Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) tinh vi khác, được thiết kế để đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều thứ khác. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này, nhắm vào người dùng và các tổ chức khách sạn trên toàn thế giới, nhưng may mắn là có những dấu hiệu nhận biết rõ ràng để phòng tránh. Điều quan trọng là phải luôn cảnh giác cao độ khi giao dịch trực tuyến, đặc biệt là với các dịch vụ đặt phòng như Booking.com.
Chi Tiết Chiến Dịch Lừa Đảo Booking.com Mới: Khám Phá Kỹ Thuật “ClickFix”
Microsoft Threat Intelligence đã lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và tiếp tục gây hại cho nạn nhân từ nhiều quốc gia trên thế giới. Điểm đặc biệt của chiến dịch này là việc sử dụng một kỹ thuật kỹ thuật xã hội gọi là ClickFix. Kỹ thuật này về cơ bản lừa người dùng nhấp qua các thông báo lỗi hoặc lời nhắc giả mạo, nhằm chạy các lệnh độc hại để tải xuống phần mềm độc hại. Microsoft cho biết:
Trong kỹ thuật ClickFix, kẻ tấn công cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu “khắc phục” sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống phần mềm độc hại.
Chiến dịch này không quá khác biệt so với một cuộc tấn công lừa đảo điển hình. Nạn nhân sẽ nhận được một email có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF. Liên kết này được ngụy trang để đưa người dùng đến trang web giải quyết vấn đề.
Sơ đồ luồng tấn công trong chiến dịch lừa đảo Booking.com bằng kỹ thuật ClickFix
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì tải xuống phần mềm độc hại ngay lập tức, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính của mình. CAPTCHA này sau đó hướng dẫn bạn mở cửa sổ Chạy (Run) của Windows và nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào bộ nhớ tạm (clipboard) của bạn ngay khi cửa sổ CAPTCHA xuất hiện. Đồng thời, các hướng dẫn sẽ giải thích cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng là chạy nó bằng cách nhấn Enter. Hơn nữa, việc yêu cầu người dùng tương tác này đảm bảo rằng phần mềm độc hại sẽ “lách” được các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Minh họa trang CAPTCHA giả mạo của chiến dịch lừa đảo Booking.com theo phân tích của Microsoft
Lệnh này sẽ tải xuống và chạy mã độc chính – phần mềm độc hại có khả năng đánh cắp dữ liệu tài chính và thông tin xác thực. Mã độc được phân phối chứa nhiều họ phần mềm độc hại khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Làm Gì Để Bảo Vệ Mình Trước Lừa Đảo Booking.com?
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo. Chiến dịch lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã khiến hàng nghìn du khách không nghi ngờ bị mắc bẫy. Để tự bảo vệ mình, hãy luôn ghi nhớ các nguyên tắc sau:
- Kiểm tra kỹ địa chỉ email người gửi: Trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không đến từ địa chỉ chính thức của công ty.
- Truy cập trực tiếp trang web chính thức: Nếu bạn có bất kỳ nghi ngờ nào về email hoặc thông báo, hãy truy cập trực tiếp trang web Booking.com (hoặc trang web của công ty liên quan) và giải quyết vấn đề của bạn ở đó bằng cách liên hệ trực tiếp với công ty.
- Cẩn trọng với CAPTCHA bất thường: Kẻ gian sử dụng CAPTCHA để phát tán mã độc không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn là con người. Nếu một CAPTCHA đang nhắc bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, đó chắc chắn là một trang web độc hại.
Kết Luận
Các chiến dịch lừa đảo trực tuyến ngày càng trở nên phức tạp và tinh vi, nhắm vào những dịch vụ quen thuộc như Booking.com. Kỹ thuật “ClickFix” là một ví dụ điển hình về việc kẻ gian lợi dụng tâm lý người dùng để vượt qua các lớp bảo mật. Để giữ an toàn cho dữ liệu cá nhân và tài chính, hãy luôn duy trì sự cảnh giác, kiểm tra kỹ lưỡng nguồn gốc thông tin và tuyệt đối không thực hiện bất kỳ hành động nào nếu cảm thấy không chắc chắn. Chia sẻ thông tin này để cùng nhau nâng cao nhận thức cộng đồng và bảo vệ mình khỏi các mối đe dọa an ninh mạng.
