Nếu giống như hầu hết mọi người, bạn dựa vào tính năng tự động điền của trình duyệt để hoàn thành các biểu mẫu web khó chịu. Trình duyệt “tự động điền” tự động điền thông tin của bạn vào các trường trong biểu mẫu web dựa trên thông tin bạn đã nhập trước đó vào các trường này.
Tin xấu là các bên thứ ba độc hại và tin tặc mũ đen có thể sử dụng tính năng tự động điền này trong trình duyệt để lừa bạn cung cấp thông tin nhạy cảm của mình. Một tin tặc mũ trắng đến từ Phần Lan, Viljami Kuosmanen, cũng là một nhà phát triển web, đã cho thấy trong bản trình diễn GitHub của mình rằng những kẻ tấn công có thể chiếm đoạt tính năng tự động điền trong các plugin, trình quản lý mật khẩu (và các công cụ như vậy) và trình duyệt.
Rất lâu trước khi Kuosmanen, nhà phân tích bảo mật của ElevenPaths, Ricardo Martin Rodriguez, đã phát hiện ra lỗ hổng tự động điền của trình duyệt này vào năm 2013. Cho đến nay, Google vẫn chưa tìm ra giải pháp cho lỗ hổng này.
Vô tình làm tràn thông tin nhạy cảm của bạn
Trên trang web demo bằng chứng khái niệm của Kuosmanen, bạn sẽ thấy một biểu mẫu web đơn giản chỉ bao gồm hai trường - tên và địa chỉ email. Tuy nhiên, biểu mẫu có nhiều trường ẩn (tức là ngoài tầm nhìn) trên đó; các trường ẩn này bao gồm địa chỉ, tổ chức, số điện thoại, thành phố, mã bưu điện và quốc gia.
Trong một biểu mẫu như trên, bạn sẽ chỉ thấy các trường tên và email, nhưng tính năng tự động điền sẽ tự động điền thông tin chi tiết của bạn vào các trường còn lại. Một biểu mẫu web lừa đảo như biểu mẫu ở trên sẽ thu thập nhiều thông tin hơn những gì bạn biết khi bạn nhấp vào nút Gửi.
Để kiểm tra các tính năng tự động điền của trình duyệt và tiện ích mở rộng, bạn có thể sử dụng trang web bằng chứng về khái niệm mà Kuosmanen đã thiết lập. Khi gửi biểu mẫu, tôi nhận thấy rằng nó đã thu thập được nhiều thông tin hơn những gì tôi đã cung cấp. Tôi đã sử dụng Mozilla Firefox mới nhất cho bài kiểm tra này và ngạc nhiên trước số lượng thông tin tôi tràn ra.
Trong Chrome, dữ liệu tài chính tự động điền sẽ kích hoạt cảnh báo cho các trang web không có HTTPS. Theo kinh nghiệm của tôi, biểu mẫu của Kuosmanen đã cố gắng thu thập ngày tôi điền vào biểu mẫu, địa chỉ, số thẻ tín dụng, CVV, ngày hết hạn thẻ tín dụng, thành phố, quốc gia, email, tên, tổ chức, điện thoại và mã bưu điện của tôi.
Biểu mẫu thậm chí còn cố gắng thu thập một số siêu dữ liệu về loại trình duyệt, địa chỉ IP hiện tại của tôi và hơn thế nữa. Xem ảnh chụp màn hình của tôi bên dưới.
Apple Safari, Google Chrome và Opera đều dễ bị tấn công trong quá trình kiểm tra tấn công Kuosmanen.
Vào tháng 1 năm 2017, Daniel Veditz, kỹ sư bảo mật chính của Mozilla, nói rằng trình duyệt Firefox không thể bị lừa để điền vào các hộp văn bản theo chương trình. Người dùng Firefox an toàn trước các cuộc tấn công tự động điền của trình duyệt (ít nhất là hiện tại), vì trình duyệt không có hệ thống tự động điền nhiều ô. Trình duyệt Firefox của Mozilla khiến người dùng bắt buộc phải chọn dữ liệu được điền sẵn theo cách thủ công cho mỗi hộp văn bản trong biểu mẫu web.
Kết luận:tắt tính năng tự động điền của trình duyệt của bạn
Biện pháp phòng ngừa dễ dàng nhất để thực hiện đối với các cuộc tấn công lừa đảo là tắt tính năng tự động điền biểu mẫu trong trình duyệt, cài đặt tiện ích mở rộng hoặc trình quản lý mật khẩu của bạn. Theo mặc định, tính năng tự động điền của trình duyệt của bạn được bật.
Để tắt tính năng tự động điền trong Chrome:
1. Đi tới “Cài đặt” của trình duyệt.
2. Tìm “Cài đặt nâng cao” ở cuối trang.
3. Trong khu vực "Mật khẩu và biểu mẫu", bỏ chọn "Bật tính năng tự động điền".
Để tắt tính năng tự động điền trong Opera:
1. Đi tới Cài đặt.
2. Chuyển đến “Tự động điền” và tắt tính năng này.
Để tắt tính năng tự động điền trong Safari:
1. Đi tới “Tùy chọn”.
2. Nhấp vào “Tự động điền” để tắt tính năng này.
Nếu bạn thấy bài viết này hữu ích, vui lòng nhấp vào "Có" bên dưới. Chúng tôi cũng rất vui khi thấy nhận xét của bạn.