Tấn công phi kỹ thuật (Trang web lừa đảo)

Tấn công phi kỹ thuật là nội dung lừa người dùng thực hiện một hành động gì đó nguy hiểm, chẳng hạn như cung cấp thông tin mật hoặc tải xuống phần mềm. Nếu Google phát hiện thấy trang web của bạn chứa nội dung tấn công phi kỹ thuật, trình duyệt Chrome có thể hiển thị cảnh báo "Deceptive site ahead" (Bạn sắp vào trang web lừa đảo) khi khách truy cập xem trang web của bạn. Bạn có thể kiểm tra xem có trang nào trên trang web của bạn bị nghi ngờ chứa tấn công tấn công phi kỹ thuật hay không bằng cách truy cập báo cáo Sự cố bảo mật.

Mở báo cáo Sự cố bảo mật

Tổng quan

Tấn công phi kỹ thuật là gì?

Tấn công phi kỹ thuật là khi một người dùng web bị lừa thực hiện một hành động gì đó nguy hiểm trực tuyến.

Có nhiều loại tấn công tấn công phi kỹ thuật khác nhau:

  • Lừa đảo: Trang web lừa người dùng cung cấp thông tin cá nhân của họ (ví dụ: số điện thoại hay thẻ tín dụng). Trong trường hợp này, trang web giả vờ hành động hoặc có hình thức như một thực thể đáng tin cậy— ví dụ: một trình duyệt, hệ điều hành, ngân hàng hay chính quyền.
  • Nội dung lừa đảo: Nội dung cố lừa bạn thực hiện hành động gì đó mà bạn chỉ làm cho một thực thể đáng tin cậy — ví dụ: chia sẻ mật khẩu, gọi bộ phận hỗ trợ kỹ thuật hay tải phần mềm xuống, hoặc nội dung chứa quảng cáo tuyên bố không chính xác rằng phần mềm trên thiết bị đã cũ và nhắc người dùng cài đặt phần mềm không mong muốn.
  • Dịch vụ bên thứ ba được dán nhãn không đầy đủ: Dịch vụ bên thứ ba là bên điều hành một trang web hoặc dịch vụ thay mặt cho một thực thể khác. Nếu bạn (bên thứ ba) điều hành một trang web thay mặt cho một bên (thứ nhất) khác nhưng không nêu rõ mối quan hệ này, thì điều đó có thể bị gắn cờ là tấn công phi kỹ thuật. Ví dụ: nếu bạn (bên thứ nhất) điều hành một trang web từ thiện sử dụng một trang web bên thứ ba để xử lý các khoản quyên góp cho trang web của mình, thì trang web quyên góp phải nêu rõ rằng trang chỉ là một nền tảng bên thứ ba hoạt động thay mặt cho trang web từ thiện đó, nếu không trang có thể bị coi là tấn công phi kỹ thuật.

Tính năng Duyệt web An toàn của Google bảo vệ người dùng bằng cách cảnh báo cho người dùng trước khi họ truy cập các trang thường xuyên tham gia vào hành vi tấn công phi kỹ thuật.

Trang web bị xem là tấn công phi kỹ thuật khi chúng:

  • Giả vờ hành động hoặc có hình thức, như một thực thể đáng tin cậy, như thiết bị hay trình duyệt của riêng bạn hoặc bản thân trang web hoặc
  • Cố lừa bạn thực hiện hành động gì đó mà bạn chỉ làm cho một thực thể đáng tin cậy, như chia sẻ mật khẩu, gọi bộ phận hỗ trợ kỹ thuật hay tải phần mềm xuống.

Tấn công phi kỹ thuật trong nội dung nhúng

Tấn công phi kỹ thuật cũng có thể hiển thị trong nội dung được nhúng trong các trang web thường vô hại, thường là trong quảng cáo. Nội dung tấn công phi kỹ thuật được nhúng là một vi phạm chính sách của trang lưu trữ.

