Cách chống hacker chiếm tài khoản Facebook với trò 'trình duyệt trong trình duyệt'

Kỹ thuật phishing BitB được nhà nghiên cứu bảo mật mr.d0x công bố vào năm 2022. Sau đó, tội phạm mạng đã áp dụng BitB trong các cuộc tấn công nhắm vào nhiều dịch vụ trực tuyến khác nhau, gồm cả Facebook và Steam.

Theo dõi hoạt động độc hại, các nhà nghiên cứu của Trellix cho biết các tác nhân đe dọa đánh cắp tài khoản Facebook để phát tán các trò lừa đảo, thu thập dữ liệu cá nhân hoặc thực hiện hành vi gian lận danh tính. Với hơn 3 tỉ người dùng hoạt động, mạng xã hội Facebook vẫn là mục tiêu hàng đầu của những kẻ lừa đảo.

Trellix là hãng an ninh mạng Mỹ chuyên cung cấp các giải pháp bảo mật cho doanh nghiệp và tổ chức, gồm phát hiện mối đe dọa, phòng chống malware (phần mềm độc hại), bảo vệ dữ liệu và giám sát an ninh mạng. Họ cũng nghiên cứu và công bố các báo cáo về các cuộc tấn công mạng, kỹ thuật phishing, ransomware (mã độc tống tiền) và các mối nguy khác trong không gian số.

Trong một cuộc tấn công BitB, người dùng khi truy cập các trang web do hacker kiểm soát sẽ thấy một cửa sổ pop-up (bật lên) giả mạo trình duyệt chứa biểu mẫu đăng nhập.

Cửa sổ pop-up được triển khai bằng cách sử dụng iframe, bắt chước giao diện xác thực của các nền tảng chính thống, có thể được tùy chỉnh với tiêu đề cửa sổ và URL, khiến việc phát hiện hành vi lừa đảo trở nên khó khăn hơn.

iframe độc hại giả mạo cửa sổ đăng nhập Facebook tiêu chuẩn

Theo Trellix, các chiến dịch phishing gần đây nhắm vào người dùng Facebook giả mạo các công ty luật, tuyên bố vi phạm bản quyền, đe dọa đình chỉ tài khoản sắp xảy ra hoặc làm giả thông báo bảo mật của Meta Platforms về việc đăng nhập trái phép.

Để tránh bị phát hiện và tăng tính xác thực, tội phạm mạng đã thêm các URL rút gọn và trang CAPTCHA giả mạo Meta Platforms.

Ở giai đoạn cuối cuộc tấn công, nạn nhân được yêu cầu đăng nhập bằng cách gõ thông tin tài khoản Facebook vào một cửa sổ pop-up giả mạo.

Song song đó, Trellix phát hiện ra một số lượng lớn các trang lừa đảo được lưu trữ trên các nền tảng đám mây hợp pháp như Netlify và Vercel, bắt chước cổng thông tin Trung tâm Quyền riêng tư của Meta Platforms, chuyển hướng người dùng đến các trang được ngụy tạo dưới dạng biểu mẫu khiếu nại thu thập thông tin cá nhân.

Mẫu đơn khiếu nại giả mạo được lưu trữ trên cơ sở hạ tầng đám mây hợp pháp

Những hành vi này thể hiện sự phát triển đáng kể so với các chiến dịch phishing Facebook truyền thống mà nhiều nhà nghiên cứu bảo mật thường thấy.

"Sự thay đổi quan trọng nằm ở việc lạm dụng cơ sở hạ tầng đáng tin cậy, sử dụng các dịch vụ lưu trữ đám mây hợp pháp như Netlify và Vercel, cùng công cụ rút gọn URL để vượt qua các bộ lọc bảo mật truyền thống và tạo cảm giác an toàn giả tạo cho trang phishing

Quan trọng nhất, sự xuất hiện kỹ thuật BitB đánh dấu bước leo thang nghiêm trọng. Bằng cách tạo ra cửa sổ pop-up đăng nhập giả mạo được thiết kế riêng trong trình duyệt, phương pháp này lợi dụng sự quen thuộc của người dùng với các quy trình xác thực, khiến việc đánh cắp thông tin đăng nhập gần như không thể phát hiện bằng mắt thường", báo cáo của Trellix nêu.

Cách phòng chống BitB

Khi nhận được cảnh báo bảo mật liên quan đến tài khoản hoặc thông báo vi phạm, người dùng nên luôn truy cập URL chính thức qua một thẻ trình duyệt riêng thay vì nhấp vào liên kết hoặc nút trong email.

Một email được sử dụng trong cuộc tấn công phishing

Khi được yêu cầu gõ thông tin đăng nhập Facebook trong cửa sổ pop-up, bạn hãy kiểm tra xem có thể di chuyển nó ra ngoài trình duyệt hay không. Iframe, yếu tố cần thiết cho thủ đoạn BitB, được kết nối với cửa sổ chính và không thể kéo ra ngoài.

Khuyến nghị chung để bảo vệ tài khoản Facebook là bật tính năng bảo vệ xác thực hai yếu tố. Dù không hoàn hảo, tính năng này tạo thêm lớp bảo mật chống lại các nỗ lực chiếm đoạt tài khoản Facebook ngay cả khi thông tin đăng nhập bị lộ.

Sơn Vân - Ảnh: Trellix