Một website của Anh vừa thông báo về phương thức tấn công XSS (cross-site scripting) tạo điều kiện thuận lợi cho các hoạt động lừa đảo bằng e-mail hay còn gọi là phishing.

XSS sẽ cho phép tin tặc chạy một đoạn mã ở trên một trang web và hoạt động ngay trong trình duyệt Internet Explorer của Windows XP với phần mềm nâng cấp SP2 và cả trình duyệt Mozilla Firefox 0.9.1. Hiện nay, các hình thức tấn công XSS đặc biệt nguy hiểm. Những kẻ lừa đảo thường tìm cách chạy các đoạn mã trong máy tính nạn nhân

Sau khi đã kích hoạt XSS, người lướt web sẽ được hướng dẫn truy cập vào những trang chạy trên website nạn nhân (ví dụ như website của ngân hàng) và liên kết với mã của trang web hacker. Tưởng chừng như người lướt web đang chạy trên chính trang web mà mình truy cập nhưng thực chất họ lại đang kết nối với trang chủ của kẻ tấn công. Hacker có thể sử dụng kỹ thuật này để thuyết phục người sử dụng cung cấp thông tin cá nhân nhạy cảm, liên quan đến số tài khoản, thẻ tín dụng, số nhận dạng cá nhân (PIN)…dẫn đến việc bị kẻ xấu lợi dụng moi tiền. Chỉ quan sát bằng mắt thường rất khó phát hiện nạn phishing đang bùng nổ này. Do đó, các công ty an ninh mạng vẫn luôn tích cực phát triển những kỹ thuật để ngăn chặn vấn nạn này.

Công ty tư vấn an ninh Anh Netcraft cho biết: "Chạy được mã trên trang web của một tổ chức tài chính là một thành công của những kẻ lừa đảo vì khi ấy, cuộc đột kích sẽ trở nên dễ dàng hơn. Đặc biệt giờ đây, những kẻ bịp bợm bằng thư điện tử có thể truy cập vào các website ngân hàng bị lỗi XSS".

Mặc dù kỹ thuật XSS đã hoành hành trong suốt 4 năm qua, những người lập trình vẫn rất dễ nhầm lẫn.