• Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
AnonyViet
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
AnonyViet
No Result
View All Result

Kiểu Tấn công Browser In The Browser (BITB) là gì

Elyx13 by Elyx13
12/04/2022
in Basic Hacking
Reading Time: 5 mins read
A A
4

Mục lục bài viết

  1. Giới thiệu
  2. Cửa sổ đăng nhập dạng pop-up
  3. Nhân rộng cửa sổ
  4. Demo
  5. Tuỳ chỉnh URL khi di chuột
  6. Các mẫu có sẵn
  7. Kết luận

Trong bài viết này, chúng ta sẽ tìm hiểu về kỹ thuật lừa đảo Browser In The Browser (BITB), mô phỏng một cửa sổ trình duyệt trong trình duyệt để giả mạo domain hợp pháp.

Giới thiệu

Đối với các chuyên gia bảo mật, URL thường là phần đáng tin cậy nhất của domain. Nhưng các cuộc tấn công như IDN Homograph và DNS Hijacking có thể làm giảm độ tin cậy của URL nhưng không đến mức làm cho URL không đáng tin cậy.

Các bài viết liên quan

5 vụ lừa đảo nguy hiểm nhất trên không gian mạng 27

5 vụ lừa đảo nguy hiểm nhất trên không gian mạng

22/05/2022
Mip22 - tạo trang Phishing cho Linux và Android

Mip22 – Công cụ tạo trang Phishing cho Linux và Android

18/05/2022
Danh sách 15 công ty bị Hack lớn nhất lịch sử 28

Danh sách 15 công ty bị Hack lớn nhất lịch sử

05/05/2022
anonymous hack ngan hang nga

Anonymous tuyên bố đã hack Ngân hàng Trung ương Nga

25/03/2022

Tất cả những điều này cuối cùng khiến mình suy nghĩ, liệu có thể làm cho lời khuyên “Kiểm tra URL” kém tin cậy hơn không? Sau một tuần cân não, mình quyết định rằng câu trả lời là có.

Tấn công Browser In The Browser (BITB)

Cửa sổ đăng nhập dạng pop-up

Khá thường xuyên khi chúng ta xác thực một trang web thông qua Google, Microsoft, Apple,… chúng tađược cung cấp một cửa sổ bật lên yêu cầu chúng ta xác thực. Hình ảnh bên dưới cho thấy cửa sổ bật lên xuất hiện khi ai đó cố gắng đăng nhập vào Canva bằng tài khoản Google của họ.

Kiểu Tấn công Browser In The Browser (BITB) là gì 22

Nhân rộng cửa sổ

Việc tạo ra một cửa sổ popup bằng HTML/CSS cơ bản là khá đơn giản. Kết hợp thiết kế cửa sổ với iframe trỏ đến máy chủ độc hại lưu trữ trang lừa đảo và về cơ bản không thể phân biệt được. Hình ảnh dưới đây cho thấy cửa sổ giả so với cửa sổ thật. Rất ít người sẽ nhận thấy sự khác biệt nhỏ giữa hai cửa sổ này.

Kiểu Tấn công Browser In The Browser (BITB) là gì 23

JavaScript có thể dễ dàng được sử dụng để làm cho cửa sổ xuất hiện trên một liên kết hoặc nhấp vào nút, khi tải trang,…. Và tất nhiên bạn có thể làm cho cửa sổ xuất hiện một cách trực quan hấp dẫn thông qua các hoạt ảnh có sẵn trong các thư viện như JQuery.

Demo

Kiểu Tấn công Browser In The Browser (BITB) là gì 24

Tuỳ chỉnh URL khi di chuột

Di chuột qua một URL để xác định xem URL đó có hợp lệ không, không hiệu quả lắm khi JavaScript được cho phép. HTML có một liên kết thường trông giống như sau:

<a href="https://gmail.com">Google</a>

Nếu sự kiện onclick trả về false được thêm vào, thì việc di chuột qua liên kết sẽ tiếp tục hiển thị trang web trong thuộc tính href nhưng khi liên kết được nhấp thì thuộc tính href bị bỏ qua. Chúng ta có thể sử dụng kiến ​​thức này để làm cho cửa sổ bật lên trông thực tế hơn.

<a href="https://gmail.com" onclick="return launchWindow();">Google</a>

function launchWindow(){
    // Bật cửa sổ giả
    return false; // Đảm bảo thuộc tính href bị bỏ qua
}

Các mẫu có sẵn

Tác giả đã tạo 2 mẫu cho hệ điều hành và trình duyệt sau:

  • Windows – Chrome (Light & Dark Mode)
  • Mac OSX – Chrome (Light & Dark Mode)

Các mẫu này có sẵn trên Github tại đây.

