Tấn công “trình duyệt-trong-trình duyệt” là gì? Các đặc điểm chính cần biết

Khi nói đến các cuộc tấn công lừa đảo tinh vi, một kỹ thuật mới đang nổi lên có tên tấn công trình duyệt-trong-trình duyệt (Browser-in-the-Browser – BITB). Đây là một dạng nâng cấp của lừa đảo trang đăng nhập giả, nhưng khó phát hiện hơn vì nó tạo ra cả cửa sổ trình duyệt giả trông y hệt thật ngay trong trang web.

BITB hoạt động như thế nào

Trong các cuộc lừa đảo đăng nhập truyền thống, kẻ tấn công dẫn người dùng đến một trang web giả mạo trông giống trang đăng nhập thực, và hiển thị URL giả trong thanh địa chỉ. Người dùng nếu không kiểm tra kỹ URL có thể dễ bị lừa.

Tuy nhiên, BITB hoàn toàn khác: nó tạo ra một hộp trình duyệt giả (fake browser window) ngay trên trang web đó, với đầy đủ giao diện giả của trình duyệt — kể cả thanh địa chỉ, nút đóng và các yếu tố UI khác — để khiến người dùng tin rằng đó chính là trình duyệt thật. Kẻ tấn công nhúng cửa sổ này vào trong trang web bằng kỹ thuật HTML/CSS/JavaScript để nó trông như thanh trình duyệt thật, dù thực tế nó chỉ là một phần của nội dung trang.

Điều này có nghĩa là bạn có thể thấy điểm nhấp chuột giống như chỉnh URL, nhưng thực chất toàn bộ thanh địa chỉ và hộp trình duyệt đó là giả, do kẻ xấu dựng lên và kiểm soát hoàn toàn.

Tại sao BITB lại nguy hiểm

Các kỹ thuật phát hiện lừa đảo trang đăng nhập hiện nay thường dựa vào kiểm tra URL trong thanh địa chỉ để xác định trang giả. Với BITB, kẻ tấn công có thể:

• Hiển thị một URL hợp lệ trong hộp trình duyệt giả

• Khiến người dùng tin rằng họ đang ở đúng trang hợp lệ

• Khó phân biệt vì cửa sổ này trông như trình duyệt thật

Trong ví dụ thường gặp, kẻ tấn công gửi email hoặc tin nhắn lừa đảo, nói rằng bạn cần đăng nhập vào tài khoản (ví dụ như Facebook). Khi nhấp vào liên kết, trang web mở ra có một cửa sổ trình duyệt giả chứa một bản sao của trang đăng nhập thực. Người dùng chỉ cần gõ tài khoản và mật khẩu là rơi vào bẫy.

Làm thế nào để phát hiện BITB

Có vài cách đơn giản để kiểm tra xem một cửa sổ trình duyệt có thật hay không:

1. Thử kéo cửa sổ
Cửa sổ trình duyệt thật có thể được kéo khắp màn hình. Trong khi đó, cửa sổ trình duyệt giả do trang web dựng lên không thể kéo được, vì nó chỉ là một phần của trang web.

2. Kiểm tra URL thực của trình duyệt

• Đối với cửa sổ thật, URL nằm trong thanh địa chỉ của trình duyệt hệ thống (Chrome, Edge, Firefox…)

• Cửa sổ giả có thể hiển thị URL trong nội dung trang, nhưng thanh địa chỉ thật của trình duyệt sẽ là của trang hiện tại (ví dụ domain lạ)

3. Kiểm tra sự khác biệt về phản hồi các phím tắt
Cửa sổ trình duyệt hệ thống tương tác với các phím tắt (như Ctrl+L để vào thanh địa chỉ, hay Ctrl+T mở tab mới). Một cửa sổ giả sẽ không phản hồi như trình duyệt thật.

Một số dấu hiệu cảnh báo khác

• Trang yêu cầu bạn đăng nhập ngay lập tức sau khi mở liên kết

• Trang cảm giác quá giống phiên bản chính thức, nhưng URL thực không khớp

• Phần giao diện trình duyệt hiển thị bất thường hoặc không phản hồi với thao tác của trình duyệt thật

Làm gì khi nghi ngờ bị tấn công BITB

• Đóng tab trình duyệt hoàn toàn và mở lại trang hợp pháp bằng tay

• Không nhập thông tin đăng nhập trên trang nghi ngờ

• Truy cập trang chính thức bằng cách gõ URL trực tiếp

• Sử dụng xác thực đa yếu tố (MFA) để giảm rủi ro bị lộ mật khẩu