Tấn công phi kỹ thuật (trang web lừa đảo và giả mạo)

Tấn công phi kỹ thuật là nội dung lừa khách truy cập thực hiện một việc nguy hiểm, chẳng hạn như cung cấp thông tin mật hoặc tải phần mềm xuống. Nếu Google phát hiện thấy trang web của bạn có chứa nội dung tấn công phi kỹ thuật, có thể trình duyệt Chrome sẽ đưa ra cảnh báo "Bạn sắp truy cập trang web lừa đảo" khi khách truy cập xem trang web của bạn. Bạn có thể kiểm tra xem có trang nào trên trang web của bạn bị nghi ngờ là chứa nội dung tấn công tấn công tâm lý hay không bằng cách truy cập báo cáo Vấn đề bảo mật trong Search Console.

Mở báo cáo Vấn đề bảo mật

Tấn công phi kỹ thuật là gì?

Tấn công phi kỹ thuật là khi một người dùng trang web bị lừa thực hiện một việc nguy hiểm trên mạng.

Có nhiều loại tấn công phi kỹ thuật:

  • Lừa đảo: Trang web lừa người dùng tiết lộ thông tin cá nhân của họ (ví dụ: mật khẩu, số điện thoại hoặc số an sinh xã hội). Trong trường hợp này, nội dung giả mạo hoạt động hoặc giao diện của một đối tượng uy tín — ví dụ: trình duyệt, hệ điều hành, ngân hàng hay chính quyền.
  • Nội dung lừa đảo: Nội dung tìm cách lừa bạn thực hiện một việc nào đó mà bạn sẽ chỉ làm cho một đối tượng uy tín (ví dụ: chia sẻ mật khẩu, gọi điện đến bộ phận hỗ trợ kỹ thuật hay tải phần mềm xuống), hoặc nội dung có chứa quảng cáo đưa ra tuyên bố sai sự thật rằng phần mềm trên thiết bị đã lỗi thời nhằm gợi ý người dùng cài đặt phần mềm không mong muốn.
  • Dịch vụ bên thứ ba không được gắn nhãn đầy đủ: Dịch vụ bên thứ ba nghĩa là một bên điều hành trang web hoặc dịch vụ thay mặt cho một đối tượng khác. Nếu bạn (bên thứ ba) điều hành trang web thay mặt cho một bên khác (bên thứ nhất) nhưng không nêu rõ mối quan hệ này, thì trường hợp này có thể bị coi là hành vi tấn công phi kỹ thuật. Ví dụ: nếu bạn (bên thứ nhất) điều hành một trang web từ thiện và sử dụng một trang web khác (bên thứ ba) để thu các khoản quyên góp cho trang web của bạn, thì trang web quyên góp phải nêu rõ việc trang này chỉ là một nền tảng bên thứ ba hoạt động thay mặt cho trang web từ thiện nói trên. Nếu không, trường hợp này có thể bị coi là hành vi tấn công phi kỹ thuật.

Tính năng Duyệt web An toàn của Google bảo vệ người dùng bằng cách cảnh báo cho người dùng trước khi họ truy cập các trang thường xuyên dính líu đến hành vi tấn công phi kỹ thuật.

Trang web bị xem là có hành vi tấn công phi kỹ thuật khi:

  • Giả mạo hoạt động hoặc giao diện của một đối tượng uy tín, chẳng hạn như trình duyệt hay thiết bị của chính bạn, hoặc chính trang web thật, hoặc
  • Tìm cách lừa bạn thực hiện việc nào đó mà bạn sẽ chỉ làm cho một đối tượng uy tín, như chia sẻ mật khẩu, gọi cho bộ phận hỗ trợ kỹ thuật hay tải phần mềm xuống.

Tấn công phi kỹ thuật trong nội dung được nhúng

Hành vi tấn công phi kỹ thuật cũng có thể xuất hiện trong nội dung được nhúng trên các trang web vốn vô hại, thường là trong quảng cáo. Trang lưu trữ nội dung tấn công phi kỹ thuật được nhúng bị coi là trang vi phạm chính sách.

