Tấn công phi kỹ thuật (trang web lừa đảo và giả mạo): Hiểu rõ và phòng tránh

Tấn công phi kỹ thuật là một hình thức tấn công mạng nguy hiểm mà tin tặc sử dụng để lừa người dùng thực hiện các hành động có thể gây nguy hiểm, chẳng hạn như tiết lộ thông tin cá nhân hoặc tải phần mềm độc hại. Nếu Google phát hiện trang web của bạn có chứa nội dung tấn công phi kỹ thuật, trình duyệt Chrome có thể cảnh báo người dùng với thông điệp “Bạn sắp truy cập trang web lừa đảo”. Điều này không chỉ ảnh hưởng đến uy tín của trang web mà còn làm giảm đáng kể lượng truy cập. Vì vậy, việc hiểu rõ về tấn công phi kỹ thuật và cách phòng tránh là vô cùng quan trọng.

Tấn công phi kỹ thuật là hình thức lừa đảo người dùng trên trang web, khiến họ thực hiện các hành động nguy hiểm như cung cấp thông tin nhạy cảm hoặc tải xuống phần mềm độc hại. Nếu Google phát hiện trang web của bạn chứa nội dung tấn công phi kỹ thuật, trình duyệt Chrome có thể hiển thị cảnh báo “Bạn sắp truy cập trang web lừa đảo” khi người dùng truy cập vào. Bạn có thể kiểm tra các trang trên trang web của mình bị nghi ngờ chứa nội dung tấn công phi kỹ thuật bằng cách truy cập báo cáo Vấn đề bảo mật trong Google Search Console.

Tấn công phi kỹ thuật là gì?

Tấn công phi kỹ thuật xảy ra khi người dùng bị lừa thực hiện một hành động nguy hiểm trên mạng mà họ không nhận thức được.

Có nhiều hình thức tấn công phi kỹ thuật phổ biến, bao gồm:

Lừa đảo (Phishing): Đây là hình thức tấn công mà trang web giả mạo lừa người dùng tiết lộ thông tin cá nhân, chẳng hạn như mật khẩu, số điện thoại hoặc số an sinh xã hội. Các trang này thường giả mạo giao diện của các tổ chức uy tín như trình duyệt, hệ điều hành, ngân hàng hoặc cơ quan chính phủ để tạo sự tin cậy.
Nội dung lừa đảo (Deceptive Content): Loại nội dung này cố gắng lừa người dùng thực hiện các hành động mà họ thường chỉ thực hiện với các đối tượng đáng tin cậy, như chia sẻ mật khẩu, gọi điện đến bộ phận hỗ trợ kỹ thuật, hoặc tải phần mềm. Các quảng cáo tuyên bố sai sự thật về tình trạng phần mềm trên thiết bị nhằm dụ người dùng cài đặt phần mềm không mong muốn cũng thuộc loại này.
Dịch vụ bên thứ ba không được gắn nhãn đầy đủ: Đây là khi một dịch vụ bên thứ ba điều hành trang web hoặc dịch vụ thay mặt cho một bên khác mà không thông báo rõ ràng mối quan hệ này. Ví dụ, nếu bạn điều hành một trang web từ thiện và sử dụng một trang web khác để thu các khoản quyên góp, thì trang web quyên góp phải nêu rõ vai trò của mình là một nền tảng bên thứ ba hoạt động thay mặt cho trang từ thiện. Nếu không, trường hợp này có thể bị coi là tấn công phi kỹ thuật.

Google sử dụng tính năng Duyệt web An toàn để bảo vệ người dùng, bằng cách cảnh báo trước khi họ truy cập vào các trang web thường xuyên liên quan đến hành vi tấn công phi kỹ thuật. Việc hiểu rõ và ngăn chặn các hành vi này là cần thiết để bảo vệ người dùng cũng như duy trì uy tín cho trang web của bạn.

Trang web của bạn có thể bị xem là có hành vi tấn công phi kỹ thuật nếu:

Giả mạo hoạt động hoặc giao diện của một đối tượng uy tín: Chẳng hạn như trình duyệt, thiết bị của người dùng hoặc trang web thật.
Lừa người dùng thực hiện các hành động mà họ chỉ làm với đối tượng uy tín: Như chia sẻ mật khẩu, gọi bộ phận hỗ trợ kỹ thuật, hoặc tải phần mềm xuống.

Tấn công phi kỹ thuật trong nội dung được nhúng

Hành vi tấn công phi kỹ thuật có thể xuất hiện trong nội dung được nhúng trên các trang web tưởng chừng như vô hại, thường thông qua các quảng cáo hoặc các tài nguyên nhúng khác. Khi trang web chứa nội dung tấn công phi kỹ thuật được nhúng, trang đó sẽ bị xem là vi phạm chính sách.

