Cẩn trọng: Tên miền Google.com cũng chưa chắc đã an toàn
Hacker đang biến tên miền Google.com thành vũ khí phát tán mã độc, qua mặt mọi phần mềm diệt virus.
Các chuyên gia an ninh mạng vừa phát đi cảnh báo về một chiến dịch tấn công mới vô cùng tinh vi, trong đó tin tặc đang lợi dụng chính tên miền đáng tin cậy của Google.com để làm "vỏ bọc", phát tán phần mềm độc hại (malware) và qua mặt các phần mềm diệt virus phổ biến nhất.
Theo báo cáo từ phòng nghiên cứu c/side, phương pháp này hoạt động một cách thầm lặng, chỉ được kích hoạt trong những điều kiện nhất định, khiến cả người dùng và các công cụ bảo mật truyền thống đều rất khó phát hiện.
Tên miền uy tín của trang chủ Google đang được hacker lợi dụng để phát tán mã độc.
Thủ đoạn tinh vi hoạt động như thế nào?
Cuộc tấn công thường bắt đầu khi người dùng truy cập vào một trang web thương mại điện tử (dựa trên nền tảng Magento) đã bị tin tặc xâm nhập. Tại đây, một đoạn mã độc ẩn sẽ chạy và yêu cầu tải một tài nguyên từ một đường link có vẻ hoàn toàn hợp pháp của Google, chẳng hạn như https://accounts.google.com/o/oauth2/revoke.
Đây chính là điểm mấu chốt của sự lừa đảo. Bởi vì yêu cầu được gửi đến một tên miền uy tín là google.com, hầu hết các hệ thống phòng thủ như tường lửa, bộ lọc DNS hay các chính sách bảo mật nội dung (CSP) đều sẽ "tin tưởng" và cho phép truy cập mà không cần kiểm tra. Tuy nhiên, đường link này đã bị thao túng. Nó bí mật thực thi một đoạn mã JavaScript độc hại, mở ra một "cửa hậu" (kết nối WebSocket) đến máy chủ của hacker.
"Kẻ thù giấu mặt" chỉ tấn công khi có thời cơ
Sự tinh vi của cuộc tấn công này nằm ở chỗ mã độc không hoạt động ngay lập tức. Nó sẽ "nằm im" và chỉ kích hoạt khi người dùng thực hiện các hành động nhạy cảm, ví dụ như truy cập vào trang thanh toán (checkout).
Khi đó, thông qua kết nối đã mở, hacker có thể điều khiển trình duyệt của nạn nhân từ xa theo thời gian thực, đánh cắp thông tin thẻ tín dụng, mật khẩu, và các dữ liệu cá nhân khác. Do mã độc chỉ được thực thi linh động trong những điều kiện cụ thể, các trình quét virus tĩnh truyền thống gần như không thể phát hiện ra mối nguy hiểm này.
Làm thế nào để người dùng tự bảo vệ?
Trong bối cảnh các cuộc tấn công ngày càng tinh vi, việc chỉ dựa vào phần mềm diệt virus là không đủ. Các chuyên gia khuyến nghị người dùng nên chủ động áp dụng các biện pháp phòng ngừa sau:
- Hạn chế các script của bên thứ ba: Sử dụng các tiện ích mở rộng trên trình duyệt có khả năng chặn tracker và các đoạn mã không cần thiết để giảm bề mặt tấn công.
- Tách riêng các phiên duyệt web: Nên sử dụng một trình duyệt hoặc một hồ sơ người dùng (profile) riêng biệt chỉ dành cho các giao dịch nhạy cảm như ngân hàng trực tuyến và mua sắm. Không dùng trình duyệt này cho việc lướt web thông thường.
- Luôn cảnh giác: Hãy đặc biệt cẩn trọng với bất kỳ hành vi bất thường nào của trang web, ngay cả trên những trang bạn thường xuyên truy cập, như các cửa sổ bật lên lạ hoặc yêu cầu đăng nhập lại không rõ lý do.
Cuộc tấn công này một lần nữa cho thấy tin tặc luôn tìm ra những cách thức mới để khai thác lòng tin. Do đó, sự cảnh giác và các thói quen duyệt web an toàn của người dùng chính là lớp phòng thủ quan trọng nhất.
