Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) mới, được thiết kế tinh vi nhằm đánh cắp dữ liệu, thông tin đăng nhập và nhiều hơn thế nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra, nhắm vào người dùng cá nhân và các tổ chức khách sạn trên toàn thế giới, nhưng may mắn là có một số dấu hiệu nhận biết rõ ràng để phòng tránh.
“ClickFix”: Chiêu Trò Lừa Đảo Tinh Vi Đánh Lừa Người Dùng
Microsoft Threat Intelligence đã phát hiện chiến dịch lừa đảo Booking.com này từ tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và tiếp tục gây hại cho nạn nhân ở nhiều quốc gia. Chiến dịch sử dụng một kỹ thuật tấn công phi kỹ thuật (social engineering) mang tên “ClickFix”. Về cơ bản, kỹ thuật này đánh lừa người dùng nhấp vào các thông báo lỗi giả mạo để chạy các lệnh tải xuống mã độc.
Microsoft giải thích về kỹ thuật ClickFix: “Trong kỹ thuật ClickFix, kẻ tấn công tìm cách lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống mã độc.”
Chiến dịch lừa đảo này không quá khác biệt so với các cuộc tấn công phishing thông thường. Nạn nhân nhận được một email trông giống như từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo Booking.com sử dụng kỹ thuật ClickFix
Tuy nhiên, điểm khác biệt của chiến dịch này là những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống mã độc, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào bộ nhớ tạm của bạn khi cửa sổ CAPTCHA xuất hiện. Đồng thời, các hướng dẫn sẽ giải thích cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, việc yêu cầu tương tác của người dùng đảm bảo rằng mã độc sẽ qua mặt các tính năng bảo mật như chương trình diệt virus, tường lửa và các lớp bảo vệ tự động khác.
Ví dụ trang CAPTCHA giả mạo yêu cầu người dùng chạy lệnh từ Microsoft Threat Intelligence trong vụ lừa đảo Booking.com
Lệnh này sẽ tải xuống và chạy mã độc chính—một loại phần mềm độc hại có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Các mã độc được phát tán bao gồm nhiều biến thể như XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Làm Thế Nào Để Tự Bảo Vệ Trước Các Cuộc Tấn Công Lừa Đảo?
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo qua mạng. Chiến dịch lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã khiến hàng ngàn khách du lịch mất cảnh giác trở thành nạn nhân.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không xuất phát từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tự mình giải quyết vấn đề bằng cách liên hệ trực tiếp với công ty. Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, đó chắc chắn là một trang web độc hại.
Hãy luôn nâng cao cảnh giác và thận trọng với mọi thông báo đáng ngờ. Việc hiểu rõ các thủ đoạn lừa đảo như ClickFix sẽ giúp bạn bảo vệ an toàn cho thông tin cá nhân và tài chính của mình trên không gian mạng. Bạn có nhận thấy dấu hiệu nào của chiến dịch lừa đảo này không? Hãy chia sẻ kinh nghiệm của bạn để cùng cảnh báo cộng đồng!
