Các nhà nghiên cứu an ninh mạng tại Varonis Threat Labs đã phát hiện một lỗ hổng BiDi Swap dai dẳng, tồn tại hơn một thập kỷ mà không được khắc phục. Lỗ hổng này cho phép kẻ tấn công khai thác cách trình duyệt xử lý các đoạn văn bản từ phải sang trái (RTL) và từ trái sang phải (LTR) để tạo ra các URL lừa đảo, gây ra nguy hiểm tiềm tàng cho người dùng internet.

Kỹ thuật này, được biết đến với tên gọi BiDi Swap, tạo điều kiện cho các tác nhân đe dọa (threat actors) tạo ra các liên kết độc hại trông có vẻ hợp pháp đối với người dùng không nghi ngờ. Điều này biến nó thành một công cụ hiệu quả cho các chiến dịch tấn công mạng lừa đảo (phishing), đặc biệt là trong bối cảnh các mối đe dọa ngày càng tinh vi.

Cơ Chế Khai Thác BiDi Swap: Lợi Dụng Thuật Toán Song Hướng Unicode

Kỹ thuật BiDi Swap khai thác điểm yếu trong cách các trình duyệt triển khai Thuật toán song hướng (Bidirectional Algorithm). Đây là một phần quan trọng của Chuẩn Unicode, được thiết kế để hiển thị đúng cách các đoạn mã LTR và RTL hỗn hợp trên nhiều ngôn ngữ.

Mặc dù thuật toán này thường xử lý tên miền chính xác, nhưng nó lại gặp khó khăn với các tên miền phụ (subdomains) và tham số URL chứa các hướng văn bản hỗn hợp. Chính sự thiếu sót này đã tạo ra kẽ hở cho lỗ hổng BiDi Swap hoạt động.

Kẻ tấn công lợi dụng hạn chế này để tạo ra các URL mà văn bản hiển thị không khớp với đích đến thực tế, từ đó che giấu hiệu quả các liên kết độc hại đằng sau các địa chỉ trông có vẻ đáng tin cậy. Ví dụ, một liên kết ban đầu có thể trông như liên kết hợp pháp nhưng thực chất lại dẫn đến một trang độc hại nhằm mục đích lừa đảo thông tin.

Lỗ hổng BiDi Swap trở nên đặc biệt nguy hiểm khi kết hợp với cấu trúc tên miền thông minh. Chẳng hạn, kẻ tấn công có thể tạo URL sử dụng các ký tự tiếng Hebrew hoặc tiếng Ả Rập cùng với các tên miền phụ tiếng Anh.

Điều này khiến trình duyệt hiển thị các địa chỉ gây nhầm lẫn hoặc sai lệch, trông có vẻ dẫn đến các trang web hợp pháp như “varonis.com” nhưng thực tế lại chuyển hướng đến các tên miền độc hại, làm tăng rủi ro bảo mật cho người dùng cuối.

Ví Dụ Về Tên Miền Giả Mạo Với BiDi Swap

Hãy xem xét ví dụ về cách một URL có thể bị giả mạo thông qua kỹ thuật này. Một tên miền phụ có thể chứa các ký tự RTL ở một vị trí chiến lược, khiến phần còn lại của URL bị đảo ngược hoặc thay đổi vị trí trong hiển thị trình duyệt.

Điều này tạo ra một địa chỉ URL mà người dùng thấy khác với URL thực tế mà trình duyệt đang truy cập. Mục tiêu chính là làm người dùng tin rằng họ đang truy cập một trang an toàn, trong khi thực tế họ đang bị dẫn đến một trang lừa đảo hoặc chứa mã độc.

Tiền Lệ Lịch Sử: Các Kỹ Thuật Tấn Công Unicode Tương Tự và Nguy Cơ Mạng

Kỹ thuật BiDi Swap phát triển dựa trên các kỹ thuật khai thác Unicode trước đây đã gây ảnh hưởng đến an ninh web trong nhiều năm. Việc hiểu rõ các tiền lệ này giúp đánh giá toàn diện về rủi ro bảo mật do lỗ hổng BiDi Swap gây ra và các mối đe dọa mạng tương tự.

Tấn Công Punycode Homograph

Tấn công Punycode homograph là một trong những kỹ thuật tiền nhiệm, trong đó kẻ tấn công sử dụng Tên miền quốc tế hóa (Internationalized Domain Names – IDN) chứa các ký tự có hình ảnh tương tự từ các bảng chữ cái khác nhau.

Chẳng hạn, các tên miền như “аpple.com” (sử dụng ký tự Cyrillic ‘а’ thay vì Latin ‘a’) có thể lừa người dùng tin rằng họ đang truy cập các trang web hợp pháp, trong khi thực tế là một trang giả mạo được thiết kế để thực hiện tấn công mạng.

