Một cuộc tấn công trình duyệt trong trình duyệt là gì? Những đặc điểm chính cần biết

Gần đây, một cách mới của ăn cắp thông tin đăng nhập Facebook đã đến với light—hacker bằng cách sử dụng các cửa sổ giả mạo trong trình duyệt của bạn để bắt chước các cửa sổ bật lên hợp pháp để đăng nhập. Được gọi là các cuộc tấn công trình duyệt trong trình duyệt (BitB), hình thức lừa đảo này tạo ra một vòng xoáy mới lạ cho một vụ hack lâu đời.

Đầu tiên được ghi lại bởi chuyên gia bảo mật mr.d0x vào năm 2022, kiểu tấn công này liên quan đến một trang web bị xâm phạm hoặc không có thật tạo ra những gì có vẻ là cửa sổ đăng nhập. Thay vào đó, nó thực sự là một yếu tố được tạo ra trong tab trình duyệt hiện có được thiết kế để trông giống như một cửa sổ đăng nhập thực tế cho dịch vụ, hoàn chỉnh với màn hình giả mạo (giả mạo trực quan) của địa chỉ web đăng nhập hợp pháp. Sau đó, nếu người dùng gửi thông tin xác thực của họ thông qua biểu mẫu, kẻ xấu có thể chiếm quyền kiểm soát tài khoản hoặc thu thập dữ liệu để bán hoặc sử dụng cho các cuộc tấn công trong tương lai.

Bởi vì các cuộc tấn công BitB chỉ tăng tốc trong sáu tháng qua— và vì chúng bắt chước rất chặt chẽ các chi tiết chính hãng như URL hợp pháp trên thanh địa chỉ và thậm chí cả các thử nghiệm CAPTCHA—, chúng có thể khó phát hiện ngay lập tức. Heck, tôi đề cập đến chủ đề này, và trong nháy mắt, cửa sổ bật lên đăng nhập sai trông khá thật. Giveaway trong ảnh chụp màn hình ví dụ thực sự nằm trong URL của cửa sổ chính.

Vậy làm thế nào để bạn tránh rơi vào cái bẫy này? Một vài cách, một số lời khuyên bảo mật đã quen thuộc:

• Luôn đăng nhập trực tiếp vào một trang web. Tự điều hướng đến trang đăng nhập, trong tab trình duyệt mới.
• Cửa sổ sẽ không rời khỏi ranh giới của tab trình duyệt của bạn. Đây là phương pháp sàng lọc dễ dàng nhất—bạn cố gắng di chuyển cửa sổ bật lên “” ra ngoài tab trình duyệt. Nếu đó thực sự là cửa sổ thứ hai, bạn sẽ có thể tách hai cửa sổ đó ra. (Bạn cũng có thể kiểm tra thanh tác vụ Windows của mình để xác nhận.)
• Sử dụng trình quản lý mật khẩu. Các dịch vụ này sẽ chỉ cung cấp để điền thông tin đăng nhập của bạn trên các trang web khớp với thông tin được lưu cùng với mật khẩu của bạn.
• Bật xác thực hai yếu tố. Nếu bạn từng bị vấp ngã bởi một cuộc tấn công lừa đảo, điểm kiểm tra đăng nhập thứ hai này đôi khi có thể ngăn chặn một diễn viên xấu đánh cắp tài khoản của bạn. (Nó không phải là một sự đảm bảo, mặc dù, như các trang web lừa đảo có thể sử dụng thành công mã 2FA nếu bạn vô tình chia sẻ một, cũng vậy.)
• Sử dụng passkey bất cứ khi nào có thể. Passkeys có lợi thế gấp đôi. Đầu tiên, họ bị ràng buộc với trang web mà họ được tạo ra, vì vậy ngay cả khi bạn cố gắng sử dụng một trang web với một trang web giả mạo, nó sẽ không hoạt động. Thứ hai, họ có thể giúp báo hiệu bạn đang ở trên một trang giả mạo, nếu nó không cung cấp cho bạn tùy chọn đăng nhập bằng mật khẩu của bạn. (Thật không may, Facebook chỉ cho phép đăng nhập bằng mật khẩu trên thiết bị di động, vì vậy điều này sẽ không áp dụng cho cuộc tấn công mới nhất này.)

Trong số những mẹo này, việc di chuyển cửa sổ bật lên xung quanh để xem liệu nó có thể tách khỏi tab trình duyệt gốc hay không là một thói quen mới để phát triển một điều khác cần nhớ trong các phương pháp luôn thay đổi được những kẻ tấn công sử dụng. Lời khuyên của tôi? Đơn giản nhất là luôn đăng nhập vào một trang web bằng cách sử dụng các tab và cửa sổ trình duyệt mà bạn đã tự mở, sử dụng mật khẩu. Đối với hầu hết mọi người, điều đó có nghĩa là ít chiến lược cụ thể hơn để ghi nhớ, ngay cả khi bạn theo kịp những tin tức mới nhất.