Làm thế nào để bạn kiểm tra khi một trang web yêu cầu thông tin đăng nhập của bạn là giả mạo hay hợp pháp để đăng nhập?

Làm thế nào để bạn kiểm tra khi  một trang web yêu cầu thông tin đăng nhập của bạn là giả mạo hay hợp pháp để đăng nhập?

• Bằng cách kiểm tra xem URL có đúng không ?
• Bằng cách kiểm tra nếu địa chỉ trang web không phải là một homograph ?
• Bằng cách kiểm tra xem trang web đang sử dụng HTTPS hay không ?

• Hoặc sử dụng phần mềm hay các tiện ích mở rộng trình duyệt phát hiện tên miền lừa đảo như netcraft, phishing tank …?

Chà, nếu bạn, giống như hầu hết người dùng Internet, cũng đang dựa vào các thực tiễn bảo mật cơ bản ở trên để phát hiện xem “Facebook.com” hay “Google.com” mà bạn đang truy cập và phục vụ có phải là giả hay không, bạn vẫn có thể trở thành nạn nhân của cuộc tấn công lừa đảo sáng tạo mới được phát hiện và cuối cùng là trao mật khẩu của bạn cho tin tặc.

Antoine Vincent Jebara, đồng sáng lập và CEO của phần mềm quản lý mật khẩu Myki, nói rằng nhóm của anh ta gần đây đã phát hiện ra một chiến dịch tấn công lừa đảo mới “mà ngay cả những người dùng thận trọng nhất cũng có thể rơi vào.” Vincent phát hiện ra rằng tội phạm mạng đang phân phối các liên kết đến blog và dịch vụ nhắc khách truy cập trước tiên “đăng nhập bằng tài khoản Facebook” để đọc một bài viết độc quyền hoặc mua một sản phẩm giảm giá.

Trong thực tế, đăng nhập bằng Facebook hoặc bất kỳ dịch vụ truyền thông xã hội nào khác là một phương pháp an toàn và đang được sử dụng bởi một số lượng lớn các trang web để giúp khách truy cập dễ dàng đăng ký dịch vụ của bên thứ ba một cách nhanh chóng. Và chúng tôi (BQT của https://antoanthongtin.edu.vn)  cũng  sử dụng các dịch vụ kiểu này trong một số trường hợp)
Nói chung, khi bạn nhấp vào nút “đăng nhập bằng Facebook” có sẵn trên bất kỳ trang web nào, bạn sẽ được chuyển hướng đến facebook.com hoặc được phục vụ với facebook.com trong cửa sổ trình duyệt bật lên mới, yêu cầu bạn nhập thông tin đăng nhập Facebook để xác thực sử dụng OAuth và cho phép dịch vụ truy cập thông tin cần thiết trong hồ sơ của bạn.

Tuy nhiên, Vincent phát hiện ra rằng các blog và các dịch vụ trực tuyến độc hại đang phục vụ người dùng với lời nhắc đăng nhập Facebook giả mạo nhưng nhìn rất thực tế (trông y như thật) sau khi họ nhấp vào nút đăng nhập được thiết kế để yêu cầu người dùng nhập vào thông tin đăng nhập, giống như bất kỳ trang web lừa đảo nào.

Như  video trình diễn mà Vincent đã chia sẻ, lời nhắc đăng nhập dựa trên một pop-up giả mạo tạo bằng HTML và JavaScript, được tái tạo hoàn hảo để trông và cảm nhận chính xác như một cửa sổ trình duyệt hợp pháp, và URL đến trang web Facebook bằng khóa màu xanh lục cho biết HTTPS hợp lệ.


Hơn nữa, người dùng cũng có thể tương tác với cửa sổ trình duyệt giả mạo, kéo thả nó trên màn hình hoặc thoát giống như bất kỳ cửa sổ hợp pháp nào hoạt động. Vì vậy, khả năng các hacker lừa được những người dùng thận trọng theo phương pháp này rất cao.

Cách duy nhất để bảo vệ bạn khỏi kiểu tấn công lừa đảo này, theo Vincent, “là thực sự cố gắng kéo dấu nhắc ra khỏi cửa sổ hiện đang hiển thị. Nếu kéo nó ra không thành công (một phần của cửa sổ bật lên biến mất khỏi rìa của cửa sổ), đó là một dấu hiệu rõ ràng cho thấy cửa sổ bật lên là giả mạo. “
Bên cạnh đó, chúng tôi luôn khuyến nghị kích hoạt xác thực hai yếu tố với mọi dịch vụ có thể, ngăn chặn tin tặc truy cập vào tài khoản trực tuyến của bạn nếu chúng bằng cách nào có thể đã lấy được thông tin đăng nhập của bạn.

Các mưu đồ lừa đảo vẫn là một trong những mối đe dọa nghiêm trọng nhất đối với người dùng cũng như các công ty và tin tặc tiếp tục thử các cách mới và sáng tạo để lừa bạn cung cấp cho họ các chi tiết nhạy cảm và tài chính mà sau này họ có thể sử dụng để đánh cắp tiền của bạn hoặc hack vào tài khoản trực tuyến của bạn.

Hãy cẩn thận và giữ an toàn! Và nâng cao kỹ năng cũng như nhận thức về an toàn thông tin bất kì khi nào có thể, qua các khóa học hữu ích và ưu đãi sau đây
Các bạn có thể đăng kí khóa học Bảo mật cho người dùng (CyberSEC) tại đây !
Hay bảo mật người dung di động (trên nền tảng Android) tại đây !

BQT ATTT EDU VN (theo THN) – www.akademy.edu.vn – Trường Công Nghệ  Trực Tuyến