Người dùng Booking.com trên toàn thế giới đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) tinh vi mới, được thiết kế để đánh cắp dữ liệu, thông tin đăng nhập và nhiều thứ khác. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra nhắm vào cả người dùng cá nhân lẫn các tổ chức trong lĩnh vực khách sạn, nhưng vẫn có những dấu hiệu rõ ràng giúp bạn nhận diện và phòng tránh.
Chiến Dịch Phishing Booking.com Đầy Mưu Mẹo Mới
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và gây thiệt hại cho nạn nhân từ nhiều quốc gia. Chiến dịch phishing này khai thác một kỹ thuật tấn công phi kỹ thuật (social engineering) được gọi là ClickFix. Kỹ thuật này về cơ bản lừa người dùng nhấp qua các thông báo lỗi giả mạo để thực thi các lệnh tải xuống mã độc. Microsoft mô tả:
“Trong kỹ thuật ClickFix, kẻ tấn công tìm cách lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống mã độc.”
Chiến dịch lừa đảo này không quá khác biệt so với một cuộc tấn công phishing thông thường. Nạn nhân nhận được một email có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là dẫn người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo phishing Booking.com sử dụng kỹ thuật ClickFix
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì tải xuống mã độc ngay lập tức, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. Trang CAPTCHA này hướng dẫn bạn mở cửa sổ Run của Windows và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh độc hại sẽ tự động được sao chép vào bộ nhớ tạm của bạn ngay khi cửa sổ CAPTCHA xuất hiện. Đồng thời, hướng dẫn sẽ chỉ cho bạn cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng thực thi nó bằng cách nhấn Enter. Hơn nữa, yêu cầu tương tác người dùng này giúp gói payload độc hại qua mặt các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ về trang CAPTCHA giả mạo yêu cầu chạy lệnh từ chiến dịch lừa đảo Booking.com
Lệnh này sẽ tải xuống và chạy payload độc hại chính – một loại mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Gói payload này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Cảnh Giác Là Vàng: Đừng Vội Nhấp Chuột Nếu Không Chắc Chắn
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo phishing. Vào năm 2024, vụ lừa đảo Telekopye nhắm vào Booking.com cũng đã khiến hàng ngàn du khách không nghi ngờ bị mắc bẫy.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh kỹ địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không xuất phát từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và giải quyết vấn đề của mình tại đó bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA đang yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, đó chắc chắn là một trang web độc hại.
Chiến dịch lừa đảo Booking.com tinh vi này một lần nữa nhấn mạnh tầm quan trọng của việc luôn cảnh giác trước các mối đe dọa trực tuyến. Hãy luôn xác minh nguồn thông tin, kiểm tra kỹ lưỡng các yêu cầu bất thường và không bao giờ chạy các lệnh không rõ nguồn gốc. Bằng cách trang bị kiến thức và áp dụng các biện pháp phòng ngừa đơn giản, bạn có thể bảo vệ bản thân và dữ liệu cá nhân khỏi sự tấn công của tội phạm mạng. Hãy chia sẻ thông tin này để cảnh báo bạn bè và người thân của bạn, cùng nhau tạo nên một cộng đồng trực tuyến an toàn hơn!