Trong một số trường hợp, người dùng có thể thấy trực tiếp nội dung tấn công phi kỹ thuật trên trang lưu trữ, như trong các quảng cáo gây hiểu lầm. Ở các trường hợp khác, trang lưu trữ có thể không hiển thị quảng cáo rõ ràng nhưng lại chuyển hướng người dùng đến trang tấn công phi kỹ thuật thông qua cửa sổ bật lên, cửa sổ bật xuống hoặc các hình thức chuyển hướng khác. Dù ở hình thức nào, loại nội dung tấn công phi kỹ thuật được nhúng này đều khiến trang lưu trữ vi phạm chính sách.

Nhưng tôi không tham gia tấn công phi kỹ thuật!

Tin tặc có thể lợi dụng tài nguyên nhúng trên trang web của bạn, chẳng hạn như hình ảnh, quảng cáo hoặc các thành phần bên thứ ba khác để thêm nội dung tấn công phi kỹ thuật lừa đảo. Nội dung này có thể đánh lừa khách truy cập tải xuống phần mềm không mong muốn hoặc cung cấp thông tin cá nhân.

Ngoài ra, tin tặc có thể chiếm quyền kiểm soát các trang web vô hại và sử dụng chúng để lưu trữ hoặc phát tán nội dung tấn công phi kỹ thuật. Chúng có thể thay đổi nội dung hiện có trên trang hoặc thêm các trang mới với mục đích lừa người dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng. Để kiểm tra xem trang web của bạn có bị xác định là đang lưu trữ hoặc phát tán nội dung tấn công phi kỹ thuật hay không, bạn có thể truy cập báo cáo Vấn đề bảo mật trong Google Search Console.

Nếu bạn nghi ngờ trang web của mình đã bị tấn công, hãy tham khảo phần trợ giúp về bảo mật để tìm hiểu cách khắc phục.

Ví dụ về các trường hợp vi phạm tấn công phi kỹ thuật

Ví dụ về nội dung lừa đảo

Dưới đây là một số ví dụ về các trang web tham gia vào hoạt động tấn công phi kỹ thuật:

Cửa sổ bật lên với hành vi lừa đảo: Các cửa sổ bật lên này có thể đánh lừa người dùng cài đặt ứng dụng không mong muốn.
Cửa sổ lừa đảo nhằm cài đặt phần mềm độc hại: Cửa sổ bật lên giả mạo yêu cầu người dùng cài đặt phần mềm, nhưng thực chất là phần mềm độc hại.

Ví dụ về tấn công phi kỹ thuật thông qua tuyên bố sai sự thật

Cửa sổ lừa đảo cập nhật trình duyệt: Những cửa sổ bật lên này tuyên bố rằng trình duyệt của người dùng cần được cập nhật, nhưng thực tế lại dẫn đến việc tải xuống phần mềm không mong muốn.
Trang giả mạo quy trình đăng nhập vào Google: Những trang này giả mạo giao diện đăng nhập của Google để lừa người dùng cung cấp thông tin cá nhân nhạy cảm như mật khẩu hoặc thông tin thẻ tín dụng. Luôn kiểm tra kỹ địa chỉ URL để đảm bảo bạn đang truy cập trang web chính thức, bắt đầu bằng https://.

Ví dụ về quảng cáo lừa đảo

Dưới đây là một số ví dụ về nội dung lừa đảo bên trong quảng cáo được nhúng. Những quảng cáo này thường được ngụy trang như một phần của giao diện trang web thay vì là quảng cáo thực sự:

Quảng cáo giả mạo bản cập nhật cho trình phát nội dung đa phương tiện: Cửa sổ bật lên lừa người dùng rằng phần mềm của họ đã lỗi thời và cần cập nhật.
Quảng cáo giả mạo trình cài đặt cho thành phần cần thiết: Những cửa sổ bật lên này giả mạo như từ nhà phát triển đáng tin cậy, ví dụ như nhà phát triển FLV, nhằm lừa người dùng tải xuống phần mềm không mong muốn.
Quảng cáo giả dạng nút điều khiển trên trang lưu trữ: Những quảng cáo này giả dạng thành các nút chức năng trên trang, nhưng thực tế lại dẫn người dùng đến các trang độc hại hoặc tải phần mềm không mong muốn.

Khắc phục vấn đề

Nếu trang web của bạn bị gắn cờ vì chứa nội dung tấn công phi kỹ thuật (như nội dung lừa đảo), bạn cần đảm bảo rằng trang web không liên quan đến các hành vi vi phạm như đã mô tả. Sau đó, hãy thực hiện các bước sau để khắc phục vấn đề:

