Trangweb azarask.in vừa công bố phát hiện một kiểu ăn cắp mật khẩu mới bằng cách lợidụng thói quen mở nhiều tab khi duyệt web của người dùng. Nếu bạn không để ý,người dùng Internet sẽ dễ dàng để lộ mật khẩu đăng nhập vào các website quantrọng như email, tài khoản ngân hàng.
Khi duyệt website, nhiều người cóthói quen mở nhiều tab cùng lúc, rồi từ từ đọc nội dung. Hoặc mở tab mới, nhưngchỉ xem tiêu đề rồi quay lại đọc sau.
Lợi dụng yếu tố này, tin tặc tạora các trang web giả, trông dường như vô hại. Tuy nhiên, nếu bạn chuyển sang tabkhác một thời gian, khi chuyển lại, trang web sẽ dùng các đoạn mã JavaScript đểđổi giao diện, tiêu đề và favicon thành trang đăng nhập của Gmail hoặc Paypal đểđánh lừa người dùng.
 |
 |
| Tab mở website azarask.in biểu diễn tự động chuyển thành giao diện đăng nhập của Gmail sau một khoảng thời gian |
Thông thường, người dùng ít cảnhgiác với hình thức này. Vì các trang web đó từng được mở, được "kiểm tra" trướckhi người dùng chuyển sang tab khác. Khi quay lại, họ không để ý trên thanh địachỉ, và dễ dàng nhập mật khẩu đăng nhập.
Mật khẩu người dùng gõ vào sẽđược gửi về cho tin tặc còn website giả sẽ tự động chuyển về địa chỉ thật củawebsite bị giả mạo nên người dùng sẽ không hay biết gì về việc mình bị ăn trộmmật khẩu.
Đặc biệt, một số mẫu website giảmạo còn rất tinh vi có thể hoạt động ngay cả khi người dùng cài đặt phần phụ trợNoscript cho trình duyệt. Noscript có chức năng tắt các đoạn mã JavaScript trêntình duyệt.
Tác giả của azarask.in khuyênngười dùng nên sử dụng add-on quản lý account (Account Manager) của các trìnhduyệt Firefox. Chrome để tránh bị những tab giả mạo như trên đánh lừa.
Theo Đất Việt
