-
09/04/2020
-
112
-
1.108 bài viết
6 hình thức tấn công trên trình duyệt web mà bạn không thể chủ quan
Bạn có để ý không, hầu hết công việc hàng ngày của chúng ta đều bắt đầu từ… một cửa sổ trình duyệt? Đăng nhập email, truy cập phần mềm kế toán, họp online, quản lý dự án, thậm chí trò chuyện với đồng nghiệp - tất cả đều đi qua đó. Thế nhưng, cũng chính nơi quen thuộc này lại là “cửa ngõ” mà kẻ tấn công luôn tìm cách lợi dụng.
Ngày trước, mối lo chủ yếu xoay quanh hộp thư điện tử hay chiếc máy tính cá nhân. Giờ thì mọi thứ khác hẳn: ta di chuyển qua hàng trăm ứng dụng SaaS, mạng xã hội, nền tảng nhắn tin và vô số dịch vụ trực tuyến khác. Bề mặt tấn công ngày càng rộng trong khi nhiều lớp bảo mật cũ kỹ không còn đủ sức che chắn.
Vậy nên, trình duyệt - nơi tập trung mọi thao tác đăng nhập, trao đổi, xử lý dữ liệu có thể trở thành nơi thu hút nhiều sự chú ý nhất, kể cả tích cực và tiêu cực.
Và câu hỏi đặt ra cho tôi, cho bạn, cho tất cả chúng ta là: liệu chúng ta đã nhìn nhận đúng mức độ rủi ro từ “cửa sổ” tưởng chừng vô hại này chưa?
Bộ công cụ phishing thế hệ mới tinh vi hơn nhiều: chúng có khả năng vượt qua xác thực đa yếu tố, mô phỏng CAPTCHA hoặc giao diện trang thật đến mức khó phân biệt, và tận dụng các dịch vụ lưu trữ hợp pháp (Google Drive, Dropbox…) để che giấu liên kết độc hại. Nội dung trang lừa thường được obfuscate động để né hệ thống phát hiện và phân tích.
Mục tiêu cuối cùng là lấy được thông tin đăng nhập hoặc token phiên (cookies, session token), những thứ cho phép kẻ tấn công truy cập tài khoản và dịch vụ mà không cần tấn công hạ tầng trực tiếp. Vì vậy, phishing hiện hoạt động theo quy mô công nghiệp và ngày càng khó phát hiện bằng các biện pháp email/network truyền thống.
Tóm lại: bất cứ đường link hay yêu cầu “xác thực” nào dù xuất hiện ở đâu cũng cần được xem xét thận trọng, kẻ tấn công đang nhắm thẳng vào phiên làm việc và quyền truy cập chứ không chỉ vào mật khẩu.
Biến thể FileFix tận dụng thanh địa chỉ của File Explorer để chèn lệnh hệ điều hành, khiến người dùng tưởng đang thao tác bình thường nhưng thực tế kích hoạt mã độc cục bộ. Các trang mồi thường giả dạng thông báo lỗi, CAPTCHA giả hoặc hướng dẫn khẩn cấp để tạo cảm giác tin cậy và thúc đẩy người dùng làm theo ngay.
Hậu quả là thiết bị bị cài mã đánh cắp cookie, token hoặc trình tiền ảo backdoor, từ đó kẻ tấn công có thể chiếm phiên đăng nhập và truy cập tài nguyên nội bộ. Vì hành vi này thao tác trực tiếp trên máy nạn nhân, nhiều biện pháp mạng truyền thống khó phát hiện kịp,do đó, cảnh giác với mọi yêu cầu “sao chép - dán” và hạn chế quyền thực thi lệnh của người dùng là rất cần thiết.
Vụ tấn công vào Salesforce là minh họa điển hình: nạn nhân nhập mã xác thực rồi cấp quyền cho ứng dụng giả mạo, từ đó kẻ tấn công chiếm quyền trên tài khoản mà không cần vượt qua mật khẩu hay MFA.
Vấn đề càng phức tạp khi doanh nghiệp sử dụng hàng trăm ứng dụng SaaS, nhiều ứng dụng nằm ngoài tầm kiểm soát trực tiếp của CNTT. Thiếu tầm nhìn về các OAuth grant, thiếu chính sách kiểm soát ứng dụng và quyền hạn khiến tổ chức khó ngăn chặn loại tấn công này.
