để chúng có thể hoạt động. Nâng...

5 đặc tính quý giá của dân nhậu

Can đảm: Biết rượu độc hại mà vẫn uống. Thật thà: Có bất kỳ chuyện gì trong lòng cũng đem ra… trình bày. Dũng cảm: Chuyện...

Khóa nhanh bàn phím và chuột với KeyFreeze

Bạn cần đi ra ngoài chốc lát và không muốn ai thao tác gì trên máy tính của mình. KeyFreeze sẽ giúp bạn khóa...