hiepsitrantuan
27-05-2010, 08:39
Hầu hết việc tấn công fishing là giả mạo các trang gốc để đánh lửa người dùng nhằm thu thập các thông tin quan trọng như: Username, Password, số tài khoản ... Nếu bạn nghi ngờ 1 điều gì đó trên trang web bạn đang xem có dấu hiệu giả mạo thì không nên tiếp tục với nó. Khi đó bạn đã thoát khỏi kẻ tấn công bạn.
Sau đây tôi sẽ giới thiệu 1 cách fishing mới vừa tham khảo được từ website của Aza Raskin
CÁCH THỨC TẤN CÔNG
1. Người dùng duyệt đến trang web của bạn 1 cách bình thường.
2. Bạn phát hiện ra người dùng không còn focus tới trang và không cò tương tác với trang trong 1 thời gian.
3. Bạn sẽ thay thế favicon với favicon của Gmail. Tiêu đề giả mạo là "Gmail: Email from Google" và trang mới chúng ta sẽ giống hệt trang login của Gmail.Tất cã điều này đều làm rất dễ dàng với 1 ít Javascript.
4. Khi người dùng mở nhiều tab để duyệt web, khi đó họ không còn nhớ là đã duyệt trang nào và đơn giản lúc này khi trở lại tab cũ họ chỉ thấy trang đăng nhập Google mà không chú ý tới link trên trình duyệt.
5. Sau khi người dùng nhập các thông tin đăng nhập bạn sẽ gửi nó đến server của bạn và bạn redirect đến Gmail.Và vì chúng ta ít khi nhấn logout của gmail khi thoát khỏi hộp thư nên lúc này trang thái đăng nhập của chúng ta sẽ là thành công.
Chúng tôi gọi kiểu tấn công này là "Tabnabbing"
Ngoài ra chúng ta có thể tấn công 1 cách hiệu quả và tinh tế hơn bằng cách dùng CSS History Exploit để khám phá ra người dùng đã viếng thăm các trang web nào, trang nào hiện tại người dùng đang login từ đó chúng ta có thể giả mạo trang đó và người dùng rất khó phát hiện ra.
Phương pháp tấn công này chạy tốt trên trình duyệt FireFox.
Bạn có thể download source code ở đây
FIX
Chúng ta có thể dùng Firefox Account Manager để giữ an toàn thông tin tài khoản chúng ta và điều quan trọng hơn là người dùng phải chú ý tới link trước khi thực hiện 1 thao tác nào liên quan tới thông tin nhạy cảm của chúng ta.
Nguồn: http://v-index.com/post/2010/05/26/Mot-cach-moi-c491e-tan-cong-fishing.aspx
Sau đây tôi sẽ giới thiệu 1 cách fishing mới vừa tham khảo được từ website của Aza Raskin
CÁCH THỨC TẤN CÔNG
1. Người dùng duyệt đến trang web của bạn 1 cách bình thường.
2. Bạn phát hiện ra người dùng không còn focus tới trang và không cò tương tác với trang trong 1 thời gian.
3. Bạn sẽ thay thế favicon với favicon của Gmail. Tiêu đề giả mạo là "Gmail: Email from Google" và trang mới chúng ta sẽ giống hệt trang login của Gmail.Tất cã điều này đều làm rất dễ dàng với 1 ít Javascript.
4. Khi người dùng mở nhiều tab để duyệt web, khi đó họ không còn nhớ là đã duyệt trang nào và đơn giản lúc này khi trở lại tab cũ họ chỉ thấy trang đăng nhập Google mà không chú ý tới link trên trình duyệt.
5. Sau khi người dùng nhập các thông tin đăng nhập bạn sẽ gửi nó đến server của bạn và bạn redirect đến Gmail.Và vì chúng ta ít khi nhấn logout của gmail khi thoát khỏi hộp thư nên lúc này trang thái đăng nhập của chúng ta sẽ là thành công.
Chúng tôi gọi kiểu tấn công này là "Tabnabbing"
Ngoài ra chúng ta có thể tấn công 1 cách hiệu quả và tinh tế hơn bằng cách dùng CSS History Exploit để khám phá ra người dùng đã viếng thăm các trang web nào, trang nào hiện tại người dùng đang login từ đó chúng ta có thể giả mạo trang đó và người dùng rất khó phát hiện ra.
Phương pháp tấn công này chạy tốt trên trình duyệt FireFox.
Bạn có thể download source code ở đây
FIX
Chúng ta có thể dùng Firefox Account Manager để giữ an toàn thông tin tài khoản chúng ta và điều quan trọng hơn là người dùng phải chú ý tới link trước khi thực hiện 1 thao tác nào liên quan tới thông tin nhạy cảm của chúng ta.
Nguồn: http://v-index.com/post/2010/05/26/Mot-cach-moi-c491e-tan-cong-fishing.aspx