Kẻ xấu có hai con đường dễ dàng: tạo một extension mới mượn danh công cụ hữu ích để dụ người dùng cài đặt, hoặc mua/chiếm quyền một extension phổ biến rồi đẩy bản cập nhật có mã độc. Hậu quả thường thấy là mất tài khoản, lộ token truy cập và khả năng tấn công lan rộng tới các hệ thống doanh nghiệp. Vụ Cyberhaven cuối 2024, khi nhiều extension bị lợi dụng là minh chứng rõ ràng cho rủi ro này.
Vì vậy, cần giới hạn cài đặt extension không được kiểm duyệt, áp dụng chính sách whitelisting/blacklisting và giám sát hành vi bất thường của extension trên môi trường làm việc.
Vấn đề nguy hiểm là nhiều tệp thực hiện hành vi độc hại hoàn toàn phía client: chúng render ngay trong trình duyệt hoặc khởi chạy bằng các thành phần hệ điều hành có sẵn, vì thế chỉ dựa vào kiểm tra bề mặt (tên file, phần mở rộng) thường không đủ để phát hiện. Một số mẫu tệp còn dùng kỹ thuật né sandbox hoặc tải payload bổ sung khi chạy, khiến việc phân tích và chặn càng trở nên khó khăn.
Hậu quả có thể là lộ thông tin đăng nhập, cookie/phiên bị chiếm, mã độc cài ngầm hoặc bị chuyển hướng tới các trang lừa đảo để tiếp tục chuỗi tấn công. Do đó, bên cạnh các biện pháp phát hiện malware truyền thống, cần chủ động ghi nhận và giám sát hành vi tải file từ trình duyệt, chặn những định dạng nguy cơ cao ở điểm tải, quét file bằng sandbox/detection có khả năng phân tích hành vi, và kết hợp với chính sách hạn chế quyền thực thi trên máy người dùng.
Tóm lại: không phải mọi file download đều là “tệp dữ liệu” - nhiều file chính là cổng vào cho cuộc tấn công. Giữ nhật ký tải file, kiểm soát loại file được phép, và áp dụng quét theo hành vi là những bước đơn giản nhưng rất cần thiết để giảm rủi ro.
Vì vậy, việc triển khai MFA cần đi kèm với rà soát toàn diện: phát hiện “ghost login”, ép buộc MFA cho mọi entry point có thể, tắt các phương thức đăng nhập cục bộ không cần thiết và liên tục giám sát hoạt động đăng nhập bất thường. Chỉ khi đảm bảo không còn lỗ hổng ở các đường đăng nhập phụ, MFA mới thực sự phát huy hiệu quả.
Viết đến đây, tôi cứ tự hỏi: bao nhiêu người trong chúng ta thực sự coi trọng việc bảo vệ ngay chính… trình duyệt mình dùng mỗi ngày? Chúng ta thường bàn về tường lửa, về hệ thống giám sát, về SOC nhưng lại dễ bỏ qua “cửa ngõ” mà ngày nào mình cũng mở ra hàng chục lần.
6 hình thức tấn công này không phải điều gì xa lạ vì chúng đã và đang diễn ra âm thầm quanh chúng ta. Vậy câu hỏi là: bạn có đang để trình duyệt trở thành điểm mù trong hệ thống phòng thủ của chính mình?
Ngày trước, mối lo chủ yếu xoay quanh hộp thư điện tử hay chiếc máy tính cá nhân. Giờ thì mọi thứ khác hẳn: ta di chuyển qua hàng trăm ứng dụng SaaS, mạng xã hội, nền tảng nhắn tin và vô số dịch vụ trực tuyến khác. Bề mặt tấn công ngày càng rộng trong khi nhiều lớp bảo mật cũ kỹ không còn đủ sức che chắn.
Vậy nên, trình duyệt - nơi tập trung mọi thao tác đăng nhập, trao đổi, xử lý dữ liệu có thể trở thành nơi thu hút nhiều sự chú ý nhất, kể cả tích cực và tiêu cực.
Và câu hỏi đặt ra cho tôi, cho bạn, cho tất cả chúng ta là: liệu chúng ta đã nhìn nhận đúng mức độ rủi ro từ “cửa sổ” tưởng chừng vô hại này chưa?
