Các cuộc tấn công Browser-in-the-Browser (BitB) đang gia tăng: Làm thế nào để giữ an toàn?

Điểm yếu lớn nhất của các cuộc tấn công lừa đảo (phishing) là chúng không thể sử dụng URL thật của trang web. Tuy nhiên, tấn công Browser-in-the-Browser (BitB) có thể khéo léo vượt qua điểm yếu này, khiến nó trở thành một trong những cuộc tấn công lừa đảo nguy hiểm nhất. Hãy cùng tìm hiểu cách thức hoạt động của cuộc tấn công này và những việc bạn có thể làm để tự bảo vệ mình.

Tấn công Browser-in-the-Browser là gì?

Như tên gọi, tấn công Browser-in-the-Browser tạo ra một cửa sổ trình duyệt giả mạo khác bên trong một cửa sổ trình duyệt thông thường. Cửa sổ giả mạo này sử dụng HTML/CSS để tạo thanh địa chỉ giả, các phần tử cửa sổ và bất kỳ nút cần thiết nào. Thanh địa chỉ giả mạo có thể hiển thị URL chính xác (như accounts.google.com), giúp người dùng tin tưởng. Nếu bạn đăng nhập thông qua trang đó, thông tin đăng nhập của bạn sẽ bị đánh cắp.

Cuộc tấn công này chủ yếu được sử dụng để chặn các nỗ lực đăng nhập bằng tài khoản mạng xã hội của bên thứ ba, đặc biệt là phương thức pop-up. Cửa sổ con pop-up dễ bị làm giả hơn, và trang độc hại không cần phải di chuyển khỏi vị trí đang được chọn. Tuy nhiên, nó cũng có thể được sử dụng để giả mạo một trình duyệt đầy đủ bằng cách mở cửa sổ ở chế độ toàn màn hình với các thành phần trình duyệt giả mạo.

Mặc dù ban đầu đây chỉ là một bằng chứng về khái niệm, nhưng nó đã nhanh chóng bị tin tặc phát hiện và sử dụng trên quy mô lớn, bao gồm cả việc nhắm mục tiêu vào game thủ thông qua Steam. Gần đây, nó đã trở thành một phần của bộ công cụ Phishing-as-a-Service (Phaas) phổ biến, Sneaky2FA. Điều này có nghĩa là các cuộc tấn công BitB sẽ trở nên phổ biến hơn nhiều khi bất kỳ ai cũng có thể dễ dàng mua và triển khai nó.

Mặc dù khó phát hiện ngay lập tức, nhưng vẫn có một số cách để bảo vệ bạn khỏi nó. Hãy làm theo các phương pháp dưới đây để đảm bảo bạn không trở thành nạn nhân của một cuộc tấn công BitB.

Dấu hiệu phổ biến của một cuộc tấn công BitB

Mặc dù cửa sổ trình duyệt giả mạo có thể rất thuyết phục, nhưng vẫn có một số dấu hiệu mà bạn có thể chú ý:

• Cửa sổ đăng nhập mở ngay lập tức khi bạn nhấp chuột. Một cửa sổ đăng nhập thực sự cần một chút thời gian để mở hoàn toàn.
• Một cửa sổ phụ thực sự có hoạt ảnh khi mở (trừ khi hiệu ứng hình ảnh bị tắt) mà một cuộc tấn công BitB sẽ không có.
• Trên Windows, một cửa sổ phụ thực sự sẽ thay đổi biểu tượng trình duyệt trên thanh tác vụ thành hình ảnh xếp chồng lên nhau. Một cuộc tấn công BitB sẽ không tạo ra cửa sổ phụ thực sự.

• Cửa sổ giả mạo có thể không có bóng, không giống như cửa sổ thật. Bóng tạo hiệu ứng cửa sổ nằm trên cùng của màn hình, điều này rất dễ nhận biết khi không có bóng.

Ngoài những dấu hiệu này, một cuộc tấn công BitB kém tinh vi hơn cũng có thể có các thành phần cửa sổ, phông chữ hoặc nút không chính xác.

