Cẩn thận với ký tự vô hình khi mở đường link trên điện thoại

Anh Tú30/06/2025 13:00
Cẩn thận với ký tự vô hình khi mở đường link trên điện thoại

Chuyên gia bảo mật Gabriele Digregorio đã phát hiện một lỗ hổng tiềm ẩn trên hệ điều hành Android, có thể bị tin tặc khai thác để thực hiện các cuộc tấn công lừa đảo (phishing).

hacker.jpg
Hacker tận dụng mọi lỗ hổng để đánh cắp thông tin người dùng

Tấn công “homoglyph” – Đòn đánh từ những ký tự trông giống nhau

Trong những năm gần đây, các cuộc tấn công “homoglyph” ngày càng phổ biến. Tin tặc đánh lừa người dùng truy cập vào trang web giả mạo có tên miền trông giống hệt với trang web thật, thông qua việc thay thế các ký tự quen thuộc bằng ký tự tương tự trong bảng Unicode.

Ví dụ: chữ “a” trong bảng chữ cái Cyrillic (а) trông gần như giống hệt chữ “a” trong bảng chữ Latin, nhưng thực chất là hai ký tự khác nhau.

Ngoài việc thay ký tự, kẻ tấn công còn có thể chèn các ký tự "vô hình" như "zero-width space" (U+200B) để đánh lừa người dùng. Ví dụ: Liên kết trông như “amazon.com” có thể bị biến tấu thành “ama(ký tự vô hình)zon.com”, nhưng khi hiển thị, người dùng chỉ thấy “zon.com”, dễ bị đánh lừa rằng đây là một trang hợp lệ.

Điều này cũng giúp che giấu URL thật khi sử dụng các liên kết rút gọn, khiến người dùng dễ nhấp vào liên kết nguy hiểm. Theo Digregorio, một biến thể đặc biệt của kiểu tấn công này có thể thực hiện được trong một số ứng dụng phổ biến như WhatsApp, Telegram, Slack trên điện thoại Android.

Tấn công qua gợi ý liên kết trong thông báo

Digregorio đặc biệt cảnh báo về các liên kết hiển thị trong phần thông báo của ứng dụng — nơi người dùng thường nhanh chóng nhấn vào liên kết mà không kiểm tra kỹ.

Ông đã kiểm nghiệm hành vi này trên các ứng dụng như WhatsApp, Telegram, Instagram, Discord và Slack. Ví dụ: WhatsApp có thể bị đánh lừa bằng ký tự vô hình, nhưng Telegram thì không bị ảnh hưởng bởi kiểu tấn công này.

Hiện tại, người dùng Android không thể làm gì nhiều ngoài việc thận trọng khi nhấp vào các liên kết hiển thị trong thông báo. Digregorio đã báo cáo lỗ hổng này cho Google vào tháng 3.2025. Tuy nhiên, nhóm bảo mật Android cho rằng lỗ hổng này không đủ nghiêm trọng để phát hành bản cập nhật vá lỗi.

Vấn đề tương tự cũng tồn tại trên hệ điều hành iOS, nhưng dễ phát hiện hơn. Nếu một liên kết bị chèn ký tự "zero-width space", phần liên kết bị đánh lừa (ví dụ “zon.com”) sẽ được tô màu khác (thường là màu xanh dương). Điều này giúp người dùng nhận ra dấu hiệu bất thường và tránh bị lừa nhấp vào các liên kết giả mạo.

Ký tự vô hình là gì?

Ký tự vô hình "zero-width space" (U+200B) là một ký tự đặc biệt trong bảng mã Unicode, được thiết kế để không chiếm bất kỳ không gian hiển thị nào trên màn hình hay khi in ra. Đúng như tên gọi, nó có "độ rộng bằng không".

Mục đích chính của U+200B là cung cấp một điểm mà tại đó trình duyệt hoặc trình xử lý văn bản có thể ngắt dòng (xuống hàng) nếu cần thiết, mà không hiển thị một khoảng trắng hay dấu gạch nối. Điều này đặc biệt hữu ích trong các ngôn ngữ không sử dụng khoảng cách để phân tách các từ (ví dụ: tiếng Thái, tiếng Nhật, tiếng Trung Quốc) hoặc để cho phép ngắt dòng trong các từ rất dài trong các ngôn ngữ khác. Do tính chất vô hình của nó, U+200B có thể được sử dụng cho nhiều mục đích khác nhau.

