Các trang web lừa đảo (hay được gọi là phishing site) thông thường chủ yếu nhắm đến một giao diện, địa chỉ tương tự như các trang gốc bạn muốn ghé thăm. Đó có thể là trang đăng nhập Facebook, đăng nhập tài khoản Paypal, ngân hàng, eBay, Amazon, trang thương mại điện tử,… Vì phần lớn các cuộc tấn công này là nhằm ăn cắp dữ liệu cá nhân của bạn, trong đó đặc biệt là thẻ ngân hàng hay thẻ tín dụng, thậm chí là tiền ảo (nếu bạn có tham gia) để từ đó gây những thiệt hại không nhỏ cho bạn.

Dĩ nhiên, thông thường bạn không thể nào tự gõ vào một địa chỉ phishing được. Các kỹ thuật “câu” thường nhắm đến thông qua các email, các trang web “nhử mồi”, các phòng chat,… Ngày nay, các trang web giả mạo thậm chí trông không khác gì một trang “xịn”. Các hacker sẵn sàng bỏ tiền mua chứng chỉ SSL để có “khóa xanh“, mua domain dạng Punnycode để có tên miền y chang tên miền gốc, từ đó dễ dàng thực hiện một chiến dịch lừa đảo hơn.

Bạn không còn có thể tin cậy các trang web có “khóa xanh” nữa, hay thậm chí là một trang có domain có vẻ đúng, nhưng thực ra đó có thể là lừa đảo. Những ghi chú dưới đây có thể giúp bạn nhận diện một trang web là lừa đảo.

Địa chỉ web (URL)

Một trong những đặc điểm đầu tiên để bạn có thể xác định một trang web lừa đảo đó là nhìn vào địa chỉ URL của nó. Hiện nay, nhiều trang web lừa đảo cũng “tự trang bị” cho mình chứng chỉ SSL để tỏ ra đáng tin cậy hơn, ngoài ra các đối tượng thường dùng các domain dạng punnycode để “che mắt” người dùng. Ngoài các trình duyệt như Microsoft Edge, Vivandi trả về kết quả URL chính xác, nếu bạn dùng trình duyệt Firefox hay Chrome thì hãy tham khảo bài viết này nhé.

Bạn truy cập địa chỉ đó bằng cách nào?

Các cuộc tấn công lừa đảo rất thường hay được thực hiện thông qua email hay các tin nhắn chat. Một trong những nguyên tắc cơ bản nhất đó là bạn không nên dễ dàng nhấn vào và tin tưởng các trang web được gửi bằng hai hình thức này. Nếu do bạn bè hay người thân gửi, bạn cần có những thao tác xác minh liên kết đó. Hoặc đơn giản hơn, ví dụ email hay tin nhắn yêu cầu bạn đăng nhập tài khoản ngân hàng chẳng hạn, thay vì bạn bấm trực tiếp liên kết đó thì hãy tự mở trình duyệt và gõ vào tên trang web (đôi khi chúng được bookmark sẵn), điều này sẽ an toàn hơn cho bạn.

Sử dụng trình quản lý mật khẩu

Việc này có thể giúp bạn giảm nguy cơ nhập nhầm mật khẩu vào các trang web lừa đảo. Các trình quản lý mật khẩu tự động có thể phát hiện tên miền đang được sử dụng là chính xác hay không và đề nghị tự động điền thông tin đăng nhập. Nếu trang web hiện ra mà trình quản lý mật khẩu không yêu cầu điền thông tin (dù bạn đã có lưu), nhiều khả năng đó chính là một trang web giả mạo.

Nhìn chung, người dùng phải rất cẩn thận và chú ý đến URL khi nhập thông tin cá nhân. Bạn hãy nhập URL theo cách thủ công hoặc điều hướng đến các trang web thông qua công cụ tìm kiếm khi nghi ngờ cho các trang web quan trọng như Gmail, Facebook, hoặc trang web ngân hàng, thay vì nhấp vào bất kỳ liên kết nào từ trang web, chat hoặc email. Điều này sẽ đảm bảo người dùng truy cập trang web gốc.

Như Trải Nghiệm Số đã giới thiệu với bạn, Punnycode là một bộ mã hóa đặt biệt được các trình duyệt web sử dụng để chuyển các ký tự Unicode thành bộ ký tự thuộc bộ mã ASCII. Ví dụ bạn muốn vào địa chỉ trang web là trảinghiệmsố.vn (lưu ý là có dấu), domain này sẽ được dịch qua mã Punnycode thành http://xn--tringhims-m86dxo6d.vn/. Nhờ vậy địa chỉ URL mới được thực thi trên trình duyệt.

