Bạn muốn chọc giận bộ phận IT của mình? Hay các liên kết trông vẫn chưa đủ độc hại?

 (phishyurl.com)
1 điểm bởi GN⁺ 2025-09-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • Công cụ này cung cấp khả năng biến bất kỳ URL nào trông giống như độc hại
  • Không giống TinyURL, thay vì rút ngắn, nó sẽ làm liên kết trông đáng ngờ hơn
  • Liên kết được nhập vào thực tế vẫn sẽ chuyển đến địa chỉ gốc bằng cơ chế chuyển hướng web
  • Liên kết giả mạo (phishy) được tạo ra chỉ trông bất an về mặt bề ngoài, không thực hiện thêm hành vi độc hại nào
  • Người dùng chỉ cần dán liên kết vào ô nhập và nhấn nút là có thể nhận được một liên kết "trông nguy hiểm"

Giới thiệu và tính năng chính

Công cụ này là một trang web cho phép người dùng nhập địa chỉ website mong muốn, sau đó biến đổi nó để trông đáng ngờ như một liên kết lừa đảo

  • Cách hoạt động tương tự các dịch vụ chuyển đổi liên kết tiêu biểu như TinyURL, nhưng kết quả người dùng nhận được không phải là liên kết ngắn hơn mà là một liên kết trông nguy hiểm hơn
  • Nguyên lý rất đơn giản: dùng chuyển hướng, nên dù có nhấp vào liên kết kết quả thì cuối cùng cũng chỉ đi đến địa chỉ gốc đã nhập
  • Chỉ cần dán liên kết vào ô nhập được cung cấp và nhấn nút, người dùng sẽ ngay lập tức nhận được một liên kết giả mạo về mặt thị giác nhằm tạo cảm giác bất an
  • Liên kết được tạo ra không chứa mã độc thực sự, mà chỉ trông đáng ngờ về mặt thị giác

Trường hợp sử dụng và lưu ý

  • Bản thân liên kết là an toàn, nhưng nếu dùng trong công ty hoặc tổ chức thực tế thì có thể gây hoang mang cho bộ phận IT
  • Có thể dùng khi muốn thử nghiệm xem hình thức của liên kết ảnh hưởng đến mức độ tin cậy đến đâu trong đào tạo ứng phó lừa đảo, kiểm tra kỹ nghệ xã hội, v.v.
  • Tùy theo quy định hoặc chính sách bảo mật của công ty, cần xác nhận việc có được phép sử dụng hay không trước khi dùng thực tế

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-19
Ý kiến trên Hacker News

  • Ha! Tôi cũng đã nghĩ điều tương tự. Ở công ty tôi có thứ gì đó khiến cả các liên kết thật cũng trông như liên kết độc hại. Hình như nó được gọi là Microsoft Safelink. Mục đích của nó là che toàn bộ liên kết trong hộp thư Outlook để khi bấm vào thì không biết đó là gì. Rốt cuộc lại thành kiểu câu đùa rằng không ai bị sa thải vì mua Microsoft

    • Vài tháng trước đã có lần máy chủ Microsoft bị sập hoặc chậm kinh khủng, và lúc đó mọi liên kết trong email đều không hoạt động
    • Tôi thực sự đồng cảm với chuyện này. ProofPoint cũng lọc liên kết theo kiểu tương tự

  • Cái này cũng không tệ
    https://carnalflicks.online/var/lib/systemd/coredump/logging...

    • Thành thật mà nói tôi đã mong có chuyện như thế này xảy ra[1]. Có lẽ trên HN không hay thấy kiểu đó
      1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred...
    • Không hiểu sao, nhưng khi đang ở đầu trang thì việc bấm vào những liên kết kiểu này lại đem đến cảm giác thỏa mãn kỳ lạ
    • Trông đáng ngờ ghê, NoScript bật cảnh báo XSS cho tôi <_<

  • Mấy cái này rất hợp để chạy vòng lặp vô hạn
    https://gonephishing.me/shell-jacker/shell-jacker/worm_launc...