Đôi khi người dùng có thể thấy nội dung tấn công phi kỹ thuật nhúng trên trang lưu trữ, như trong ví dụ này. Trong những trường hợp khác, trang web lưu trữ không chứa quảng cáo nào mà người dùng thấy được, nhưng lại dẫn người dùng đến trang tấn công phi kỹ thuật thông qua cửa sổ bật lên, cửa sổ bật xuống hay các hình thức chuyển hướng khác. Trong cả hai trường hợp, loại nội dung tấn công phi kỹ thuật được nhúng này sẽ dẫn đến việc trang lưu trữ vi phạm chính sách.

Nhưng tôi không tham gia tấn công phi kỹ thuật!

Tin tặc có thể thêm nội dung tấn công phi kỹ thuật lừa đảo thông qua tài nguyên được nhúng trên trang, chẳng hạn như hình ảnh, các thành phần khác của bên thứ ba hoặc quảng cáo. Nội dung lừa đảo như vậy có thể lừa khách truy cập trang web tải phần mềm không mong muốn.

Ngoài ra, tin tặc có thể chiếm quyền kiểm soát các trang web vô hại và sử dụng những trang web này để lưu trữ hay phát tán nội dung tấn công phi kỹ thuật. Tin tặc có thể thay đổi nội dung của trang web hoặc thêm trang khác vào trang web, thường với ý định lừa khách truy cập cung cấp thông tin cá nhân như số thẻ tín dụng. Bạn có thể tìm hiểu xem trang web của bạn có bị xác định là trang web lưu trữ hay phát tán nội dung tấn công phi kỹ thuật hay không bằng cách kiểm tra báo cáo Vấn đề bảo mật trong Search Console.

Hãy xem phần Trợ giúp cho trang web bị tấn công nếu bạn cho rằng trang web của mình đã bị tấn công.

Ví dụ về trường hợp vi phạm dạng tấn công phi kỹ thuật

Ví dụ về nội dung lừa đảo

Sau đây là một số ví dụ về các trang tham gia vào hoạt động tấn công tâm lý:

Cửa sổ bật lên có hành vi tấn công tâm lý với mục đích lừa người dùng cài đặt ứng dụng không mong muốn
Cửa sổ lừa đảo bật lên nhằm lừa người dùng cài đặt phần mềm độc hại.

Ví dụ về hành vi tấn công phi kỹ thuật dưới dạng tuyên bố rằng người dùng cần cập nhật trình duyệt
Cửa sổ bật lên lừa đảo rằng sẽ giúp người dùng cập nhật trình duyệt của họ

Trang giả mạo quy trình đăng nhập vào Google
Trang giả mạo quy trình đăng nhập vào Google

Ví dụ về quảng cáo lừa đảo

Sau đây là một số ví dụ về nội dung lừa đảo bên trong quảng cáo được nhúng. Những quảng cáo này trông giống như một phần của giao diện trên trang chứ không phải quảng cáo.

Quảng cáo lừa đảo mạo nhận là bản cập nhật cho trình phát nội dung đa phương tiện trên trang
Cửa sổ bật lên lừa đảo rằng phần mềm của người dùng đã lỗi thời.

Quảng cáo lừa đảo mạo nhận là trình cài đặt cho một thành phần cần thiết
Cửa sổ lừa đảo bật lên mạo nhận là của nhà phát triển FLV

Quảng cáo lừa đảo mạo nhận là các nút điều khiển việc phát nội dung trên trang lưu trữ
Quảng cáo giả dạng nút hành động trên trang.

Khắc phục vấn đề

Nếu trang web của bạn bị gắn cờ vì chứa nội dung tấn công phi kỹ thuật (nội dung lừa đảo), hãy đảm bảo rằng trang của bạn không dính líu đến hành vi nào như mô tả ở trên, sau đó thực hiện các bước sau:

  1. Kiểm tra trong Search Console.
    • Xác minh rằng bạn có quyền sở hữu đối với trang web của mình trong Search Console và không có chủ sở hữu đáng ngờ nào mới được thêm vào.

