-
09/04/2020
-
95
-
757 bài viết
SVG - Công cụ lừa đảo mới của tin tặc trong các cuộc tấn công mạng
Trong thời đại số, kẻ xấu không còn chỉ gửi virus hay đường link độc hại, mà một tấm hình tưởng chừng vô hại cũng có thể là cái bẫy. Những tệp hình ảnh nhẹ, tưởng chừng vô hại này đang trở thành công cụ ưa thích của tội phạm mạng để đánh cắp thông tin đăng nhập, phát tán phần mềm độc hại và thậm chí vượt qua cả các hệ thống xác thực đa yếu tố.
Một loại hình tấn công lừa đảo (phishing) mới đang lợi dụng chính những hình ảnh đó để đánh cắp thông tin. Đó chính là lừa đảo qua tệp hình ảnh SVG – loại file thường dùng cho logo hoặc biểu tượng trên web.
SVG được sử dụng rộng rãi trên web cho các biểu tượng và logo sắc nét. Không giống như PNG hoặc JPEG, SVG là định dạng dựa trên XML và có thể nhúng mã JavaScript, cho phép chúng chứa mã tương tác hoặc trong trường hợp này là mã độc. Tội phạm mạng khai thác tính năng này bằng cách nhúng mã độc trực tiếp vào tệp SVG, dẫn đến việc truy cập trái phép, đánh cắp dữ liệu và mạo danh danh tính.
Trình duyệt có thể hiển thị SVG một cách tự nhiên, và hầu hết các ứng dụng email hiện nay không quét hay kiểm tra an toàn với loại tệp này, khiến nó trở thành công cụ lý tưởng cho các cuộc tấn công lừa đảo.
Trong một chiến dịch, kẻ tấn công giả mạo thông báo thư thoại từ Microsoft Teams. Email lừa đảo trông rất thật, yêu cầu người dùng tải về một tệp âm thanh, nhưng thực chất là một tệp SVG độc hại.
Tệp SVG này sử dụng thẻ <foreignObject> và mã hóa base64 để vượt qua các công cụ bảo mật email. Khi được mở, hình ảnh hiển thị logo Microsoft giả và tự động chuyển hướng người dùng đến một trang lừa đảo để thu thập thông tin đăng nhập.
Tập lệnh sử dụng thẻ SVG <foreignObject> và mã hóa base64, bỏ qua các công cụ bảo mật email truyền thống. Khi mở ra, hình ảnh sẽ hiển thị logo Microsoft giả và chuyển hướng nạn nhân đến trang lừa đảo nhằm thu thập thông tin xác thực.
Các nền tảng Phishing-as-a-Service (PhaaS) hiện đang khai thác SVG bao gồm:
Cách thức tấn công của tin tặc:
Một loại hình tấn công lừa đảo (phishing) mới đang lợi dụng chính những hình ảnh đó để đánh cắp thông tin. Đó chính là lừa đảo qua tệp hình ảnh SVG – loại file thường dùng cho logo hoặc biểu tượng trên web.
SVG được sử dụng rộng rãi trên web cho các biểu tượng và logo sắc nét. Không giống như PNG hoặc JPEG, SVG là định dạng dựa trên XML và có thể nhúng mã JavaScript, cho phép chúng chứa mã tương tác hoặc trong trường hợp này là mã độc. Tội phạm mạng khai thác tính năng này bằng cách nhúng mã độc trực tiếp vào tệp SVG, dẫn đến việc truy cập trái phép, đánh cắp dữ liệu và mạo danh danh tính.
Trình duyệt có thể hiển thị SVG một cách tự nhiên, và hầu hết các ứng dụng email hiện nay không quét hay kiểm tra an toàn với loại tệp này, khiến nó trở thành công cụ lý tưởng cho các cuộc tấn công lừa đảo.
Trong một chiến dịch, kẻ tấn công giả mạo thông báo thư thoại từ Microsoft Teams. Email lừa đảo trông rất thật, yêu cầu người dùng tải về một tệp âm thanh, nhưng thực chất là một tệp SVG độc hại.
Tệp SVG này sử dụng thẻ <foreignObject> và mã hóa base64 để vượt qua các công cụ bảo mật email. Khi được mở, hình ảnh hiển thị logo Microsoft giả và tự động chuyển hướng người dùng đến một trang lừa đảo để thu thập thông tin đăng nhập.
Tập lệnh sử dụng thẻ SVG <foreignObject> và mã hóa base64, bỏ qua các công cụ bảo mật email truyền thống. Khi mở ra, hình ảnh sẽ hiển thị logo Microsoft giả và chuyển hướng nạn nhân đến trang lừa đảo nhằm thu thập thông tin xác thực.
Các nền tảng Phishing-as-a-Service (PhaaS) hiện đang khai thác SVG bao gồm:
- Tycoon2FA
- Mamba2FA
- Sneaky2FA
Cách thức tấn công của tin tặc:
- Nhúng nhiều lớp mã độc đã được làm rối (obfuscate) vào tệp SVG
- Thực hiện tấn công giữa phiên (AiTM - Attack-in-the-Middle)
- Chuyển hướng người dùng đến các trang lừa đảo có khả năng vượt qua MFA
- Chặn hoặc gắn cờ tệp SVG trong email: Cân nhắc việc chặn hoặc gắn cảnh báo với email chứa SVG
- Cẩn trọng khi xem tin nhắn, email, đường link và các file đính kèm trong đó: Luôn nghi ngờ các file hoặc link bất ngờ, không nên tải xuống mà chưa thông qua kiểm tra.
- Xác minh danh tính người gửi: Kiểm tra kỹ thông tin người gửi và nội dung
- Đào tạo nhân viên: Cập nhật thường xuyên về các kỹ thuật lừa đảo mới
- Sử dụng hệ thống bảo vệ nâng cao: Cài đặt các công cụ lọc và phát hiện mối đe dọa hiệu quả
- Áp dụng phương pháp MFA với các lớp bổ sung an toàn hơn: Ưu tiên các phương pháp xác thực chống lừa đảo
Theo Security Online
Chỉnh sửa lần cuối: