Monthly Archives: July 2015

Thêm một kỹ thuật được các trang Phishing sử dụng để che giấu tên miền

Đây là 1 trang giả mạo giao diện ngân hàng Chase, trong chiến dịch lừa đảo phát động từ ngày 9/7/2015.
1
Điều đáng chú ý ở đây là các bạn hãy nhìn lên thanh địa chỉ trên trình duyệt.
Nó không ghi bất kỳ thứ gì liên quan tới địa chỉ của website, mà là một đoạn mã bắt đầu bởi: data:text/html;base64 sau đó sẽ là 1 chuỗi văn bản đã được mã hoá bằng base64. Chiêu này sẽ che mắt nạn nhân bởi nếu có để ý họ cũng không hiểu đây là gì và nghĩ rằng vẫn đang ở website chính hãng.
Bây giờ chúng ta sẽ tìm hiểu xem về kỹ thuật tại sao kẻ xấu có thể thực hiện được điều đó.
Đường dẫn thật sự của website mạo danh là: hxxp://noithatngoclam.com/wp-includes/applicateding.php, khi người dùng bị lừa bấm vào đường dẫn, trình duyệt sẽ trả về đoạn mã như sau
2
Chúng ta lưu ý sự xuất hiện của thẻ
 <meta HTTP-EQUIV=”REFRESH” content=”0; url=data:text/html;base64,[đoạn dữ liệu được mã hoá base64]>.
Khi được nhúng vào trang web, thẻ này sẽ yêu cầu trình duyệt ngay lập tức refresh trang hiện tại và sau đó tải dữ liệu được chỉ định ở ngay phần đoạn mã base64 đi kèm.
Lợi dụng đặc điểm này, kẻ tấn công đã tạo ra được 1 chiến dịch lừa đảo khéo léo che đi URL của website giả mạo, giúp cho chiến dịch lừa đảo có thể dễ dàng thành công hơn.
Như vậy phần dữ liệu được mã hoá base64 đó chính là nội dung mạo danh trang web của Chase, và ăn cắp mật khẩu của người dùng khi họ thao tác tại trang giả mạo này.
3