Các bộ lọc thư rác (spam filters) đã giúp người dùng dễ dàng loại bỏ email độc hại ra khỏi hộp thư đến. Tuy nhiên, chúng không hề hoàn hảo. Nếu bạn cần một lý do để luôn cảnh giác khi mở bất kỳ email nào, dù nó đã vượt qua lớp bảo mật, thì bạn chỉ cần tìm hiểu về các cuộc tấn công Email Salting.
Email Salting Hoạt Động Như Thế Nào Để Đánh Lừa Bộ Lọc Spam?
Theo báo cáo từ Cisco Talos, các cuộc tấn công Email Salting cho phép kẻ lừa đảo “đánh lén” email của chúng qua các bộ lọc spam và lọt vào hộp thư đến của bạn. Kỹ thuật này hoạt động bằng cách thêm các đoạn văn bản rác hoặc ký tự ẩn vào nội dung email, khiến các bộ kiểm tra thư rác bị nhầm lẫn, trong khi vẫn trình bày email theo cách mà người dùng không thể nhìn thấy những phần tử thừa đó.
Khi một bộ lọc spam quét email, nó sẽ đi sâu vào mã HTML của email để phân tích nội dung. Tuy nhiên, bạn, người đọc, không nhìn thấy mã HTML đó; thay vào đó, bạn thấy những gì mã HTML tạo ra khi trình duyệt của bạn biến tất cả mã đó thành một dạng dễ đọc hơn.
Minh họa kỹ thuật chèn ký tự ẩn (zero-width) vào giữa các từ "Wells" và "Fargo" trong tấn công Email Salting để đánh lừa bộ lọc spam.
Email Salting hoạt động bằng cách chèn văn bản rác hoặc ký tự không hiển thị vào email để phá vỡ cấu trúc từ ngữ, khiến bộ lọc spam không thể “nhìn thấy” ý đồ của kẻ lừa đảo. Tuy nhiên, kẻ tấn công sử dụng các thủ thuật tinh vi để đảm bảo văn bản rác này không xuất hiện khi bạn đọc email, chỉ còn lại những từ mà chúng muốn bạn thấy.
Dưới đây là một ví dụ mà Cisco Talos đã phát hiện: trong email này, kẻ lừa đảo muốn giả mạo Wells Fargo. Tuy nhiên, nếu chúng chỉ viết “Wells Fargo”, bộ lọc spam sẽ phát hiện và chặn ngay lập tức. Thay vào đó, kẻ lừa đảo đã thêm văn bản rác vào giữa các từ “Wells” và “Fargo”, sau đó đặt thuộc tính chiều rộng của văn bản bổ sung này về 0 (zero-width).
Bằng cách đó, khi bộ lọc spam quét email, nó sẽ nhìn thấy:
WEqcvuilLLS FAroyawdRGONhưng vì văn bản rác có chiều rộng bằng 0, nó không hiển thị khi bạn đọc email, để lại cho bạn:
WELLS FARGOĐơn giản vậy thôi: giờ đây, kẻ lừa đảo có thể mạo danh Wells Fargo mà không bị bộ lọc spam phát hiện.
Một ví dụ khác liên quan đến việc kẻ lừa đảo thêm các ký tự Zero-Width Space (ZWSP) và Zero-Width Non-Joiner (ZWNJ) vào giữa mỗi chữ cái trong một từ. Vì chúng là các ký tự, bộ lọc spam sẽ đọc chúng khi đánh giá liệu có phải thư rác hay không. Tuy nhiên, vì các ký tự này đại diện cho không gian bằng không, chúng không xuất hiện khi email được hiển thị, có nghĩa là bạn vẫn nhìn thấy từ đó một cách bình thường mà không có bất kỳ ngắt quãng nào.
Lời Khuyên Để Bảo Vệ Hộp Thư Đến Của Bạn
Những ví dụ trên cho thấy rằng bạn không bao giờ nên tin tưởng mù quáng vào một email, ngay cả khi nó đã lách qua bộ lọc spam và đến được hộp thư đến của bạn. Luôn kiểm tra kỹ người gửi và nội dung trước khi nhấp vào bất kỳ liên kết đáng ngờ nào. Hãy trang bị kiến thức để nhận diện các dấu hiệu của email lừa đảo và phishing để tự bảo vệ mình một cách tốt nhất!
