Lỗ hổng này trong Chrome dành cho Android cho phép kẻ tấn công lừa đảo lừa người dùng bằng thanh địa chỉ giả mạo (07.07.24)

Trong thế giới trình duyệt, Google Chrome đứng đầu - và vì một lý do chính đáng. Bên cạnh việc dễ sử dụng, Google Chrome có một hệ sinh thái tiện ích mở rộng phát triển mạnh, một bộ tính năng mạnh mẽ và nó có các phiên bản cho gần như tất cả các nền tảng chính. Với việc Chrome là trình duyệt phổ biến nhất, một số nhà phát triển bất chính có thể coi đây là phương tiện để lấy thông tin nhạy cảm từ những người dùng không nghi ngờ.

Hãy đối mặt với điều đó. Hầu hết mọi người hầu như không kiểm tra thanh địa chỉ trên trình duyệt của họ về tính xác thực của nó. Để làm cho nó tồi tệ hơn, Chrome dành cho Android ẩn thanh địa chỉ sau khi một trang được tải. Vì vậy, nếu bạn không chú ý khi duyệt trên điện thoại của mình, hãy cẩn thận với thanh địa chỉ giả mạo trên Android.

Theo nhà phân tích bảo mật James Fisher, Google Chrome có lỗi có thể cho phép những kẻ tấn công lừa đảo để cài đặt thanh địa chỉ giả trên Chrome dành cho Android và che giấu thanh địa chỉ chính hãng.

Thủ thuật thanh địa chỉ giả trên Android đã bị vạch trần

Fisher đã cho thấy trên blog của mình cách tội phạm mạng có thể khiến nội dung hiển thị như thể nó được lưu trữ trên trang web của HSBC, một tổ chức uy tín.

Một tin tặc lừa đảo sẽ kiểm tra mức độ cảnh giác của nạn nhân tiềm năng bằng nội dung giả mạo. thanh địa chỉ trên Chrome dành cho Android. Để việc khai thác này thành công, kẻ tấn công dựa vào khả năng người dùng không chú ý sau khi cuộn xuống. Thông thường, khi bạn cuộn xuống trong Chrome dành cho Android, phần trên cùng, có nút tab và thanh địa chỉ, sẽ trượt lên từ chế độ xem để cung cấp thêm không gian cho trang.

Thanh khởi động, như Fisher gọi nó, cũng có thể ngăn bạn xem thanh địa chỉ thực khi bạn cuộn lên. Fisher nhấn mạnh rằng nếu thủ thuật trên không đánh lừa người dùng, kẻ tấn công lừa đảo có thể sử dụng phần tử đệm ngăn Chrome trên Android hiển thị thanh địa chỉ khi người dùng cuộn. Thông thường, khi người dùng cuộn lên, Chrome dành cho Android sẽ hiển thị lại thanh địa chỉ thực.

Fisher phát hiện ra rằng nếu Chrome không hiển thị thanh địa chỉ chính hãng, kẻ tấn công lừa đảo sẽ dễ dàng di chuyển toàn bộ nội dung trang vào một thanh cuộn. Kết quả của việc khai thác này là một trang web trong một trang web. Vì trang web chứa thanh cuộn của riêng nó, người dùng có thể bị lừa khi nghĩ rằng họ đang cuộn trang, trong khi theo nghĩa thực, họ đang cuộn lên thanh cuộn.

Có lẽ hàm ý đáng lo ngại hơn về Thủ thuật giả mạo thanh địa chỉ trên Android là người dùng không thể dễ dàng rời khỏi trang web mà không truy cập vào thanh địa chỉ.

Cho đến nay, chưa có trường hợp nào được báo cáo về việc người dùng mất thông tin nhạy cảm cho tội phạm mạng sử dụng thanh lừa đảo này nhưng giờ Fisher đã báo cáo việc khai thác, những kẻ tấn công này có thể sử dụng nó để thực hiện các chiến dịch lừa đảo quy mô lớn.

Làm cách nào để phát hiện Thanh địa chỉ giả trong Chrome dành cho Android?