Định dạng văn bản và khả năng đọc: Giúp trình duyệt ngắt dòng các từ dài hoặc trong các ngôn ngữ không có dấu cách; kiểm soát cách các từ hoặc cụm từ hiển thị mà không làm thay đổi cấu trúc của chúng (ví dụ, để đảm bảo một dòng văn bản không bị tràn ra ngoài).

Tránh các liên kết tự động hoặc định dạng đặc biệt: Trong một số nền tảng (ví dụ: Twitter, diễn đàn), nếu bạn gõ @username hoặc #hashtag, nó sẽ tự động biến thành một liên kết. Bằng cách chèn U+200B giữa @ hoặc # và văn bản (ví dụ: @\u200busername), bạn có thể hiển thị ký tự đó mà không kích hoạt liên kết. Điều này hữu ích khi bạn muốn đề cập đến cú pháp mà không muốn nó trở thành liên kết hoạt động. Tương tự, có thể ngăn chặn các tính năng tự động định dạng như "ligature" (nối chữ) trong một số font chữ.

Ẩn thông tin (Steganography): Đây là một ứng dụng tiêu cực và đáng lo ngại. Do ký tự này vô hình, nó có thể được sử dụng để:

Nhúng dữ liệu ẩn: Một chuỗi các ký tự U+200B có thể được sử dụng để mã hóa dữ liệu nhị phân (0 và 1) và giấu vào giữa một văn bản bình thường. Điều này có thể được dùng để tạo "dấu vân tay" (fingerprint) cho tài liệu, theo dõi nguồn gốc rò rỉ thông tin, hoặc thậm chí là ẩn tin nhắn bí mật.

Vượt qua bộ lọc từ khóa/kiểm duyệt: Kẻ gian có thể chèn U+200B vào giữa các chữ cái của một từ cấm (ví dụ: "t\u200biền \u200bgửi" thay thế cho từ cấm là tiền gửi) để qua mặt các hệ thống kiểm duyệt tự động mà vẫn giữ được ý nghĩa rõ ràng đối với con người.

Lừa đảo: Chèn các ký tự vô hình vào URL hoặc tên người dùng có thể tạo ra các liên kết hoặc tên hiển thị trông giống hệt bản gốc, nhưng thực chất lại dẫn đến trang web giả mạo hoặc tài khoản lừa đảo.

 


Gửi bình luận
(0) Bình luận
1

Người dùng Zalo chú ý: Ứng dụng hiện thông báo đỏ, thì cần làm ngay một loạt các thao tác

Đây là cách để mọi người tự bảo vệ bản thân và cộng đồng.
2

Cha mẹ về già cô đơn thường mắc chung 6 lỗi, tương lai hối hận không kịp

Cách yêu thương sai lầm có thể dẫn đến nhiều hệ quả đáng tiếc.
3

Làm theo những bước đơn giản sau, bạn sẽ biết đường link có phải bẫy lừa đảo hay không

Kiểm tra đường link là điều rất cần thiết khi tham gia vào không gian mạng hiện nay
4

Chiêu lừa đảo mới: Người dùng iPhone coi chừng mất sạch tiền trong tài khoản ngân hàng

Một thủ đoạn tấn công mới và cực kỳ tinh vi đang cho phép tin tặc gửi email lừa đảo từ địa chỉ email chính thức của Apple, dễ dàng vượt qua mọi hệ thống bảo mật và khiến người dùng sập bẫy một cách không ngờ tới.
5

Ai hay kiểm tra khoá cửa nhiều lần sau khi ra ngoài đích thị mắc chứng rối loạn tâm thần

Người hay kiểm tra khoá cửa sau khi ra khỏi nhà, không ngừng nghĩ về nó có thể mắc chứng rối loạn lo âu.

Những lo ngại khi Facebook muốn truy cập vào thư viện ảnh trên điện thoại

Facebook đang yêu cầu người dùng cho phép truy cập vào thư viện ảnh trên điện thoại để tự động đề xuất các phiên bản ảnh được chỉnh sửa bằng AI, gồm cả những bức ảnh chưa từng được tải lên Facebook.

