Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) mới, được thiết kế để đánh cắp dữ liệu, thông tin đăng nhập và nhiều hơn thế nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra, nhắm vào cả người dùng cá nhân và các tổ chức khách sạn trên toàn thế giới, tuy nhiên vẫn có những dấu hiệu rõ ràng để nhận biết.
Chiến Dịch Lừa Đảo Booking.com Mới: Kỹ Thuật ClickFix Tinh Vi
Microsoft Threat Intelligence đã lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và gây thiệt hại cho nhiều nạn nhân từ khắp các quốc gia trên thế giới. Chiến dịch lừa đảo này sử dụng một kỹ thuật kỹ thuật xã hội được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi để chạy các lệnh tải xuống phần mềm độc hại. Microsoft cho biết:
Trong kỹ thuật ClickFix, kẻ tấn công cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu sửa lỗi bằng cách sao chép, dán và chạy các lệnh mà cuối cùng sẽ dẫn đến việc tải xuống phần mềm độc hại.
Chiến dịch này không quá khác biệt so với các cuộc tấn công lừa đảo điển hình. Nạn nhân nhận được một email trông có vẻ đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết nhúng trong tệp PDF, được cho là đưa người dùng đến trang web để giải quyết vấn đề.
Luồng tấn công lừa đảo Booking.com sử dụng kỹ thuật ClickFix và CAPTCHA độc hại
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống phần mềm độc hại, bạn sẽ được đưa đến một trang CAPTCHA để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào bộ nhớ tạm của bạn khi cửa sổ CAPTCHA xuất hiện. Trong khi đó, các hướng dẫn sẽ giải thích cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, việc yêu cầu người dùng tương tác này đảm bảo rằng phần mềm độc hại có thể vượt qua các tính năng bảo mật như chương trình chống virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ về CAPTCHA giả mạo yêu cầu người dùng chạy lệnh độc hại trong chiến dịch phishing Booking.com
Lệnh này sẽ tải xuống và chạy phần mềm độc hại chính – một loại mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Phần mềm độc hại này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot, và NetSupport RAT.
Làm Thế Nào Để Tự Bảo Vệ Trước Các Chiêu Lừa Đảo Trực Tuyến?
Đây không phải là lần đầu tiên Booking.com dính vào các vụ lừa đảo phishing. Vụ lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã lừa hàng ngàn du khách không nghi ngờ.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi, vì trong hầu hết các trường hợp, email lừa đảo sẽ không đến từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp vào trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình tại đó bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh xem bạn có phải là con người hay không. Nếu một CAPTCHA đang yêu cầu bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào, bạn đang ở trên một trang web độc hại.
Để đảm bảo an toàn trực tuyến, hãy luôn cảnh giác và kiểm tra kỹ thông tin trước khi hành động. Hãy chia sẻ ý kiến hoặc kinh nghiệm của bạn về vấn đề này trong phần bình luận bên dưới!