Khi chờ đợi Google phát hành bản cập nhật để ngăn chặn việc chiếm đoạt trình duyệt như vậy, chúng tôi đã đề xuất một số chiến lược để giúp bạn phát hiện thanh địa chỉ giả:

  • Một trong những cách phát hiện hiệu quả nhất thanh địa chỉ giả trong Chrome dành cho Android là để khóa điện thoại thông minh của bạn, sau đó mở khóa. Bằng cách này, trình duyệt của bạn sẽ buộc phải hiển thị thanh địa chỉ thực của nó. Và nếu bạn đang đối mặt với một cuộc tấn công lừa đảo, bạn sẽ nhận thấy thanh địa chỉ giả mạo bên dưới thanh địa chỉ chính hãng. Bạn có thể xem các thanh địa chỉ này ngay cả khi bạn đã cuộn xuống.
  • Một mẹo khác mà bạn có thể sử dụng để phát hiện ra thủ đoạn giả mạo thanh địa chỉ trên Android là theo dõi kỹ số lượng hiển thị trong biểu tượng tab khi sử dụng nhiều tab. Tại đây, thanh địa chỉ giả sẽ hiển thị một con số không chính xác.
  • Với chế độ tối mới trong Chrome dành cho Android, giờ đây việc phát hiện thanh địa chỉ giả rất dễ dàng. Khi tính năng này hoạt động, thanh địa chỉ chính hãng và tất cả các phần tử giao diện người dùng sẽ chuyển sang màu đen trong khi thanh địa chỉ giả sẽ vẫn có màu trắng, giúp dễ dàng phân biệt thanh địa chỉ hợp pháp với thanh địa chỉ giả mạo.
Giữ an toàn

Bên cạnh các mẹo trên, điều quan trọng là phải bảo mật điện thoại của bạn trước các cuộc tấn công độc hại. Sử dụng ứng dụng tăng cường đáng tin cậy để quét sạch rác và tối ưu hóa điện thoại của bạn để đạt hiệu suất cao nhất. Công cụ dọn dẹp Android xử lý bộ nhớ, hiệu suất, bảo mật và tuổi thọ pin của điện thoại. Sử dụng ứng dụng này để bảo vệ thông tin nhạy cảm của bạn khi duyệt trên điện thoại bằng Wi-Fi công cộng.

Một điểm cần lưu ý là hiện tại việc khai thác chỉ là một bằng chứng về khái niệm. Nhưng hãy nhớ rằng không có gì ngăn được những kẻ tấn công lừa đảo sử dụng các vectơ như vậy để thu thập thông tin từ những người dùng không nghi ngờ.

Cách đây không lâu, Fisher đã nêu vấn đề với chính sách của Google đối với địa chỉ Gmail. Chính sách "dấu chấm không quan trọng" thể hiện một kẽ hở mà những kẻ lừa đảo có thể sử dụng để tạo một số tài khoản Gmail bằng cách sử dụng dấu chấm bổ sung. Mặc dù Google không phân biệt dấu chấm trong địa chỉ email, nhưng các dịch vụ trực tuyến khác nhận ra chúng. Vì sơ hở này, những kẻ lừa đảo đã lừa đảo một số chủ sở hữu tài khoản Netflix.

Kết luận cuối cùng

Google vẫn chưa đưa ra phản hồi chính thức về thủ thuật giả mạo thanh địa chỉ trên Android, vì vậy không có thông tin về thời điểm lỗ hổng sẽ được khắc phục . Tuy nhiên, các mẹo trên sẽ giúp bạn phát hiện thanh địa chỉ giả trong Chrome dành cho Android và bảo vệ điện thoại của bạn khỏi các cuộc tấn công độc hại. Trong mọi trường hợp, bạn phải trả tiền để bảo vệ bạn khỏi tất cả các hình thức tấn công lừa đảo. Bạn nên cẩn thận hơn bất cứ khi nào bạn duyệt web bằng Chrome dành cho Android. Hãy nhớ kiểm tra lại blog này để tìm hiểu thêm về cách bảo vệ và tối ưu hóa điện thoại của bạn để đạt hiệu suất cao nhất.

Video youtube.: Lỗ hổng này trong Chrome dành cho Android cho phép kẻ tấn công lừa đảo lừa người dùng bằng thanh địa chỉ giả mạo

07, 2024