Thủ đoạn thao túng tâm lý người trẻ để bắt cóc online, tống tiền qua mạng

Kẻ gian không dùng súng hay dao, mà dùng tâm lý để khiến nạn nhân tự mở két”, Thượng tá Đào Trung Hiếu cảnh báo về thủ đoạn lừa đảo mới, khi nạn nhân bị thao túng tâm lý như bị “bắt cóc tinh thần”.

Một tính năng cực hữu ích trên VNeID mà người dùng không nên bỏ qua

Hành khách bay nội địa hiện nay có thể hoàn tất toàn bộ thủ tục từ mua vé, check-in, qua cửa an ninh đến lên máy bay mà không cần xuất trình giấy tờ tùy thân, nhờ ứng dụng nhận diện khuôn mặt qua VNeID.

Địa chỉ, điện thoại bộ phận một cửa ở 168 phường, xã, đặc khu của TP.HCM

UBND TP.HCM vừa có thông báo về địa điểm, số điện thoại đường dây nóng của bộ phận một cửa tại các phường, xã, đặc khu của TPHCM (mới).

Địa chỉ, điện thoại bộ phận một cửa cấp tỉnh của các sở, ngành TP.HCM

UBND TP.HCM vừa có thông báo về địa điểm, số điện thoại đường dây nóng của bộ phận một cửa tại các sở, ngành, phường, xã, đặc khu của TPHCM mới.

Thời đại SEO liệu có kết thúc và quảng cáo bằng AI tạo sinh có đang lên ngôi?

Với SEO, nội dung thường được xây dựng theo công thức, bắt đầu từ việc chọn từ khóa, triển khai nội dung, chờ Google index, rồi điều chỉnh dần. Nhưng với AI tạo sinh, nội dung không chỉ là văn bản mô tả sản phẩm.

Xác thực đăng nhập qua SMS rất rủi ro, thay bằng cách nào?

Xác thực qua SMS đang bị xem là một trong những phương thức bảo mật yếu nhất hiện nay.

CapCut thay đổi điều khoản sử dụng khiến người dùng lo lắng

CapCut đang "âm thầm" thay đổi điều khoản dịch vụ đối với quyền sử dụng khuôn mặt, giọng nói và nội dung của người dùng, làm dấy lên lo ngại trong cộng đồng.

Xem Sex Education, tôi nghĩ nếu chúng ta sớm dạy con điều này thì xã hội bớt loạn!

Điện ảnh - Thanh Hương - 23/09/2025 13:00
Tôi chắc chắn sẽ dạy con thật kỹ điều này.

Đọc vụ học sinh túm tóc quật ngã cô giáo và Thông tư 19 của Bộ GD-ĐT, tôi toát mồ hôi: Nhân văn, nhưng có công bằng?

Suy ngẫm - Hiểu Đan - CFB - 23/09/2025 12:00
Nhân văn là tốt, nhưng chỉ khi gắn với công bằng và kỷ cương, nhân văn ấy mới thực sự có ý nghĩa.

Trở về từ cõi chết - Kỳ 1: Nỗi sợ – mầm bệnh vô hình

Từ sách - Phim - Quang Thanh - 23/09/2025 11:00
Tôi đã được khai sáng rất nhiều trong trải nghiệm cận tử, và sau này khi chia sẻ lại câu chuyện của mình, tôi thường được hỏi: “Vậy điều gì đã khiến cô bị ung thư?”. Cũng khá dễ hiểu khi đa số mọi người đều thắc mắc về điều này.

Cô giáo ở TP.HCM day dứt: Im lặng trước cái ác, trước bạo lực chính là tội ác

Phong cách sống - Hiểu Đan - CFB - 23/09/2025 10:10
Tôi bất mãn, bởi lẽ thay vì dạy học sinh biết dũng cảm nói lên điều đúng, người lớn lại vô tình gửi đi thông điệp rằng: "Im lặng mới an toàn".

Nhìn học sinh im lặng khi giáo viên bị túm tóc, tôi hoảng sợ các con đã được học những gì mỗi ngày?

Suy ngẫm - Nguyễn Phượng - CFB - 23/09/2025 10:00
Hình ảnh học sinh im lặng khi cô giáo bị quật ngã tại lớp học khiến tôi giật mình: Nếu những đứa trẻ chỉ được giáo dục về kiến thức mà quên dạy kỹ năng sống, dũng cảm và lòng trắc ẩn, liệu chúng có biết bảo vệ bản thân và giúp đỡ người khác khi đối diện nguy hiểm?

