Hoàng Anh
Topaz
Các chuyên gia an ninh mạng vừa phát đi một cảnh báo về một chiến dịch lừa đảo (phishing) mới và cực kỳ tinh vi, nhắm đến những khách hàng của trang web đặt phòng nổi tiếng Booking.com. Bằng cách lợi dụng một ký tự tiếng Nhật có hình dạng tương tự ký tự Latin, tin tặc đã tạo ra những đường dẫn giả mạo gần như không thể phân biệt bằng mắt thường, có khả năng dẫn người dùng đến các trang web cài đặt mã độc.
Hình thức tấn công này thuộc loại "homoglyph", tức là tận dụng sự tương đồng về hình dạng giữa các ký tự trong các bảng chữ cái khác nhau để đánh lừa thị giác của người dùng.
Cụ thể, kẻ tấn công đã sử dụng ký tự hiragana "ん" của tiếng Nhật, vốn trông rất giống với chuỗi ký tự "/n" trong bảng chữ Latin. Trong các email lừa đảo, tin tặc sẽ gửi một đường link trông có vẻ hợp pháp như sau:
Tuy nhiên, địa chỉ thật sự mà người dùng sẽ bị dẫn đến lại là:
Khi được hiển thị trên một số trình duyệt, ký tự "ん" sẽ khiến cho đường dẫn trông như một thư mục con của trang booking.com hợp pháp. Nhưng trên thực tế, tên miền thật sự mà người dùng đang truy cập lại là www-account-booking.com – một địa chỉ lừa đảo.
Theo phân tích từ các tổ chức bảo mật như abuse.ch và any.run, những người dùng bất cẩn nhấp vào các liên kết này sẽ bị chuyển hướng đến một trang web yêu cầu tải về một tệp MSI độc hại. Tệp tin này sau đó sẽ tiếp tục cài đặt thêm nhiều thành phần nguy hiểm khác vào máy tính của nạn nhân, bao gồm các trojan điều khiển từ xa hoặc các công cụ chuyên đánh cắp dữ liệu cá nhân và thông tin tài chính.
Booking.com không phải là nạn nhân duy nhất của chiêu lừa này. Trước đó, trang BleepingComputer cũng đã ghi nhận một chiến dịch tương tự nhắm vào công ty Intuit, trong đó hacker đã thay thế chữ "i" bằng chữ "L" viết hoa để tạo ra một tên miền giả mạo.
Những thủ thuật này cho thấy tin tặc đang ngày càng trở nên khéo léo hơn trong việc khai thác sự mơ hồ của các ký tự Unicode. Để có thể tự bảo vệ mình, các chuyên gia khuyến cáo người dùng cần phải hết sức cẩn trọng.
Lời khuyên quan trọng nhất là hãy luôn kiểm tra kỹ phần tên miền chính của một đường link. Tên miền chính luôn là phần nằm ngay trước dấu "/" đầu tiên. Trong trường hợp trên, tên miền chính là www-account-booking.com, không phải booking.com.
Tuy nhiên, với các chiêu lừa tinh vi như "homoglyph", việc chỉ quan sát bằng mắt thường là không đủ. Người dùng cần phải kết hợp với việc sử dụng các phần mềm bảo mật được cập nhật thường xuyên, bởi chúng thường có khả năng nhận diện và chặn các tên miền lừa đảo đã được biết đến.
Chiêu lừa "homoglyph" và sự tinh vi của tin tặc
Hình thức tấn công này thuộc loại "homoglyph", tức là tận dụng sự tương đồng về hình dạng giữa các ký tự trong các bảng chữ cái khác nhau để đánh lừa thị giác của người dùng.
Cụ thể, kẻ tấn công đã sử dụng ký tự hiragana "ん" của tiếng Nhật, vốn trông rất giống với chuỗi ký tự "/n" trong bảng chữ Latin. Trong các email lừa đảo, tin tặc sẽ gửi một đường link trông có vẻ hợp pháp như sau:
Tuy nhiên, địa chỉ thật sự mà người dùng sẽ bị dẫn đến lại là:
Khi được hiển thị trên một số trình duyệt, ký tự "ん" sẽ khiến cho đường dẫn trông như một thư mục con của trang booking.com hợp pháp. Nhưng trên thực tế, tên miền thật sự mà người dùng đang truy cập lại là www-account-booking.com – một địa chỉ lừa đảo.
Nguy cơ từ những cú nhấp chuột bất cẩn
Theo phân tích từ các tổ chức bảo mật như abuse.ch và any.run, những người dùng bất cẩn nhấp vào các liên kết này sẽ bị chuyển hướng đến một trang web yêu cầu tải về một tệp MSI độc hại. Tệp tin này sau đó sẽ tiếp tục cài đặt thêm nhiều thành phần nguy hiểm khác vào máy tính của nạn nhân, bao gồm các trojan điều khiển từ xa hoặc các công cụ chuyên đánh cắp dữ liệu cá nhân và thông tin tài chính.
Booking.com không phải là nạn nhân duy nhất của chiêu lừa này. Trước đó, trang BleepingComputer cũng đã ghi nhận một chiến dịch tương tự nhắm vào công ty Intuit, trong đó hacker đã thay thế chữ "i" bằng chữ "L" viết hoa để tạo ra một tên miền giả mạo.
Làm thế nào để tự bảo vệ?
Những thủ thuật này cho thấy tin tặc đang ngày càng trở nên khéo léo hơn trong việc khai thác sự mơ hồ của các ký tự Unicode. Để có thể tự bảo vệ mình, các chuyên gia khuyến cáo người dùng cần phải hết sức cẩn trọng.
Lời khuyên quan trọng nhất là hãy luôn kiểm tra kỹ phần tên miền chính của một đường link. Tên miền chính luôn là phần nằm ngay trước dấu "/" đầu tiên. Trong trường hợp trên, tên miền chính là www-account-booking.com, không phải booking.com.
Tuy nhiên, với các chiêu lừa tinh vi như "homoglyph", việc chỉ quan sát bằng mắt thường là không đủ. Người dùng cần phải kết hợp với việc sử dụng các phần mềm bảo mật được cập nhật thường xuyên, bởi chúng thường có khả năng nhận diện và chặn các tên miền lừa đảo đã được biết đến.