Netcraft gần đây đã phát hiện một URL đáng ngờ nhắm mục tiêu vào GMO Aozora Bank, một tổ chức tài chính Nhật Bản. Đây là một ví dụ điển hình về tấn công phishing sử dụng kỹ thuật web kế thừa – định dạng Basic Authentication URL – để mạo danh ngân hàng một cách trực quan và lừa dối khách hàng.

Khám phá này đã thúc đẩy một đánh giá rộng hơn về hoạt động phishing vẫn dựa vào kỹ thuật cũ nhưng hiệu quả này. Nó phơi bày cách các tác nhân đe dọa có thể tái sử dụng các tiêu chuẩn web lỗi thời để bỏ qua sự kiểm tra thông thường.

Phân Tích Kỹ Thuật Tấn Công Phishing Bằng Basic Auth URLs

Basic Authentication là một phương pháp đã có từ hàng thập kỷ để truyền thông tin xác thực trong URL, sử dụng định dạng https://username:[email protected].

Ban đầu, kỹ thuật này được thiết kế để kiểm soát truy cập đơn giản trên các máy chủ web đời đầu. Tuy nhiên, nó hiếm khi được sử dụng ngày nay vì việc nhúng thông tin xác thực vào URL sẽ làm lộ chúng trong lịch sử trình duyệt, nhật ký hệ thống và tiêu đề referer.

Mặc dù vậy, các trình duyệt hiện đại vẫn tiếp tục hỗ trợ cú pháp này, cho phép kẻ tấn công khai thác nó để gây lừa đảo trực quan.

Cơ Chế Lừa Đảo Trực Quan của Basic Authentication URL

Trong các kịch bản tấn công phishing, kẻ tấn công đặt một tên miền đáng tin cậy vào phần “username” của URL. Ngay sau đó là ký tự @ và tên miền độc hại thực sự.

Người dùng khi lướt nhanh hoặc nhìn thấy một liên kết bị cắt ngắn thường chỉ thấy thương hiệu đáng tin cậy ở phần đầu và có thể nhấp vào mà không nhận ra rằng trình duyệt thực sự kết nối đến tên miền sau ký tự @.

Kỹ thuật này đặc biệt hiệu quả trong các môi trường mà URL được xem trước hoặc bị cắt ngắn, chẳng hạn như ứng dụng email, ứng dụng nhắn tin và trình duyệt di động. Trong các trường hợp này, chỉ phần văn bản ban đầu quen thuộc là hiển thị.

Chiến Dịch Phishing Nhắm vào Các Thương Hiệu Nhật Bản

Sau khi xác định URL Basic Auth đầu tiên mạo danh GMO Aozora Bank, các nhà nghiên cứu đã phát hiện một chiến dịch phối hợp gồm các liên kết có cấu trúc tương tự. Thông tin chi tiết về chiến dịch này đã được Netcraft công bố tại Netcraft Blog.

Mỗi URL trong chiến dịch đều nhúng gmo-aozora.com (hoặc một biến thể) trước ký tự @ và trỏ đến các tên miền không liên quan, nơi lưu trữ các trang phishing giống hệt nhau.

Một ví dụ về cấu trúc URL được sử dụng trong cuộc tấn công:

hxxps://gmo-aozora.com:[Bất_kỳ_chuỗi_nào]@coylums.com/sKgdiq

Các tên miền cụ thể được dùng để lưu trữ nội dung phishing bao gồm:

• coylums.com
• blitzfest.com
• pavelrehurek.com

Tất cả các tên miền này đều phục vụ cùng một nội dung phishing dưới đường dẫn /sKgdiq. Hồ sơ DNS và lưu trữ lịch sử tiết lộ rằng những tên miền này từng hiển thị một trang CAPTCHA tiếng Nhật có nhãn “Security Check”. Trang này yêu cầu người dùng xác nhận họ không phải là robot và nhấp vào hộp “I am not a robot”, tạo ra độ tin cậy giả trước khi hiển thị biểu mẫu đăng nhập giả mạo.

Phạm Vi và Ảnh Hưởng Của Mối Đe Dọa Mạng Phishing

Để đánh giá mức độ phổ biến của phishing sử dụng Basic Auth, các nhà nghiên cứu đã lấy mẫu các URL được quan sát trong khoảng thời gian 14 ngày. Kết quả là họ đã xác định được ít nhất 214 ví dụ duy nhất.

Các thương hiệu lớn trên toàn cầu đã bị nhắm mục tiêu, từ Amazon và Google đến Facebook, Yahoo, LinkedIn, Netflix, DHL, FedEx, Bank of America và SoftBank.

Đáng chú ý, 153 trong số 214 URL (khoảng 71.5%) đặc biệt nhắm mục tiêu vào người dùng và tổ chức Nhật Bản. Điều này được thực hiện bằng cách kết hợp tên miền cấp cao nhất .jp hoặc các tên miền cụ thể của Nhật Bản như docomo.co.jp và ocn.ne.jp.

Các email phishing thường mạo danh các thông báo khẩn cấp, ví dụ như đóng tài khoản, cảnh báo bảo mật, hoặc các vấn đề thanh toán. Chúng thúc giục người dùng nhấp vào liên kết lừa đảo và hoàn thành quy trình đăng nhập hoặc xác minh giả mạo.

Chiến Lược Phòng Tránh Rủi Ro Bảo Mật

Cuộc điều tra này nhấn mạnh rằng các tính năng web kế thừa như định dạng Basic Authentication URL vẫn là những công cụ mạnh mẽ trong kho vũ khí của các tác nhân đe dọa. Mặc dù đã bị khuyến cáo không nên sử dụng cho mục đích bảo mật, tính tương thích của kỹ thuật này với các trình duyệt hiện đại và khả năng đánh lừa người dùng vẫn duy trì hiệu quả của nó.

Như chiến dịch chống lại các thương hiệu tài chính và tiêu dùng Nhật Bản đã chứng minh, ngay cả những chức năng có vẻ lỗi thời cũng có thể thúc đẩy các hoạt động tấn công phishing tinh vi khi kết hợp với kỹ thuật xã hội có mục tiêu.

Sự cảnh giác trong việc kiểm tra liên kết và cải thiện các tín hiệu giao diện người dùng (UI) của trình duyệt là điều cần thiết để giảm thiểu những cuộc tấn công đơn giản nhưng đầy tác động này nhằm đảm bảo an ninh mạng.