Các đợt phát tán mã độc hiện nay không xuất phát từ trang web xa lạ mà ẩn chứa ngay trong những website hợp pháp và nổi tiếng nhưng đã bị hacker bí mật kiểm soát để khách ghé thăm không hề nghi ngờ.

Trước đây, để cài chương trình nguy hiểm vào máy tính của người sử dụng, kẻ xấu thường nhắm đến những site cung cấp phần mềm lậu hoặc chứa nội dung khiêu dâm bởi chúng hiểu nhiều người chỉ quan tâm tới nhu cầu trước mắt mà không cẩn thận đánh giá những gì họ sắp tải xuống.

Tuy nhiên, hacker đang hướng đến mục tiêu rộng lớn hơn. Đó là các website chính thống có lượng người truy cập lớn bởi những người đó không chút hoài nghi về độ tin cậy của trang. Năm 2008, hãng bảo mật Mỹ Symantec chứng kiến những cuộc tấn công phát sinh từ khoảng 808.000 tên miền khác nhau, nhiều trong đó là trang tin tức, du lịch, bán lẻ trực tuyến, trò chơi, bất động sản, website chính phủ... Lời khuyên "hệ thống sẽ an toàn nếu chỉ truy cập vào các trang có uy tín" dường như không còn đúng nữa.

Hacker có nhiều phương pháp để khống chế những website hợp pháp, đặc biệt là kiểu tấn công SQL injection. Hiện nay, đa số đều là website động với nội dung lấy từ cơ sở dữ liệu (database) và thông tin người dùng nhập vào cũng được ghi trong database. SQL injection là kỹ thuật khai thác lỗ hổng bảo mật trong cơ sở dữ liệu, tạo điều kiện cho hacker chèn thêm đoạn mã độc HTLM giống như các IFRAME vào database (IFRAME cho phép nhúng một trang HTML vào một trang HTML khác).

Đoạn mã mô tả một IFRAME được tự động cài đặt thêm vào CSDL.

Khi người sử dụng tương tác trên trang web, máy chủ sẽ lấy dữ liệu từ database đã bị tấn công và lây nhiễm mã độc (dòng mã màu đỏ ở trên) vào máy tính của họ.

Lê Nguyên (theo Symantec)