Nếu bạn vẫn còn dùng Facebook, nó vẫn là mục tiêu khá hấp dẫn đối với tin tặc và những kẻ trộm kỹ thuật số. Chúng đang sử dụng một kỹ thuật mà bạn nên biết, ngay cả khi bạn chỉ tương tác với thế giới hỗn loạn của Facebook thông qua người thân: tấn công trình duyệt trong trình duyệt (Browser-in-the-Browser).
Tấn công trình duyệt trong trình duyệt (thường được viết tắt là BITB) là một ý tưởng cũ, nhưng được biến tấu mới. Bạn sẽ có một trang giả mạo bắt chước một trang thật — không có gì mới, phải không? Miễn là bạn có thể thấy rằng mình đang ở đúng URL trong trình duyệt (kiểm tra cẩn thận các trang web giả mạo, chẳng hạn như “faceloook.com”), bạn sẽ an toàn. Cuộc tấn công BITB tạo ra cả trang giả mạo và các yếu tố trình duyệt giả mạo xung quanh trang đó, bao gồm cả địa chỉ trông có vẻ hợp pháp trong thanh URL. Nó đơn giản, tinh vi và hiệu quả.
Công ty bảo mật Trellix vừa công bố một báo cáo mới cho thấy các cuộc tấn công trình duyệt trong trình duyệt (Browser-in-the-Browser – BITB) đang gia tăng, đặc biệt nhắm vào người dùng Facebook. Mồi nhử đến từ những nơi quen thuộc, email hoặc tin nhắn rác thông báo rằng có vấn đề với tài khoản hoặc có lỗi bảo mật khác, nhưng khi nhấp vào URL giả mạo (nhưng trông có vẻ hợp pháp) sẽ dẫn bạn đến một trang tùy chỉnh sử dụng thủ thuật hiển thị BITB. Thêm bước xác thực Captcha có thể đánh lừa người dùng, và sau đó chỉ cần một trang đăng nhập giả mạo là đủ để lấy được tên người dùng và mật khẩu.
Facebook là mục tiêu hấp dẫn như vậy vì số lượng người dùng khổng lồ, hơn hai tỷ người dùng hoạt động hàng ngày theo một số thống kê. Và nhiều người trong số họ, ừm, không rành về công nghệ. Vì vậy, họ không chỉ dễ bị lừa bởi thủ thuật trình duyệt trong trình duyệt mà còn có khả năng tái sử dụng mật khẩu đăng nhập cao hơn. Điều đó sẽ khiến một cuộc tấn công lừa đảo thành công, nhắm vào việc đánh cắp danh tính, trở nên nguy hiểm hơn.
Như trang Bleeping Computer đã lưu ý, bạn có thể phát hiện ra cuộc tấn công trình duyệt trong trình duyệt bằng cách thử tương tác với trình duyệt giả mạo bên trong. Nếu bạn không thể nhấp và kéo thanh tiêu đề, đó là một dấu hiệu dễ nhận biết. Và như mọi khi, đăng nhập thông qua một cửa sổ, trình duyệt hoặc thiết bị riêng biệt thay vì nhấp vào liên kết là một cách tuyệt vời để nhanh chóng kiểm tra tính xác thực của một email đáng báo động.