Hiện nay, các hacker có thể sử dụng “lỗ hổng” này để khai thác trên các trình duyệt phổ biến như Chrome, Firefox để hiển thị các tên miền giả mạo cho các website dịch vụ hợp pháp, như Apple, Google hay Amazon để ăn cắp các thông tin đăng nhập và tài khoản ngân hàng, hay các thông tin nhạy cảm khác của người dùng. Ví dụ domain xn — 80ak6aa92e.com sẽ trả về kết quả là apple.com. Trải Nghiệm Số tiến hành thử nghiệm Punnycode trên một số trình duyệt thông dụng để xem cách thức Punnycode hoạt động cũng như đưa ra cho bạn giải pháp để ngăn ngừa việc bị giả mạo này.

Ví dụ trong bài sẽ sử dụng thử nghiệm tên miền trảinghiệmsố.vn, đây là tên miền không có thực nhằm tránh gây ảnh hưởng đến bạn.

Trình duyệt Microsoft Edge

Trên máy tính, gõ địa chỉ trảinghiệmsố.vn lên trình duyệt Microsoft Edge, Punnycode sẽ trả về ngay domain dưới dạng mã ASCII trên thanh trình duyệt, do đó bạn có thể yên tâm chỉ cần kiểm tra kỹ trình duyệt là sẽ không nhầm các tên miền “nhái” nguy hiểm.

Tương tự, với iOS và Android thì trình duyệt Microsoft Edge cũng trả về đúng tên miền đã phân giải mã ASCII, cho nên không dễ để giả mạo.

Trình duyệt Mozilla Firefox

Trong bản Firefox 63.0.3 mới nhất thì tên miền Unicode vẫn được giữ nguyên theo mặc định như ảnh dưới:

Để khắc phục vấn đề này, trên thanh địa chỉ Firefox bạn gõ about:config > Chọn I accept the risk. Trong bảng cấu hình, bạn hãy tìm đến mục network.IDN_show_punycod và chuyển thông số này qua true.

Lúc này khi gõ địa chỉ bạn sẽ được trả về đúng tên như ảnh dưới:

Trên iOS hay Android thì Firefox không gặp vấn đề này.

Trình duyệt Google Chrome

Tương tự Firefox, theo mặc định thì khi gõ địa chỉ Unicode vào thanh trình duyệt thì địa chỉ được giữ nguyên, thậm chí Chrome còn không có tùy chọn để tắt mục này như Firefox. Để có thể nhận được cảnh báo giả mạo, bạn cần phải cài đặt thêm một tiện ích mở rộng có tên là Punnycode Alert, liên kết tải bên dưới:

Chrome Web Store (Free, Chrome Web Store) →

Sau khi cài đặt, khi bạn vào nhầm một địa chỉ có mã punnycode, bạn sẽ nhận được một cảnh báo như ảnh dưới:

Trình duyệt Chrome trên iOS hay Android lại hoàn toàn không có tiện ích mở rộng này, do đó bạn cần hết sức cẩn thận khi vào các địa chỉ lạ trên iOS hay Android bằng trình duyệt này.

Như Trải Nghiệm Số từng đề cập, các tên miền dùng mã punnycode có thể dễ dàng gây nhầm lẫn khi địa chỉ domain rất giống với trang gốc. Không chỉ là thêm thắt dấu trong tên domain, nhiều domain dùng punnycode hiện nay có tên hoàn toàn giống y như domain gốc nếu bạn không để ý. Ví dụ: bạn thấy domain hiển thị là аррӏе.com, không có gì đặc biệt đúng không. Trên thực tế chữ l (lờ) đã bị thay thế bằng chữ I (chữ i hoa) nên có nét giống chữ l. “Nhờ” mã punnycode bạn sẽ rất khó phân biệt, trên thực tế bạn đã vào địa chỉ xn--80ak6aa92e.com.

Hiện tại, Chrome là trang gây rắc rối nhất khi không có chức năng hiển thị punnycode. Nếu ngại cài một tiện ích thứ ba để thực hiện việc này, bạn có thể sử dụng mẹo dưới đây:

Trên máy tính

Bước 1: Bấm vào biểu tượng “khóa xanh” (hoặc “khóa đỏ”) bên cạnh thanh địa chỉ, chọn Certificate (Valid).

