Bộ lọc thư rác (spam filter) đã giúp người dùng loại bỏ các email độc hại một cách hiệu quả, nhưng chúng không hề hoàn hảo. Nếu bạn cần một lý do để luôn thận trọng khi mở email dù nó đã vượt qua được lớp bảo mật, thì những cuộc tấn công salting email chính là lời cảnh báo rõ ràng nhất.
Tấn Công Salting Email: Thủ Đoạn Đánh Lừa Bộ Lọc Thư Rác
Theo báo cáo từ Cisco Talos, các cuộc tấn công salting email cho phép kẻ lừa đảo “lách” email của chúng qua bộ lọc thư rác và đưa thẳng vào hộp thư đến của bạn. Kỹ thuật này hoạt động bằng cách chèn các văn bản rác vào nội dung email nhằm đánh lừa các công cụ kiểm tra spam, trong khi vẫn hiển thị email một cách bình thường mà con người không thể nhìn thấy những ký tự thừa thãi đó.
Khi một bộ lọc spam kiểm tra email, nó sẽ phân tích mã HTML bên trong để hiểu nội dung. Tuy nhiên, người đọc lại không trực tiếp nhìn thấy mã HTML này; thay vào đó, trình duyệt của bạn sẽ chuyển đổi tất cả mã đó thành một dạng dễ đọc hơn cho con người.
Minh họa cách Salting Email chèn văn bản rác để lách bộ lọc thư rác.
Kỹ thuật salting email chèn văn bản rác vào giữa các từ để “phá vỡ” chúng. Bằng cách này, bộ lọc spam không thể “nhìn thấy” ý định thực sự của kẻ lừa đảo. Tuy nhiên, kẻ gian sử dụng các thủ thuật tinh vi để đảm bảo văn bản rác này không hiển thị khi bạn đọc email, chỉ còn lại những từ mà chúng muốn bạn thấy.
Ví dụ, Cisco Talos đã phát hiện một email trong đó kẻ lừa đảo muốn mạo danh Wells Fargo. Nếu chúng chỉ viết “Wells Fargo”, bộ lọc spam sẽ dễ dàng phát hiện và chặn. Thay vào đó, kẻ tấn công đã chèn văn bản rác vào giữa các từ “Wells” và “Fargo”, sau đó đặt các ký tự bổ sung này có chiều rộng bằng 0 (zero-width).
Kết quả là, khi bộ lọc spam quét email, nó sẽ thấy chuỗi ký tự như sau:
WEqcvuilLLS FAroyawdRGONhưng vì văn bản rác có chiều rộng bằng 0, nó sẽ không hiển thị khi bạn đọc email, để lại cho bạn một thông điệp hoàn chỉnh:
WELLS FARGOGiờ đây, kẻ lừa đảo có thể mạo danh Wells Fargo mà bộ lọc thư rác không hề hay biết.
Một ví dụ khác liên quan đến việc kẻ lừa đảo chèn các ký tự Zero-Width Space (ZWSP) và Zero-Width Non-Joiner (ZWNJ) vào giữa mỗi chữ cái trong một từ. Vì chúng vẫn là các ký tự, bộ lọc thư rác vẫn đọc chúng khi đánh giá liệu email có phải là spam hay không. Tuy nhiên, do các ký tự này biểu thị không gian bằng 0, chúng sẽ không xuất hiện khi email được hiển thị, nghĩa là bạn vẫn thấy từ đó nguyên vẹn mà không có bất kỳ dấu hiệu gián đoạn nào.
Những ví dụ này chứng minh rằng bạn không bao giờ nên tin tưởng mù quáng vào một email, ngay cả khi nó đã “né” được bộ lọc spam và đến được hộp thư đến của bạn. Luôn kiểm tra kỹ người gửi và nội dung trước khi nhấp vào bất kỳ liên kết đáng ngờ nào, và hãy tìm hiểu thêm về các dấu hiệu nhận biết email lừa đảo và lừa đảo trực tuyến để tự bảo vệ mình.
