Các bộ lọc thư rác luôn là tuyến phòng thủ đầu tiên giúp hộp thư đến của bạn tránh xa những email lừa đảo, mã độc và các mối đe dọa khác. Tuy nhiên, giới lừa đảo luôn không ngừng thích nghi và phát triển các kỹ thuật mới. Một trong những chiêu trò lừa đảo email tinh vi đang nổi lên là kỹ thuật “Email Salting”, cho phép kẻ tấn công vượt qua các lớp bảo vệ email truyền thống. Bài viết này sẽ giúp bạn hiểu rõ về Email Salting và Homoglyph Attack, đồng thời trang bị kiến thức để giữ hộp thư đến của bạn luôn an toàn.
Email Salting Hoạt Động Như Thế Nào?
Email Salting là một kỹ thuật tấn công độc hại, trong đó kẻ lừa đảo thao túng nội dung email – phổ biến nhất là bằng cách biến đổi mã HTML cơ bản của nó – để đánh lừa các bộ lọc thư rác. Trình duyệt hoặc ứng dụng email của bạn sẽ dịch mã HTML đó thành những gì bạn nhìn thấy trên màn hình. Bằng cách sử dụng các thủ thuật khác nhau, kẻ lừa đảo có thể chèn các ký tự “rác” vào mã, qua mặt bộ lọc trong khi vẫn đảm bảo rằng văn bản bình thường, dễ đọc được hiển thị cho người nhận.
Ví dụ, kẻ tấn công có thể thêm các ký tự có chiều rộng bằng không (zero-width space) hoặc ký tự không nối có chiều rộng bằng không (zero-width non-joiner) vào mã HTML. Nói một cách đơn giản, một email có thể hiển thị một từ thường kích hoạt bộ lọc thư rác (như tên ngân hàng hoặc tổ chức tài chính), nhưng mã nguồn thực tế lại chứa đầy các ký tự đệm vô hình.
Một ví dụ điển hình là từ “WELLS FARGO”. Với kỹ thuật Email Salting, cụm từ chính xác sẽ được hiển thị trên màn hình, nhưng khi kiểm tra kỹ hơn mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”. Các ký tự “qcvuil” và “royawd” hoàn toàn vô hình nhưng đủ để làm rối loạn thuật toán của bộ lọc spam, khiến nó bỏ qua email.
Đây không phải là cách duy nhất để thực hiện loại tấn công này. Một kỹ thuật đơn giản hơn nhưng không kém phần nguy hiểm là tấn công Homoglyph. Kỹ thuật này liên quan đến việc thay thế một số ký tự bằng các ký tự tương tự về mặt hình ảnh nhưng lại được mã hóa khác nhau trong bảng mã Unicode.
Phân Biệt Tấn Công Homoglyph: Nguy Hiểm Ngầm Trong Ký Tự
Tấn công Homoglyph (hay Homograph Attack) là một kỹ thuật lừa đảo tinh vi khác, trong đó kẻ tấn công thay thế các ký tự Latin thông thường bằng các ký tự trông giống hệt hoặc rất giống từ các bảng chữ cái khác (ví dụ: bảng chữ cái Cyrillic, Hy Lạp). Mục đích là để người dùng không nhận ra sự khác biệt bằng mắt thường, đồng thời đánh lừa các bộ lọc email kém tinh vi.
Một ví dụ điển hình là việc thay thế ký tự ‘o’ Latin thông thường bằng ký tự ‘o’ từ bảng chữ cái Cyrillic. Cả hai đều trông gần như giống hệt nhau, nhưng chúng có giá trị Unicode khác nhau. Điều này không chỉ có thể đánh lừa một số bộ lọc thư rác mà còn đủ để khiến bạn lầm tưởng rằng người gửi là hợp pháp.
Để dễ hình dung, hãy xem các ví dụ về Homoglyph dưới đây:
- Bank of America
- Bank of America (ký tự ‘o’ thứ hai đã được thay thế bằng ký tự tương tự)
Ví dụ trên có vẻ khá rõ ràng. Hãy thử một ví dụ khó hơn:
- Bank of America
- Bank оf America (ký tự ‘o’ thứ hai đã được thay thế bằng ký tự Cyrillic)
Với ví dụ thứ hai, gần như không thể phân biệt bằng mắt thường. Kỹ thuật này rất dễ thực hiện bằng cách chuyển đổi bảng chữ cái Cyrillic.
Một cách khác mà kẻ lừa đảo có thể vượt qua bộ lọc của bạn là sử dụng hình ảnh thay vì văn bản để hiển thị nội dung email. Điều này thường dễ nhận biết đối với hầu hết mọi người, vì không có dịch vụ hợp pháp nào lại thay thế toàn bộ văn bản bằng một hình ảnh, đặc biệt nếu họ đang cảnh báo bạn về vi phạm dữ liệu hoặc các vấn đề khẩn cấp khác.
Dấu Hiệu Nhận Biết Email Lừa Đảo Tinh Vi (Tổng Quan)
Mặc dù các cá nhân lừa đảo hiện nay còn sử dụng Trí tuệ nhân tạo (AI) để tạo ra các email lừa đảo hiệu quả hơn, nhưng những chiêu trò này vẫn tương đối dễ phát hiện nếu bạn quen thuộc với các dấu hiệu nhận biết chính. Hãy xem bộ lọc thư rác của bạn chỉ là tuyến phòng thủ đầu tiên chống lại lừa đảo phishing. Nếu một email đáng ngờ bằng cách nào đó vẫn lọt vào hộp thư của bạn, đó không phải là ngày tận thế.
