Tấn Công Clickjacking Đánh Cắp Dữ Liệu Từ Trình Quản Lý Mật Khẩu

Posted on by admin_1

Trong môi trường trực tuyến ngày càng nhiều rủi ro, một dạng tấn công cũ vừa quay trở lại với hình thức tinh vi hơn: các cửa sổ pop-up trên trình duyệt trông như nhằm mục đích xác thực hoặc hỗ trợ người dùng, thực chất lại được cài cắm mã độc để đánh cắp dữ liệu từ các trình quản lý mật khẩu (password manager). Điều đáng lo ngại là hầu hết các trình quản lý mật khẩu dưới dạng tiện ích mở rộng (browser extension) vẫn dễ bị tổn thương trước kỹ thuật tấn công này.

Các sản phẩm bị ảnh hưởng

Những công cụ phổ biến như 1Password, LastPass, NordPass, Enpass đều nằm trong danh sách dễ bị khai thác. Các giải pháp này lưu trữ toàn bộ thông tin định danh của người dùng trong kho mật mã hóa (encrypted vault) và sử dụng tiện ích mở rộng trên trình duyệt để tự động điền mật khẩu vào các biểu mẫu web.

So với trình quản lý mật khẩu tích hợp sẵn trong trình duyệt, các tiện ích mở rộng có nhiều lớp bảo vệ hơn. Trình quản lý tích hợp của trình duyệt thường mã hóa dữ liệu dựa trên thông tin đăng nhập của chính trình duyệt, khiến mã độc đánh cắp thông tin (infostealer malware) có thể dễ dàng giải mã khi người dùng đang đăng nhập.

Trong khi đó, trình quản lý mật khẩu dạng extension sử dụng mật khẩu chủ (master password) riêng, cơ chế auto-lock, và lưu trữ vault được mã hóa tách biệt. Tuy nhiên, như mọi giải pháp bảo mật, không có gì là tuyệt đối an toàn.

Sự trở lại của Clickjacking

Tại hội nghị an ninh mạng DEFCON, chuyên gia Marek Tóth đã công bố một kỹ thuật tấn công khai thác hầu hết các password manager dạng extension. Phương thức này lợi dụng clickjacking — một dạng tấn công trong đó kẻ xấu thay đổi cấu trúc hiển thị của website, khiến người dùng tưởng rằng mình đang click vào một thành phần hợp pháp, nhưng thực chất lại thực hiện hành động khác.

Bằng cách làm ẩn đi menu chọn tài khoản (dropdown selector) của tiện ích quản lý mật khẩu, kẻ tấn công có thể chèn một lớp overlay vô hình lên trên một nút bấm tưởng chừng hợp pháp. Khi người dùng click, họ thực tế đang kích hoạt dropdown selector, từ đó vô tình tiết lộ thông tin nhạy cảm được điền sẵn từ password manager.

Kết quả: mật khẩu và dữ liệu bí mật bị rò rỉ mà người dùng hoàn toàn không hay biết.

Nguy cơ thực tế

Hình thức clickjacking này có thể lợi dụng các pop-up giả mạo, chẳng hạn:

  • Banner xin phép sử dụng cookie (theo quy định GDPR tại châu Âu)

  • Nút xác thực danh tính / độ tuổi (“Bạn có đủ 18 tuổi?”)

  • Thông báo cảnh báo nội dung nhạy cảm

Ngoài thông tin đăng nhập, kẻ tấn công còn có thể đánh cắp:

  • Thông tin thẻ tín dụng

  • Dữ liệu cá nhân (tên, số điện thoại, địa chỉ…)

  • Passkeys (khóa xác thực thay thế mật khẩu)

  • TOTP (Time-based One-Time Password) từ ứng dụng xác thực

Ứng phó từ các nhà cung cấp

Tóth đã tiết lộ có trách nhiệm (responsible disclosure) cho các hãng quản lý mật khẩu, nhưng mức độ phản hồi không đồng đều:

  • Dashlane, Keeper, NordPass, ProtonPass, RoboForm: đã khắc phục.

  • Bitwarden, Enpass, Apple iCloud Keychain: đang xử lý.

  • 1Password: phân loại là “informative”, chưa sửa triệt để.

  • LastPass: vá một phần (dữ liệu cá nhân và thẻ tín dụng), nhưng vẫn còn lỗ hổng với mật khẩu, passkeys và TOTP.

  • LogMeOnce: chưa phản hồi.

Biện pháp phòng ngừa

Để giảm thiểu rủi ro, chuyên gia khuyến nghị:

  • Luôn bật cập nhật tự động và dùng phiên bản mới nhất của trình quản lý mật khẩu.

  • Tắt chức năng tự động điền (autofill), thay vào đó copy-paste thủ công khi cần.

  • Hoặc cấu hình để autofill chỉ kích hoạt khi người dùng click thủ công vào icon extension (ví dụ trên Chrome/Edge: cài đặt extension → Site access → “On click”).

Và quan trọng nhất: cẩn trọng trước mọi cú click, đặc biệt trên những website không đáng tin cậy.

Cập nhật từ 1Password (27/08/2025)

Ông Jacob DePriest, CISO của 1Password, cho biết:

  • 1Password đã có cơ chế xác nhận khi autofill thông tin thanh toán. Phiên bản sắp tới (đang chờ phê duyệt trên các store) sẽ mở rộng tính năng này cho các loại dữ liệu khác, cho phép người dùng kiểm soát và nhận thông báo mỗi khi autofill diễn ra.

  • Dữ liệu trong 1Password vẫn được mã hóa an toàn, không bị clickjacking giải mã hoặc truy xuất trực tiếp.

  • Passkeys và TOTP secrets về cơ bản an toàn: chỉ một mã OTP tạm thời có thể bị lộ, nhưng sẽ hết hạn nhanh và không ảnh hưởng đến khóa gốc.

Post Relate

Tin tức

Kỷ Nguyên Mật Khẩu Truyền Thống Sắp Kết Thúc
24 Tháng 9, 2025

Tin tức

ChatGPT Có Thể Vượt CAPTCHA Để Xác Nhận Chúng Không Phải Rô-Bốt
23 Tháng 9, 2025

Tin tức

Sự Kìm Kẹp Của Ransomware: Vì Sao Nạn Nhân Trả Tiền Và Cách Thức Ứng Phó
22 Tháng 9, 2025

Tin tức

Mã Độc Linux Phân Phối Qua Tên Tệp RAR Độc Hại Không Bị Phát Hiện Bởi Phần Mềm Diệt Virus
19 Tháng 9, 2025

Tin tức

224 Ứng Dụng Độc Hại Bị Gỡ Bỏ Khỏi Google Play Store Sau Khi Phát Hiện Chiến Dịch Gian Lận Quảng Cáo
18 Tháng 9, 2025

Tin tức

Grok, ChatGPT, Và Các Nền Tảng AI Khác Sẵn Sàng Hỗ Trợ Chống Lại Các Chiến Dịch Lừa Đảo
17 Tháng 9, 2025

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay