Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) mới, được thiết kế để đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều hơn thế nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này nhắm vào người dùng và các tổ chức khách sạn trên toàn thế giới, với một số dấu hiệu nhận biết rõ ràng cần được cảnh giác.
Kỹ Thuật ClickFix: Chiêu Trò Mới Trong Chiến Dịch Lừa Đảo Booking.com
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và gây thiệt hại cho nhiều nạn nhân từ các quốc gia khác nhau trên toàn cầu. Chiến dịch phishing này sử dụng một kỹ thuật kỹ thuật xã hội được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi để chạy các lệnh tải xuống mã độc. Microsoft nêu rõ:
“Trong kỹ thuật ClickFix, kẻ đe dọa cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và chạy các lệnh cuối cùng sẽ dẫn đến việc tải xuống mã độc.”
Chiến dịch lừa đảo này không quá khác biệt so với các cuộc tấn công phishing thông thường. Nạn nhân nhận được một email có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm mã độc trong chiến dịch lừa đảo phishing Booking.com
Tuy nhiên, điểm khác biệt của chiến dịch này là những gì xảy ra khi bạn nhấp vào liên kết. Thay vì tải xuống mã độc ngay lập tức, bạn sẽ được đưa đến một trang CAPTCHA để “xác minh” danh tính của mình. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run, sau đó nhập lệnh mà những kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào bộ nhớ tạm của bạn khi cửa sổ CAPTCHA xuất hiện. Hướng dẫn giải thích cách nhấn tổ hợp phím Windows + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, việc yêu cầu tương tác của người dùng này đảm bảo rằng mã độc có thể vượt qua các tính năng bảo mật như chương trình chống vi-rút, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ trang web lừa đảo Booking.com hiển thị CAPTCHA độc hại từ Microsoft Threat Intelligence
Lệnh này sẽ tải xuống và chạy mã độc chính—một loại mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Mã độc này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Phòng Tránh Lừa Đảo Booking.com: Những Lời Khuyên Hữu Ích
Đây không phải lần đầu tiên Booking.com đối mặt với các vụ lừa đảo phishing. Vụ lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã khiến hàng nghìn khách du lịch không nghi ngờ trở thành nạn nhân.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không có nguồn gốc từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA đang yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, bạn đang ở trên một trang web độc hại.
Để bảo vệ bản thân khỏi các mối đe dọa lừa đảo ngày càng tinh vi này, hãy luôn duy trì sự cảnh giác và xác minh kỹ lưỡng mọi thông tin trước khi thực hiện bất kỳ thao tác nào. Đừng quên theo dõi thuthuatdidong.net để cập nhật những cảnh báo bảo mật mới nhất và nâng cao kiến thức an toàn trực tuyến của bạn.
