Mặc dù bạn luôn muốn cẩn thận khi nhấp chuột trực tuyến, nhưng một biến thể mới của cuộc tấn công clickjacking cổ điển sẽ khiến bạn phải dừng lại khi một trang web yêu cầu bạn nhấp đúp vào một thứ gì đó.
Theo báo cáo của Cybernews, kỹ sư bảo mật của Amazon Paulos Yibelo đã làm sáng tỏ một phiên bản mới của cuộc tấn công này có thể được sử dụng để vô hiệu hóa các cài đặt bảo mật, xóa tài khoản hoặc thậm chí chiếm quyền kiểm soát các tài khoản hiện có của bạn.
Đúng như tên gọi, clickjacking là một phương pháp tấn công mà tin tặc, kẻ lừa đảo hoặc tội phạm mạng khác chiếm đoạt các lần nhấp chuột của bạn trên một trang web để thực hiện các hành động độc hại trên một trang web khác. Ví dụ, bạn có thể nghĩ rằng mình đang nhấp vào một nút trên trang web mà bạn đang duyệt và nhấp chuột đó sau đó sẽ được sử dụng để mua thứ gì đó trên một trang web hoàn toàn khác.
Bây giờ, tin tặc đã thêm một cú nhấp chuột khác vào phương pháp tấn công này để tránh thực tế là các trình duyệt hiện đại không còn gửi cookie chéo trang web nữa. Do đó, mối đe dọa này, vốn gần như đã biến mất, giờ đây lại một lần nữa được tin tặc sử dụng trong các cuộc tấn công của chúng.
Sau đây là mọi thông tin bạn cần biết về double-clickjacking và cách bảo vệ an toàn trước mối đe dọa mới nổi này.
Trong bài đăng trên blog mới, Yibelo giải thích cách thức hoạt động của double clickjacking, giải thích rằng mặc dù đây có thể là một thay đổi nhỏ, nhưng "nó mở ra cánh cửa cho các cuộc tấn công thao túng giao diện người dùng mới vượt qua mọi biện pháp bảo vệ clickjacking đã biết".
Cho đến nay, trong các cuộc tấn công sử dụng biến thể clickjacking mới này, tin tặc trước tiên dẫn nạn nhân tiềm năng đến một trang web lừa đảo. Khi ở đó, một thông báo CAPTCHA chuẩn sẽ xuất hiện nhưng có một sự thay đổi: thay vì viết ra văn bản bị xáo trộn hoặc nhận dạng động vật hoặc đồ vật trong ảnh, người dùng được nhắc nhấp đúp vào một nút để chứng minh rằng họ là người.
Ở chế độ nền giữa hai lần nhấp này, tin tặc sử dụng phương pháp tấn công này đã thêm chức năng bổ sung để tải một trang nhạy cảm, chẳng hạn như xác nhận ủy quyền OAuth. Trong khi lần nhấp đầu tiên của người dùng đóng cửa sổ trên cùng, lần nhấp thứ hai của họ sẽ chuyển đến trang nhạy cảm để chấp thuận ủy quyền, cấp quyền hoặc hoàn tất một hành động khác.
Điều thú vị là thời gian người dùng thực hiện lần nhấp thứ hai không quan trọng.
Theo Yibelo, có thể sử dụng kỹ thuật double clickjacking để lấy quyền OAuth và API trên hầu hết các trang web lớn. Tuy nhiên, phương pháp tấn công mới này cũng có thể được sử dụng để thực hiện các thay đổi tài khoản chỉ bằng một cú nhấp chuột như vô hiệu hóa cài đặt bảo mật, xóa tài khoản, cho phép truy cập để chuyển tiền, xác nhận giao dịch, v.v. Tương tự như vậy, nó thậm chí có thể được sử dụng để tấn công các tiện ích mở rộng của trình duyệt.
Bảo vệ chống lại hình thức clickjacking mới này là điều mà Google, Microsoft, Apple, Mozilla và các nhà sản xuất trình duyệt khác sẽ cần triển khai trong các bản cập nhật trong tương lai. Tuy nhiên, bạn vẫn có thể thực hiện một số bước để tránh trở thành nạn nhân của một cuộc tấn công mạng sử dụng phương pháp tấn công này.
