Trang chủ Tản mạn Đồng bộ hóa tên miền - Phương thức tấn công lừa đảo...

Đồng bộ hóa tên miền – Phương thức tấn công lừa đảo nguy hiểm vô cùng

Thông thường tên miền được giới hạn bởi các chữ cái ASCII từ a đến z (không phân biệt hoa thường), chữ số từ 0 đến 9, và dấu gạch ngang (-), kèm theo những giới hạn về chiều dài tên và vị trí dấu gạch ngang. Tuy nhiên với mã Punycode thì ta có thể tạo ra những tên miền với các ký tự đặc biệt cho một số loại ngôn ngữ trên thế giới. Tiếng Việt cũng nằm trong số đó vậy nên mới có dịch vụ đăng ký tên miền tiếng Việt kiểu như: huỳnhmaianhkiệt.vn.

Punycode hoạt động theo kiểu chuyển đổi các kiểu ký tự đặc biệt về mã ASCII thông thường như tên miền kiểu như huỳnhmaianhkiệt.vn sẽ thành xn--hunhmaianhkit-0u2glw.vn. Các trình duyệt tích hợp bộ giải mã Punycode nên sẽ ánh xạ đúng địa chỉ trỏ về của tên miền tuy nhiên trên địa chỉ trình duyệt thì vẫn hiển thị đường dẫn có chứa ký tự đặc biệt. Lợi dụng điều này hacker sẽ tạo ra các tên miền sử dụng có chứa ký tự đặc biệt nhưng hiển thị gần giống mã ASCII thông dụng để lừa đảo người dùng.

Ví dụ một chuyên gia bảo mật người Trung Quốc đã tạo ra trang web có tên miền www.аррӏе.com để làm ví dụ. Bằng mắt thường nhìn vào địa chỉ trang web thì không có gì khác biệt. Tuy nhiên nếu kiểm tra kỹ thì địa chỉ thật sự của nó sẽ là: www.xn--80ak6aa92e.com. Như vậy nếu không chú ý rõ ràng thì người dùng có thể dễ dàng bị đánh lừa.

Phương thức tấn công này được đặt tên là Tấn công đồng bộ hóa tên miền quốc tế (The internationalized domain name – IDN homograph attack). Giả dụ hacker sẽ đăng ký 1 tên miền giả mạo có địa chỉ tương đồng (dĩ nhiên là phải sử dụng Punycode) và dựng lên 1 trang web có nội dung tương đồng với trang web thì nguy cơ mất an toàn cho người dùng là hiện hữu.

Ngày xưa mình có chia sẻ ý kiến là người dùng internet chỉ cần chú ý một chút (kiểu như quan sát tên miền) là có thể bảo vệ được chính mình nhưng giờ đây với kỹ thuật tấn công này thì đã đến lúc người dùng phải trang bị cho mình thêm một chút kiến thức về an toàn thông tin thì mới có thể bảo vệ mình trước những mối nguy ngại này.

Tính đến thời điểm viết bài này thì bản cập nhật mới nhất của Google Chrome đã khắc phục được phần nào cách thức tấn công này khi đã ánh xạ ra tên miền chuẩn ASCII trong khi đó Firefox thì bản cập nhật mới nhất vẫn chưa thấy khắc phục.

Huỳnh Mai Anh Kiệt

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Dân Anh đốt cột phát sóng 5G vì nghi phát tán virus Corona

Ít nhất ba cột phát sóng 5G vừa bị đốt cháy vì có người tin rằng nó là nguồn phát tán virus corona. Theo BBC,...

Kiểm tra trình duyệt của khách có phải là Safari bằng PHP

Hôm rồi chợt nhận ra điều là Safari của Apple chưa hỗ trợ hiển thị ảnh WebP. Vậy là cái plugin Hura Apps Photos...

GitHub mua lại nền tảng npm

npm là đóng một phần quan trọng trong cộng đồng JavaScript. Cộng đồng npm trong 10 năm qua là sự đóng góp của hàng...

Youtube cho phép quảng cáo trên video có nội dung liên quan đến Covid-19

Trong một bài đăng trên blog, CEO Susan Wojcicki cho biết YouTube sẽ bắt đầu cho phép chạy quảng cáo trên các video thảo...

Kiểm tra khả năng bị lây nhiễm Covid-19 của bạn bằng trí tuệ nhân tạo

Trong bối cảnh Covid-19 đang lan rộng và khả năng lây nhiễm rất cao khi ta vô tình tiếp xúc với các người bị...

BẠN XEM CHƯA

Global Operations – Lực lượng toàn cầu

Giới thiệu: Thế giới vẫn chưa bình yên, các lực lượng ly khai vẫn luôn nuôi tham vọng phá hoại và gây dựng thế lực....

Anvi Ultimate Defrag công cụ chống phân mảnh ổ đĩa mới đầy mạnh mẽ

Trên thị trường ngày nay có rất nhiều công cụ hỗ trợ bạn trong việc dọn dẹp và chống phân mảnh ổ đĩa sau...

Thuật toán tính can chi

Dạo này công việc quá lu bu nên cũng ít có thời gian viết bài cho Mạng Bình Định. Năm mới cũng xin khai...

Tìm lại mật khẩu cho tập tin Word và Excel quá dễ dàng

Có khi nào bạn lỡ đặt mật khẩu cho một tập tin MS Word hay MS Excel rồi quên mất mật khẩu không? Đừng...

9 bài học quan trọng trong kinh doanh

1. Đi xe đạp thì dù có gắng sức đến đâu cũng không thể đuổi được lamborghini. Bài học: Xuất phát điểm rất quan trọng. 2....