Khi tải source code về, các bạn mở file index.html lên và thay đổi một số chỗ như sau:

  • XX-TITLE-XX – Tiêu đề hiển thị cho trang (ví dụ: Sign in to your account now)
  • XX-DOMAIN-NAME-XX – Tên miền bạn đang giả mạo. (ví dụ: gmail.com)
  • XX-DOMAIN-PATH-XX – Đường dẫn tên miền (ví dụ: /auth/google/login)
  • XX-PHISHING-LINK-XX – Liên kết lừa đảo sẽ được nhúng vào iFrame (ví dụ: https://example.com)

Kiểu Tấn công Browser In The Browser (BITB) là gì 25

Và đây là kết quả. Ngoài ra, nếu đang sử dụng mẫu Windows, bạn nên cập nhật file logo.svg, biểu tượng của trang web mà bạn đang giả mạo. Logo mặc định là của Microsoft.

Kiểu Tấn công Browser In The Browser (BITB) là gì 26

Thư mục Windows-DarkMode-Delay sử dụng hàm fadeIn() của jQuery để thêm độ trễ nhỏ vào cửa sổ bật lên khi nó xuất hiện.

Kết luận

Với kỹ thuật này, giờ đây chúng ta có thể cải tiến các trò chơi lừa đảo của mình. Người dùng mục tiêu vẫn cần truy cập trang web của bạn để cửa sổ bật lên được hiển thị. Nhưng khi đã truy cập vào trang web do kẻ tấn công sở hữu, người dùng sẽ cảm thấy thoải mái khi họ nhập thông tin đăng nhập của họ vì URL trông rất đáng tin cậy.

Tags: attackBITBBrowser In The Browserphishingtấn công mạng
Previous Post

Máy Macbook MDM là gì?

Next Post

10 rủi ro khi dùng Dual Boot hệ điều hành

Elyx13

Elyx13

Có người không dám bước vì sợ gãy chân, nhưng sợ gãy chân mà không dám bước đi thì khác nào chân đã gãy.

Related Posts

5 Website giúp bạn tìm chủ tài khoản Email là ai 29
Basic Hacking

5 Website giúp bạn tìm chủ tài khoản Email là ai

24/05/2022
CTF là gì? Muốn làm Hacker có nên chơi CTF? 30
Basic Hacking

CTF là gì? Muốn làm Hacker có nên chơi CTF?

21/05/2022
Mip22 - tạo trang Phishing cho Linux và Android
Basic Hacking

Mip22 – Công cụ tạo trang Phishing cho Linux và Android

18/05/2022
cach tim thong tin nguoi khac tren internet
Basic Hacking

Mẹo tìm thông tin của người khác trên Internet

15/05/2022
hack isc
Basic Hacking

Kỹ thuật tấn công lừa đảo bằng File .ics của Calendar

14/05/2022
nuclei quét lỗ hổng bảo mật
Basic Hacking

Cách cài đặt Nuclei để quét lỗ hổng bảo mật Website

11/05/2022
Next Post
10 rủi ro khi dùng Dual Boot hệ điều hành 31

10 rủi ro khi dùng Dual Boot hệ điều hành

guest
guest

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

4 Comments
oldest
newest
Inline Feedbacks
View all comments
GSD HIV
GSD HIV
1 month ago

Vậy làm cách nào để nhận dạng đây ad thật sự là quá khó để nhận biết khi url như vậy

Reply
Lê Trung Tấn
Lê Trung Tấn
1 month ago
Reply to  GSD HIV

Cửa sổ giả chỉ có thể hiển thị trong viewport của nó, chỉ cần di chuyển nó ra ngoài xem có ra được không là biết!

Reply
Binhake ツ
Binhake ツ
1 month ago
Reply to  GSD HIV

mình thấy thanh url, cửa sổ thật khi url quá dài nó sẽ để …, còn fake thì nó hiện đến cuối cửa sổ luôn. Ngoài ra có thể mở dev-tools để check mà

Reply
Ngọc Huy đã mất TK Google
Ngọc Huy đã mất TK Google
17 days ago

Cảm ơn admin

Reply
wpdiscuz   wpDiscuz

Liên hệ Quảng Cáo

Lien he AnonyViet

Đối tác —

Fshare

Các bài mới

doi icon recycle bin hinh con meo

Cách đổi Icon Thùng rác thành hình con mèo hả mồm

26/05/2022
Cách mở khóa Bootloader trên điện thoại Xiaomi bằng Mi Unlock 32

Cách mở khóa Bootloader trên điện thoại Xiaomi bằng Mi Unlock

26/05/2022
5 Extension Chrome "mờ ám" bạn cần phải xóa ngay 33

5 Extension Chrome “mờ ám” bạn cần phải xóa ngay

25/05/2022
5 Website giúp bạn tìm chủ tài khoản Email là ai 34

5 Website giúp bạn tìm chủ tài khoản Email là ai

24/05/2022
godeal24

Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11

23/05/2022

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

 

Bản quyền: DMCA.com Protection Status

Bài viết mới

  • Cách đổi Icon Thùng rác thành hình con mèo hả mồm
  • Cách mở khóa Bootloader trên điện thoại Xiaomi bằng Mi Unlock
  • Cách thắng Game bắn cá
  • 5 Extension Chrome “mờ ám” bạn cần phải xóa ngay
  • 5 Website giúp bạn tìm chủ tài khoản Email là ai
  • Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 567LIVE MMLive SP666 92lottery sun86 stackoverflow

No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 567LIVE MMLive SP666 92lottery sun86 stackoverflow

wpDiscuz
pixel