Top 6 hình thức tấn công tiêu biểu
1. Lừa đảo lấy thông tin đăng nhập (Phishing)
Phishing giờ không chỉ là những email giả mạo gửi hàng loạt. Kẻ xấu tận dụng mọi kênh giao tiếp như tin nhắn, mạng xã hội, quảng cáo độc hại, thậm chí các chức năng nhắn tin nội bộ trong ứng dụng để chuyển hướng nạn nhân tới trang lừa đảo.Bộ công cụ phishing thế hệ mới tinh vi hơn nhiều: chúng có khả năng vượt qua xác thực đa yếu tố, mô phỏng CAPTCHA hoặc giao diện trang thật đến mức khó phân biệt, và tận dụng các dịch vụ lưu trữ hợp pháp (Google Drive, Dropbox…) để che giấu liên kết độc hại. Nội dung trang lừa thường được obfuscate động để né hệ thống phát hiện và phân tích.
Mục tiêu cuối cùng là lấy được thông tin đăng nhập hoặc token phiên (cookies, session token), những thứ cho phép kẻ tấn công truy cập tài khoản và dịch vụ mà không cần tấn công hạ tầng trực tiếp. Vì vậy, phishing hiện hoạt động theo quy mô công nghiệp và ngày càng khó phát hiện bằng các biện pháp email/network truyền thống.
Tóm lại: bất cứ đường link hay yêu cầu “xác thực” nào dù xuất hiện ở đâu cũng cần được xem xét thận trọng, kẻ tấn công đang nhắm thẳng vào phiên làm việc và quyền truy cập chứ không chỉ vào mật khẩu.
2. Tấn công chèn lệnh độc hại (ClickFix, FileFix,...)
ClickFix là chiêu lừa tinh vi: nạn nhân được hướng dẫn “xác minh” bằng cách sao chép một đoạn mã từ trang web rồi dán vào hộp Run (Windows) hoặc Terminal (Mac). Thực chất đoạn mã đó chứa lệnh thực thi tải về và chạy phần mềm gián điệp hoặc công cụ đánh cắp thông tin.Biến thể FileFix tận dụng thanh địa chỉ của File Explorer để chèn lệnh hệ điều hành, khiến người dùng tưởng đang thao tác bình thường nhưng thực tế kích hoạt mã độc cục bộ. Các trang mồi thường giả dạng thông báo lỗi, CAPTCHA giả hoặc hướng dẫn khẩn cấp để tạo cảm giác tin cậy và thúc đẩy người dùng làm theo ngay.
Hậu quả là thiết bị bị cài mã đánh cắp cookie, token hoặc trình tiền ảo backdoor, từ đó kẻ tấn công có thể chiếm phiên đăng nhập và truy cập tài nguyên nội bộ. Vì hành vi này thao tác trực tiếp trên máy nạn nhân, nhiều biện pháp mạng truyền thống khó phát hiện kịp,do đó, cảnh giác với mọi yêu cầu “sao chép - dán” và hạn chế quyền thực thi lệnh của người dùng là rất cần thiết.
3. Tấn công qua ứng dụng OAuth giả mạo
Thay vì lấy trực tiếp mật khẩu, kẻ tấn công ngày càng chuyển sang chiêu thức lừa người dùng cấp quyền cho một ứng dụng OAuth do chúng kiểm soát. Người dùng bị dẫn dắt qua quy trình cấp quyền, đôi khi chỉ bằng cách nhập một mã ngắn và vô tình trao cho ứng dụng độc hại khả năng truy cập dữ liệu, gửi thư, hoặc thao tác thay mặt họ.Vụ tấn công vào Salesforce là minh họa điển hình: nạn nhân nhập mã xác thực rồi cấp quyền cho ứng dụng giả mạo, từ đó kẻ tấn công chiếm quyền trên tài khoản mà không cần vượt qua mật khẩu hay MFA.
Vấn đề càng phức tạp khi doanh nghiệp sử dụng hàng trăm ứng dụng SaaS, nhiều ứng dụng nằm ngoài tầm kiểm soát trực tiếp của CNTT. Thiếu tầm nhìn về các OAuth grant, thiếu chính sách kiểm soát ứng dụng và quyền hạn khiến tổ chức khó ngăn chặn loại tấn công này.