Để bắt đầu, bạn luôn muốn cẩn thận khi nhấp vào bất kỳ trang web nào. Cho dù đó là liên kết trong email, tin nhắn văn bản hay thậm chí là nút trên trang web, hãy suy nghĩ trước khi nhấp. Ngoài ra, bạn cũng nên tránh điều hướng đến các trang web đáng ngờ như các chương trình tặng quà quá hấp dẫn đến mức không thể tin được, chẳng hạn như các chương trình 'thắng iPhone miễn phí'.
Để giữ an toàn cho thiết bị của bạn, bạn nên sử dụng phần mềm diệt vi-rút tốt nhất trên máy tính Windows, phần mềm diệt vi-rút Mac tốt nhất trên máy tính Apple và một trong những ứng dụng diệt vi-rút Android tốt nhất trên điện thoại thông minh của bạn. Không có ứng dụng diệt vi-rút Android tương đương nào trên iPhone do những hạn chế của chính Apple, nhưng phần mềm diệt vi-rút Mac từ Intego có thể quét phần mềm độc hại trên iPhone hoặc iPad khi kết nối với máy Mac qua USB.
Bây giờ, khi tin tặc, kẻ lừa đảo và những tội phạm mạng khác lại sử dụng clickjacking trong các cuộc tấn công của chúng, hãy mong đợi các nhà sản xuất trình duyệt và thậm chí cả các trang web bắt đầu thêm các tính năng mới để bảo vệ chống lại phương pháp tấn công này. Tuy nhiên, cho đến khi những biện pháp này bắt đầu được triển khai, bạn phải thực hành vệ sinh mạng tốt và bất kể bạn làm gì, đừng nhấp đúp vào bất kỳ CAPTCHA nào mà bạn gặp phải.
Theo báo cáo của Cybernews, kỹ sư bảo mật của Amazon Paulos Yibelo đã làm sáng tỏ một phiên bản mới của cuộc tấn công này có thể được sử dụng để vô hiệu hóa các cài đặt bảo mật, xóa tài khoản hoặc thậm chí chiếm quyền kiểm soát các tài khoản hiện có của bạn.
Đúng như tên gọi, clickjacking là một phương pháp tấn công mà tin tặc, kẻ lừa đảo hoặc tội phạm mạng khác chiếm đoạt các lần nhấp chuột của bạn trên một trang web để thực hiện các hành động độc hại trên một trang web khác. Ví dụ, bạn có thể nghĩ rằng mình đang nhấp vào một nút trên trang web mà bạn đang duyệt và nhấp chuột đó sau đó sẽ được sử dụng để mua thứ gì đó trên một trang web hoàn toàn khác.
Bây giờ, tin tặc đã thêm một cú nhấp chuột khác vào phương pháp tấn công này để tránh thực tế là các trình duyệt hiện đại không còn gửi cookie chéo trang web nữa. Do đó, mối đe dọa này, vốn gần như đã biến mất, giờ đây lại một lần nữa được tin tặc sử dụng trong các cuộc tấn công của chúng.
Sau đây là mọi thông tin bạn cần biết về double-clickjacking và cách bảo vệ an toàn trước mối đe dọa mới nổi này.
Từ lừa đảo đến double-clickjacking
Trong bài đăng trên blog mới, Yibelo giải thích cách thức hoạt động của double clickjacking, giải thích rằng mặc dù đây có thể là một thay đổi nhỏ, nhưng "nó mở ra cánh cửa cho các cuộc tấn công thao túng giao diện người dùng mới vượt qua mọi biện pháp bảo vệ clickjacking đã biết".
Cho đến nay, trong các cuộc tấn công sử dụng biến thể clickjacking mới này, tin tặc trước tiên dẫn nạn nhân tiềm năng đến một trang web lừa đảo. Khi ở đó, một thông báo CAPTCHA chuẩn sẽ xuất hiện nhưng có một sự thay đổi: thay vì viết ra văn bản bị xáo trộn hoặc nhận dạng động vật hoặc đồ vật trong ảnh, người dùng được nhắc nhấp đúp vào một nút để chứng minh rằng họ là người.
