Tấn công “homoglyph” – Đòn đánh từ những ký tự trông giống nhau
Trong những năm gần đây, các cuộc tấn công “homoglyph” ngày càng phổ biến. Tin tặc đánh lừa người dùng truy cập vào trang web giả mạo có tên miền trông giống hệt với trang web thật, thông qua việc thay thế các ký tự quen thuộc bằng ký tự tương tự trong bảng Unicode.
Ví dụ: chữ “a” trong bảng chữ cái Cyrillic (а) trông gần như giống hệt chữ “a” trong bảng chữ Latin, nhưng thực chất là hai ký tự khác nhau.
Ngoài việc thay ký tự, kẻ tấn công còn có thể chèn các ký tự "vô hình" như "zero-width space" (U+200B) để đánh lừa người dùng. Ví dụ: Liên kết trông như “amazon.com” có thể bị biến tấu thành “ama(ký tự vô hình)zon.com”, nhưng khi hiển thị, người dùng chỉ thấy “zon.com”, dễ bị đánh lừa rằng đây là một trang hợp lệ.
Điều này cũng giúp che giấu URL thật khi sử dụng các liên kết rút gọn, khiến người dùng dễ nhấp vào liên kết nguy hiểm. Theo Digregorio, một biến thể đặc biệt của kiểu tấn công này có thể thực hiện được trong một số ứng dụng phổ biến như WhatsApp, Telegram, Slack trên điện thoại Android.
Tấn công qua gợi ý liên kết trong thông báo
Digregorio đặc biệt cảnh báo về các liên kết hiển thị trong phần thông báo của ứng dụng — nơi người dùng thường nhanh chóng nhấn vào liên kết mà không kiểm tra kỹ.
Ông đã kiểm nghiệm hành vi này trên các ứng dụng như WhatsApp, Telegram, Instagram, Discord và Slack. Ví dụ: WhatsApp có thể bị đánh lừa bằng ký tự vô hình, nhưng Telegram thì không bị ảnh hưởng bởi kiểu tấn công này.
Hiện tại, người dùng Android không thể làm gì nhiều ngoài việc thận trọng khi nhấp vào các liên kết hiển thị trong thông báo. Digregorio đã báo cáo lỗ hổng này cho Google vào tháng 3.2025. Tuy nhiên, nhóm bảo mật Android cho rằng lỗ hổng này không đủ nghiêm trọng để phát hành bản cập nhật vá lỗi.
Vấn đề tương tự cũng tồn tại trên hệ điều hành iOS, nhưng dễ phát hiện hơn. Nếu một liên kết bị chèn ký tự "zero-width space", phần liên kết bị đánh lừa (ví dụ “zon.com”) sẽ được tô màu khác (thường là màu xanh dương). Điều này giúp người dùng nhận ra dấu hiệu bất thường và tránh bị lừa nhấp vào các liên kết giả mạo.
Ký tự vô hình là gì?
Ký tự vô hình "zero-width space" (U+200B) là một ký tự đặc biệt trong bảng mã Unicode, được thiết kế để không chiếm bất kỳ không gian hiển thị nào trên màn hình hay khi in ra. Đúng như tên gọi, nó có "độ rộng bằng không".
Mục đích chính của U+200B là cung cấp một điểm mà tại đó trình duyệt hoặc trình xử lý văn bản có thể ngắt dòng (xuống hàng) nếu cần thiết, mà không hiển thị một khoảng trắng hay dấu gạch nối. Điều này đặc biệt hữu ích trong các ngôn ngữ không sử dụng khoảng cách để phân tách các từ (ví dụ: tiếng Thái, tiếng Nhật, tiếng Trung Quốc) hoặc để cho phép ngắt dòng trong các từ rất dài trong các ngôn ngữ khác. Do tính chất vô hình của nó, U+200B có thể được sử dụng cho nhiều mục đích khác nhau.
Định dạng văn bản và khả năng đọc: Giúp trình duyệt ngắt dòng các từ dài hoặc trong các ngôn ngữ không có dấu cách; kiểm soát cách các từ hoặc cụm từ hiển thị mà không làm thay đổi cấu trúc của chúng (ví dụ, để đảm bảo một dòng văn bản không bị tràn ra ngoài).
Tránh các liên kết tự động hoặc định dạng đặc biệt: Trong một số nền tảng (ví dụ: Twitter, diễn đàn), nếu bạn gõ @username hoặc #hashtag, nó sẽ tự động biến thành một liên kết. Bằng cách chèn U+200B giữa @ hoặc # và văn bản (ví dụ: @\u200busername), bạn có thể hiển thị ký tự đó mà không kích hoạt liên kết. Điều này hữu ích khi bạn muốn đề cập đến cú pháp mà không muốn nó trở thành liên kết hoạt động. Tương tự, có thể ngăn chặn các tính năng tự động định dạng như "ligature" (nối chữ) trong một số font chữ.
Ẩn thông tin (Steganography): Đây là một ứng dụng tiêu cực và đáng lo ngại. Do ký tự này vô hình, nó có thể được sử dụng để:
Nhúng dữ liệu ẩn: Một chuỗi các ký tự U+200B có thể được sử dụng để mã hóa dữ liệu nhị phân (0 và 1) và giấu vào giữa một văn bản bình thường. Điều này có thể được dùng để tạo "dấu vân tay" (fingerprint) cho tài liệu, theo dõi nguồn gốc rò rỉ thông tin, hoặc thậm chí là ẩn tin nhắn bí mật.
Vượt qua bộ lọc từ khóa/kiểm duyệt: Kẻ gian có thể chèn U+200B vào giữa các chữ cái của một từ cấm (ví dụ: "t\u200biền \u200bgửi" thay thế cho từ cấm là tiền gửi) để qua mặt các hệ thống kiểm duyệt tự động mà vẫn giữ được ý nghĩa rõ ràng đối với con người.
Lừa đảo: Chèn các ký tự vô hình vào URL hoặc tên người dùng có thể tạo ra các liên kết hoặc tên hiển thị trông giống hệt bản gốc, nhưng thực chất lại dẫn đến trang web giả mạo hoặc tài khoản lừa đảo.
