Loadding..

Xu hướng mới trong các chiến dịch tấn công Phishing

Xu hướng mới trong các chiến dịch tấn công Phishing

 

Hẳn mọi người còn nhớ 1 công bố cách đây chưa lâu về 1 chiến dịch phát tán spam, mạo danh tên miền của Google (http://thenextweb.com/google/2016/11/21/google-isnt-google/)

Ký tự đặc biệt nhìn rất giống chữ G thông thường
CyRadar đã quyết định tiến hành thử nghiên cứu trên khoảng 16 triệu tên miền được sinh ra trong 2 tháng gần đây và phát hiện 1 xu hướng đang gia tăng để có thể lợi dụng các hãng nổi tiếng. Có tới 58 tên miền có sử dụng các kí tự unicode tên gần giống với các hãng nổi tiếng, hoàn toàn có thể được dùng để mạo danh các hãng uy tín.
Hãy cùng xem 1 số tên miền mới được đăng kí gần đây:
Trong đó, đã có website nội dung mạo danh Facebook được tạo ra

Bạn có phân biệt được đây là website giả mạo ?
Việc sử dụng các kí tự unicode ‘é’, ‘č’, ‘â’, … để đánh lừa người dùng là các kí tự ‘e’, ‘c’, ‘a’, … có thể đã được các hacker sử dụng từ lâu. Tuy nhiên gần đây các tên miền mà có chứa các kí tự trên được đăng kí khá nhiều.
Thực chất các tên miền trên sẽ được giải mã sang dạng alphabet như sau:

Ký tự Unicode được lợi dụng
Đặc biệt, các hacker còn sử dụng nhưng kí tự unicode rất giống với các kí tự alphabet. Như domain sau:

Tên miền mạo danh đây sao ?
Nếu nhìn bằng mắt thường hoặc trên các trình duyệt hiện nay (Firefox, Chrome, …) đều khó có thể phân biệt được đây có phải là trang mạng xã hội facebook.com mà chúng ta vẫn hay sử dụng hay không?
Hãy để ý kí tự ‘o’ thứ 2. Thực ra nó không phải là kí tự ‘o’ alphabet mà là 1 kí tự unicode.
Tên miền trên sẽ được giải mã sang dạng alphabet như sau:
Không chỉ có Facebook, các hãng khác cũng là mục tiêu của các chiến dịch phishing:
Và còn rất nhiều các hãng nổi tiếng khác nữa.
Ở thời điểm hiện tại, khi vào các tên miền trên, hầu hết vẫn chưa thấy các “hành động” bất thường.
Tuy nhiên điều đó không đảm bảo là các tên miền trên là “sạch”. Có thể các hacker đang chờ đợi đến 1 “thời điểm đẹp” sẽ kích hoạt chiến dịch phishing thông qua các tên miền trên

Website tên gần giống Paypal này đang sử dụng server IIS7, hiện tại chưa có gì. Nhưng rất có thể sẽ là 1 chiến dịch phishing trong tương lai gần.

Vì vậy CyRadar mong người dùng internet hiện nay hãy thật cẩn thận khi truy cập những link lạ (cảnh giác, nhìn kĩ tên miền truy cập). Một điểm người sử dụng cần lưu ý là các website giả mạo không thể có Certificate thật hiển thị trên thanh địa chỉ của trình duyệt được.

Bài gốc tại: https://www.facebook.com/notes/cyradar/

Print
Tags:

Image

enqtran

I'm enqtran - A coder and blogger :) [email protected]