Ở chế độ nền giữa hai lần nhấp này, tin tặc sử dụng phương pháp tấn công này đã thêm chức năng bổ sung để tải một trang nhạy cảm, chẳng hạn như xác nhận ủy quyền OAuth. Trong khi lần nhấp đầu tiên của người dùng đóng cửa sổ trên cùng, lần nhấp thứ hai của họ sẽ chuyển đến trang nhạy cảm để chấp thuận ủy quyền, cấp quyền hoặc hoàn tất một hành động khác.
Điều thú vị là thời gian người dùng thực hiện lần nhấp thứ hai không quan trọng.
Theo Yibelo, có thể sử dụng kỹ thuật double clickjacking để lấy quyền OAuth và API trên hầu hết các trang web lớn. Tuy nhiên, phương pháp tấn công mới này cũng có thể được sử dụng để thực hiện các thay đổi tài khoản chỉ bằng một cú nhấp chuột như vô hiệu hóa cài đặt bảo mật, xóa tài khoản, cho phép truy cập để chuyển tiền, xác nhận giao dịch, v.v. Tương tự như vậy, nó thậm chí có thể được sử dụng để tấn công các tiện ích mở rộng của trình duyệt.
Cách giữ an toàn trước clickjacking
Bảo vệ chống lại hình thức clickjacking mới này là điều mà Google, Microsoft, Apple, Mozilla và các nhà sản xuất trình duyệt khác sẽ cần triển khai trong các bản cập nhật trong tương lai. Tuy nhiên, bạn vẫn có thể thực hiện một số bước để tránh trở thành nạn nhân của một cuộc tấn công mạng sử dụng phương pháp tấn công này.
Để bắt đầu, bạn luôn muốn cẩn thận khi nhấp vào bất kỳ trang web nào. Cho dù đó là liên kết trong email, tin nhắn văn bản hay thậm chí là nút trên trang web, hãy suy nghĩ trước khi nhấp. Ngoài ra, bạn cũng nên tránh điều hướng đến các trang web đáng ngờ như các chương trình tặng quà quá hấp dẫn đến mức không thể tin được, chẳng hạn như các chương trình 'thắng iPhone miễn phí'.
Để giữ an toàn cho thiết bị của bạn, bạn nên sử dụng phần mềm diệt vi-rút tốt nhất trên máy tính Windows, phần mềm diệt vi-rút Mac tốt nhất trên máy tính Apple và một trong những ứng dụng diệt vi-rút Android tốt nhất trên điện thoại thông minh của bạn. Không có ứng dụng diệt vi-rút Android tương đương nào trên iPhone do những hạn chế của chính Apple, nhưng phần mềm diệt vi-rút Mac từ Intego có thể quét phần mềm độc hại trên iPhone hoặc iPad khi kết nối với máy Mac qua USB.
Bây giờ, khi tin tặc, kẻ lừa đảo và những tội phạm mạng khác lại sử dụng clickjacking trong các cuộc tấn công của chúng, hãy mong đợi các nhà sản xuất trình duyệt và thậm chí cả các trang web bắt đầu thêm các tính năng mới để bảo vệ chống lại phương pháp tấn công này. Tuy nhiên, cho đến khi những biện pháp này bắt đầu được triển khai, bạn phải thực hành vệ sinh mạng tốt và bất kể bạn làm gì, đừng nhấp đúp vào bất kỳ CAPTCHA nào mà bạn gặp phải.
- Hàng triệu người dùng email có nguy cơ — các chuyên gia cảnh báo mật khẩu có thể bị tin tặc tiết lộ
- Honey bị cáo buộc lừa đảo những người sáng tạo nổi tiếng và hàng triệu người dùng — những điều bạn cần biết
- Hơn 600.000 người dùng Chrome có nguy cơ sau khi 16 tiện ích mở rộng của trình duyệt bị tin tặc xâm phạm
