Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) tinh vi mới, được thiết kế để đánh cắp dữ liệu, thông tin đăng nhập và nhiều hơn nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra, nhắm vào người dùng và các tổ chức khách sạn trên toàn thế giới, nhưng may mắn là có một số dấu hiệu nhận biết rõ ràng.
Chiến Dịch Lừa Đảo Phishing Booking.com Mới Nhất Hoạt Động Như Thế Nào?
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, nhưng đến nay nó vẫn còn hoạt động và đã gây thiệt hại cho nạn nhân từ nhiều quốc gia. Chiến dịch này sử dụng kỹ thuật lừa đảo xã hội có tên gọi “ClickFix”, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi giả mạo để chạy các lệnh tải xuống mã độc.
Microsoft giải thích về kỹ thuật ClickFix như sau: “Trong kỹ thuật ClickFix, kẻ tấn công tìm cách lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống mã độc.”
Chiến dịch này không quá khác biệt so với các cuộc tấn công phishing thông thường. Nạn nhân nhận được một email trông có vẻ đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo phishing Booking.com bằng kỹ thuật ClickFix
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống mã độc, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Run của Windows và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào clipboard của bạn khi cửa sổ CAPTCHA xuất hiện. Hướng dẫn giải thích cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, yêu cầu tương tác người dùng này đảm bảo rằng payload độc hại sẽ vượt qua các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ trang web lừa đảo Booking.com giả mạo yêu cầu người dùng nhập lệnh từ Microsoft Threat Intelligence
Lệnh này tải xuống và chạy payload độc hại chính – mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Payload này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Làm Thế Nào Để Phòng Tránh Lừa Đảo Booking.com và Các Chiêu Trò Phishing?
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo phishing. Vào năm 2024, vụ lừa đảo Telekopye nhắm vào Booking.com cũng đã khiến hàng ngàn khách du lịch mất cảnh giác trở thành nạn nhân.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email phishing sẽ không đến từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh xem bạn có phải là con người hay không. Nếu một CAPTCHA yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, bạn đang ở trên một trang web độc hại.
Trong kỷ nguyên số, cảnh giác là chìa khóa. Các chiêu trò lừa đảo ngày càng tinh vi, và việc nhận biết chúng giúp bạn bảo vệ an toàn cho thông tin cá nhân và tài chính của mình. Đừng bao giờ vội vàng thực hiện các thao tác lạ khi nhận được yêu cầu từ email hoặc website không xác định. Nếu có bất kỳ nghi ngờ nào, hãy luôn kiểm tra lại thông tin qua kênh chính thức của dịch vụ.