Tương tác với các thành phần cửa sổ

Cuộc tấn công BitB phụ thuộc rất nhiều vào việc người dùng tin tưởng vào những gì họ nhìn thấy thoạt nhìn và cung cấp thông tin đăng nhập. Trên thực tế, rất dễ phát hiện một cuộc tấn công BitB nếu người dùng tương tác với các thành phần. Nếu nghi ngờ, bạn có thể tương tác theo những cách sau để xác nhận:

• Nhấp vào cửa sổ và thử kéo nó ra khỏi cửa sổ trình duyệt. Một cửa sổ giả mạo sẽ không thể di chuyển.
• Nhấp vào thanh địa chỉ sẽ không cho phép bạn nhập văn bản. Nhấp chuột phải cũng sẽ không mở menu ngữ cảnh đặc biệt của thanh địa chỉ.
• Bạn có thể nhấp vào biểu tượng ổ khóa để xem có hiển thị thêm chi tiết nào không. Cửa sổ trình duyệt giả mạo sẽ không hiển thị bất cứ thứ gì.

• Nếu bạn nhấp vào cửa sổ gốc, tiêu điểm sẽ chuyển từ cửa sổ pop-up sang cửa sổ gốc. Nếu tiêu điểm không chuyển, đó là cửa sổ giả mạo.

Tránh phương thức đăng nhập bằng cửa sổ pop-up

Phương thức đăng nhập bằng cửa sổ pop-up là một phương pháp lỗi thời; nó thường dựa vào cookie của bên thứ ba (hiện đang bị loại bỏ dần), dễ bị tấn công BitB và tấn công Man-in-the-middle. Các công ty hiện đã chuyển sang phương thức chuyển hướng, an toàn hơn nhiều. Tuy nhiên, phương thức cửa sổ pop-up vẫn được sử dụng bởi những trang web không muốn người dùng làm mới trang hiện tại, chẳng hạn như Pinterest.

Để tránh các vấn đề về quyền riêng tư và bảo mật liên quan đến phương thức cửa sổ pop-up, tốt nhất là không nên sử dụng tùy chọn đăng nhập của bên thứ ba trên một trang web sử dụng phương thức cửa sổ pop-up. Nếu không, ít nhất hãy tìm hiểu kỹ về cửa sổ pop-up trước khi tiếp tục.

Sử dụng chức năng tự động điền thông tin đăng nhập

Chức năng tự động điền của trình duyệt hoặc trình quản lý mật khẩu không chỉ tiện lợi mà còn an toàn hơn. Chức năng tự động điền chỉ hoạt động trên trang đăng nhập chính thức của một trang web, vì vậy nó tự động tránh được hầu hết các loại tấn công lừa đảo, bao gồm cả BitB.

Để đảm bảo an toàn tốt nhất, bạn nên sử dụng trình quản lý mật khẩu chuyên dụng để tự động điền mật khẩu, chẳng hạn như KeePass. Bạn cũng có thể sử dụng chức năng tự động điền tích hợp sẵn của trình duyệt nếu muốn, nhưng cách này kém an toàn hơn một chút khi lưu trữ mật khẩu.

Sử dụng các phương thức xác thực chống lừa đảo

Sử dụng xác thực hai yếu tố là một biện pháp ngăn chặn mạnh mẽ đối với tất cả các cuộc tấn công lừa đảo, nhưng những cuộc tấn công lừa đảo tinh vi như BitB cũng có thể đánh lừa một số phương thức xác thực hai yếu tố. Ví dụ, các phương thức xác thực hai yếu tố dựa trên OTP có thể bị BitB chặn lại để đăng nhập nhanh chóng khi bạn nhập thông tin chi tiết.

Bạn nên sử dụng phương thức xác thực hai yếu tố như khóa bảo mật phần cứng hoặc sử dụng đăng nhập không cần mật khẩu bằng passkey. Ngay cả các phương thức xác thực hai yếu tố dựa trên lời nhắc cũng có khả năng chống lại những cuộc tấn công lừa đảo như BitB.

Mặc dù cửa sổ đăng nhập giả mạo thứ cấp là một chiến thuật tấn công phổ biến của BitB, nhưng nó cũng có thể được sử dụng để chiếm quyền kiểm soát hoàn toàn màn hình của người dùng, tương tự như một cuộc tấn công scareware. Vì vậy, hãy luôn nhấp vào thanh địa chỉ để xác nhận bất cứ khi nào bạn được chuyển hướng để nhập thông tin chi tiết ở bất kỳ đâu.