Nếu bạn giống như hầu hết mọi người, bạn dựa vào tính năng tự động điền của trình duyệt để hoàn thành các biểu mẫu web gây phiền nhiễu. Trình duyệt “tự động điền” tự động điền thông tin của bạn vào các trường trong biểu mẫu web dựa trên thông tin bạn đã nhập trước đó vào các trường này.

Tin xấu là các bên thứ ba độc hại và tin tặc mũ đen có thể sử dụng tính năng tự động điền này trong trình duyệt để lừa bạn đưa thông tin nhạy cảm của bạn. Một hacker trắng từ Phần Lan, Viljami Kuosmanen, người cũng là một nhà phát triển web, đã trình bày trong bản demo GitHub của mình rằng những kẻ tấn công có thể chiếm đoạt tính năng tự động điền trong plugin, quản lý mật khẩu (và các công cụ như vậy) và trình duyệt.

Lâu trước khi Kuosmanen, nhà phân tích an ninh của ElevenPath, Ricardo Martin Rodriguez, đã phát hiện ra lỗ hổng tự động điền trình duyệt này vào năm 2013. Cho đến nay, Google đã không tìm ra giải pháp cho lỗ hổng này.

Đổ thông tin nhạy cảm của bạn một cách vô tình

Trên trang web demo chứng minh khái niệm của Kuosmanen, bạn sẽ thấy một biểu mẫu web đơn giản chỉ gồm hai trường - tên và địa chỉ email. Tuy nhiên, hình thức có nhiều lĩnh vực ẩn (tức là ngoài tầm nhìn) trên đó; các trường ẩn này bao gồm địa chỉ, tổ chức, số điện thoại, thành phố, mã bưu điện và quốc gia.

Trong một hình thức như trên, bạn sẽ chỉ thấy tên và trường email, nhưng tính năng tự động điền của bạn sẽ tự động điền chi tiết của bạn vào các trường còn lại. Biểu mẫu web lừa đảo như biểu mẫu ở trên sẽ thu thập thêm thông tin mà bạn biết khi nhấp vào nút Gửi.

Để kiểm tra các tính năng tự động điền của trình duyệt và tiện ích mở rộng của bạn, bạn có thể sử dụng trang web chứng minh Kuosmanen đã thiết lập. Khi gửi biểu mẫu, tôi nhận thấy rằng nó sẽ nắm lấy nhiều thông tin hơn tôi đã cung cấp. Tôi đã sử dụng Mozilla Firefox mới nhất cho thử nghiệm này và đã ngạc nhiên trước bao nhiêu thông tin tôi đã xóa.

Trong dữ liệu tài chính tự động điền của Chrome sẽ kích hoạt cảnh báo cho các trang web không có HTTPS. Theo kinh nghiệm của tôi, mẫu đơn của Kuosmanen đã thu thập ngày tôi điền vào biểu mẫu, địa chỉ, số thẻ tín dụng, CVV, ngày hết hạn thẻ tín dụng, thành phố, quốc gia, email, tên, tổ chức, điện thoại và mã bưu điện của tôi.

Biểu mẫu thậm chí còn cố gắng thu thập một số siêu dữ liệu trên loại trình duyệt của tôi, địa chỉ IP hiện tại của tôi và hơn thế nữa. Xem ảnh chụp màn hình của tôi bên dưới.

Apple Safari, Google Chrome và Opera đều dễ bị tổn thương trong một cuộc thử nghiệm tấn công Kuosmanen.

Vào tháng 1 năm 2017, Daniel Veditz, kỹ sư bảo mật chính của Mozilla, nói rằng các trình duyệt Firefox không thể bị lừa vào các hộp văn bản điền vào chương trình. Người dùng Firefox được an toàn khỏi các cuộc tấn công tự động điền của trình duyệt (ít nhất là bây giờ), vì trình duyệt không có hệ thống tự động điền nhiều hộp. Trình duyệt Firefox của Mozilla khiến người dùng bắt buộc phải chọn thủ công dữ liệu được điền trước cho mỗi hộp văn bản trong biểu mẫu web.

Kết luận: tắt tính năng tự động điền trình duyệt của bạn

Đề phòng dễ nhất để chống lại các cuộc tấn công lừa đảo là tắt tính năng tự động điền biểu mẫu trong trình duyệt, cài đặt tiện ích mở rộng hoặc trình quản lý mật khẩu của bạn. Tính năng tự động điền trình duyệt của bạn, theo mặc định, được bật.

Để tắt tính năng tự động điền trong Chrome:

1. Vào “Cài đặt” của trình duyệt.

2. Tìm “Cài đặt nâng cao” ở cuối trang.

3. Trong khu vực "Mật khẩu và Biểu mẫu", hãy bỏ chọn "Bật Tự động điền".

Để tắt tự động điền trong Opera:

1. Chuyển đến Cài đặt.

2. Vào “Tự động điền” và tắt nó đi.

Để tắt tự động điền trong Safari:

1. Chuyển đến “Tùy chọn”.

2. Nhấp vào “Tự động điền” để tắt tính năng này.

Nếu bạn thấy bài đăng này hữu ích, hãy nhấp vào "Có" bên dưới. Chúng tôi cũng rất vui khi thấy nhận xét của bạn.