Đôi khi nội dung tấn công phi kỹ thuật được nhúng sẽ hiển thị cho người dùng trên trang lưu trữ, như được minh họa trong ví dụ bên dưới. Trong các trường hợp khác, trang web lưu trữ không chứa bất kỳ quảng cáo hiển thị nào, nhưng dẫn người dùng đến các trang tấn công phi kỹ thuật thông qua cửa sổ bật mở, cửa sổ ẩn hay các loại chuyển hướng khác. Trong cả hai trường hợp, loại nội dung tấn công phi kỹ thuật được nhúng này sẽ dẫn đến vi phạm chính sách của trang lưu trữ.

Nhưng tôi không tham gia vào tấn công phi kỹ thuật!

Nội dung tấn công phi kỹ thuật lừa đảo có thể được đưa vào thông qua tài nguyên được nhúng trên trang, chẳng hạn như hình ảnh, các thành phần bên thứ ba khác hoặc quảng cáo. Nội dung lừa đảo như vậy có thể lừa khách truy cập trang web tải phần mềm không mong muốn xuống. 

Ngoài ra, kẻ tấn công có thể chiếm quyền kiểm soát các trang web không vi phạm và sử dụng chúng để lưu trữ hay phát tán nội dung tấn công phi kỹ thuật. Kẻ tấn công có thể thay đổi nội dung của trang web hoặc thêm trang bổ sung vào trang web, thường với ý định lừa khách truy cập cung cấp thông tin cá nhân chẳng hạn như số thẻ tín dụng. Bạn có thể tìm hiểu xem trang web của bạn có bị xác định là trang web lưu trữ hay phát tán nội dung tấn công phi kỹ thuật hay không bằng cách kiểm tra báo cáo Sự cố bảo mật trong Search Console.

Xem Trợ giúp cho các trang web bị tấn công của chúng tôi nếu bạn tin rằng trang web của bạn đã bị tấn công.

Ví dụ về lỗi vi phạm tấn công phi kỹ thuật

Ví dụ về nội dung lừa đảo

Sau đây là ví dụ về các trang tham gia vào hoạt động tấn công phi kỹ thuật:

Social engineering popup that tries to make the user install an unwanted application.
Cửa sổ bật mở lừa đảo nhằm lừa người dùng cài đặt phần mềm độc hại.
Example of social engineering attempt claiming a browser update is required
Cửa sổ bật mở lừa đảo mạo nhận rằng sẽ giúp người dùng cập nhật trình duyệt của họ
Trang đăng nhập Google giả. Hãy chú ý đến URL lừa đảo. Các trang web lừa đảo khác như thế này có thể lừa bạn cung cấp thông tin cá nhân khác như thông tin thẻ tín dụng. Các trang web lừa đảo có thể trông giống hệt trang thật, vì vậy hãy nhìn vào thanh địa chỉ để xác minh rằng URL là chính xác và cũng để kiểm tra xem trang web có bắt đầu bằng https:// không

Ví dụ về quảng cáo lừa đảo

Dưới đây là một số ví dụ về nội dung lừa đảo bên trong quảng cáo nhúng. Các quảng cáo này xuất hiện dưới dạng một phần của giao diện trang chứ không phải quảng cáo.

Deceptive ad claiming to be a media player update on the page.
Cửa sổ bật mở lừa đảo xuyên tạc rằng phần mềm của người dùng đã lỗi thời.
Deceptive ad claiming to be an installer for a required component.
Cửa sổ bật mở lừa đảo mạo nhận là của nhà phát triển FLV
Deceptive ads claiming to be playback controller buttons on the host page.
Quảng cáo giả trang làm nút hành động trên trang.