Bước 2: Xem vị trí dòng Issued to, các domain punnycode đều có mở đầu là xn--, bạn có thể dựa vào đặc điểm này để phân biệt.

Trên điện thoại chạy iOS hoặc Android

Nếu bạn sử dụng trình duyệt Chrome trên smartphone, bạn cũng có thể thực hiện thao tác tương tự bằng cách bấm vào biểu tượng khóa xanh trên màn hình > chọn Thông tin chứng chỉ.

Ngay dòng đầu tiên dưới mục trình xem chứng chỉ, nếu bạn thấy có ký hiện xn-- khúc đầu có nghĩa là domain ảo dùng punnycode rồi.

Vì sao lại có sự xuất hiện của Punnycode? Nguyên nhân là vì hệ thống tên miền quốc tế International Domain Name (IDNs) chỉ hỗ trợ các domain có ký tự thuộc mã ASCII (Mã ASCII gồm ký tự từ A đến Z và từ 0 đến 9). Do đó, những domain sử dụng một số ký tự đặc biệt của Unicode không nằm trong bộ mã ASCII, ví dụ các dấu tiếng Việt sắc, huyền, hỏi, ngã, nặng,… hay các ký tự Trung Quốc không phù hợp với IDNs.

Punnycode ra đời để khắc phục điều này. Ví dụ bạn muốn vào địa chỉ trang web là trảinghiệmsố.vn (lưu ý là có dấu), domain này sẽ được dịch qua mã Punnycode thành http://xn--tringhims-m86dxo6d.vn/. Nhờ vậy địa chỉ URL mới được thực thi trên trình duyệt.

Tuy nhiên, sự ra đời của Punnycode đã kéo theo rất nhiều hệ quả do các cuộc tấn công giả mạo ký tự trên địa chỉ domain. Ví dụ, hiện tại trên mạng tồn tại hai địa chỉ là bibox.com và bỉbox.com. Trong đó trang bibox.com là địa chỉ chính chủ của một trang giao dịch tiền ảo tại Trung Quốc. Trong khi đó trang bỉbox.com (có thêm dấu hỏi) là một trang web hoàn toàn giả mạo để lừa đảo người dùng nhầm lẫn và nhập thông tin tài khoản, từ đó có khả năng tài khoản sẽ mất hết tiền.

Hiện tại, hai trình duyệt phổ biến nhất là Firefox hay Chrome là đối tượng chủ yếu của các đối tượng tấn công dạng này do mặc định đều hỗ trợ Punnycode. Trong khi đó các trình duyệt khác như Microsoft Edge, Apple Safari, Brave và Vivaldi lại hoàn toàn không ảnh hưởng bởi cuộc tấn công dạng này nếu bạn chịu khó chú ý địa chỉ duyệt web.

Rủi ro an ninh mạng khi sử dụng Punnycode

Mặc dù Punnycode mang lại nhiều tiện lợi cho việc truy cập các trang web sử dụng ký tự đặc biệt, nhưng người dùng cũng cần nhận thức rõ về các rủi ro liên quan đến an ninh mạng. Đặc biệt, các cuộc tấn công lừa đảo qua việc giả mạo tên miền trở nên ngày càng phổ biến hơn, khiến cho người dùng dễ dàng mất tiền và thông tin cá nhân.

Cách bảo vệ bản thân khi duyệt web

Để tránh rơi vào bẫy của các trang web giả mạo, người dùng nên thực hiện một số biện pháp sau:
– Kiểm tra kỹ địa chỉ URL trước khi nhấp vào liên kết, đặc biệt là với những trang yêu cầu thông tin tài khoản ngân hàng hoặc thông tin cá nhân.
– Sử dụng các phần mềm diệt virus và đã được cập nhật thường xuyên để bảo vệ thiết bị.
– Nếu có thắc mắc về một trang web nào đó, hãy tìm kiếm thông tin hoặc đánh giá từ người dùng khác trước khi cung cấp thông tin cá nhân.

Tương lai của Punnycode và an ninh mạng

Không thể phủ nhận rằng công nghệ này đã mở ra nhiều cơ hội cho việc tiếp cận thông tin và dịch vụ trực tuyến. Tuy nhiên, việc cần thiết là các nhà phát triển trình duyệt web cần có những cải tiến và biện pháp khắc phục hiệu quả để giảm thiểu các rủi ro an ninh liên quan tới Punnycode trong tương lai.