Khai Thác RTL Override

Khai thác RTL Override là một vector tấn công lịch sử khác, trong đó các ký tự Unicode đặc biệt được sử dụng để đảo chiều hướng văn bản giữa một chuỗi. Các cuộc tấn công này có thể ngụy trang phần mở rộng tệp một cách tinh vi.

Chúng làm cho các tệp thực thi độc hại xuất hiện dưới dạng tệp PDF vô hại bằng cách biến đổi “malware.exe” thành cái có vẻ là “malware.pdf” thông qua việc đặt ký tự chiến lược, lừa người dùng tải về và thực thi mã độc.

Phản Ứng Của Trình Duyệt và Nỗ Lực Giảm Thiểu Lỗ Hổng BiDi Swap

Các triển khai trình duyệt hiện tại cho thấy mức độ bảo vệ khác nhau chống lại các cuộc tấn công mạng lợi dụng lỗ hổng BiDi Swap. Mỗi trình duyệt có cách tiếp cận riêng để giải quyết thách thức này, nhưng hiệu quả vẫn còn hạn chế.

Đánh Giá Bảo Vệ Trên Các Trình Duyệt Phổ Biến

• Tính năng “Navigation suggestion for lookalike URLs” của Chrome cung cấp khả năng bảo vệ hạn chế. Chủ yếu, nó chỉ gắn cờ các tên miền nổi tiếng như “google.com” trong khi cho phép nhiều địa chỉ giả mạo khác không bị phát hiện.
• Firefox áp dụng một cách tiếp cận khác bằng cách làm nổi bật các thành phần chính của tên miền trong thanh địa chỉ. Điều này giúp người dùng dễ dàng hơn trong việc xác định các liên kết đáng ngờ, giảm thiểu rủi ro bảo mật tiềm ẩn.
• Microsoft Edge đã thừa nhận vấn đề này nhưng chưa triển khai những thay đổi đáng kể nào đối với cách hiển thị URL để chống lại các kỹ thuật BiDi Swap.
• Điều thú vị là trình duyệt Arc, hiện đã ngừng phát triển, đã thể hiện khả năng bảo vệ hiệu quả. Arc phân biệt rõ ràng giữa các tên miền hợp pháp và có khả năng bị giả mạo thông qua các chỉ báo trực quan nâng cao, cho thấy tiềm năng của các giải pháp bảo mật trong tương lai.

Biện Pháp Phòng Chống và Phát Hiện Tấn Công URL Giả Mạo

Các tổ chức và cá nhân có thể triển khai một số biện pháp phòng thủ chống lại các cuộc tấn công mạng giả mạo URL tinh vi này, bao gồm cả lỗ hổng BiDi Swap, để bảo vệ hệ thống và dữ liệu của mình.

Nâng Cao Nhận Thức và Giáo Dục Người Dùng

Giáo dục người dùng vẫn là yếu tố then chốt. Cần nhấn mạnh tầm quan trọng của việc kiểm tra cẩn thận các URL trước khi nhấp, đặc biệt là những URL chứa các đoạn văn bản hỗn hợp hoặc các tổ hợp ký tự bất thường. Người dùng nên luôn cảnh giác trước các liên kết không rõ nguồn gốc.

Người dùng nên di chuột qua các liên kết để xem đích đến thực tế và xác minh tính nhất quán của tên miền trước khi nhấp. Đây là một bước đơn giản nhưng cực kỳ hiệu quả để giảm thiểu rủi ro bảo mật và tránh bị lừa đảo bởi các lỗ hổng BiDi Swap.

Giải Pháp Kỹ Thuật và Chiến Lược An Ninh Mạng Cho Tổ Chức

Các giải pháp kỹ thuật bao gồm việc khuyến khích các nhà phát triển trình duyệt tăng cường các biện pháp bảo vệ hiện có. Điều này bao gồm cải thiện việc làm nổi bật tên miền và các hệ thống phát hiện tấn công tên miền tương tự toàn diện hơn.

Các nhóm bảo mật cần triển khai thêm các lớp bảo vệ, bao gồm hệ thống lọc email có khả năng phát hiện tấn công giả mạo dựa trên Unicode. Đồng thời, các chương trình đào tạo người dùng cần đặc biệt giải quyết các mối đe dọa mới nổi như lỗ hổng BiDi Swap để nâng cao khả năng phòng thủ tổng thể.

Sự dai dẳng của lỗ hổng BiDi Swap trên các trình duyệt lớn làm nổi bật thách thức liên tục trong việc cân bằng hỗ trợ quốc tế hóa với các yêu cầu bảo mật. Việc cập nhật kiến thức và áp dụng các biện pháp phòng ngừa là vô cùng cần thiết trong môi trường an ninh mạng hiện nay. Để tìm hiểu thêm về lỗ hổng này, bạn có thể tham khảo nghiên cứu chi tiết của Varonis Threat Labs.