Bộ lọc spam luôn là tuyến phòng thủ đầu tiên giúp hộp thư của bạn tránh xa các email lừa đảo, phần mềm độc hại và những mối nguy hiểm khác. Tuy nhiên, những kẻ lừa đảo không ngừng thích nghi và phát triển các kỹ thuật mới để qua mặt hệ thống bảo vệ này. Một trong những chiêu trò mới đang gây chú ý là “Email Salting”, bên cạnh những thủ đoạn tinh vi khác. Bài viết này sẽ giúp bạn hiểu rõ cách thức hoạt động của chúng và những biện pháp phòng vệ hiệu quả để bảo vệ hộp thư của mình.
Email Salting Hoạt Động Như Thế Nào?
Email Salting là một kỹ thuật tấn công tinh vi, trong đó kẻ gian lận thao túng nội dung email – phổ biến nhất là làm biến dạng mã HTML cơ bản – để đánh lừa các bộ lọc spam. Trình duyệt email của bạn sẽ dịch mã HTML thành văn bản hiển thị trên màn hình, và bằng cách sử dụng nhiều thủ thuật khác nhau, kẻ lừa đảo có thể chèn các ký tự “rác” vào mã, giúp email vượt qua bộ lọc mà vẫn hiển thị nội dung bình thường cho người đọc.
Ví dụ, chúng có thể chèn các ký tự không hiển thị (zero-width space và zero-width non-joiner) vào mã HTML. Nói một cách đơn giản, một email sẽ hiển thị một từ hoặc cụm từ thường kích hoạt bộ lọc spam, nhưng trong mã nguồn HTML thực tế, từ đó lại bị xen kẽ bởi các ký tự vô hình.
Một ví dụ điển hình là từ “WELLS FARGO”. Với kỹ thuật email salting, cụm từ chính xác vẫn được hiển thị trên màn hình, nhưng khi kiểm tra kỹ mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”. Các ký tự “qcvuil” và “royawd” hoàn toàn vô hình đối với người dùng nhưng lại làm thay đổi chuỗi ký tự, đánh lừa bộ lọc spam.
Đây không phải là cách duy nhất để thực hiện tấn công này. Một kỹ thuật đơn giản hơn, được gọi là tấn công Homoglyph, cũng có thể gây ra thiệt hại tương tự và thậm chí còn khó phát hiện hơn đối với người dùng thông thường.
Tấn Công Homoglyph: Khó Nhận Biết Hơn Bạn Tưởng
Tấn công Homoglyph liên quan đến việc thay thế một số ký tự bằng những ký tự trông tương tự nhưng lại được mã hóa khác nhau (có Unicode khác nhau). Một ví dụ điển hình là thay thế chữ ‘o’ thông thường bằng chữ ‘o’ trong bảng chữ cái Cyrillic, vì chúng trông gần như giống hệt nhau nhưng có giá trị Unicode khác biệt.
Thủ đoạn này không chỉ có thể đánh lừa một số bộ lọc spam mà còn đủ để khiến bạn tin rằng người gửi là hợp pháp. Hãy xem xét các ví dụ sau để thấy rõ sự tinh vi:
- Bank of America
- Bank of America
Ở ví dụ trên, tôi đã thay thế một chữ “o” bằng một ký tự trông tương tự (o được mã hóa khác). Mặc dù có thể nhìn hơi khác biệt một chút, nhưng sự khác biệt này có thể rất khó nhận ra nếu bạn không tập trung. Hãy thử một ví dụ khó hơn nhiều:
- Bank of America
- Bank оf America
Gần như không thể phân biệt bằng mắt thường! Ví dụ thứ hai là phiên bản “salted” với chữ ‘o’ được thay bằng ký tự Cyrillic. Kỹ thuật này rất dễ thực hiện và hiệu quả trong việc đánh lừa cả hệ thống tự động lẫn người dùng.
Một cách khác mà kẻ lừa đảo có thể qua mặt bộ lọc của bạn là sử dụng hình ảnh thay vì văn bản. Chiêu trò này thường dễ nhận biết hơn đối với hầu hết mọi người vì không có dịch vụ hợp pháp nào lại thay thế văn bản bằng hình ảnh, đặc biệt nếu họ đang cảnh báo bạn về vi phạm dữ liệu hoặc các thông báo quan trọng khác.
Cách Phát Hiện Tấn Công Email Salting và Phishing Tổng Thể
Mặc dù các cá nhân có ý đồ xấu hiện đang sử dụng trí tuệ nhân tạo (AI) để tạo ra những email lừa đảo hiệu quả hơn, nhưng các kỹ thuật lừa đảo này vẫn tương đối dễ phát hiện nếu bạn quen thuộc với các dấu hiệu chính. Hãy xem bộ lọc spam như tuyến phòng thủ đầu tiên chống lại phishing. Nếu một email lừa đảo bằng cách nào đó vẫn lọt qua, đó không phải là ngày tận thế.
Để dễ dàng xác định trạng thái đáng ngờ của email, hãy xem xét kỹ lưỡng nội dung tổng thể của tin nhắn. Hầu hết các vụ lừa đảo phishing đều lộ rõ khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng khiến bạn hành động quá nhanh bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc thúc giục bạn tải xuống tệp đính kèm ngay lập tức. Kẻ lừa đảo thường sử dụng các thủ thuật kỹ thuật xã hội (social engineering) để thao túng bạn hành động vội vàng, nhưng nếu bạn bình tĩnh và suy nghĩ kỹ, bạn có thể dễ dàng nhận ra mánh khóe của chúng.
Ngay cả khi email trông có vẻ chính hãng, nó sẽ thiếu các chi tiết cá nhân mà công ty nên có. Ví dụ, họ có thể gọi bạn là “Kính gửi khách hàng” hoặc những cụm từ chung chung tương tự.
Mặc dù Homoglyph có thể khiến mọi thứ khó phát hiện hơn một chút, nhưng địa chỉ email mà kẻ lừa đảo sử dụng có thể bị sai lệch. Bạn sẽ thấy rằng tên miền là một biến thể của tên miền chính thức, hoặc nếu kẻ lừa đảo lười biếng, đó có thể là một tài khoản Gmail thông thường mà không một doanh nghiệp nghiêm túc nào sử dụng.
Nhưng giả sử bạn không phát hiện bất kỳ dấu hiệu nào trong email đã nhận được—bạn có nên làm theo hướng dẫn của nó không? Câu trả lời là không bao giờ làm theo nếu bạn có dù chỉ một chút nghi ngờ.
Khám Phám Mã Nguồn Email: “Source View” Là Bạn Tốt Nhất Của Bạn
Để kiểm tra xem một email có bị “salting” hay không, bạn nên xem xét mã HTML của nó thông qua tính năng “Source View” (Xem nguồn). Hầu hết các ứng dụng email đều có tùy chọn này. Chúng ta sẽ lấy Gmail làm ví dụ minh họa:
Menu tùy chọn của email Gmail hiển thị mục "Source View" để kiểm tra mã nguồn email.
Hãy nhấp vào ba dấu chấm ở góc trên cùng bên phải của email và chọn “Show original” (Hiển thị bản gốc) hoặc “Source View” (Xem nguồn) trong danh sách thả xuống. Bạn sẽ có thể nhìn thấy cấu trúc bên trong của email.
Mã nguồn HTML của một email hợp lệ, không chứa các ký tự lạ hay đoạn mã bị thao túng.
Dễ dàng nhận thấy rằng phần nội dung của tin nhắn hoàn toàn nguyên vẹn và giống hệt với những gì được hiển thị ở giao diện người dùng của email: không có các ký tự ngẫu nhiên chen giữa các từ, không có mã ẩn.
Hãy nhớ ví dụ Wells Fargo của chúng ta từ trước đó? Mã HTML sẽ vẽ nên một bức tranh rõ ràng. Có một loạt các ký tự không liên quan được chèn vào giữa các từ “Wells” và “Fargo”.
Ví dụ mã nguồn HTML của một email bị "email salting" với các ký tự rác được chèn vào giữa các từ.
Mặc dù việc tìm thấy một email bị “salting” trong thực tế khá khó khăn, ví dụ này minh họa gần đúng những gì bạn sẽ thấy trong chế độ xem nguồn nếu mã email đã bị can thiệp. Đây là một ví dụ được cung cấp bởi Cisco Talos, một nguồn tin tình báo về mối đe dọa mạng uy tín.
Chống Lại Tấn Công Homoglyph Bằng Công Cụ Hỗ Trợ
Tấn công Email Salting và Homoglyph có nhiều điểm tương đồng về mục đích đánh lừa người dùng. Nếu email trông có vẻ hợp pháp nhưng bạn vẫn có cảm giác bất an, việc đeo “kính thám tử” và bắt đầu tìm kiếm các ký tự đáng ngờ là một hành động thông minh.
Hãy chú ý kỹ, và bạn sẽ nhanh chóng nhận ra ký tự nào là bất thường:
- Homoglγph
Nếu bạn đoán là chữ ‘γ’, bạn đã đúng. Nó nổi bật như một ngón tay cái bị đau nếu bạn biết mình đang tìm gì.
Tuy nhiên, dù chúng ta nên rèn luyện khả năng quan sát chi tiết để tránh sập bẫy lừa đảo, cũng có rất nhiều công cụ trực tuyến để phát hiện Homoglyph mà bạn có thể sử dụng. “Spoofed Unicode Checker” là một lựa chọn tuyệt vời: chỉ cần sao chép văn bản vào cửa sổ bên trái, công cụ sẽ hiển thị cho bạn những ký tự nào đã bị giả mạo.
Với kiến thức này và một bộ công cụ mới trong kho vũ khí của bạn, bạn sẽ có thể tự bảo vệ mình một cách hiệu quả chống lại phishing ngay cả khi một email lọt qua bộ lọc spam. Mặc dù các vụ lừa đảo ngày càng tinh vi hơn với sự hỗ trợ của AI, việc thực hành ý thức thông thường và nhận biết các dấu hiệu chính của phishing sẽ giúp bạn tránh trở thành nạn nhân của những thủ đoạn này.