4. Tiện ích mở rộng trình duyệt độc hại
Một tiện ích mở rộng tưởng chừng vô hại có thể trở thành cánh tay gián điệp: nó quan sát thao tác đăng nhập, trích xuất cookie, lấy mật khẩu lưu trong trình duyệt hoặc chèn mã vào trang web để thu thập dữ liệu và gửi về máy chủ của kẻ tấn công.Kẻ xấu có hai con đường dễ dàng: tạo một extension mới mượn danh công cụ hữu ích để dụ người dùng cài đặt, hoặc mua/chiếm quyền một extension phổ biến rồi đẩy bản cập nhật có mã độc. Hậu quả thường thấy là mất tài khoản, lộ token truy cập và khả năng tấn công lan rộng tới các hệ thống doanh nghiệp. Vụ Cyberhaven cuối 2024, khi nhiều extension bị lợi dụng là minh chứng rõ ràng cho rủi ro này.
Vì vậy, cần giới hạn cài đặt extension không được kiểm duyệt, áp dụng chính sách whitelisting/blacklisting và giám sát hành vi bất thường của extension trên môi trường làm việc.
5. Tệp tin độc hại từ trình duyệt
Tệp tải về từ trình duyệt là một con đường tấn công lâu đời nhưng vẫn rất hiệu quả. Một file nhìn có vẻ vô hại khi tải về có thể ẩn chứa mã thực thi (chẳng hạn .exe, .hta), hoặc đóng vai trò như một trang giả mạo tự chạy trên máy nạn nhân (SVG, HTML Application), thậm chí chỉ đơn giản là một container chứa liên kết chuyển hướng tới trang phishing.Vấn đề nguy hiểm là nhiều tệp thực hiện hành vi độc hại hoàn toàn phía client: chúng render ngay trong trình duyệt hoặc khởi chạy bằng các thành phần hệ điều hành có sẵn, vì thế chỉ dựa vào kiểm tra bề mặt (tên file, phần mở rộng) thường không đủ để phát hiện. Một số mẫu tệp còn dùng kỹ thuật né sandbox hoặc tải payload bổ sung khi chạy, khiến việc phân tích và chặn càng trở nên khó khăn.
Hậu quả có thể là lộ thông tin đăng nhập, cookie/phiên bị chiếm, mã độc cài ngầm hoặc bị chuyển hướng tới các trang lừa đảo để tiếp tục chuỗi tấn công. Do đó, bên cạnh các biện pháp phát hiện malware truyền thống, cần chủ động ghi nhận và giám sát hành vi tải file từ trình duyệt, chặn những định dạng nguy cơ cao ở điểm tải, quét file bằng sandbox/detection có khả năng phân tích hành vi, và kết hợp với chính sách hạn chế quyền thực thi trên máy người dùng.
Tóm lại: không phải mọi file download đều là “tệp dữ liệu” - nhiều file chính là cổng vào cho cuộc tấn công. Giữ nhật ký tải file, kiểm soát loại file được phép, và áp dụng quét theo hành vi là những bước đơn giản nhưng rất cần thiết để giảm rủi ro.
6. Tài khoản không có xác thực đa yếu tố (MFA)
Có MFA không có nghĩa là an toàn tuyệt đối. Trong thực tế, vẫn tồn tại những tài khoản “bóng ma” - vùng đăng nhập cục bộ, session cũ hoặc tài khoản phụ mà không buộc xác thực đa yếu tố. Khi kẻ tấn công đã thu thập được mật khẩu từ phishing hoặc malware, chúng sẽ quét tìm và tận dụng chính những điểm yếu này để xâm nhập nhanh chóng mà không bị chặn bởi MFA.Vì vậy, việc triển khai MFA cần đi kèm với rà soát toàn diện: phát hiện “ghost login”, ép buộc MFA cho mọi entry point có thể, tắt các phương thức đăng nhập cục bộ không cần thiết và liên tục giám sát hoạt động đăng nhập bất thường. Chỉ khi đảm bảo không còn lỗ hổng ở các đường đăng nhập phụ, MFA mới thực sự phát huy hiệu quả.
Viết đến đây, tôi cứ tự hỏi: bao nhiêu người trong chúng ta thực sự coi trọng việc bảo vệ ngay chính… trình duyệt mình dùng mỗi ngày? Chúng ta thường bàn về tường lửa, về hệ thống giám sát, về SOC nhưng lại dễ bỏ qua “cửa ngõ” mà ngày nào mình cũng mở ra hàng chục lần.
6 hình thức tấn công này không phải điều gì xa lạ vì chúng đã và đang diễn ra âm thầm quanh chúng ta. Vậy câu hỏi là: bạn có đang để trình duyệt trở thành điểm mù trong hệ thống phòng thủ của chính mình?
Tổng hợp