Kiểm tra trong Search Console
- Đầu tiên, hãy đảm bảo rằng bạn đã xác minh quyền sở hữu đối với trang web trong Search Console và kiểm tra xem có bất kỳ chủ sở hữu không xác định nào mới được thêm vào hay không.
- Kiểm tra báo cáo Vấn đề bảo mật
- Truy cập báo cáo Vấn đề bảo mật để xem liệu trang web của bạn có bị liệt kê trong danh sách các trang chứa nội dung lừa đảo hay không (thuật ngữ trong báo cáo có thể mô tả hành vi tấn công phi kỹ thuật).
- Nếu báo cáo có các URL mẫu bị gắn cờ, hãy truy cập một số URL đó từ một máy tính không nằm trong mạng nội bộ của trang web. Điều này đảm bảo bạn có thể nhìn thấy nội dung giống như người dùng bình thường, vì kẻ tấn công có thể ẩn nội dung đối với quản trị viên.
Xoá nội dung lừa đảo
- Đảm bảo rằng không có trang nào trên trang web của bạn chứa nội dung lừa đảo. Nếu bạn cho rằng công cụ Duyệt web an toàn của Google đã gắn cờ nhầm một trang, hãy báo cáo trường hợp đó để được xem xét lại.
Kiểm tra tài nguyên bên thứ ba
- Xác minh rằng mọi quảng cáo, hình ảnh, hay tài nguyên bên thứ ba được nhúng trên trang web của bạn đều không phải là nội dung lừa đảo.
  - Hãy lưu ý rằng các mạng quảng cáo có thể thay đổi quảng cáo hiển thị trên trang web của bạn. Do đó, bạn cần làm mới trang vài lần để kiểm tra đầy đủ các quảng cáo được hiển thị.
  - Một số quảng cáo có thể hiển thị khác nhau giữa thiết bị di động và máy tính. Sử dụng Công cụ kiểm tra URL trong Search Console để kiểm tra trang web của bạn ở cả chế độ xem dành cho thiết bị di động và máy tính.
  - Đảm bảo tuân thủ các nguyên tắc đối với các dịch vụ của bên thứ ba mà bạn sử dụng trên trang web của mình, chẳng hạn như dịch vụ thanh toán.
Yêu cầu xem xét lại

- Sau khi bạn đã xóa tất cả nội dung tấn công phi kỹ thuật khỏi trang web của mình, bạn có thể yêu cầu xem xét lại về bảo mật thông qua báo cáo Vấn đề bảo mật trong Search Console. Quy trình này có thể mất vài ngày để hoàn tất, nên hãy kiên nhẫn chờ đợi kết quả.

Nguyên tắc đối với dịch vụ của bên thứ ba

Khi tích hợp dịch vụ của bên thứ ba vào trang web của bạn, điều quan trọng là phải tuân thủ các nguyên tắc sau để tránh bị gắn nhãn là có hành vi tấn công phi kỹ thuật:

Hiển thị rõ thương hiệu của bên thứ ba
- Trang web của bên thứ ba cần phải thể hiện thương hiệu của mình một cách rõ ràng trên mọi trang liên quan, để người dùng hiểu được ai là đơn vị điều hành trang web. Ví dụ, bạn có thể đặt logo hoặc tên thương hiệu của bên thứ ba ở phần đầu trang.
Xác định mối quan hệ giữa các bên
- Trên mỗi trang có chứa thương hiệu của bên thứ nhất, hãy làm rõ mối quan hệ giữa bên thứ nhất và bên thứ ba. Đồng thời, cung cấp một đường liên kết để người dùng có thể tìm hiểu thêm thông tin. Ví dụ, bạn có thể sử dụng một tuyên bố như:
- “Dịch vụ này do Example.com cung cấp thay mặt cho Example.charities.com. Xem thêm thông tin.”
Đảm bảo tính minh bạch cho người dùng
- Để đảm bảo rằng người dùng hiểu rõ mình đang sử dụng dịch vụ của ai, hãy tự hỏi liệu một người dùng đơn lẻ có thể dễ dàng nhận biết mình đang truy cập vào trang web của bên nào cũng như mối quan hệ giữa các bên liên quan hay không.

Phương pháp tốt nhất

Chọn đối tác uy tín
- Khi cần một bên thứ ba cung cấp dịch vụ hỗ trợ cốt lõi cho trang web, tốt nhất là bạn nên chọn những đối tác có uy tín trong ngành. Ví dụ, để quản lý quy trình xác thực người dùng, hãy sử dụng OAuth thay vì tự xây dựng và quản lý hệ thống xác thực.

Nếu bạn là người dùng Search Console và đang gặp phải các vấn đề bảo mật kéo dài hoặc không thể tự khắc phục trên trang web của mình, bạn có thể liên hệ với chúng tôi để được hỗ trợ.

Tấn công phi kỹ thuật là một mối đe dọa lớn đối với sự an toàn của người dùng trực tuyến và uy tín của các trang web. Việc hiểu rõ về các loại tấn công phi kỹ thuật và thực hiện các biện pháp phòng tránh là cần thiết để bảo vệ trang web của bạn và người dùng khỏi các rủi ro không mong muốn. Luôn kiểm tra và bảo mật trang web của bạn để duy trì môi trường trực tuyến an toàn và đáng tin cậy.

Bài viết liên quan

V4SEO là đơn vị hàng đầu cung cấp các giải pháp toàn diện về dịch vụ SEO Nha Trang nói riêng và toàn quốc nói chung, thiết kế website, dịch vụ Content và phát triển phần mềm, giúp doanh nghiệp tối ưu hóa sự hiện diện trực tuyến và đạt được hiệu quả kinh doanh cao nhất. Với mục tiêu mang lại giá trị thực sự cho khách hàng, V4SEO Website cam kết cung cấp các dịch vụ chất lượng, sáng tạo và tối ưu.