Để dễ dàng xác định trạng thái đáng ngờ của email, hãy xem xét kỹ toàn bộ thông điệp.
Hầu hết các vụ lừa đảo phishing đều thất bại ngay khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng khiến bạn hành động nhanh chóng đến vậy bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc thúc giục bạn tải xuống một tệp đính kèm ngay lập tức. Kẻ lừa đảo sử dụng các thủ thuật kỹ thuật xã hội (social engineering) để thao túng bạn hành động vội vàng. Nếu bạn bình tĩnh suy nghĩ, bạn có thể sẽ nhìn thấu được trò lừa bịp này.
Ngay cả khi email trông có vẻ chính hãng, nó sẽ thiếu các chi tiết cá nhân mà công ty nên có. Ví dụ, họ có thể gọi bạn là “Kính gửi Quý khách hàng” hoặc những cụm từ tương tự thay vì tên thật của bạn.
Mặc dù các cuộc tấn công Homoglyph có thể khiến việc phát hiện trở nên khó khăn hơn, nhưng địa chỉ email mà kẻ lừa đảo sử dụng có thể sẽ không đúng. Bạn sẽ thấy rằng tên miền là một biến thể của tên miền chính thức, hoặc nếu kẻ lừa đảo lười biếng, họ sẽ sử dụng một tài khoản Gmail thông thường mà không một doanh nghiệp uy tín nào sử dụng.
Nhưng giả sử bạn không phát hiện ra bất kỳ dấu hiệu nào trong email bạn nhận được – bạn có nên làm theo hướng dẫn của nó không? Câu trả lời ngắn gọn là không.
Kiểm Tra Mã Nguồn Email (Source View): Vũ Khí Chống Salting Hiệu Quả
Để kiểm tra xem một email có bị “salted” hay không, bạn nên xem nhanh mã HTML của nó thông qua tính năng “Source View” (Xem mã nguồn). Hầu hết các ứng dụng email đều có tùy chọn này. Chúng ta sẽ sử dụng Gmail làm ví dụ.
Hướng dẫn xem Source View email trong Gmail
Nhấp vào biểu tượng ba dấu chấm ở góc trên bên phải của email và chọn “Show original” (Hiển thị bản gốc) hoặc “Source View” trong danh sách thả xuống. Bạn sẽ có thể nhìn thấy hoạt động bên trong của email, bao gồm cả mã HTML thô.
Mã nguồn HTML của một email hợp lệ hiển thị rõ ràng không bị xáo trộn
Có thể thấy rõ rằng phần nội dung của email trong mã nguồn hoàn toàn nguyên vẹn và giống hệt với những gì hiển thị ở giao diện người dùng: không có các ký tự ngẫu nhiên chen giữa các từ được chọn, không có mã ẩn.
Hãy nhớ ví dụ về “Wells Fargo” của chúng ta từ trước? Mã HTML sẽ vẽ nên một bức tranh rõ ràng. Sẽ có một loạt các ký tự không liên quan được chèn giữa các từ “Wells” và “Fargo”, làm biến dạng mã nguồn.
Ví dụ mã HTML bị can thiệp bởi Email Salting với các ký tự rác được thêm vào
Mặc dù rất khó để tìm thấy một email bị “salted” thực tế, ví dụ này mô phỏng khá chính xác những gì bạn sẽ thấy trong mã nguồn nếu mã email đã bị can thiệp.
Đối Phó Với Tấn Công Homoglyph Bằng Công Cụ Hỗ Trợ
Các cuộc tấn công Email Salting và Homoglyph có nhiều điểm tương đồng về mục đích đánh lừa người dùng. Nếu email trông có vẻ hợp lệ nhưng bạn vẫn có một cảm giác bất an, việc đeo kính điều tra của bạn và bắt đầu tìm kiếm các ký tự đáng ngờ là một điều thông minh.
Hãy chú ý kỹ, và bạn sẽ nhanh chóng nhận ra ký tự nào là bất thường:
- Homoglγph
Nếu bạn đoán là ký tự ‘γ’, thì bạn đã đúng. Nó nổi bật lên như một ngón tay cái bị đau nếu bạn biết mình đang tìm kiếm điều gì.
Tuy nhiên, trong khi chúng ta nên phát triển khả năng tinh mắt để tránh bị lừa, cũng có rất nhiều công cụ trực tuyến để phát hiện Homoglyph mà bạn có thể sử dụng. “Spoofed Unicode Checker” là một trong những công cụ yêu thích của tôi: chỉ cần sao chép văn bản vào cửa sổ bên trái, và công cụ sẽ cho bạn biết những ký tự nào bị giả mạo.
Với những kiến thức và bộ công cụ mới này trong kho vũ khí của mình, bạn sẽ có thể bảo vệ bản thân một cách hiệu quả chống lại lừa đảo phishing nếu một email lọt qua bộ lọc thư rác của bạn. Mặc dù các vụ lừa đảo ngày càng tinh vi hơn với sự hỗ trợ của AI, việc thực hành cẩn trọng và nhận thức được các dấu hiệu chính của lừa đảo sẽ giúp ích rất nhiều trong việc giúp bạn tránh trở thành nạn nhân của những chiến thuật này. Luôn luôn cảnh giác và kiểm tra kỹ thông tin trước khi hành động là chìa khóa để giữ an toàn trên không gian mạng.
Tham khảo: Cisco Talos