  • Cả cuộc trò chuyện này làm tôi nhớ tới một tình huống lố bịch ở công ty cũ. Công ty từng nhấn mạnh với nhân viên rằng hãy rê chuột lên liên kết để kiểm tra xem người gửi có trỏ đến website chính thức hay không. Nhưng mọi người vẫn tiếp tục dính link phishing, nên họ mang thiết bị Trend Micro vào để quét email và viết lại toàn bộ liên kết sang dịch vụ quét URL của họ. Kết quả là mọi liên kết đều trông như “https://ca-1234.check.trendmicro.com/?url=...;”. Từ đó về sau ở công ty gần như không thể bấm bất kỳ liên kết nào trong email. Tất nhiên vì việc viết lại URL nên khá nhiều liên kết cũng bị hỏng, thành ra khi sáng sớm nhận cảnh báo sự cố thì tôi phải mở laptop, tự đăng nhập vào Pagerduty hay Sentry, rồi lục lại chi tiết vụ việc từ email

    • Tôi lại có một trải nghiệm hài hước theo hướng ngược lại. Hồi còn làm ở Global MegaCorp, công ty thỉnh thoảng cố tình gửi email phishing để huấn luyện, và nếu bấm vào liên kết thì sẽ bị ghi nhận, mắc bẫy hai ba lần là phải học lại ngay. Cuối cùng mọi người học được cách không bấm link trong email. Rất hiệu quả. Nhưng rồi đến lúc làm khảo sát thường niên, họ gửi email cho toàn bộ nhân viên mà chẳng ai bấm vào liên kết, nên phải gửi thêm một email nữa kiểu như "email khảo sát này là thật, cứ bấm đi"
    • Gần đây tôi nhận được email trên tài khoản AWS cá nhân thông báo rằng hóa đơn sắp tới sẽ được gửi từ "no-reply@tax-and-invoicing.us-east-1.amazonaws.com" và tôi nên đổi quy tắc xử lý hóa đơn tự động sang địa chỉ đó. Đúng là một việc ngớ ngẩn. Nếu thấy email đến từ địa chỉ như vậy, tôi cũng sẽ nghĩ ngay đó là spam hoặc phishing. Cuối cùng phía AWS đã rút lại chính sách này. Bình thường email vẫn đến từ các địa chỉ trông chính thống hơn như "no-reply-aws@amazon.com" hoặc "aws-marketing-email-replies@amazon.com"

  • Bạn thậm chí có thể cứ báo cáo các email compliance bắt buộc là nỗ lực phishing. Tôi đã làm ở nhiều tập đoàn lớn, và các email xác nhận bảo mật CNTT hằng năm thường trông hệt như email độc hại: định dạng kỳ quặc, nguồn là URL bên ngoài đáng ngờ, yêu cầu hành động khẩn cấp, cảnh báo bị phạt nếu vi phạm, v.v. Đổ nhiều tiền vào đào tạo như vậy mà cuối cùng lại làm người dùng bị chai lì trước mối đe dọa

    • Nếu header email có "X-PHISH" thì có lẽ cũng nên thêm điều kiện cho nó

  • Tôi nghĩ để dẫn người ta sang website thì nên dùng một URL còn trông ác ý hơn nữa
    https://pc-helper.xyz/root-exploit/virus_loader_tool.exe?id=...

  • Cách thật sự ác là dùng kiểu tâm lý ngược

  1. Tạo một site như thế này
  2. Để mọi người nhập URL của các site quan trọng như ngân hàng, mạng xã hội, email, v.v. để thử nghiệm
  3. Cho nó hoạt động bình thường trong một thời gian, rồi sau đó âm thầm chuyển khách truy cập sang các site phishing tương ứng
  4. Người dùng vốn đã quen phớt lờ các cảnh báo "rõ ràng là giả", nên khi nguy cơ thật xảy ra thì mức cảnh giác có thể đã bị bào mòn

  • Tôi thử với tên miền của mình thì nhận được liên kết đến tên miền
    https://cheap-bitcoin.online. Tôi gửi URL đó lên VirusTotal thì thấy có một nơi phân loại nó là malware. Buồn cười thật, một trải nghiệm rất vui

  • Tuyệt! Sẽ hay nếu trong liên kết được tạo ra cũng có chỗ nào đó chứa 'safelinks.protection.outlook'

  • Tôi đã đăng ký tên miền "very-secure-no-viruses.email" và đang dùng nó làm email tạm. Tôi cố tình làm cho nó nghe đáng ngờ nhất có thể. Nhưng vì vậy mà khi liên hệ với bộ phận hỗ trợ thường hay gây nhầm lẫn

    • Tôi dùng địa chỉ firstname@lastname.email, và mọi người cứ bảo là sai vì nó không phải email.com