Booking.com, một trong những nền tảng đặt phòng trực tuyến hàng đầu thế giới, đang tiếp tục trở thành mục tiêu của một chiến dịch lừa đảo phishing tinh vi. Chiến dịch này được thiết kế để đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều thông tin nhạy cảm khác từ người dùng. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra, nhắm vào cả người dùng cá nhân và các tổ chức khách sạn trên toàn cầu, nhưng may mắn là có những dấu hiệu rõ ràng để nhận biết và phòng tránh.
Chiến Dịch Lừa Đảo Booking.com Mới Tinh Vi Như Thế Nào?
Microsoft Threat Intelligence đã lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, và nó vẫn đang hoạt động mạnh mẽ, gây thiệt hại cho nạn nhân ở nhiều quốc gia trên thế giới. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội đặc biệt được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi giả mạo để thực thi các lệnh tải xuống phần mềm độc hại.
Kỹ Thuật ClickFix và Chiêu Trò Đánh Lừa Người Dùng
Trong kỹ thuật ClickFix, kẻ tấn công khai thác xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo. Các thông báo này hướng dẫn người dùng “khắc phục sự cố” bằng cách sao chép, dán và khởi chạy các lệnh. Cuối cùng, những lệnh này sẽ dẫn đến việc tải xuống mã độc.
Chiến dịch này không quá khác biệt so với một cuộc tấn công phishing thông thường. Nạn nhân sẽ nhận được một email trông có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết một vấn đề nào đó.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo Booking.com qua phishing
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống mã độc, bạn sẽ được đưa đến một trang CAPTCHA để “xác minh” danh tính. Trang CAPTCHA này không chỉ yêu cầu bạn nhập ký tự, mà còn hướng dẫn bạn mở cửa sổ Run của Windows và sau đó nhập một lệnh do kẻ lừa đảo cung cấp.
Lệnh độc hại sẽ tự động được sao chép vào clipboard của bạn khi cửa sổ CAPTCHA xuất hiện. Hướng dẫn sẽ giải thích cách nhấn phím tắt Windows + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V, và cuối cùng thực thi nó bằng cách nhấn Enter. Hơn nữa, yêu cầu tương tác của người dùng này đảm bảo rằng phần mềm độc hại có thể né tránh các tính năng bảo mật như chương trình chống vi-rút, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ website lừa đảo Booking.com sử dụng kỹ thuật CAPTCHA theo phát hiện của Microsoft Threat Intelligence
Lệnh này sẽ tải xuống và chạy mã độc chính – một loại phần mềm độc hại có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Mã độc này chứa nhiều họ malware khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Các Loại Mã Độc Nguy Hiểm Được Phát Tán
- XWorm: Trojan truy cập từ xa (RAT) với khả năng kiểm soát máy tính, đánh cắp dữ liệu.
- Lumma Stealer: Mã độc chuyên đánh cắp thông tin đăng nhập, ví điện tử, dữ liệu trình duyệt.
- VenomRAT: Một RAT mạnh mẽ cho phép kẻ tấn công điều khiển từ xa và thu thập thông tin.
- AsyncRAT: RAT mã nguồn mở được sử dụng để theo dõi, ghi lại bàn phím và truy cập tệp.
- Danabot: Trojan ngân hàng được thiết kế để đánh cắp thông tin tài chính.
- NetSupport RAT: Mã độc truy cập từ xa, thường bị lạm dụng để kiểm soát trái phép các hệ thống.
Làm Thế Nào Để Tự Bảo Vệ Khỏi Lừa Đảo Booking.com?
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo phishing. Vào năm 2024, vụ lừa đảo Telekopye nhắm vào Booking.com cũng đã lừa được hàng nghìn du khách không nghi ngờ.
Để tự bảo vệ mình khỏi những chiến dịch tấn công tinh vi này, hãy luôn tuân thủ các nguyên tắc bảo mật cơ bản:
- Kiểm tra kỹ địa chỉ email người gửi: Trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email phishing sẽ không xuất phát từ địa chỉ chính thức của công ty.
- Truy cập trực tiếp website chính thức: Nếu bạn nhận được thông báo về một vấn đề với tài khoản Booking.com hoặc đặt phòng, hãy truy cập trực tiếp trang web Booking.com chính thức (gõ địa chỉ vào trình duyệt, không nhấp vào liên kết trong email) và tiến hành giải quyết vấn đề tại đó bằng cách liên hệ trực tiếp với công ty.
- Hiểu rõ về CAPTCHA: Hãy nhớ rằng CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA yêu cầu bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào trên máy tính, đó chắc chắn là một trang web độc hại.
Chiến dịch lừa đảo Booking.com mới này một lần nữa cho thấy sự cần thiết của việc nâng cao cảnh giác và hiểu biết về an ninh mạng. Bằng cách nhận biết các dấu hiệu cảnh báo và tuân thủ các biện pháp phòng ngừa đơn giản, bạn có thể bảo vệ bản thân và thông tin cá nhân của mình khỏi những mối đe dọa trực tuyến ngày càng tinh vi này. Hãy luôn là một người dùng internet thông thái và cảnh giác!