Khắc phục vấn đề

Nếu trang web của bạn bị gắn cờ vì chứa nội dung tấn công phi kỹ thuật (nội dung lừa đảo), hãy đảm bảo rằng trang của bạn không tham gia vào bất kỳ hành động nào được mô tả ở trên, và sau đó thực hiện các bước sau:

  1. Đăng nhập vào Search Console
    • Xác minh rằng bạn sở hữu trang web của mình trong Search Console và không có chủ sở hữu mới đáng ngờ nào được thêm.
    • Kiểm tra báo cáo Vấn đề bảo mật để xem liệu trang web của bạn có được liệt kê là chứa nội dung lừa đảo (cụm từ báo cáo chỉ lỗi tấn công phi kỹ thuật). Hãy truy cập một số URL bị gắn cờ trong báo cáo, nhưng sử dụng một máy tính không nằm trong mạng phân phối trang web của bạn (những kẻ tấn công thông minh có thể ngừng hành vi tấn công nếu họ nghĩ rằng khách truy cập là quản trị viên trang web).
  2. Xóa nội dung lừa đảo. Đảm bảo rằng không trang nào trên trang web của bạn có chứa nội dung lừa đảo. Nếu bạn tin rằng tính năng Duyệt web an toàn đã phân loại nhầm một trang, vui lòng báo cáo tại đây.
  3. Kiểm tra tài nguyên bên thứ ba có trong trang web của bạn. Đảm bảo rằng mọi quảng cáo, hình ảnh hay tài nguyên bên thứ ba được nhúng trên các trang thuộc trang web của bạn đều không phải là nội dung lừa đảo.
    • Lưu ý rằng mạng quảng cáo có thể xoay vòng quảng cáo được hiển thị trên các trang thuộc trang web của bạn. Vì thế bạn có thể cần phải làm mới trang vài lần trước khi có thể thấy bất kỳ quảng cáo tấn công phi kỹ thuật nào hiển thị.
    • Một số quảng cáo có thể hiển thị theo cách khác nhau trên thiết bị di động và máy tính để bàn. Bạn có thể sử dụng công cụ Kiểm tra URL để xem trang web của mình ở cả chế độ xem cho thiết bị di động và máy tính để bàn.
    • Hãy thực hiện theo các nguyên tắc dịch vụ của bên thứ ba được mô tả bên dưới đối với bất kỳ dịch vụ bên thứ ba nào, chẳng hạn như dịch vụ thanh toán, mà bạn sử dụng trong trang web của mình.
  4. Yêu cầu xem xét lại. Sau khi xóa tất cả nội dung tấn công phi kỹ thuật khỏi trang web của mình, bạn có thể yêu cầu xem xét lại tính bảo mật trong báo cáo Vấn đề bảo mật. Quy trình xem xét lại có thể mất vài ngày.

Nguyên tắc dịch vụ của bên thứ ba

Nếu bao gồm dịch vụ bên thứ ba trong trang web của mình, bạn nên đáp ứng các điều kiện sau để tránh bị gắn nhãn là tấn công phi kỹ thuật:

  • Trang web của bên thứ ba phải nêu rõ ràng thương hiệu bên thứ ba trên mọi trang sao cho người dùng hiểu được ai đang điều hành trang web. Ví dụ: bao gồm thương hiệu bên thứ ba ở đầu trang.
  • Trên mỗi trang chứa thương hiệu bên thứ nhất, hãy nêu rõ mối quan hệ giữa bên thứ nhất và bên thứ ba và cung cấp liên kết để biết thêm thông tin.  Ví dụ: bạn có thể sử dụng một tuyên bố như thế này:

      Dịch vụ này do Example.com cung cấp thay mặt cho Example.charities.com. Thông tin khác

Một cách để biết xem tuyên bố bạn đưa ra có hữu ích hay không là hãy tự hỏi liệu một người dùng đang xem trang có biết rõ trang web họ đang truy cập và mối quan hệ giữa bên thứ nhất và bên thứ ba trong mọi trường hợp hay không.

Phương pháp hay nhất: Nếu bạn cần một bên thứ ba thực hiện dịch vụ hỗ trợ cơ bản cho trang web của mình, cách tốt nhất là sử dụng một bên thứ ba có uy tín trong ngành cho dịch vụ đó. Ví dụ: để quản lý quy trình xác thực người dùng trên trang web, bạn nên sử dụng OAuth thay vì tự quản lý.
Thông tin này có hữu ích không?
Chúng tôi có thể cải thiện trang này bằng cách nào?