Vụ học sinh túm tóc quật ngã cô giáo - Học sinh có nên nhảy vào can ngăn khi chứng kiến xô xát?

Kỹ năng - TS Giáo dục Nguyễn Thị Thu Huyền - DT - 23/09/2025 09:00
Nguyên tắc đầu tiên khi đối diện với các vụ việc xô xát, bạo lực là phải bảo vệ an toàn cho bản thân rồi mới giúp đỡ những người khác. Điều này đặc biệt nên áp dụng cho học sinh.

Thuyết mặc kệ họ - 3 cách giúp bạn ngưng “overthinking” và bắt đầu hành động ngay hôm nay

Từ sách - Phim - Quìn - 23/09/2025 08:00
Nỗi lo âu và suy nghĩ quá nhiều (overthinking) đang bào mòn năng lượng và sự bình yên của bạn mỗi ngày? Thay vì vui vẻ làm việc, bạn lại đắn đo trước những tình huống có thể xảy ra khi thực hiện.

Xem Sex Education, tôi giật mình: Bố mẹ muốn tốt mà vô tình khiến con mệt mỏi, đau đầu!

Điện ảnh - Thanh Hương - 22/09/2025 13:00
Sáng hôm sau, tôi đã làm một việc khiến con bất ngờ.

9 bức ảnh hiếm của Cái Bang thời cuối nhà Thanh hé lộ quyền lực của "đế chế" này

Thư giãn - Nguyệt Phạm - 22/09/2025 12:00
Bài viết hé lộ sự thật bất ngờ về tổ chức, hoạt động và mạng lưới quyền lực của "đế chế" Cái Bang, khiến người ta phải suy ngẫm về mặt trái của xã hội phồn hoa.

3 ngày trước khi bị nhồi máu não, 90% bệnh nhân đều làm 3 điều này

Kỹ năng - Trang Đào - 22/09/2025 11:00
Nhiều người nghĩ đột quỵ hay nhồi máu não xảy ra đột ngột như “sét đánh ngang tai”, nhưng thực tế, nó giống như một kịch bản âm thầm được sắp đặt trong cơ thể: mạch máu ngày càng hẹp lại, cục máu đông hình thành, và chỉ cần một cú “kích hoạt” nhỏ, thảm kịch sẽ xảy ra.

Cha mẹ thường làm 5 thứ này thay con, khả năng con lớn lên vô ơn tăng thêm 10%

Suy ngẫm - Đông - 22/09/2025 10:00
Cha mẹ càng làm thay 5 việc này, con càng dễ ỷ lại, lớn lên vô tâm và nguy cơ bất hiếu tăng thêm mỗi năm.

Đây mới là tổng tài đời thật: Bỏ học Stanford, 25 tuổi đã tự mình thành tỷ phú

Truyền cảm hứng - Thanh Huyền - 22/09/2025 09:00
Ở tuổi 25, anh đã trở thành tỷ phú tự thân trẻ nhất hành tinh.

Chìa khóa để không trở thành 'người lạ với chính ta'

Từ sách - Phim - Quìn - 22/09/2025 08:00
Trong nhịp sống hiện đại, nhiều người trong chúng ta từng trải qua cảm giác bối rối: “Tại sao mình lại hành xử như vậy?”, “Vì sao mình lặp lại những sai lầm cũ?”, hoặc “Mình thực sự là ai giữa bao vai trò xã hội này?”. Câu trả lời không nằm ở bên ngoài, mà ở trong một khái niệm tâm lý học đầy sức nặng: Insight - nội quan.

Xem Sex Education tôi mới biết cảnh gây phẫn nộ nhất lại có thật ngoài đời

Điện ảnh - Mai Hân - 21/09/2025 13:00
Phim Sex Education có rất nhiều chi tiết được lấy cảm hứng từ chính đời thật, dựa trên trải nghiệm của biên kịch.

Người dùng Zalo chú ý: Ứng dụng hiện thông báo đỏ, thì cần làm ngay một loạt các thao tác

Kỹ năng - Minh Anh - 21/09/2025 12:00
Đây là cách để mọi người tự bảo vệ bản thân và cộng đồng.
HẠT GIỐNG TÂM HỒN
2019 Bản quyền thuộc về hatgiongtamhon.com.vn. Phát triển bởi ONECMS
Thứ 4, 24/09/2025