    • Kiểm tra báo cáo Vấn đề bảo mật để xem liệu trang web của bạn có trong danh sách các trang chứa nội dung lừa đảo (cụm từ trong báo cáo chỉ hành vi tấn công phi kỹ thuật) hay không. Nếu trong báo cáo có các URL mẫu bị gắn cờ, hãy truy cập vào một số URL được đề cập trong báo cáo, nhưng sử dụng một máy tính không nằm trong mạng phân phát trang web của bạn (có thể những kẻ tấn công thông minh sẽ không tấn công nếu cho rằng khách truy cập là chủ sở hữu trang web).

      Nếu báo cáo không chứa URL mẫu và bạn cho rằng không có hành vi tấn công phi kỹ thuật (nội dung lừa đảo) trên trang web của mình, hãy yêu cầu xem xét về bảo mật trong báo cáo báo cáo Vấn đề bảo mật.

  2. Xoá nội dung lừa đảo. Đảm bảo rằng không trang nào trên trang web của bạn có chứa nội dung lừa đảo. Nếu bạn cho rằng công cụ Duyệt web an toàn đã phân loại nhầm một trang trên trang web của mình, hãy báo cáo trường hợp đó.
  3. Kiểm tra tài nguyên bên thứ ba có trên trang web của bạn. Đảm bảo rằng mọi quảng cáo, hình ảnh hay tài nguyên bên thứ ba được nhúng trên các trang thuộc trang web của bạn đều không phải là nội dung lừa đảo.
    • Lưu ý rằng mạng quảng cáo có thể xoay vòng các quảng cáo hiển thị trên các trang thuộc trang web của bạn. Do đó, có thể bạn phải làm mới trang vài lần thì mới thấy quảng cáo tấn công phi kỹ thuật xuất hiện.
    • Một số quảng cáo có thể có cách thức xuất hiện khác nhau giữa thiết bị di động và máy tính. Bạn có thể sử dụng Công cụ kiểm tra URL để xem trang web của mình ở cả chế độ xem cho thiết bị di động và chế độ xem cho máy tính.
    • Tuân thủ nguyên tắc đối với dịch vụ của bên thứ ba (chẳng hạn như dịch vụ thanh toán) cho mọi dịch vụ do bên thứ ba cung cấp mà bạn sử dụng trên trang web của mình.
  4. Yêu cầu xem xét lại. Sau khi xoá tất cả nội dung tấn công phi kỹ thuật khỏi trang web của mình, bạn có thể yêu cầu xem xét lại về bảo mật trong báo cáo Vấn đề bảo mật. Quy trình xem xét lại có thể mất vài ngày mới hoàn tất.

Nguyên tắc đối với dịch vụ của bên thứ ba

Nếu đưa dịch vụ của bên thứ ba vào trang web của mình, thì bạn nên đáp ứng những điều kiện sau để tránh bị gắn nhãn là có hành vi tấn công phi kỹ thuật:

  • Trang web của bên thứ ba phải thể hiện rõ ràng thương hiệu của bên thứ ba đó trên mọi trang sao cho người dùng hiểu được ai đang điều hành trang web. Ví dụ: bằng cách đưa thương hiệu của bên thứ ba lên đầu trang.
  • Trên mỗi trang chứa thương hiệu của bên thứ nhất, hãy nêu rõ mối quan hệ giữa bên thứ nhất và bên thứ ba, đồng thời đưa ra một đường liên kết để cung cấp thêm thông tin. Ví dụ: một tuyên bố như thế này:

    Dịch vụ này do Example.com cung cấp thay mặt cho Example.charities.com. Xem thêm thông tin.

Một cách hay để xác định xem tuyên bố bạn đưa ra có hữu ích hay không là đặt câu hỏi liệu có phải lúc nào một người dùng đang xem trang này một mình cũng có thể biết rõ mình đang ở trên trang web nào cũng như mối quan hệ giữa bên thứ nhất và bên thứ ba hay không.

Nếu là người dùng Search Console và đang gặp các vấn đề bảo mật kéo dài liên tục hoặc không thể khắc phục trên trang web của mình, bạn có thể cho chúng tôi biết.

Báo cáo vấn đề bảo mật