Tội phạm mạng ngày càng dùng các thủ đoạn tinh vi hơn để gạt gẫm người duyệt web trao thông tin cá nhân cho chúng. Chiêu mới nhất là sử dụng một thanh địa chỉ trình duyệt giả để hướng người dùng tới một web site được thiết lập để ăn cắp mã PIN của thẻ rút tiền.

Nạn phishing, trong đó tội phạm mạng tìm cách ăn cắp tiền của người tiêu dùng nhẹ dạ bằng cách dụ họ khai báo số thẻ tín dụng và các thông tin cá nhân, gia tăng không ngừng trong thời gian gần đây. Hầu hết các vụ tấn công kiểu này bắt đầu bằng một email được ngụy trang như thể nó được gửi tới từ một tổ chức hợp pháp, chẳng hạn ngân hàng, yêu cầu người dùng nhập thông tin cho một trang web đặc biệt. Bất kỳ ai làm theo hướng dẫn đó sẽ nộp thông tin chi tiết của mình cho bọn tin tặc một cách khờ khạo, những kẻ sau đó sẽ khoắng sạch tài khoản của họ.

Giờ đây, Nhóm công tác chống Phishing (APWG), một tổ chức phi chính phủ của nhiều ngân hàng Mỹ, phát hiện một dạng tấn công còn tinh vi hơn, nhằm vào khách hàng của Citibank.

Bức thư điện tử do những kẻ lừa đảo gửi tới nạn nhân viết: “Email này được gửi đi từ máy chủ của Citibank để thẩm định địa chỉ email của bạn. Bạn phải hoàn tấn thủ tục này bằng cách nhấp chuột vào đường link phía dưới và nhập số thẻ ATM/Debit của Citibank và số PIN bạn dùng trên máy rút tiền”.

Khi người dùng nhấn vào đường link trong bức email, trang web do tin tặc dựng lên sẽ phát hiện xem họ đang sử dụng trình duyệt gì, để rồi gạt bỏ thanh địa chỉ thật và tạo ra một thanh giả để thế chỗ. Thanh trình duyệt giả hiển thị chính xác địa chỉ của hãng đang bị mạo danh, thay vì địa chỉ của trang web lừa đảo mà người dùng đang truy cập.

Dave Brunswick, giám đốc kỹ thuật của hãng Tumbleweed và cũng là một thành viên của  APWG nhận xét: “Vấn đề lớn nhất gặp phải khi tìm cách gạt người khác là hàng chữ hiển thị trong thanh địa chỉ của trình duyệt. Thế nhưng, kiểu tấn công mới loại bỏ được khó khăn này”.

Thanh địa chỉ giả thậm chí còn hoạt động y như thật, sẽ đưa người dùng tới các trang web khác khi họ gõ địa chỉ vào đó. Còn trang web giả thì bắt chước từng chút một của mã được dùng để tạo trang web thật.

Có rất ít dấu hiệu cho thấy trang web là giả. Một trong số đó là trang web không hiển thị biểu tượng chiếc khóa, dùng để biểu thị khu vực lướt web an toàn. Ngữ pháp và văn phong của bức email cũng gợi lên những nghi vấn nhỏ.

Để đề phòng kiểu tấn công mới, ông Brunswick khuyên mọi người nên nghi ngờ bất kỳ bức email nào đề nghị người dùng cung cấp mã số login hoặc thông tin cá nhân. Theo AP WG, trong tháng 2, các vụ tấn công fishing đã tăng 60% so với tháng Giêng.