Connect with us

Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

hacker code featured - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt



bài dởbài hay

Để tránh vào nhầm các trang web lừa đảo với tên miền rất giống “phiên bản gốc”, bạn nên tắt tính năng Punnycode trên trình duyệt đi.




Như Trải Nghiệm Số đã giới thiệu với bạn, Punnycode là một bộ mã hóa đặt biệt được các trình duyệt web sử dụng để chuyển các ký tự Unicode thành bộ ký tự thuộc bộ mã ASCII. Ví dụ bạn muốn vào địa chỉ trang web là trảinghiệmsố.vn (lưu ý là có dấu), domain này sẽ được dịch qua mã Punnycode thành http://xn--tringhims-m86dxo6d.vn/. Nhờ vậy địa chỉ URL mới được thực thi trên trình duyệt.

Hiện nay, các hacker có thể sử dụng “lỗ hổng” này để khai thác trên các trình duyệt phổ biến như Chrome, Firefox để hiển thị các tên miền giả mạo cho các website dịch vụ hợp pháp, như Apple, Google hay Amazon để ăn cắp các thông tin đăng nhập và tài khoản ngân hàng, hay các thông tin nhạy cảm khác của người dùng. Ví dụ domain xn — 80ak6aa92e.com sẽ trả về kết quả là apple.com. Trải Nghiệm Số tiến hành thử nghiệm Punnycode trên một số trình duyệt thông dụng để xem cách thức Punnycode hoạt động cũng như đưa ra cho bạn giải pháp để ngăn ngừa việc bị giả mạo này.

Ví dụ trong bài sẽ sử dụng thử nghiệm tên miền trảinghiệmsố.vn, đây là tên miền không có thực nhằm tránh gây ảnh hưởng đến bạn.

 

Trình duyệt Microsoft Edge

punnycode edge - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Trên máy tính, gõ địa chỉ trảinghiệmsố.vn lên trình duyệt Microsoft Edge, Punnycode sẽ trả về ngay domain dưới dạng mã ASCII trên thanh trình duyệt, do đó bạn có thể yên tâm chỉ cần kiểm tra kỹ trình duyệt là sẽ không nhầm các tên miền “nhái” nguy hiểm.

Tương tự, với iOS và Android thì trình duyệt Microsoft Edge cũng trả về đúng tên miền đã phân giải mã ASCII, cho nên không dễ để giả mạo.

 

Trình duyệt Mozilla Firefox

Trong bản Firefox 63.0.3 mới nhất thì tên miền Unicode vẫn được giữ nguyên theo mặc định như ảnh dưới:

punnycode firefox - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Để khắc phục vấn đề này, trên thanh địa chỉ Firefox bạn gõ about:config > Chọn I accept the risk. Trong bảng cấu hình, bạn hãy tìm đến mục network.IDN_show_punycod và chuyển thông số này qua true.

punnycode firefox 2 - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Lúc này khi gõ địa chỉ bạn sẽ được trả về đúng tên như ảnh dưới:

punnycode firefox 3 - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Trên iOS hay Android thì Firefox không gặp vấn đề này.

 

Trình duyệt Google Chrome

Tương tự Firefox, theo mặc định thì khi gõ địa chỉ Unicode vào thanh trình duyệt thì địa chỉ được giữ nguyên, thậm chí Chrome còn không có tùy chọn để tắt mục này như Firefox. Để có thể nhận được cảnh báo giả mạo, bạn cần phải cài đặt thêm một tiện ích mở rộng có tên là Punnycode Alert, liên kết tải bên dưới:

chart?cht=qr&chl=https%3A%2F%2Fanon.to%2F%3Fhttps%3A%2F%2Fchrome.google - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt
NSGa9EzobYqZ2o5MWkEbU60Mu0PVJwX3csgGp1sNeNRNqRrHF9WfHuGHRNX8d6qw3It1VntY=w128 h128 e365 - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt
Developer: i3visio
Price: Free
  • default - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Sau khi cài đặt, khi bạn vào nhầm một địa chỉ có mã punnycode, bạn sẽ nhận được một cảnh báo như ảnh dưới:

pennycode - Thử nghiệm Punnycode và cách ngăn giả mạo tên miền trên trình duyệt

Trình duyệt Chrome trên iOS hay Android lại hoàn toàn không có tiện ích mở rộng này, do đó bạn cần hết sức cẩn thận khi vào các địa chỉ lạ trên iOS hay Android bằng trình duyệt này.











CHÚNG TÔI TRÊN FACEBOOK




To Top